https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

網路釣魚詐騙— 你不可不知的三件事

2004 / 12 / 31
路克
網路釣魚詐騙— 你不可不知的三件事

你不可不知的:網路釣魚手法與管道剖析
就網路釣魚的手法來說,最常見的有三種,透過「電子郵件」、「假網頁」與「即時通訊軟體」。你如果收到一封信件,來源是經常往來的購物網站,寄件人也是正確的客服管道,光是看信件內容就知道假不了,於是滑鼠往信件中的連結一點,出現的網站畫面也沒錯,只不過跳出一個密碼過期要求更換的畫面。此時心中開始萌生被害妄想感,經再三檢查網址列,確認與網站位址相同之後,才乖乖的輸入帳號密碼。沒想到幾天之後,才從新聞中發現自己被「釣」了!

沒錯,現在網路釣魚的手法已經到了以假亂真,真假難辨的地步,必須要學幾招防身之法,見招拆招明辨真偽。

在電子郵件中常見釣魚招數包括以下幾種:
(1)偽造的信件主題與內容:
過於聳動的主旨與緊急的要求,一定要多方查證之後才得以信任。

(2)偽造寄信來源:
許多釣魚信件中的寄件者,偽裝成正版的寄件來源,獲得收件者的信賴。遇到類似情況,不要直接開啟信件,在收件匣中的信件上按下滑鼠右鍵,進入[選項],在網際網路標題裡面可以看到信件的來源。但是,也不能百分之百據此判斷信件的真偽,萬一寄件電腦已經遭受入侵,那寄件來源顯然會是正確的。

(3)似假還真的信件內容:
通常釣魚客會將正版的信件內容複製修改,包括圖片與文字敘述皆相同,唯一不同的是信件內,可能有掩飾過的網頁連結,連結到惡意網站,或者透過信件內附表格直接誘騙受害者輸入並蒐集所需資訊。
一旦經由電子郵件、網路連結或即時通訊的訊息,連結到釣魚網頁,可就要更小心了,在網頁中的釣魚招數可稱得上技高一籌,以下是常見的類型:
(a) 全然是偽造的內容:

很容易就可以從網頁上的瑕疵分辨出來。

(b) 相近類似的網址:
例如有名的 paypal.com 就曾經被偽裝成 paypa1.com 變成數字的『1』,或host中用數字的「0」替換,如果警覺性不高或未仔細察看,則不容易發覺。也有利用URL網址使用上的技巧,來矇騙受害者,例如:http://www.hinet.net:index.cfmThfz@fake.com.tw/?sessTGTS,這樣的連結內容是合法的表示,看起來是聯結到中華電信網頁,而實際上則會連結到fake.com.tw。

(c) 不正確而且未經偽裝的網址:

在網址列直接使用不正確的網址,有時候就直接用數字IP,或使用免費網頁之網址。很容易就可以發現其中蹊蹺,因為正常的網站是不會使用這種數字IP或奇怪的網址。

(4) 蒐集資料用的表格:
在這些網路釣魚的案例中,共通點就是都會要求使用者輸入資料,所以在網頁上也會有蒐集資料用的表格,一旦遇到這一類的網頁,就要提高警覺,更勿斷然輸入資料送出。

(5)假造的URL位址列:
第五種類型,值得我們特別注意,目前已經發展出好幾種偽裝的手法,且看我們一一來破解。其中一招是關閉正常的URL位址列,再利用文字與圖形造出一個假的位址列或者在網頁存取之後貼上假造網址,而這個假造網址會跟正牌網址完全相同。另一種方法則是在網頁的網址列之上,用一個位於上層的浮動視窗,將假冒的網址覆蓋住,再填上正牌的網址。

破解之道一:按下滑鼠右鍵看網頁內容可以初步判定網址是否一致,但是也要小心按下右鍵所跳出來的功能表(pop-up)是真的還是假的。比方說正牌的網址是「http://www.ebay.com」,但是按下滑鼠右鍵,選內容所看到的可能是「http://203.X.X.11/index.htm」,這就是偽造的網址。如果釣魚網頁是位於國外網站上,其產生的假網址列,所呈現的樣式為英文版網頁瀏覽器的外貌,與中文介面會格格不入,稍微留意即可發現。

破解之道二:針對使用浮動視窗,將假冒的網址覆蓋住這種手法,可以按下右鍵看內容,會出現一個視窗,將此視窗拖曳到網址列上方,若對方使用此方式遮蔽網址列,則假造的網址會浮在這個視窗上面,而一般正常的頁面則不會有此現象。

(6) 進入正牌網站後,跳出一個要求輸入資料的對話視窗:
雖然透過連結進入正版網頁,但是會跳出一個視窗要求輸入帳號等資訊,而這個視窗通常看不到網址列。這可能是先引誘受害者進入假造的網頁,再由這個網頁一邊連結到正版網頁,一邊產生假造的資料蒐集畫面。基本上這個轉向的動作會自動完成,因此受害者看到的網頁是真正的「正牌」網頁,但是跳出來要求輸入的對話視窗則是「釣餌」。

破解之道:按下右鍵觀看該對話視窗的網址。遇到要求輸入資料時請再三確認。

(7) 網頁中夾帶木馬與間諜軟體:
在網頁中安插惡意程式,如木馬、間諜軟體等。利用受害者瀏覽時安裝、潛伏在用戶的電腦中,伺機操控電腦及取得所需資料。除可遠端操控受害電腦外,還有可能側錄鍵盤輸入,轉而將帳號密碼傳出。

破解之道:使用防毒軟體與防木馬、防間諜程式掃描,杜絕已知惡意程式;使用防間諜軟體與網頁快顯封鎖程式,防止於瀏覽網頁時被安插惡意程式。

姜太公釣魚,願者上鉤
從上述的手法中,可以歸納出網路釣魚的特徵包括以下五項: (1) Bait:
魚餌、引誘物、引誘手段,誘惑受害者去點選、輸入資料。這些標題可能是「密碼過期要求更換」、「輸入友人資訊可換取點數」、「立即更新個人資訊可獲得5%回饋金」等,利用人性貪小便宜的弱點,雙手奉上帳號、密碼及信用卡卡號。

(2) Credibility:
利用人性相信專業、信賴他人、屈服威信的弱點,利用知名品牌、企業形象、網頁標示,藉以使人信服而喪失警覺心。被冒用網址或郵件寄件者多半是知名的網站、銀行及保險公司等。如eBay、PayPal、花旗銀行及微軟和RedHat都曾被冒用,而eBay就是目前被冒充次數最高的冠軍。

(3) Hook:
魚鉤。受害者按下連結,就像魚咬下魚餌時,就會被魚鉤鉤住般的網頁,轉向(Redirecting)設計過的網頁或要求輸入資料的畫面,接著也有可能發現苗頭不對而掙脫,或者被魚鉤給釣了。根據Gartner的調查報告,網路釣魚的成功機率很高,在美國網路使用者中有約1,100萬人,曾點選過釣魚郵件中的連結,而其中高達3%的人,且已經在釣魚網頁上留下個人的帳號、密碼或信用卡卡號。

(4) Reel:
捲線器。到這個階段表示你已經上鉤了,當你按下送出資料的那ㄧ刻,捲線器就開始收線,資料也隨即送到壞人手上。與一般詐騙行為不同之處,壞人與受害者之間的互動關係較少,也沒有直接的對話,看不到收放捲線器與大魚角力的上演。因此,用這種願者上鉤的手法,果真符合姜太公釣魚的精神,不幸的是上鉤的魚兒還真不少。

(5) Phony:
偽造的。在網路釣魚的招數中,讓人真假難辨,網頁與信件內容可能有真有假,而大多數要求輸入資料的畫面都是偽造出來的,利用這種真假參雜其中的手法,也多半是由真實世界中的詐騙術所衍生而來。值得探討的是,如果該網站已經被入侵,而要求輸入身份驗證的畫面當然也是真的,只不過資料會多一份複本到壞人手上,這樣的話可能就算是駭客入侵而不屬於網路釣魚的範疇。






演變趨勢
正如手機簡訊詐財、電話詐騙等,網路釣魚的手法也不斷翻新。在APWG網站上(http://www.antiphishing.org)可以看到最新的網路釣魚案例與手法。未來網路釣魚手法很可能會與大量出現的網路蠕蟲或垃圾信件相結合,成為不折不扣的大宗行銷犯罪手法。例如2003年底發現「Mimail.J」蠕蟲,以偽裝成「Paypal」線上付款廠商名義,寄出電子郵件通知收件者上網變更密碼,否則在5天之後就會過期,並且連結到一個與Paypal完全相同的畫面中,要求填入信用卡號等個人資訊,才可完成帳號重置。所以,這種「異業結盟」的犯罪型態也是要特別注意的。

你不可不知的:網路釣魚影響層面
首先我們要知道的是,網路釣魚是一種詐欺行為,對於個人與企業,乃至於整個社會經濟環境均有重大影響。

對個人而言,當個人機密資料(身份證、信用卡、銀行帳戶及網路銀行密碼)外洩,即成為被「盜用身份」的高危險群。網路釣魚詐騙對於個人立即產生的危害,就是隱私權的受損,因為你的身家資料已經成為「商品」在地下經濟市場中流通,更遑論有人會跳出來說,買賣個人資料是不對的行為,然後幫你把資料銷毀,而這種情況只會擴散不會收歛。

其次,網路釣魚最終目的在於使用釣到的資訊,冒用受害者的身份而獲利。因此,受害者若無法及時糾正被冒用的身份資料,則很可能因此揹上個人信用不良的黑鍋,最後還可能要註銷帳戶、重新開戶。喪失良好財務信用記錄在一個以金融為經濟主體的社會中,等於是被打入次等公民,難以翻身。這種影響比信用卡帳單逾繳還嚴重,以後要貸款購屋、創業等,真的就是舉步維艱了。

相較之下,損失金錢與線上遊戲寶物,比起前者的影響稍小。不過卻是在台灣最常發生的案例,壞人利用網路釣魚手法,以各種名義,獲取受害者線上遊戲的帳號,或者以下載修補程式的手法,在電腦上植入木馬程式,獲取電腦上其他寶貴的資訊。如果網咖的電腦遭植入木馬,這就變成了一魚多吃了。

對於企業而言,商譽是一切的基石。尤其是現在企業e化的程度提升,電腦與網路也成為不可或缺的工作平台,一般企業員工對於這種網路釣魚的詐騙手法和影響僅能求自保,而企業是無法置身事外的。網路釣魚對於企業產生立即的風險,就是網頁遭到偽冒,而必須作緊急應變處理。可能的狀況包括:關閉網站,成立額外的服務專線;大量用戶資料遭到盜用,必須要重新辦理客戶資料、磋商賠償問題。企業商譽與辛苦建立的企業形象,亦可能毀於一旦,與客戶和協力廠商之間的信賴關係更是破壞殆盡。這種潛在的商譽損失,是網路釣魚對於企業的影響之一。

網路釣魚還有可能使企業的機密資訊外洩。錯失一次商業機會事小,在下一波機會來臨時,加把勁就是了,但是公司的核心競爭力遭到竊取,這沒有那麼容易化解。商業間諜和競爭對手,經常使用這種手段,以獲取對方的新產品技術或時程,這也不是什麼新聞。加上現在網路釣魚的手法越演越精,企業主與安全管理人員也應該要了解這種釣魚手法對於企業帶來的風險,及早做好預防與應變準備。

以法律的角度而言,提供網路服務的企業,理應對這種詐騙的釣魚網站與郵件做好嚴格把關之責。不論是提供免費網頁服務與免費電子郵件的ISP業者,或者是商業網站的管理員,未來也有可能因此而吃上官司。企業亟欲通過各種國際資訊安全管理標準及法規,也會因此而無法通過。 企業與個人該如何向這種網路釣魚詐騙說再見呢?

你不可不知的:網路釣魚預防與應變
教育宣導不可少
政府在對抗詐騙手法上已經做了不少宣導,將各種詐騙集團使用的手法集結成「防詐騙手冊」,電子版可以從刑事局及其他機關網站下載。內容將各種常見詐騙手法羅列,並提醒民眾要提高警覺。惟不見提及網路釣魚詐騙手法與預防之道,這是有待努力的部份。

對於個人而言,在前文已提及技術上破解之道和預防被釣的注意事項。此外,尚需把握三個原則,就是「查證、勿貪便宜與受害通報」。

查證部份,要注意來路不明的電子郵件,進入網頁之後應該注意有異常之處。輸入帳號密碼與機密資料前,應該再三檢查。遇到無法查證時,可以撥打廠商服務電話查證,以確保個人資料的基本安全。

你可曾為了小小贈品而留下你的個人資料呢?如果有,就要好好考慮一下網路釣魚對你的誘惑力是不是足以讓你輸入這些資料?大部分的人對於「中大獎」、「中轎車」這種手法可能已經有免疫力,但難保不會出現其他具吸引力的招數,或者以類似老鼠會的推薦朋友拿獎金的方式,行釣魚詐騙之實。請謹記『天下沒有白吃的午餐』、『貪小便宜吃大虧』的道理。

當你發現網路釣魚手法或不幸被釣,該如何處置? 第一、如果只是發現網路釣魚手法,可以透過網路上「反釣魚工作小組」的網站通報事件,或者未來國內有相關的受理單位,如同目前反詐騙諮詢專線165,受理網路釣魚詐騙的案件通報。第二、如果已經發現被釣,請保留所有你可以留下的「證物」,包括郵件、網站畫面與位址,然後向發卡銀行及警察機關報案。

就企業而言,尤其是服務業和電子商務網站,若有需要應該設立24小時查證電話,供客戶查詢,以維護商譽。對內則教育員工如何預防網路釣魚,舉辦類似事件發生的應變演練。除此之外,ISP也必須負有監督把關之責,注意是否有網站或郵件遭到濫用。

科技手段解決網路詐騙
各界應正視網路釣魚詐騙的嚴重性,尤其是金融業、電子商務業與ISP業者,必須採取措施來消弭詐騙的風險,才不致使電子商務的信賴被破壞殆盡,業界勢必受到相當大的衝擊。面對網路釣魚的手段不斷翻新,應該以科技手段解決網路詐騙,過濾不當內容與詐騙郵件藉其他管道擴散,以數位簽章、反垃圾郵件及內容過濾等方案阻斷網路釣魚的管道。

業界方案包括防毒、防駭產品,如趨勢科技、賽門鐵克和McAfee也開始推出具反釣魚功能的引擎,以更新釣魚網頁位址和郵件特徵資料庫的方式,杜絕含有惡意的詐騙網頁。趨勢科技主推 PC-Cillin 2005具備清除間諜軟體以及反網路釣魚功能,而其閘道型產品Interscan Web Security Suite (IWSS)所提供的PhishTrap的反釣魚技術,就是利用趨勢科技的「詐編網站特徵資料庫」來排除釣魚網頁。賽門鐵克則推出反網路釣魚服務,利用全球監測網路與誘餌郵件帳號,蒐集分析釣魚網頁,並將這些資料庫加入過濾器中,再佈署至的用戶端的產品線如:Norton AntiSpam和Norton Internet Security。

另外還有所謂員工上網管理(EIM ,Employee Internet Management)方案也可以反釣魚,利用內容過濾的方式以監控員工是否進入不當網站。反過來說,也可以利用這個內容過濾的功能,排出已知的釣魚網站。Websense Enterprise的Security Premium Group模組及SurfControl 的EdgeForce 就具備反釣魚詐騙功能。

對於知名廠牌的網站而言,為了維護商譽,必須監控與自身名稱類似的網域名稱(Domain Name),也就是監控是否有類似名稱的釣魚網站正在運作,做到早期預警的監控,不須等到有客戶因此而受騙再來收爛攤子。這方面的服務可委託ISP進行網域名稱的監控,或使用DNS查詢工具對類似名稱網站進行查詢。發現此類活動進行時,就可以開始採取應變措施。

後語
筆者在撰寫文章期間,已經收到三封疑似網路釣魚信件、二通詐騙電話,不難想像目前詐騙犯罪的猖獗。所謂的網路釣魚詐騙,其本質就是欺騙,利用人性的弱點,以社交工程行詐騙手段。所以,在作反釣魚宣導時,應該要教育員工如何避免這一類社交工程攻擊,包括「對權威與專業性的信任,相信知名網站的安全性」、「討人喜歡的事物,利用一些小遊戲、圖片誘惑受害者上當」、「禮尚往來的互惠行為,以獎金或回饋禮品來吸引受害者輸入個人資訊」及其他「稀有性和向他人看齊」等人性脆弱面,都可以經由教育宣導作好心理建設,防範於未然。

根據美國聯邦調查局及反網路釣魚工作小組(APWG)的調查統計 在美國網路釣魚詐騙的損失金額,從2001年的1,700萬美元,2002年的5,400萬美元,到了2003年,銀行與消費者的直接損失高達24億美元,而今年的統計數字還會持續增長。