防止您的帳號遭受網路釣魚、語音釣魚和網路釣魚簡訊詐騙
「網路釣魚」一詞是指涉及使用假網站、假電子郵件或其他假訊息的身分竊取詐騙手法。網路釣魚攻擊的目標是取得您帳號和敏感資訊的存取權。攻擊者能模仿信譽良好的網站,自行架設一個山寨版網站,或傳送貌似從可靠來源發出的訊息給您。網路釣魚訊息可能來自假帳號或已遭駭客入侵的帳號。
攻擊者可能也會使用 語音釣魚 (即語音網路釣魚) 和 網路釣魚簡訊 (即簡訊或文字網路釣魚) 等相似手法,攻擊您的帳號以收集敏感資訊。您必須小心,請勿在電話中提供敏感資訊,也不要點擊透過簡訊傳送的連結,以防可能遭到入侵。如果您懷疑自己可能接到網路釣魚的電話或簡訊,請立即聯絡 Shopify 支援服務。
網路釣魚訊息可能會請您執行以下工作:
- 前往連結
- 下載檔案
- 開啟附件
- 回覆個人資訊或兩步驟驗證碼
若您執行上述任一動作,可能會讓電腦或行動裝置遭到 惡意軟體 (如蠕蟲、木馬程式、殭屍和病毒) 感染。裝置遭到感染後,攻擊者便可存取您的個人資訊。
網路釣魚詐騙也可能包含直接要求您提供個人資訊如:銀行帳戶登入憑證。
網路釣魚詐騙可能會以下列方式要求您提供個人資訊
- 透過電子郵件或其他訊息系統
- 透過表單
- 透過詐騙電話號碼
- 透過假的實體地址
即使是請您輸入電子郵件地址和重設密碼的要求也有風險,請特別小心。
辨識警訊徵兆
若要避免自己遭受網路釣魚攻擊,您可學習如何辨識警訊徵兆。無論訊息來源是誰,都應仔細閱讀內容;即使網站看起來再熟悉,也務必仔細觀察。
模糊或籠統的語言
即使網路釣魚攻擊者做好周全的背景調查,並專為您及企業量身打造釣魚訊息,但網路釣魚詐騙的特點之一就是使用籠統的文字。請特別留意看起來像來自可靠組織,但以模糊字句為開頭的訊息,例如 親愛的帳號持有人。
此外,假如某封訊息保證有千載難逢的商機或金融投資機會,但卻未提供足夠的詳細資訊表明傳送者確實認識您,代表這也有可能是詐騙:
我是銀行人員 Frederick,
您有一份已故親戚的遺產,請儘快與我聯絡處理相關事宜。
簡訊內不便透露太多資訊,請傳送電子郵件至以下地址。
來自個人帳戶的商業訊息
經驗豐富的攻擊者可從您在網路上的活動收集足夠的資訊,然後編造出看似來自實際聯絡人的訊息:
批發價更新
嗨,Georgia:
這封信主要是想跟您報告最新情況。請參考我們目前最新的批發價試算表:fabric-prices-october.xls
希望您滿意最後這批襯衫的品質!如有任何問題或疑問,歡迎隨時與我聯絡。
Julia Chan
客戶經理
Example Fabrics
攻擊者可以駭進您聯絡人的商業帳號,或建立假的個人帳號並傳送網路釣魚電子郵件訊息。例如,如果您有一個聯絡人叫 Julia,她的個人電子郵件的使用者名稱是 juliachan3857,攻擊者可能會透過使用者名稱為 juliachan9665 的帳號傳送電子郵件訊息。這種攻擊形式起因於下列行為:
- 人們經常不小心用錯誤的帳號傳送電子郵件訊息。
- 即使您知道 Julia 的個人電子郵件地址,您可能也不會太仔細檢查並發現異樣。
危言聳聽或過度興奮的語氣
注意有時效性的要求,此類要求會恫嚇您儘快採取行動,不讓您有時間思考。例如:
發生了一個非常嚴重的伺服器故障事件,請在 24 小時內回覆您的使用者名稱和密碼,否則您可能會永遠失去商店的存取權。
電子郵件訊息可能會包含好到令人難以置信的優惠,例如「馬上報名」才能享有旅遊公司提供的 90% 折扣。
拼寫錯誤、文法差、風格迥異
即使詐騙網站或電子郵件訊息看似專業,但可能還是會出現拼字和文法錯誤。若要判斷是否為詐騙網站或詐騙電子郵件訊息,請尋找下列項目的錯誤使用方法或不一致性:
- 拼寫
- 大小寫
- 編號
- 標點符號
- 格式設定
可疑網址
網路釣魚攻擊可能會使用看起來合法的網址,若您未仔細檢查就不會發現異樣。很多網路釣魚攻擊使用的網址,會故意選擇類似您所熟悉的網址。舉例來說,假如您通常是透過合法網址向 Example Apparel 購買泳裝,卻收到電子郵件內含假的網址,您就可以斷定這封電子郵件是網路釣魚攻擊。
真正的 URL 會將您導向網域為 example-apparel.com 的網站 (即 Example Apparel 擁有的網域),而假 URL 則會將您導向網域為 com-aquatic.net 的惡意網站,而其可能就是犯罪份子的網站。
| 合法 URL | 假的 URL |
|---|---|
| example-apparel.com/aquatic/swimmies | example-apparel.com-aquatic.net/swimmies |
Shopify 和敏感文件的要求
Shopify 從來不會直接透過電子郵件訊息,要求您以文字、圖片或檔案附件提供敏感資訊。
以下是敏感文件的範例:
- 任何形式的身分證
- 密碼
- 信用卡資訊
- 銀行資訊
- 國民身分證號碼,例如 SIN (加拿大社會保險號碼) 或 SSN (社會安全號碼)
Shopify 僅會透過以 app.shopify.com 或 .shopify.com 開頭的安全上傳頁面,要求您提交敏感文件。
使用另一種通訊模式提出疑慮
親自或透過電話聯絡您認定的可疑訊息傳送者,並洽詢該組織內的人以解決有關網頁的疑慮。
如果您要透過電話聯絡傳送者,請撥打您存檔記錄的號碼,或列在多個信譽良好線上來源的號碼。例如,若您收到稅務機關的電子郵件,要求您提供資訊,但內容可疑,則請撥打去年納稅申報表上列的機關電話號碼進行確認。切勿撥打可疑網站或電子郵件訊息提供的號碼。
確認您使用 HTTPS 連線至網站
連線至任何需要您輸入使用者名稱和密碼或其他敏感資料的網站時,請確認瀏覽器上的網址旁邊是否有鎖頭圖示:
鎖頭圖示代表您連結到該網站的連線已使用 HTTPS 通訊協定加密。加密連線的網址開頭是 https://,而非 http://。使用 http:// 的連線會以純文字傳送資料,代表中途可能會遭到攔截,讓有心人士讀取。
在點擊連結,前往任何會要求您輸入資訊的網站前,請確認網址開頭為 https://。
僅開啟您預期收到的附件或連結
請勿與附件、連結或表單互動,除非您已預期會收到且知道其中包含的內容。一旦您開啟了,可能就會被重新導向至設計用來竊取您資訊的惡意網站,甚至可能會透過惡意軟體感染您的裝置。
若連結文字是網址,請確認該文字與連結本身的網址相符。舉例來說,電子郵件內文中顯示為 https://help.shopify.com 的連結,有可能會將您導向另一個網址的網路釣魚頁面。
許多網路釣魚攻擊會試圖利用網路銀行進行詐騙。如果您收到來自銀行的可疑電子郵件,且其中包含信貸額度的特別優惠,請勿點擊該連結。請改為在新視窗中手動輸入銀行網址,並前往帳戶控制面板查看是否確實有這項優惠。
使用公共 Wi-Fi 時請多加留意
雖然人不在家裡或工作時,公共 Wi-Fi 可以為您帶來便利,卻也為攻擊者提供多種方式來存取您的資訊。請採取以下幾個步驟來保護自己及資料安全,藉此降低風險。
驗證熱點名稱
攻擊者可自行建立未加密的 Wi-Fi 熱點,並模仿同個區域內可靠熱點的命名,例如咖啡廳內的網路。如果您連線到網路釣魚熱點,攻擊者便可將您導向他們的頁面,而您可能就會遭受惡意軟體攻擊或需要輸入隱私資訊。
連線至熱點之前,請先確認您打算使用的熱點為合法熱點。如果您沒有看到張貼在明顯位置的熱點名稱,請詢問該地點的員工。
停用裝置的存取點
即使您已連線至合法公共 Wi-Fi 熱點,但只要您和攻擊者位於同一個網路中,還是有可能暴露於風險之中。公共 Wi-Fi 網路比您家中或辦公室的私人網路更不安全。
連線前請關閉網路檔案共用功能並啟用防火牆,以保護自己的安全。即使已採取這些預防措施,建議您還是不要在使用公共 Wi-Fi 網路時傳送或接收任何敏感內容。
僅透過 VPN 傳送和接收敏感資料
虛擬私人網路 (VPN) 能在您的裝置和 VPN 公司伺服器之間建立安全的連線。VPN 伺服器再從這裡將您的資訊轉發到網際網路。即使攻擊者能存取您透過公共 Wi-Fi 熱點傳輸和接收的資料,該資料也會經過加密,因此對他們而言毫無用處。
如果您想瞭解如何選擇 VPN,Techradar 和 PC Mag 都是不錯的入門選項。
如果不使用 VPN,最安全的方式就是避免透過公共 Wi-Fi 傳輸敏感資訊。
如果您的個人資訊遭到入侵,請遵循政府指示採取相關措施
個人識別資訊 (PII) 包含可用來識別特定個人或假冒該人的資料。PII 包括以下資訊類型:
- 全名
- 電子郵件地址
- 街道地址
- 電話號碼
- 信用卡號碼
- 國民身分證號碼,例如加拿大社會保險號碼 (SIN)、社會安全號碼 (SSN) 或護照
- 駕照
- 出生日期
如果您已經透過可疑管道提供個人識別資訊,或您的 Shopify 帳號已遭入侵,請參閱政府指南採取因應措施,以下列出加拿大和美國政府提供的相關指南。
加拿大
建議步驟:
舉報:
美國
建議步驟:
舉報: