避免帳號遭受網路釣魚詐騙
「網路釣魚」一詞是指涉及使用假網站、假電子郵件或其他假訊息的身分竊取詐騙手法。網路釣魚攻擊的目標是取得您帳號和敏感資訊的存取權。攻擊者能模仿信譽良好的網站,自行架設一個山寨版網站,或傳送貌似從可靠來源發出的訊息給您。網路釣魚訊息可能來自假帳號或已遭駭客入侵的帳號。
網路釣魚訊息可能會請您執行以下工作:
- 造訪連結。
- 下載檔案。
- 開啟附件。
一旦您採取以上動作,惡意軟體 (例如:蠕蟲、特洛伊木馬程式、殭屍程式和病毒) 就有可能感染您的電腦或行動裝置。裝置遭受感染後,入侵者即可存取您的個人資訊。
網路釣魚詐騙也可能包含直接要求您提供個人資訊如:銀行帳戶登入憑證。
網路釣魚詐騙可能會要求您提供下列個人資訊:
- 透過電子郵件或其他訊息系統。
- 透過表單。
- 透過詐騙電話。
- 透過假的實際地址。
即使是請您輸入電子郵件地址和重設密碼的要求也有風險,請特別小心。
辨識警訊徵兆
若要避免自己遭受網路釣魚攻擊,您可學習如何辨識警訊徵兆。無論訊息來源是誰,都應仔細閱讀內容;即使網站看起來再熟悉,也務必仔細觀察。
用字遣詞過於籠統
即使網路釣魚攻擊者做好周全的背景調查,並專為您及企業量身打造釣魚訊息,但網路釣魚詐騙的特點之一就是使用籠統的文字。請特別注意看起來像來自可靠組織,但內容文意模糊不清的訊息:
同樣地,假如某封訊息保證有千載難逢的商機或金融投資機會,但卻未提供足夠的詳細資訊表明傳送者確實認識您,代表這也有可能是詐騙:
我是銀行人員 Frederick,您有一份已故親戚的遺產,請儘快與我聯絡處理相關事宜。簡訊內不便透露太多資訊,請傳送電子郵件至以下地址。
來自個人帳號的商業訊息
經驗豐富的攻擊者可從您在網路上曝光的形象收集足夠的資訊,然後編造出看似來自實際聯絡人的訊息:
嗨,喬治亞,這封信主要是想跟您報告最新情況。請參考我們目前最新的批發價試算表:fabric-prices-2016-oct.xls
希望您滿意最後這批襯衫的品質!如有任何問題或疑問,歡迎隨時與我聯絡。
--
Julia Chan
客戶經理
織物樣品
他們可駭進聯絡人的公司帳號或建立假的個人帳號,藉此發動攻擊。例如,如果您有一個聯絡人叫 Julia,其個人電子郵件的使用者名稱是 juliachan3857,攻擊者可能會以使用者名稱為 juliachan9665 的帳號傳送電子郵件。此類攻擊取決於以下兩個因素:
- 人們會不小心用錯誤的帳號傳送電子郵件。
- 即使您知道 Julia 的個人電子郵件地址,您可能也不會太仔細檢查。
拼寫錯誤、文法差、風格迥異
犯罪份子不像專業的網路內容寫手那樣重視內容風格指南。如有錯字、文法錯誤或單頁內容中出現以下類別的各種變體,都表示該網站可能是詐騙網站:
- 拼寫。
- 大小寫。
- 數字。
- 標點符號。
- 格式設定。
危言聳聽或過度興奮的語氣
注意有時效性的要求,此類要求不讓您有時間思考,且會恫嚇您儘快採取行動。舉例來說,Shopify 就不會傳送類似以下的訊息給您:
同樣地,如果訊息提到的好處好到令人難以置信,例如:只要「馬上報名」旅遊公司就現折 90% 團費,也請您特別小心。
看起來不正確的 URL
網路釣魚攻擊可能會使用看起來合法的 URL,若您未仔細檢查就不會發現異樣。很多網路釣魚攻擊會故意選擇貌似您原本已經很熟悉的 URL。如下表所示,假如您按正常程序在合法 URL 上向 Example Apparel 購買泳裝,但收到電子郵件內含假的 URL,您就可以斷定這是網路釣魚攻擊。
真正的 URL 會將您導向網域為 example-apparel.com 的網站 (即 Example Apparel 擁有的網域),而假 URL 則會將您導向網域為 com-aquatic.net 的惡意網站,而其可能就是犯罪份子的網站。
| 合法 URL | 假的 URL |
|---|---|
| example-apparel.com/aquatic/swimmies | example-apparel.com-aquatic.net/swimmies |
使用另一種通訊模式提出疑慮
親自或透過電話聯絡您認定的可疑訊息傳送者,並洽詢該組織內的人以解決有關網頁的疑慮。
如果您要透過電話聯絡傳送者,請撥打您存檔記錄的號碼,或列在多個信譽良好線上來源的號碼。例如,若您收到稅務機關的電子郵件,要求您提供資訊,但內容可疑,則請您撥打去年退稅證明文件上列的電話號碼確認。切勿撥打可疑網站或電子郵件提供的號碼。
務必使用 HTTPS 連線至網站
連線至任何需要您輸入使用者名稱和密碼或其他敏感資料的網站時,請檢查瀏覽器上的 URL 旁邊是否有鎖定圖示:
鎖定圖示代表您連結到該網站的連線已使用 HTTPS 通訊協定加密。加密連線的 URL 開頭是 https:// 而非 http://。使用 http:// 的連線會以純文字傳送資料,代表中途可能會遭到攔截及有心人士讀取。
點擊連結前往您需要輸入資訊的網站時,請務必確認該 URL 開頭為 https://。
只開啟您預期收到的附件或連結
請勿與附件、連結或表單互動,除非您已預期會收到且知道其中包含的內容。一旦您開啟了,可能就會被重新導向至設計用來竊取您資訊的惡意網站,甚至可能會透過惡意軟體感染您的裝置。
連結文字是 URL 時,請確定其符合連結本身的 URL。例如,雖然電子郵件內文中的連結顯示為 https://help.shopify.com,但其有可能會將您導向另一個 URL 的網路釣魚網頁。
許多網路釣魚攻擊會試圖利用網路銀行進行詐騙。如果您收到來自銀行的可疑電子郵件,且其中隨附信用額度特別優惠,請勿點擊該連結。您可開啟新視窗並手動輸入銀行 URL,到帳戶的控制面板查看是否確實有這項優惠。
謹慎使用公共 Wi-Fi
雖然外出時公共 Wi-Fi 很便利,但犯罪份子也能利用這點透過多種方式存取您的資訊。請採取以下幾個保障自己及資料安全的步驟,來降低風險。
驗證熱點名稱
攻擊者可自行建立未加密的 Wi-Fi 熱點,並模仿同個區域內可靠熱點的命名,例如:咖啡廳內的網路。如果您連線到網路釣魚熱點,攻擊者便可將您導向他們的頁面,而您可能就會遭受惡意軟體攻擊或被要求輸入隱私資訊。
連線前,請確認您要使用的熱點是合法的。如果現場未張貼熱點名稱,請詢問店員。
停用您裝置的存取點
即使您已連線到合法公用 Wi-Fi 熱點,但只要您和攻擊者位於同一個網路中,還是有可能暴露於風險。公共 Wi-Fi 網路比您家中或辦公室的私人網路更不安全:
連線前請關閉網路檔案共用功能並啟用防火牆,以保護自己的安全。即使已採取這些預防措施,建議您還是不要在使用公共 Wi-Fi 網路時傳送或接收任何敏感內容。
透過 VPN 傳送和接收敏感資料
虛擬私人網路 (VPN) 能在您的裝置和 VPN 公司伺服器之間建立安全的連線。VPN 伺服器再從這裡將您的資訊轉發到網際網路。即使攻擊者能存取您透過公共 Wi-Fi 熱點傳輸和接收的資料,該資料也會經過加密,因此對他們而言毫無用處:
如果您想瞭解如何選擇 VPN,Techradar 和 PC Mag 都是不錯的入門選項。
如果不使用 VPN,最安全的方式就是避免透過公共 Wi-Fi 傳輸敏感資訊。
如果您的個人資訊遭到入侵,請遵循政府指示採取相關措施
個人識別資訊 (PII) 包含可用來識別特定個人或模仿該人的資料。PII 類型包括:
- 全名。
- 電子郵件地址。
- 街道地址。
- 電話號碼。
- 信用卡號碼。
- 國民身分證號碼 (例如:SIN、SSN 或護照)。
- 駕照。
- 出生日期。
如果您已經透過可疑管道提供個人識別資訊,或者您的 Shopify 帳號已遭入侵,請參閱政府指南採取因應措施,以下列出加拿大和美國政府提供的相關指南:
加拿大
建議步驟:
舉報:
美國
建議步驟:
舉報: