避免帳號遭受網路釣魚詐騙

「網路釣魚」一詞是指涉及使用假網站、假電子郵件或其他假訊息的身分竊取詐騙手法。網路釣魚攻擊的目標是取得您帳號和敏感資訊的存取權。攻擊者能模仿信譽良好的網站,自行架設一個山寨版網站,或傳送貌似從可靠來源發出的訊息給您。網路釣魚訊息可能來自假帳號或已遭駭客入侵的帳號。

網路釣魚訊息可能會請您執行以下工作:

  • 造訪連結。
  • 下載檔案。
  • 開啟附件。

一旦您採取以上動作,惡意軟體 (例如:蠕蟲、特洛伊木馬程式、殭屍程式和病毒) 就有可能感染您的電腦或行動裝置。裝置遭受感染後,入侵者即可存取您的個人資訊。

網路釣魚詐騙也可能包含直接要求您提供個人資訊如:銀行帳戶登入憑證。

網路釣魚詐騙可能會要求您提供下列個人資訊:

  • 透過電子郵件或其他訊息系統。
  • 透過表單。
  • 透過詐騙電話。
  • 透過假的實際地址。

即使是請您輸入電子郵件地址和重設密碼的要求也有風險,請特別小心。

辨識警訊徵兆

若要避免自己遭受網路釣魚攻擊,您可學習如何辨識警訊徵兆。無論訊息來源是誰,都應仔細閱讀內容;即使網站看起來再熟悉,也務必仔細觀察。

用字遣詞過於籠統

即使網路釣魚攻擊者做好周全的背景調查,並專為您及企業量身打造釣魚訊息,但網路釣魚詐騙的特點之一就是使用籠統的文字。請特別注意看起來像來自可靠組織,但內容文意模糊不清的訊息:

帳號持有人,您好:

同樣地,假如某封訊息保證有千載難逢的商機或金融投資機會,但卻未提供足夠的詳細資訊表明傳送者確實認識您,代表這也有可能是詐騙:

我是銀行人員 Frederick,您有一份已故親戚的遺產,請儘快與我聯絡處理相關事宜。簡訊內不便透露太多資訊,請傳送電子郵件至以下地址。

來自個人帳號的商業訊息

經驗豐富的攻擊者可從您在網路上曝光的形象收集足夠的資訊,然後編造出看似來自實際聯絡人的訊息:

批發價更新

嗨,喬治亞,這封信主要是想跟您報告最新情況。請參考我們目前最新的批發價試算表:fabric-prices-2016-oct.xls

希望您滿意最後這批襯衫的品質!如有任何問題或疑問,歡迎隨時與我聯絡。

--

Julia Chan

客戶經理

織物樣品

他們可駭進聯絡人的公司帳號或建立假的個人帳號,藉此發動攻擊。例如,如果您有一個聯絡人叫 Julia,其個人電子郵件的使用者名稱是 juliachan3857,攻擊者可能會以使用者名稱為 juliachan9665 的帳號傳送電子郵件。此類攻擊取決於以下兩個因素:

  • 人們會不小心用錯誤的帳號傳送電子郵件。
  • 即使您知道 Julia 的個人電子郵件地址,您可能也不會太仔細檢查。

拼寫錯誤、文法差、風格迥異

犯罪份子不像專業的網路內容寫手那樣重視內容風格指南。如有錯字、文法錯誤或單頁內容中出現以下類別的各種變體,都表示該網站可能是詐騙網站:

  • 拼寫。
  • 大小寫。
  • 數字。
  • 標點符號。
  • 格式設定。

危言聳聽或過度興奮的語氣

注意有時效性的要求,此類要求不讓您有時間思考,且會恫嚇您儘快採取行動。舉例來說,Shopify 就不會傳送類似以下的訊息給您:

發生了一個非常嚴重的伺服器故障事件,請在 24 小時內回覆您的使用者名稱和密碼,否則您可能會永遠失去商店的存取權。

同樣地,如果訊息提到的好處好到令人難以置信,例如:只要「馬上報名」旅遊公司就現折 90% 團費,也請您特別小心。

看起來不正確的 URL

網路釣魚攻擊可能會使用看起來合法的 URL,若您未仔細檢查就不會發現異樣。很多網路釣魚攻擊會故意選擇貌似您原本已經很熟悉的 URL。如下表所示,假如您按正常程序在合法 URL 上向 Example Apparel 購買泳裝,但收到電子郵件內含假的 URL,您就可以斷定這是網路釣魚攻擊。

真正的 URL 會將您導向網域為 example-apparel.com 的網站 (即 Example Apparel 擁有的網域),而假 URL 則會將您導向網域為 com-aquatic.net 的惡意網站,而其可能就是犯罪份子的網站。

合法 URL 假的 URL
example-apparel.com/aquatic/swimmies example-apparel.com-aquatic.net/swimmies

使用另一種通訊模式提出疑慮

親自或透過電話聯絡您認定的可疑訊息傳送者,並洽詢該組織內的人以解決有關網頁的疑慮。

如果您要透過電話聯絡傳送者,請撥打您存檔記錄的號碼,或列在多個信譽良好線上來源的號碼。例如,若您收到稅務機關的電子郵件,要求您提供資訊,但內容可疑,則請您撥打去年退稅證明文件上列的電話號碼確認。切勿撥打可疑網站或電子郵件提供的號碼。

務必使用 HTTPS 連線至網站

連線至任何需要您輸入使用者名稱和密碼或其他敏感資料的網站時,請檢查瀏覽器上的 URL 旁邊是否有鎖定圖示:

鎖定圖示代表您連結到該網站的連線已使用 HTTPS 通訊協定加密。加密連線的 URL 開頭是 https:// 而非 http://。使用 http:// 的連線會以純文字傳送資料,代表中途可能會遭到攔截及有心人士讀取。

點擊連結前往您需要輸入資訊的網站時,請務必確認該 URL 開頭為 https://

只開啟您預期收到的附件或連結

請勿與附件、連結或表單互動,除非您已預期會收到且知道其中包含的內容。一旦您開啟了,可能就會被重新導向至設計用來竊取您資訊的惡意網站,甚至可能會透過惡意軟體感染您的裝置。

連結文字是 URL 時,請確定其符合連結本身的 URL。例如,雖然電子郵件內文中的連結顯示為 https://help.shopify.com,但其有可能會將您導向另一個 URL 的網路釣魚網頁。

許多網路釣魚攻擊會試圖利用網路銀行進行詐騙。如果您收到來自銀行的可疑電子郵件,且其中隨附信用額度特別優惠,請勿點擊該連結。您可開啟新視窗並手動輸入銀行 URL,到帳戶的控制面板查看是否確實有這項優惠。

謹慎使用公共 Wi-Fi

雖然外出時公共 Wi-Fi 很便利,但犯罪份子也能利用這點透過多種方式存取您的資訊。請採取以下幾個保障自己及資料安全的步驟,來降低風險。

驗證熱點名稱

攻擊者可自行建立未加密的 Wi-Fi 熱點,並模仿同個區域內可靠熱點的命名,例如:咖啡廳內的網路。如果您連線到網路釣魚熱點,攻擊者便可將您導向他們的頁面,而您可能就會遭受惡意軟體攻擊或被要求輸入隱私資訊。

連線前,請確認您要使用的熱點是合法的。如果現場未張貼熱點名稱,請詢問店員。

停用您裝置的存取點

即使您已連線到合法公用 Wi-Fi 熱點,但只要您和攻擊者位於同一個網路中,還是有可能暴露於風險。公共 Wi-Fi 網路比您家中或辦公室的私人網路更不安全:

連線前請關閉網路檔案共用功能並啟用防火牆,以保護自己的安全。即使已採取這些預防措施,建議您還是不要在使用公共 Wi-Fi 網路時傳送或接收任何敏感內容。

透過 VPN 傳送和接收敏感資料

虛擬私人網路 (VPN) 能在您的裝置和 VPN 公司伺服器之間建立安全的連線。VPN 伺服器再從這裡將您的資訊轉發到網際網路。即使攻擊者能存取您透過公共 Wi-Fi 熱點傳輸和接收的資料,該資料也會經過加密,因此對他們而言毫無用處:

如果您想瞭解如何選擇 VPN,TechradarPC Mag 都是不錯的入門選項。

如果不使用 VPN,最安全的方式就是避免透過公共 Wi-Fi 傳輸敏感資訊。

如果您的個人資訊遭到入侵,請遵循政府指示採取相關措施

個人識別資訊 (PII) 包含可用來識別特定個人或模仿該人的資料。PII 類型包括:

  • 全名。
  • 電子郵件地址。
  • 街道地址。
  • 電話號碼。
  • 信用卡號碼。
  • 國民身分證號碼 (例如:SIN、SSN 或護照)。
  • 駕照。
  • 出生日期。

如果您已經透過可疑管道提供個人識別資訊,或者您的 Shopify 帳號已遭入侵,請參閱政府指南採取因應措施,以下列出加拿大和美國政府提供的相關指南:

加拿大

建議步驟:

舉報:

美國

建議步驟:

舉報:

準備好開始透過 Shopify 銷售商品了嗎?

免費試用