2007年1月23日

釣魚網站手法

Phishing的讀音與Fishing(釣魚)一樣,意義也一樣,稱為[網路釣魚],借用Fishing的音義,來稱呼這種撒餌引誘魚上鉤,和現實釣魚過程一樣的網路詐騙行為。

網路釣魚主要意指[釣魚者](要竊取個人帳號、密碼、信用卡號碼、身分證字號等機密資料的人)透過E-mail或知名網站的超連結來撒餌,引誘不知情的使用者連線到他們事先預備好的冒牌網站(釣魚網站),讓粗心的使用者上鉤,進而竊取個人機密資料。

常見的釣魚手法

Mail信件:釣魚者(駭客)以花旗銀行、eBay、Yahoo!等知名金融網站或拍賣網站的名義,發送主旨為緊急通知的E-mail,要求使用者按下E-mail中的連結,來更改帳戶、密碼或信用卡密碼等資料。如果使用者未經查證按下連結後,就會連線到釣魚者製作外表幾可亂真的冒牌網站,然後竊取帳號、密碼或信用卡號碼等機密資料。

知名網站的超連結:在Pchome、Yahoo、無名小站等提供所謂部落格或Web2.0等網站。駭客在這些網站上架設非常吸引人之內容,例如:MP3下載、P2P軟體下載等等,引誘使用者點選超連結植入木馬或引誘到假冒網站竊取使用者資料。

如何減少網路釣魚的危害

1. 別隨便按下信件或網站中的網址:
 釣魚網站幾乎都是利用E-mail傳送偽造的緊急通知,如果直接按下信件內容的連結,將會連結到釣魚網站,所以收到信件的時候,千萬不要按下信件中的連結,如果要做進一步的確認,可以開啟瀏覽器後,手動輸入網址,避免被帶到釣魚網站。

2. 有掛鎖,卡安全:
 為了保障資料傳輸的安全,只要涉及到機密資料傳輸的網站都會使用SSL(Secure Socket Layer)機制還保障交易安全,這類網站網址開頭為「https://」,而且在IE的右下角落會出現掛鎖圖示來提醒使用者。所以我們可以根據這個技巧來辨識網站是否為釣魚網站。不過駭客仍然可以架設假的憑證網站來做出SSL之效果,所以應再確認憑証內容才是不二法門。「https://」,而且在IE的右下角落會出現掛鎖圖示來提醒使用者。所以我們可以根據這個技巧來辨識網站是否為釣魚網站。不過駭客仍然可以架設假的憑證網站來做出SSL之效果,所以應再確認憑証內容才是不二法門。

3. 揪出假網址:
 另一種驗明網站正身的方法是檢視網站內容或使用搜尋引擎尋找該網站公司名稱,然後比對「內容」對話框的網址何網址列的網址,來揪出冒牌網站,如果網址不相同就可能是釣魚網站。