a. 丟下可口的魚餌:利用大量的電子郵件寄送,信件中假冒是某某銀行、線上零售商或是知名的入口網站,甚至附上正牌的Logo,模仿的唯妙唯肖,搏取收件人的信任感,讓你放心。根據國際反詐騙組織(Anti-Phishing Working Group, APWG 網址:http://www.antiphishing.org/)統計,約有5%會對信件中的內容有反應。
b. 快速抽動釣鉤:利用人性的弱點,如貪婪、不安全感讓收件人上當,通常在信件中會以類似"緊急"、"為了更安全"、"抽獎"等字眼去push受害人在短時間內做決定…… ,此時,就等你上鉤。
c. 時時牽引釣線:信件中,通常會有連結,可以連到某個網站,這個網站通常與被仿冒的網站十分類似,有同樣的logo與設計,甚至連網址都跟正牌的網站很類似,通常只差一個兩個字母或是利用"-"等符號隔開,例如,知名的線上遊戲廠商-遊戲橘子,就有人申請差一個字母的網址http://www.gamannia.com與正牌的網址http://www.gamania.com,請問你看出來了嗎?或是利用網頁格式,表面上顯示的是正牌網站,實際上卻導引到另一個網站。收件人就快要上鉤了。
d. 釣到就烙跑:等到收件人信以為真的將個人私密資料輸入,幾天後發現被騙,釣魚網站也從世界上消失了,想要回來都不可能。根據APWG的統計,近一年 (2004/4到2005/5),釣魚網站共2870個,比去年增加28%,最短的生存時間為5.8天,最長為一個月,這麼短的時間,透過電子郵件大量且無遠弗屆的傳送,受害人數可想而知。
a. 管道的改變:除了郵件外,駭客也會撰寫病毒入侵至電腦中,等到被害人在瀏覽器上輸入某銀行或駭客有興趣的網站,病毒就會將瀏覽器的網址重新導到駭客設計的模仿網站,騙取資料。另外,有些人記不起那些眾多的網址,會利用搜尋網站(如,google)搜尋,有些駭客也會註冊他的網站,讓你搜尋到模仿的網站,藉此盜取你的資料。知名的google toolbar之前就存在著允許javascript執行的弱點,使得搜尋時,駭客可以利用javascript修改搜尋時的網頁內容,將網站導到模擬的網站。
b. 詐騙手法的更新:有些釣魚信件,內文還會好心的提醒收件人不要被phishing了,還有利用"secutity update"等假冒安全理由的內文,讓收件人上當。另外,利用outlook的漏洞修改outlook顯示的網址,讓她看起來是合法的,還有利用 javascript的程式技巧,遮蔽網址列,讓程式做出的假網址遮蔽瀏覽器真正連結到的網址。
三.預防的方法
以下介紹幾點預防的方法:
a. 懷疑那些很緊急的要求你需入的帳號密碼的信件
1. 檢查信件有沒有銀行的數位簽章,沒有的話要小心,很可能是假的
2. 最好打電話求證,當然電話號碼要自己查,不要照信件提供的電話號碼。
3. 任何請你輸入帳號密碼、信用卡號以及身分證字號的私密資訊的信件都要存有戒心,避免上當。
b. 不要連結信件中的網址,最好自己key-in,不要被偽造的網址欺騙了。
c. 在信件中如果直接有帳號和密碼的欄位,千萬不要輸入,若有必要,最好自己透過瀏覽器進入該網站。
d. 通常進入有交易內容的網頁都會是加密過的網頁,網址開頭是https而非http,若不是要小心。
e. 透過Windows Update修補瀏覽器與收信軟體(若使用outlook,需用Office Update修補)的漏洞,避免利用漏洞植入病毒。
f. 經常進入您的網路帳戶,檢查是否有存款被提領、信用卡的不明刷卡記錄等問題,以便及早跟銀行反應。銀行通常為了交易的合諧,通常都會負責賠償損失,例如,澳洲某銀行就準備了200萬美金預防網路釣魚的狀況。
g. 萬一遭受詐騙,可以通知刑事警察局偵九隊,或是通報到APWG,將原信送至reportphishing@antiphishing.com,可防止其他人再度受害。
本城市首頁
等級:8
