甚麼是網路釣魚?馬上學會釣魚防身術

先從我逛資訊展的心得說起 …

參加電腦展的你都是為了甚麼呢?相信沒有人一天到晚在買電腦,你一定跟我一樣,想要去騙吃騙喝拿贈品。在展場四周遊走,就好像皇帝出巡一般,所到之處,皆有熱情款待。

但是資源有限,欲望無窮,你為了獲得更高級的禮品,想要了解更深入的產品資訊,只好走向舞台,與漂亮妹妹玩互動遊戲。阿哈!如果是這樣,那你就是那條魚,被釣走拉!

#看影集說故事2  #CSI犯罪現場:網絡 #CSI:Cyber  #第一季第三集


影集裡這樣演:透過釣魚郵件入侵叫車 APP

「CSI 犯罪現場:網絡」是 CSI 犯罪現場的衍伸劇,同樣屬於犯罪探案片。故事內容聚焦在網路犯罪,除了一般的探案手法外,會透過主角 Avery 的心理學觀點進行動機推敲,接著靠團隊的神奇黑科技逮捕犯人。比如第一季第五集的 CAVE 虛擬現實系統,能用擴增實境的方式重現爆炸發生的瞬間,讓他們從碎片中找到消失的硬碟,蒐集犯罪資料。

CSI犯罪現場:網絡 中文預告

今天是要講釣魚的,就讓你看看第三集的故事。劇中的連環殺人魔,入侵了 ZoGo 叫車服務 (就像現實中的 Uber),冒充真正司機來接旅客,把他們載到荒郊野外,然後嗚嗚嗚。你會想說大公司應該都有強大防火牆很安全啊,為什麼 ZoGo 會被入侵?

說實在安全是相對的,不太可能完美無缺,壞蛋只要找到一個漏洞,就可以做壞事。利用電子郵件釣魚,這個最古老也最有效的方法,將一封 email 發給全公司的員工,只要有一個人被騙點進去中招,那麼駭客就有機會慢慢的游移到重要主機,掌控整個網路拉!

zogo - 甚麼是網路釣魚?馬上學會釣魚防身術
駭客偽造五台 ZoGo車在同個地點接客的紀錄。截圖自 CSI:Cyber第一季第三集 預告片 

什麼是網路釣魚

網路釣魚 Phishing 這個詞源自於電話線路盜用 Phreaking。在 1970 年代,駭客利用買玉米片送的塑膠哨子,發出核准通話的 2600 Hz 頻率,盜打長途電話。同樣的方法也可以在柯南劇場版《戰慄的樂譜》中看見,柯南與女歌手直接唱出特定頻率,讓岸邊的電話撥出 110,根本就是波形產生器阿!

詳情請看:竟然可以用音箱打电话——拍案惊奇!
capn crunch - 甚麼是網路釣魚?馬上學會釣魚防身術
Cap’n crunch whistle。圖 / Makezine

那麼後來網路釣魚 Phishing 就是由釣魚 Fishing 以及電話線路盜用 Phreaking 這兩個字組合而成,駭客會利用以假亂真的詐騙手法,透過 Email、網站、社群軟體等等管道來騙取你的帳號密碼、個人資料。


就是這三招,教你防範網路釣魚

不想要被釣魚,保持一個良善的心就對了,駭客多半都是靠你的貪念,達到目地的呀。以下就幾種網路釣魚方式作介紹,順便告訴你該怎麼避免不中招!

1. 別亂點電子郵件

釣魚郵件是常見的手法,對於駭客來說成效也高,像之前美國總統大選,就是因為一封色情釣魚郵件,讓希拉蕊想刪除的電子郵件曝光,影響選情。現在的電子郵件服務商如 Gmail、Yahoo都會幫你過濾垃圾郵件,儘管準確率已經達到 99%,但駭客有可能黑進你朋友或上司的電子郵件,以他們的名義寄信釣魚信,想想看老闆寄信,你敢不點嗎?

email e1481378690905 - 甚麼是網路釣魚?馬上學會釣魚防身術
來路不明的郵件,就不要好奇亂點。

2. 別輕易的輸密碼或刷卡

網路一開始就不是以安全為設計導向的,潛在很多資安問題,就算有許多新的加密協定推出,但還是無法確保有漏洞,或是對應的破解機制出現。以現在的信用卡交易機制來說,只要駭客掌握卡號、到期日期與安全碼,就能輕易的盜刷,你看今天新聞就報出來了,有詐騙集團趁你不注意,偷拍信用卡盜刷 50 多萬耶。

下面這個就是 PayPal 釣魚網站喔,要騙你登入拿你錢啦!因為是新發現的網站,所以 Chorme 或 FireFox 的黑名單阻擋機制無法偵測到,這時候你要注意網址列是不是 https,網站是不是 paypal.com,哇勒,仔細看標題的 a 居然是 alpha阿!想了解更多,可以看 PayPal 官方提供的辨識教學

fake paypal - 甚麼是網路釣魚?馬上學會釣魚防身術
假的PayPal登入頁面。來源 / 釣魚網站資料庫 PhishTank

3. 別太相信社群軟體上的資訊

社群軟體相當多,除了以朋友圈為主的 Line、Facebook 之外,也有許多認識陌生人的交友平台,你可以在上面盡情認識妹子或帥哥!但你該小心與陌生人的交談,不要洩漏帳密或是個人資料,現在的駭客都很聰明,善用社交工程 (Social Engineering),透過合法的交談,誘拐你說出一些秘密。比如弄個假帳號假裝是你朋友,傳個連結給你點,或駭入朋友帳號,發布一些危言聳聽的影片或連結,也是騙你去瀏覽,然後就中毒了。


資安教育,人人有責

這不是在講屁話,前陣子我看了些偵測釣魚網站的論文,儘管大家提出很多不同的方法阻擋,準確率都很高,可是攻擊實在千變萬化呀,無法做到完全的防禦。所以每個人都應該有危機意識,就算你的瀏覽器或防毒軟體沒有跳出請告訊息,也應該知道你做這個動作的當下,是在做甚麼。

對資安議題有興趣的朋友,我真心推薦 CSI:Cyber 這部影集,你可以與劇中的黑白帽駭客一同抓壞人,看到許多有趣的東西,比如藍芽奶嘴、遙控蟑螂、透過機場 USB 充電座偷資料拉,超有趣的唷!

Jerry
Jerry

樂於分享的軟體工程師,曾在新創與大型科技公司實習,獲得黑客松競賽冠軍,擔任資安研討會講者。長期熱衷於資訊安全、雲端服務、網路行銷等領域,希望將科技知識分享給更多人。內容轉載請來信:jlee58tw@gmail.com

發表回應