不同類型的網路釣魚
網路釣魚攻擊是來自偽裝成可信任來源的詐騙者,並能促使受害者存取各種類型的敏感性資料。隨著科技的演進,網路攻擊也日新月異。了解最普遍的網路釣魚類型。
電子郵件網路釣魚
這類攻擊是最常見的網路釣魚形式,攻擊者通常會使用假冒的超連結等手法,誘騙電子郵件收件者分享個人資訊。攻擊者通常會偽裝成大型的帳戶提供者 (例如 Microsoft 或 Google),甚至可能偽裝成一位同事。
惡意軟體網路釣魚
這類攻擊是另一種普遍的網路釣魚方法,攻擊者會將惡意軟體偽裝成可信任的附件 (例如履歷表或銀行對帳單),並植入電子郵件中。在部分情況下,開啟惡意軟體可能會癱瘓整個 IT 系統。
魚叉式網路釣魚
大部分的網路釣魚都是在網路上廣泛地進行攻擊,但魚叉式網路釣魚者會研究特定對象的工作和社交生活,並利用收集到的資訊來攻擊目標。攻擊內容是為受害者量身打造的,因此也特別容易通過基本的網路安全性。
網路捕鯨
如果惡意執行者鎖定了一條「大魚」(例如企業高階主管或名人),這就可以稱作網路捕鯨。這些詐騙者通常會對他們的目標展開大量研究,以尋找合適的時機來竊取目標的登入認證或其他敏感性資訊。如果您持有許多重要資訊,網路捕鯨攻擊者就會大豐收。
簡訊網路釣魚
這個詞結合了「簡訊」和「網路釣魚」,攻擊者會仿造可信任的通訊內容,例如假冒 Amazon 或 FedEx 等企業的名義寄出簡訊。人們特別容易忽略簡訊詐騙,因為簡訊會以純文字的形式傳送,而且更加個人化。
語音釣魚
在語音釣魚事件中,攻擊者會從仿冒的通話中心撥打電話,試圖誘騙人們在通話中提供敏感性資訊。在許多案例中,這些詐騙手法都使用了社交工程技巧,誘騙受害者在個人裝置上安裝應用程式,但這些應用程式其實是惡意軟體。
常見網路釣魚手法
狡詐通訊
攻擊者非常擅長操縱人心,他們會將惡意訊息和附件隱藏在人們容易忽略的地方 (例如電子郵件收件匣),誘騙受害者交出敏感性資料。人們很容易斷定收件匣中的郵件都是真實的,但請小心:網路釣魚郵件通常看起來很安全且很低調。為了避免遭到詐騙,請放慢腳步,在點擊內容之前,先檢查超連結和寄件者的電子郵件地址。
需求感
人們會踏入網路釣魚陷阱,是因為他們認為自己需要採取行動。舉例來說,受害者可能會下載偽裝成履歷表的惡意軟體,因為他們迫切渴望招募人才;或者,他們會在可疑的網站上輸入銀行認證來搶救帳戶,因為他們接獲帳戶即將過期的通知。假造需求感是一個常見的伎倆,因為這很有用。為了維護您的資料安全,請仔細檢查並縝密操作,或者安裝電子郵件保護技術,讓系統為您分憂解勞。
偽造信任感
惡意執行者會偽造信任感,藉此誘騙他人,即使是最敏銳的人也會受騙上當。網路釣魚者會假冒為可信任的來源 (例如 Google、Wells Fargo 或 UPS),誘騙您採取行動,而當您意識到自己受騙時,往往已經太遲了。由於沒有進階網路安全性措施,有許多網路釣魚訊息不會被系統偵測到。透過電子郵件安全性技術保護您的隱私資訊,識別可疑內容並加以處置,不讓這些郵件進入您的收件匣。
情緒操縱
惡意執行者會利用心理策略說服目標,讓目標不假思索地行動。攻擊者會假裝成熟悉的來源,一旦取得目標的信任,就會假造急迫的需求感,利用恐懼和緊張等情緒來達成他們的目的。當人們知道自己可能會遺失金錢、惹上法律糾紛,或者再也無法取得重要的資源時,就容易匆促下決定。務必小心要您「立即採取行動」的任何訊息,這可能是詐騙。
網路釣魚電子郵件的危險性
成功的網路釣魚攻擊可能會導致嚴重的後果。這可能是金錢遭竊、信用卡盜刷,或者無法存取相片、影片和檔案,網路罪犯甚至有可能假冒您的身分,讓其他人陷入危險。
在公司,若您的雇主暴露在風險中,可能會導致企業資金損失、客戶和同事的個人資訊外洩、敏感性檔案遭竊或無法存取,公司聲譽當然也會遭到嚴重的破壞。在許多情況下,這些損失可能無法挽回。
幸運的是,現在有許多解決方案,可協助家庭和公司防範網路釣魚。
避免遭到網路釣魚的快速提示
不要相信顯示的名稱
請檢查寄件者的電子郵件地址,再打開郵件,因為顯示的名稱可能是假的。
檢查錯字
拼字錯誤和糟糕的文法是網路釣魚電子郵件的典型指標。如果內容看起來不對勁,就標記起來。
點擊前先檢查
在看似為真的內容中,請將滑鼠停留在超連結上方,藉此檢查連結地址。
閱讀問候語
如果電子郵件稱呼您為「尊貴的顧客」而不是您本人,請當心。這很有可能是詐騙。
檢查簽名
檢查電子郵件註腳的連絡人資訊。真實的寄件者一定會包含這類資訊。
小心威脅
網路釣魚電子郵件通常會出現令人感到恐懼的詞句,例如「您的帳戶已遭停權」。
常見問題集
-
所有網路釣魚詐騙的主要目的,就是竊取敏感性資訊和認證。請當心任何要求您提供敏感性資料或要求您驗證身分的訊息 (無論是透過電話、電子郵件或簡訊)。
攻擊者會費心模仿您熟悉的實體,他們使用的標誌、設計和介面會與您熟悉的品牌或個人相同。保持警覺,不要打開任何連結或附件,除非您確定這封郵件是真實的。
這裡是一些識別網路釣魚電子郵件的祕訣:
- 緊急威脅或呼籲行動 (例如:「立即開啟」)。
- 不認識的或不常出現的寄件者,也就是第一次寄送電子郵件給您的任何人。
- 糟糕的拼字和文法 (通常是源自蹩腳的外國翻譯)。
- 可疑的連結或附件,其超連結文字顯示該連結來自其他 IP 位址或網域。
不明顯的拼字錯誤 (例如 “micros0ft.com” 或 “rnicrosoft.com”)
-
- 盡可能寫下您能回想起的攻擊細節。記下您可能已經分享的任何資訊,例如使用者名稱、帳戶號碼或密碼。
- 立刻變更受影響帳戶的密碼,若您在其他平台也使用了相同的密碼,也請進行變更。
- 確認您使用的每個帳戶都具備多重要素 (或雙步驟) 驗證。
- 向所有相關團體通知您的資訊已遭入侵。
- 如果您損失了金錢,或成為了身分盜竊的受害者,請回報給當地執法機關與聯邦貿易委員會。請提供您在步驟 1 中記下的詳細資料。
如果您認為您無意間遭到了網路釣魚攻擊,您應採取這幾項行動:
請注意,一旦將資訊傳送給攻擊者,這些資訊可能很快地就會公開給其他惡意執行者。您需準備面對新的網路釣魚電子郵件、簡訊和電話。
-
如果您在 Microsoft Outlook 收件匣收到可疑的郵件,請選擇功能區中的 [回報郵件],然後選取 [網路釣魚]。若要從收件匣移除郵件,這是最快的方法。在 Outlook.com 的收件匣中,選取可疑郵件旁的核取方塊,然後選取 [標示為垃圾郵件] 旁的箭頭,再選取 [網路釣魚]。
如果您損失了金錢,或成為了身分盜竊的受害者,請回報給當地執法機關,並連絡聯邦貿易委員會。他們有精心打造的網站,專門用來解決這類問題。
-
否。雖然網路釣魚最常發生在電子郵件中,但釣魚者也會利用電話、簡訊,甚至是網路搜尋來獲取敏感性資訊。
-
垃圾郵件是來路不明的垃圾訊息,通常包含無關的內容或廣告。這可能是為了宣傳快速致富騙局、非法優惠或虛假折扣。
網路釣魚通常有較明確的目標 (而且偽裝手法也較高明),會誘騙受害者自願交出帳戶資訊和認證,以嘗試獲取敏感性資料。
關注 Microsoft 安全性