| 羅心妤/東海大學資訊管理學系 |
「網路釣魚」介紹
網路釣魚是指駭客試圖利用連網裝置欺騙受害者洩露敏感的個人資訊。一旦獲得資訊,詐騙者將使用或出售受害者的資訊來圖利。與去年相比,針對個人的全球勒索軟體攻擊增加了38%[1],而未能使用雙重身份驗證等安全工具可能面臨相對較高的風險。
通常網路釣魚不是專注於特定目標,而是將目標訂在在一個大群體中,因為群體中至少會有一名成員把自己放在「鉤子」上。他們透過包含惡意附件的電子郵件、社交媒體訊息、簡訊、電話、虛假網站等工具投下了龐大的網路,一旦潛在受害者開啟損壞的檔案或連結,詐騙者就會利用這個機會獲取個人或財務資訊,接著將惡意軟體下載到他們的電腦上,或是竊取他們的身份等等。
新興網路釣魚類型[2]
- 語音釣魚(Vishing)
Vishing是經典騙局的更新,涉及使用網際網路語音協議(Voice over Internet Protocol,VoIP)欺騙家人、朋友、親人、企業、政府官員等的電話號碼。詐騙者透過冒充這些號碼,試圖讓受害者洩露寶貴資訊、購買禮品卡或匯票、籌集保釋金、收取拖欠的稅款等。不幸的是,許多受害者往往是不熟悉技術的高齡者,他們容易相信與情感依賴相關的詐騙。
- 性勒索詐騙
騙局通常從一封電子郵件開始,詐騙者表示他們擁有包含受害者的影像、電腦螢幕截圖以及其他的圖片和資訊,並威脅要將它們傳送給朋友、家人和僱主,或準備在各種社交平臺上傳播它們。如同語音釣魚一般,此詐騙取抓住不熟悉技術的受害者,並恐嚇受害者放棄有價值的自身資訊或帳戶資料。這些詐騙者幾乎是虛張聲勢,但許多受害者在面臨時間極短的曝光截止日期時,不敢冒著拒絕要求的風險。此外,性勒索因可能造成現實世界中災難性的後果,導致其中牽涉許多自殺案件。
2019年南韓的「N號房事件」曾經轟動一時,近期Netflix上檔紀錄片《網路煉獄:揭發N號房》使此事件重新獲得大眾關注。N號房的初創者「Godgod」鎖定在推特(Twitter)上的國中少女,私訊佯稱已獲得她們的個資,當女孩們點進去附上的釣魚連結後,往往會出現推特或其他網站的重新登錄頁面,如果照樣填寫帳號密碼,加害者便會取得對方的個人照片、學校、住址、手機號碼等資訊,他們會駭入受害者帳戶取得受害者的個人資料及照片,並威脅受害者完成殘酷的性指示。
- 加密貨幣詐騙
無論加密貨幣市場的長期表現如何,一個無可爭辯的事實是,詐騙者不會落後於加密貨幣的發展方向,它們使用網路釣魚攻擊來誘捕NFT投資者的情況並不少見。
加密貨幣詐騙主要的方式是,盜用主要加密貨幣發起人的推文,滲透到圍繞加密貨幣構建的社群,推薦空投不知名NFT,再用高額出價引誘至釣魚網站;或是透過一封電子郵件,表示有人將購買受害者的NFT。那些看似合法的連結,將會連線到一個虛假的NFT平臺,受害者可能會無意中洩露加密錢包私鑰。
如何防範網路釣魚
網路釣魚最主要的預防方式,就是「有意識地識別資訊」,可以參考下列做法:
- 確保電子設備設置為最新版本。
- 盡量減少是使用密碼管理工具,以減少帳戶被盜用的可能性。
- 使用雲端硬碟備份重要資料。
- 與寄件人確認電子郵件,不要隨意點擊可疑鏈接或電子郵件的附件。
結語
詐騙者往往利用人性脆弱與貪婪的時候,或利用受害者對於資訊的不理解,攻防其心理,以進行詐騙。因此,若是剛開始進入不熟悉的領域,謹慎行事更是關鍵,不要隨意分享個人資訊,並避免訪問未知的點擊或可疑連結,每一次分心,都可能掉入等待已久的陷阱。此外,不斷提升資訊安全領域的新知,了解新型的犯罪手法,藉此提高自身的警覺性也顯得非常重要,期望網路釣魚的趨勢可以隨著民眾的認知提升而開始下降。
[1] GRACE MACEJ (2021). Phishing scams are taking advantage of crypto hype
檢自:https://blog.avast.com/crypto-based-phishing-scams-avast?_ga=2.208117274.989264259.1652181898-1936466448.1652181898 (Jun. 26, 2022)
[2] GRACE MACEJ (2022). Which phishing scams are trending in 2022?
檢自:https://blog.avast.com/trending-phishing-scams-2022 (Jun. 26, 2022)
