什麼是網路釣魚?它如何運作?
首頁
文章
什麼是網路釣魚?它如何運作?

什麼是網路釣魚?它如何運作?

初階
發佈時間 Nov 28, 2018更新時間 Mar 13, 2024
7m

摘要

  • 網路釣魚是一種惡意行為,攻擊者偽裝成看似可信任的實體,試圖誘騙人們透露敏感資訊。

  • 保持警覺,識別網路釣魚的常見跡象,如可疑的網址、對個人資訊的急切索求。

  • 了解各種網路釣魚技術,包括常見的電子郵件詐騙和複雜的魚叉式網路釣魚,進而強化網路安全防禦。

前言

網路釣魚是一種有害的手段,惡意人士假裝成可信賴的來源,誘騙人們分享敏感資料。我們將在這篇文章中說明什麼是網路釣魚、其運作方式,以及如何避免成為此類詐騙的受害者。

網路釣魚的運作方式

網路釣魚主要依靠社交工程,這是一種攻擊者用來操控人們透露機密資訊的方法。攻擊者從公開來源 (如社群媒體) 收集個人詳細資訊,製作看似真實的電子郵件。受害者通常會收到看似來自熟人或知名組織的惡意訊息。

包含惡意連結或附件的電子郵件,是最常見的網路釣魚方式。點擊這些連結可能會在用戶的裝置上安裝惡意軟體,或將用戶引導到用來竊取個人和財務資訊的偽造網站。

儘管品質不佳的網路釣魚郵件容易被識破,但網路犯罪分子正在利用聊天機器人和 AI 語音生成器等進階工具,提高攻擊的真實性。用戶因而難以分辨通訊的真偽。

識別網路釣魚意圖

識別網路釣魚郵件可能有點棘手,但仍有一些您可以注意的跡象。

常見跡象

如果郵件裡包含可疑網址、使用公開的電子郵件地址、製造恐懼或緊急感、要求個人資訊,或者有拼寫和文法錯誤,就應該保持謹慎。在大多數情況下,您應該能將滑鼠懸停在連結上查看網址,而不必實際點擊網址。

數位支付詐騙

網路釣魚者經常冒充受信任的線上支付服務,如 PayPal、Venmo 或 Wise。用戶收到的詐騙郵件會要求驗證登入的詳細資訊。請務必保持警覺,並舉報可疑的活動。

金融網路釣魚攻擊

詐騙者假冒銀行或金融機構,聲稱發現安全漏洞以獲取個人資訊。常見手法包括關於資金轉帳或針對新進員工薪資直接入帳詐騙的詐騙電子郵件。他們也可能聲稱有緊急安全更新。

與工作相關的網路釣魚詐騙

這些個人化詐騙通常由攻擊者冒充高階主管、執行長或財務長,並要求進行電匯或虛假購買。詐騙者還可能利用 AI 語音生成器透過電話進行語音網路釣魚。

如何預防網路釣魚攻擊

若要防止網路釣魚攻擊,務必採取多種安全措施。避免直接點擊任何連結。您應前往公司的官方網站或通訊頻道,確認收到的資訊是否合法。考慮使用安全工具,如防毒軟體、防火牆和垃圾郵件過濾器。 

此外,組織應使用電子郵件驗證標準來驗證收取的電子郵件。常見的電子郵件驗證方法包括 DKIM (域名金鑰辨識郵件) 和 DMARC (基於域的訊息認證、報告和一致性)。

對個人而言,重要的是告知家人和朋友有關網路釣魚風險的資訊。對於公司而言,教育員工有關網路釣魚技術的知識,並提供定期的認知培訓,以減少風險至關重要。

如果您需要進一步的協助和資訊,可以尋找政府倡議如 OnGuardOnline.gov,以及反網路釣魚工作小組等組織。它們提供更詳細的資源和指導,幫助您識別、避免和舉報網路釣魚攻擊。

網路釣魚類型

網路釣魚技術正不斷演進,網路犯罪份子會使用各式各樣的方法。根據目標和攻擊媒介,通常會將不同類型的網路釣魚攻擊進行分類。讓我們仔細研究一下。

複製型網路釣魚攻擊

攻擊者會使用先前發送過的合法電子郵件,將其內容複製到類似的郵件中,其內包含惡意網站的連結。攻擊者還可能聲稱此為連結更新或全新的連結,之前的連結不正確或已過期。

魚叉式網路釣魚

這種攻擊針對特定人士或機構。魚叉式攻擊比其他網路釣魚類型更複雜,因為它會對攻擊對象進行分析。這表示攻擊者會先收集受害者的資訊 (例如朋友或家人的姓名),並使用這些資料引誘受害者存取惡意網站檔案。

網域嫁接

攻擊者會操縱 DNS 記錄,將合法網站的訪問者,重新導向到攻擊者事先建立的詐騙網站。這是一種最危險的攻擊,因為 DNS 記錄不在用戶的控制範圍內,用戶因而無法防禦。

網路捕鯨

一種針對富有和重要人士,如執行長和政府官員的魚叉式網路釣魚。

偽造電子郵件

網路釣魚郵件常會偽造來自合法公司或人士的通訊。網路釣魚郵件可能會讓無知的受害者連結到惡意網站,攻擊者在該網站使用巧妙偽裝的登入頁面,收集登入憑證和個人身份資訊 ( PII)。這些頁面可能包含特洛伊木馬程式、鍵盤側錄器和其他偷取個人資訊的惡意程式。

網站重新導向

網站重新導向會將用戶傳送到不同於用戶原本想訪問的網址。利用漏洞的攻擊者,可能會在用戶的電腦上置入重新導向並安裝惡意軟體。

誤植域名

誤植域名會將流量導向使用外語拼寫、具常見拼寫錯誤或頂層域名有些微不同的偽造網站。網路釣魚者使用域名來模仿合法網站介面,欺騙錯誤輸入或誤讀網址的用戶。

假付費廣告

假付費廣告是網路釣魚的另一種手法。這些 (偽造的) 廣告使用攻擊者已經誤植的域名,並於搜尋結果內付費推送。該網站甚至可能出現在 Google 搜尋結果的最上方。

水坑攻擊

在水坑攻擊中,網路釣魚者分析用戶,確認其經常訪問的網站。他們掃描這些站點以尋找漏洞,並試圖放入針對用戶的惡意程式,以便於用戶下次訪問該網站時進行攻擊。

身份冒充和贈品騙局

在社群媒體上冒充有影響力的人物。網路釣魚者可能會冒充公司的重要領導者,宣傳贈品或從事其他欺騙行為。這種欺騙行為的受害者,甚至會成為那些在尋找易受騙用戶的社交工程程序的個別目標。攻擊者可能會入侵已驗證的帳戶並修改用戶名,冒充真實人物,同時仍保持已驗證的狀態。

最近,網路釣魚者出於相同目的,大量瞄準 Discord、X 和 Telegram 等平台:偽造聊天、冒充個人,並模仿合法服務。

惡意應用程式

網路釣魚者還可能使用惡意應用程式來監控您的行為或竊取敏感資訊。這些應用程式可能偽裝成價格追蹤工具、錢包和其他與加密貨幣有關的工具 (這些工具擁有一群傾向於進行加密貨幣交易和擁有加密貨幣的用戶)。

簡訊和語音網路釣魚

一種文字訊息形式的網路釣魚,通常會透過簡訊或語音訊息鼓勵用戶分享個人資訊。

網路釣魚 vs. 網域嫁接

雖然某些人將網域嫁接視為一種網路釣魚攻擊,但其所依賴的機制不同。網路釣魚和網域嫁接之間的主要區別在於,網路釣魚需要受害者犯下錯誤。相較之下,網域嫁接則只需要受害者嘗試存取已遭攻擊者篡改 DNS 記錄的合法網站。

區塊鏈和加密貨幣領域的網路釣魚

雖然區塊鏈技術的去中心化特性提供了強大的資料安全性,但區塊鏈領域的用戶仍應對社交工程和網路釣魚的企圖保持警覺。網路犯罪份子常會試圖利用人類的弱點來獲取私鑰或登入憑證。在大多數情況下,這些詐騙都起因於人為的錯誤。

詐騙份子還可能試圖誘騙用戶透露助記詞,或將資金轉帳到假地址。重要的是要保持謹慎,遵循安全的最佳作法。

總結

總而言之,了解網路釣魚攻擊及日新月異的技術,對於保護個人和財務資訊極為重要。結合強大的安全措施、教育和認知,個人和組織可以增強自身能力,在互聯的數位領域中抵禦始終存在的網路釣魚威脅。保持資產安全!

延伸閱讀

免責聲明:本內容按「如實」原則呈現給您,僅用於一般資訊和教育目的,不作任何形式的陳述或保證。請勿將其視為財務、法律或其他專業建議,亦未企圖推薦購買任何特定產品或服務。您應該向適當的專業顧問尋求建議。本文由第三方貢獻者提供,請注意,文中所述看法均屬第三方貢獻者所有,不一定能反映幣安學院意見。請在這裡參閱完整的免責聲明以了解詳情。數位資產價格可能會波動。您的投資價值可能會下跌或上漲,您可能無法收回投資金額。您須對自己的投資決策負全部責任,幣安學院對於您可能遭受的任何損失概不負責。本文並非財務、法律或其他專業建議。如需更多資訊,請參閱我們的使用條款風險警告