除了利用偽造郵件或關鍵字廣告引發的網路釣魚詐騙，企圖引導使用者到偽造的網站登入，以取得使用者的身分資料之外，聽說還有一種手法稱為網址嫁接，它是一種可以將正常網址轉接到惡意網站的攻擊技術，是怎麼做到的？使用者端有無方法可以避免？
網址嫁接（Pharming）最早出現的時間是在2004年，是一種藉由入侵DNS伺服器，或者在作業系統內部篡改設定檔，而將瀏覽器畫面轉接到惡意網站的一種攻擊手法。網址嫁接的可怕之處在於，即使你在瀏覽器輸入正確無誤的網址，畫面依然會連接到釣魚網站，因此很難被使用者所查覺，在所有來自於網頁的攻擊當中，算是危險程度很高的一種。

造成網址嫁接的常見原因
駭客可以利用DNS套件（如BIND）的既有漏洞，侵入修改DNS伺服器的快取資料，造成所謂的「DNS下毒」（DNS Cache Poisoning），如此一來，當使用者向這臺已經「中毒」的DNS伺服器要求解析網址所在的IP位址時，就有可能被對應到惡意網站，進而在不知情的狀況下，將木馬、間諜程式等惡意下載到使用者電腦執行，或者以假造出來的網頁表單進行網頁釣魚，造成個人重要機密資料的外/洩，甚至造成金錢上的重大損失。

另外一種情況，則是進入系統內部修改設定檔，造成系統無法從DNS伺服器取得該網址真實所在的IP位址，以達成網址嫁接的目的。

要如何防止網址嫁接
存在於DNS伺服器上的某些漏洞，也許能讓駭客有機可乘，藉此發動DNS下毒，舉例來說，Unix平臺上的BIND（Berkeley Internet Name Domain），是目前使用率最高的DNS套件，不過資安機構，以及該套件的維護單位：ISC（Internet Systems Consortium）皆不約而同地指出，9.0版本之前的BIND可能含有某些導致網址嫁接的安全性漏洞，因此DNS伺服器的管理者應將套件抽換至最新版本，才能避免駭客利用漏洞造成DNS下毒，讓不知情的使用者受害。

對付網址嫁接，最根本的方法是要注意瀏覽的網站，經常留心該站的網域名稱是否異常，並且持續保持警覺，一發現不對勁，最好不要以帳號、密碼登入該網站。雖然靠反釣魚工具輔助，未必能完全從DNS伺服器端的重導下倖免，但仍不失警醒的意義。目前已經有部份的市售防毒軟體，以及免費的資安工具開始具備反網路釣魚的防禦能力，在使用者瀏覽網頁的同時，可以藉由各種不同顏色的圖示，提示該網址名稱的安全性，並能禁止點選閱覽。

一旦網址嫁接或網路釣魚發生，使用者的瀏覽器畫面都有可能會被轉接到駭客假造出來的網站，此時一些惡意軟體，像是木馬、間諜程式等，經常會透過作業系統、應用程式的漏洞，在未經同意的情形下便直接安裝到系統內部。為了避免這類情況發生，透過線上更新，以及手動安裝修補程式的做法，可以減少系統被植入惡意軟體的機率，即使瀏覽器畫面不幸被轉接到惡意網站，惡意軟體也不一定可以成功植入，維護系統的安全性。