由於網際網路的觸角已逐漸遍及家庭、學校與企業，愈來愈多人每天透過網路完成工作、進行線上交易、上網購物、網路轉帳。然而隨著網路使用愈頻繁，不小心遭電腦病毒侵害機會越大，個人帳號、密碼經由網路傳送，過程中被竊取、信用卡被盜刷。
網路的普及化造就了愈來愈多個人或企業利用網路進行電子交易。但是在電子交易的過程中，網路服務提供者是否能保障使用者交易過程的機密性，以及保護使用者個人機密資料，已經成為使用者最在乎的事情。

安全隱憂
使用者在進行電子交易時，之所以會造成個人資料外洩的情形，可能的原因如下：

使用者一時不察，登入到釣魚網站
大部份使用者並不會注意到要連結的網址是否正確，駭客會利用像是廣告郵件、關鍵字廣告等方式，誘使網路使用者點擊偽造連結，這種攻擊就是所謂的網路釣魚。

當有心人士利用大量購買關鍵字廣告的方式，藉此引誘使用者在透過搜尋引擎檢索相關字時，結果讓他們點選到假網站。一不小心，你就很有可能掉入釣魚網站的陷阱。使用者誤點，讓有心人士可趁機植入木馬程式，偷取個人信用及帳號、密碼等機密資料，進而盜轉存款、網路購物、小額付費等網路犯罪。

常見的網路釣魚網站誘騙手法，簡述如下：

廣告郵件：現在網路釣魚的誘騙手段都是從電子郵件訊息開始，看起來就像是來自可靠來源的正式通知，像是銀行、信用卡公司或聲譽良好的線上商家。在電子郵件訊息中，收件者會被引導至詐騙網站，並在其中被要求提供個人資訊，像是帳號或密碼。然後，通常會用此資訊來盜用身分。有很多釣魚網站，為了避免被偵查到，甚至會利用網路跳板的方式隱匿實際位置。例如，寄出一封由假eBay 網站要求客戶更新帳戶資料而發出的電子郵件。

搜尋引擎關鍵字搜尋：駭客利用關鍵字搜尋，架設假網站，例如搜尋「土地銀行1andbank」，英文「land」應是小寫的「L」，但仔細看搜尋結果中，可發現有筆連結，將小寫「L」變成阿拉伯數字的「1」，一旦使用者點入、連結，便會遭到詐騙集團以「網路釣魚」方式植入木馬程式，對方即可任意轉帳或盜取你的個人資料。例如搜尋「拍賣」的網址，結果出現的第一個網址就是Yahoo的假拍賣網站。

目前駭客會先註冊一個與正牌網站相似度極高的網站名稱，尤其是駭客會以高度相似的字母或數字混淆，例如英文字母小寫「l」與阿拉伯數字「1」，或者「n」與「h」等很像的符號，讓上網民眾一時間難以辨別，而掉入陷阱。

同時，在雅虎奇摩、Google等各大入口網站搜尋行銷服務刊登關鍵字廣告，使用者若上網搜尋「機票」、「網路銀行」、「拍賣」搜尋結果的最上方，便出現犯罪集團的關鍵字廣告。

一般使用者會以為搜尋網站的搜尋結果很可靠，絲毫不覺會被駭客集團鎖定。一旦使用者連結上該假網站並輸入帳號及密碼等個人資訊，使用者的電腦可能同時被植入木馬，駭客就能以遠端遙控功能及鍵盤側錄程式（keylogger），側錄民眾上網時所輸入的帳號密碼，同時還會搜尋電腦所有磁碟的憑證檔案，接著便可任意轉帳或盜取個人資料。

就技術上來看，除非站方有工作人員一個一個查看網站資訊，否則，單純用系統自動過濾，「要騙過電腦實在太容易了！」因為萬一電腦系統的過濾太嚴格，很可能會把一些正常的網頁誤判而過濾掉，所以自動過濾機制經常因使用習慣而調鬆，習於依賴電腦判斷的使用者仍不可避免地被誘騙。

正常網站被植入惡意程式
將惡意程式植入電子商務網站上，讓使用者在瀏覽網頁過程中，不知不覺地自動下載惡意程式，然後潛伏在使用者的電腦中，接著再伺機竊取使用者的個人機密性資料。

四條防護守則
事實上，不斷觀察、分析與了解網路釣魚的手法，我們就可以找出相關的保護方法。

如何確認是否為釣魚網站？
一般使用者其實往往只要稍加留意，其實並不難判斷出釣魚網站或信件，避免成為釣客威脅的對象。幾項特徵提供參考：
郵件的內容：知名的網路銀行或線上購物網站發送給會員信件，內容往往較為正式，如果郵件僅以純文字、連結，或者版面設計很粗糙，又要求會員確認帳號、密碼，使用者可不予理會。
某些釣魚信件為了避免日後偵查，往往是利用網路跳板發送的。欲確認是否為跳板發送的釣魚信件，你可將滑鼠移往信件內所提供的連結網址，記住！先不按登入，郵件軟體通常會顯示出該連結的真實位置，如發現顯示網址非典型的企業網址的格式，即有可能是釣魚網站，使用者不需理會。

如何避免誤入釣魚網站？
登入網站後，首先確認連結網址是否正確。部份釣魚網站利用登記與原網站容易混淆的URL藉以魚目混珠，使用者若能仔細觀察網址，就能夠輕易辨別真偽。對於要求檢查或修改帳號、密碼的信件，你可以撥一通電話，致電給銀行的客服人員，或從大型入口網站直接搜尋原網站，重新確認發信網站是否為真實網站，不要怕麻煩。如果網址不熟悉或有異狀，千萬不要輕易留下個人資料。將平時較常連結的網站加入瀏覽器我的最愛名單，亦可降低錯誤連結誤導入釣魚網站的風險。

如何確認正常網站是否已被植入惡意程式？

這對一般使用者而言，並非十分容易的事，除了事先從其它消息來源(像是大砲開講)得到相關訊息之外，並沒有辦法事先確認。

如何避免瀏覽正常網站而遭受惡意程式攻擊？
第一，無論是使用IE或是FireFox及其它瀏覽器，都必須隨時更新到最新的版本及漏洞修補程式。第二，防毒軟體也必須時時更新病毒碼，以確保新的病毒出現時，能夠即時攔截。

使用者如何加強自我保護？
1.不要使用出生日期、身份證字號、電話號碼等簡單密碼，這些資訊很容易地被人收集到或猜出。要記得定期更改使用帳戶、密碼。
2.不可向任何人透露密碼，包含自稱是銀行職員或是警方的人士，防止他人誘騙你。
3.避免把密碼寫入記事簿或電腦桌面，甚至貼在螢幕上。
4.登錄網路銀行或從事線上交易時，以公用電腦或他人電腦來操作是相當危險的，如果留意這一點，可以防止帳號密碼遭人盜用。
5.勿開啟來路不明的電子郵件中，除非您確定這是來自於已知的來源。附件文件的真面目可能是竊取個人資訊的惡意程式。
6.取消瀏覽器的密碼自動記憶功能，方法：工具網際網路選項內容自動完成表單上的使者名稱和密碼不打勾清除密碼確定
7.使用瀏覽器的外掛程式來過濾部分的釣魚網站，像是 Google工具列／桌面搜尋、Yahoo!工具列、Monkeyspaw等，皆提供類似的工具。

參考資料：《iThome企業資安技術應用專刊》作者/數聯資安資深工程師江國輝