近年來駭客攻擊已經從傳統對技術的挑戰轉變成商業利益為主的攻擊， 而線上銀行（以下簡稱為網銀）由於跟金錢相關，已經成為主要的攻擊目標之一。駭客通常利用網路釣魚（Phishing）的方式，企圖竊取使用者的資料， 進而從這些資料換取利益。

網路釣魚，願者上鉤
駭客主要利用電子郵件大量散發釣魚信件，這些信件均偽冒成網路銀行所發出，在郵件內容中告知該使用者，由於客戶的資料遭到盜用，希望客戶在幾天之內務必更改網路銀行的登入密碼，否則將會停用該用戶的帳戶。通常在這些郵件中駭客都會模仿該銀行的信件，使用他們的商標或圖示，令收信者信以為真，進而點擊郵件內偽冒的銀行聯結，連上假冒的釣魚網站上，輸入網路銀行的登入帳號密碼，然後被要求重新輸入個人的網銀資料。

在偽冒的網站裡， 駭客們除了企圖收集網銀的登入帳號密碼，他們還想進一步地收集用戶的哪些資訊？

•信用卡/金融卡號碼，包含卡片上的姓名、使用期限， 以及驗證號碼
•身份證號碼
•個人身份資料，包含姓名、地址、生日、電話號碼
•電子郵件帳號
•網銀用來驗證身份提問的相關問題與答案

駭客最愛︰信用卡與線上銀行帳號
當駭客收集到這些資料， 可能自行使用所獲得的有效資料， 將客戶的存款轉走， 或是當成洗錢的用戶，轉入其他受害人的存款。另外，駭客也可能將大量收集到的資料，販售給不法集團。

根據賽門鐵克第12期的《全球網路安全威脅研究報告》，地下的黑市交易裡，由這些網路釣魚行為所收集來的資料，已經成為黑市交易架上的商品，其中信用卡及銀行帳戶資料，更是銷售排行榜上的1、2名。

賽門鐵克全球垃圾郵件探測網在2007年上半年也偵測到196,860 個網路釣魚訊息。簡而言之，平均每天有1,088個網路釣魚訊息產生。而這些訊息在網路上透過電子郵件大量散發，在這半年期間賽門鐵克封鎖了超過23億個網路釣魚訊息，也就是平均每天有超過1,250萬個網路釣魚訊息在網路上流傳。

須採用更完備的端點安全防護系統
面對每天這麼多的釣魚攻擊，企業及家庭用戶應該更加注意資料防護方案的採用。在個人與家用電腦的操作方面，可以使用進階的端點安全防護方案，利用端點防護的常駐程式，自動連至資安廠商的資料庫更新，即時攔截這些釣魚網站。而企業用戶 除了為員工在端點提供防護外，也可以在閘道上使用郵件過濾的解決方案，過濾釣魚信件，不讓員工有機會去點擊到這些釣魚信件。

除了使用安全軟體的防護之外， 使用者也應隨時提高警覺，養成良好的上網習慣，不要隨便相信郵件裡的連結。若是需要登入網銀，最好手動輸入網銀的網址；若使用搜尋引擎查詢網銀網址時，也應謹慎小心，注意查詢結果的網址是否有可能是釣魚網址， 例如︰當我們發現網址並非不是網站的網域名稱（Domain name）而是IP位址時，就應小心提高警覺，並且注意網址全名裡是不是將字母「1」換成數字「l」，張冠李戴，例如paypal 變成paypa1（反過來置換也有可能），這些都是駭客常用的釣魚手法。

網路越來越發達，網路銀行的使用，已經成為不可避免的趨勢，使用者在享受便利性的同時，不要輕易忽略可能潛藏的危機，以免個人資料一不小心就成為駭客銷售的熱門商品。

參考資料：《iThome企業資安技術應用專刊》作者/賽門鐵克資訊安全資深技術顧問莊添發