iT邦幫忙

19

在線上交易相關的網站上,可能會發生哪些不安全的狀況?

瀏覽一般網頁其實就必須可能面臨被植入惡意程式的風險,然而如果你存取的是與金錢交易有關的網站,危險性更高,因為這是惡意人士更有興趣的目標。例如線上購物或網路銀行等網站上,目前有可能會發生哪些不安全的狀況?
由於網際網路的觸角已逐漸遍及家庭、學校與企業,愈來愈多人每天透過網路完成工作、進行線上交易、上網購物、網路轉帳。然而隨著網路使用愈頻繁,不小心遭電腦病毒侵害機會越大,個人帳號、密碼經由網路傳送,過程中被竊取、信用卡被盜刷。
網路的普及化造就了愈來愈多個人或企業利用網路進行電子交易。但是在電子交易的過程中,網路服務提供者是否能保障使用者交易過程的機密性,以及保護使用者個人機密資料,已經成為使用者最在乎的事情。

安全隱憂
使用者在進行電子交易時,之所以會造成個人資料外洩的情形,可能的原因如下:

使用者一時不察,登入到釣魚網站
大部份使用者並不會注意到要連結的網址是否正確,駭客會利用像是廣告郵件、關鍵字廣告等方式,誘使網路使用者點擊偽造連結,這種攻擊就是所謂的網路釣魚。

當有心人士利用大量購買關鍵字廣告的方式,藉此引誘使用者在透過搜尋引擎檢索相關字時,結果讓他們點選到假網站。一不小心,你就很有可能掉入釣魚網站的陷阱。使用者誤點,讓有心人士可趁機植入木馬程式,偷取個人信用及帳號、密碼等機密資料,進而盜轉存款、網路購物、小額付費等網路犯罪。

常見的網路釣魚網站誘騙手法,簡述如下:

廣告郵件:現在網路釣魚的誘騙手段都是從電子郵件訊息開始,看起來就像是來自可靠來源的正式通知,像是銀行、信用卡公司或聲譽良好的線上商家。在電子郵件訊息中,收件者會被引導至詐騙網站,並在其中被要求提供個人資訊,像是帳號或密碼。然後,通常會用此資訊來盜用身分。有很多釣魚網站,為了避免被偵查到,甚至會利用網路跳板的方式隱匿實際位置。例如,寄出一封由假eBay 網站要求客戶更新帳戶資料而發出的電子郵件。

搜尋引擎關鍵字搜尋:駭客利用關鍵字搜尋,架設假網站,例如搜尋「土地銀行1andbank」,英文「land」應是小寫的「L」,但仔細看搜尋結果中,可發現有筆連結,將小寫「L」變成阿拉伯數字的「1」,一旦使用者點入、連結,便會遭到詐騙集團以「網路釣魚」方式植入木馬程式,對方即可任意轉帳或盜取你的個人資料。例如搜尋「拍賣」的網址,結果出現的第一個網址就是Yahoo的假拍賣網站。

目前駭客會先註冊一個與正牌網站相似度極高的網站名稱,尤其是駭客會以高度相似的字母或數字混淆,例如英文字母小寫「l」與阿拉伯數字「1」,或者「n」與「h」等很像的符號,讓上網民眾一時間難以辨別,而掉入陷阱。

同時,在雅虎奇摩、Google等各大入口網站搜尋行銷服務刊登關鍵字廣告,使用者若上網搜尋「機票」、「網路銀行」、「拍賣」搜尋結果的最上方,便出現犯罪集團的關鍵字廣告。

一般使用者會以為搜尋網站的搜尋結果很可靠,絲毫不覺會被駭客集團鎖定。一旦使用者連結上該假網站並輸入帳號及密碼等個人資訊,使用者的電腦可能同時被植入木馬,駭客就能以遠端遙控功能及鍵盤側錄程式(keylogger),側錄民眾上網時所輸入的帳號密碼,同時還會搜尋電腦所有磁碟的憑證檔案,接著便可任意轉帳或盜取個人資料。

就技術上來看,除非站方有工作人員一個一個查看網站資訊,否則,單純用系統自動過濾,「要騙過電腦實在太容易了!」因為萬一電腦系統的過濾太嚴格,很可能會把一些正常的網頁誤判而過濾掉,所以自動過濾機制經常因使用習慣而調鬆,習於依賴電腦判斷的使用者仍不可避免地被誘騙。

正常網站被植入惡意程式
將惡意程式植入電子商務網站上,讓使用者在瀏覽網頁過程中,不知不覺地自動下載惡意程式,然後潛伏在使用者的電腦中,接著再伺機竊取使用者的個人機密性資料。

四條防護守則
事實上,不斷觀察、分析與了解網路釣魚的手法,我們就可以找出相關的保護方法。

如何確認是否為釣魚網站?
一般使用者其實往往只要稍加留意,其實並不難判斷出釣魚網站或信件,避免成為釣客威脅的對象。幾項特徵提供參考:
郵件的內容:知名的網路銀行或線上購物網站發送給會員信件,內容往往較為正式,如果郵件僅以純文字、連結,或者版面設計很粗糙,又要求會員確認帳號、密碼,使用者可不予理會。
某些釣魚信件為了避免日後偵查,往往是利用網路跳板發送的。欲確認是否為跳板發送的釣魚信件,你可將滑鼠移往信件內所提供的連結網址,記住!先不按登入,郵件軟體通常會顯示出該連結的真實位置,如發現顯示網址非典型的企業網址的格式,即有可能是釣魚網站,使用者不需理會。

如何避免誤入釣魚網站?
登入網站後,首先確認連結網址是否正確。部份釣魚網站利用登記與原網站容易混淆的URL藉以魚目混珠,使用者若能仔細觀察網址,就能夠輕易辨別真偽。對於要求檢查或修改帳號、密碼的信件,你可以撥一通電話,致電給銀行的客服人員,或從大型入口網站直接搜尋原網站,重新確認發信網站是否為真實網站,不要怕麻煩。如果網址不熟悉或有異狀,千萬不要輕易留下個人資料。將平時較常連結的網站加入瀏覽器我的最愛名單,亦可降低錯誤連結誤導入釣魚網站的風險。

如何確認正常網站是否已被植入惡意程式?

這對一般使用者而言,並非十分容易的事,除了事先從其它消息來源(像是大砲開講)得到相關訊息之外,並沒有辦法事先確認。

如何避免瀏覽正常網站而遭受惡意程式攻擊?
第一,無論是使用IE或是FireFox及其它瀏覽器,都必須隨時更新到最新的版本及漏洞修補程式。第二,防毒軟體也必須時時更新病毒碼,以確保新的病毒出現時,能夠即時攔截。

使用者如何加強自我保護?
1.不要使用出生日期、身份證字號、電話號碼等簡單密碼,這些資訊很容易地被人收集到或猜出。要記得定期更改使用帳戶、密碼。
2.不可向任何人透露密碼,包含自稱是銀行職員或是警方的人士,防止他人誘騙你。
3.避免把密碼寫入記事簿或電腦桌面,甚至貼在螢幕上。
4.登錄網路銀行或從事線上交易時,以公用電腦或他人電腦來操作是相當危險的,如果留意這一點,可以防止帳號密碼遭人盜用。
5.勿開啟來路不明的電子郵件中,除非您確定這是來自於已知的來源。附件文件的真面目可能是竊取個人資訊的惡意程式。
6.取消瀏覽器的密碼自動記憶功能,方法:工具網際網路選項內容自動完成表單上的使者名稱和密碼不打勾清除密碼確定
7.使用瀏覽器的外掛程式來過濾部分的釣魚網站,像是 Google工具列/桌面搜尋、Yahoo!工具列、Monkeyspaw等,皆提供類似的工具。


0
john651216
iT邦研究生 1 級 ‧ 2008-03-30 11:45:24

很有幫助的分享,謝謝提出

0
5min
iT邦好手 10 級 ‧ 2008-04-20 17:00:07

謝謝分享

0
海綿寶寶
iT邦超人 1 級 ‧ 2008-04-23 23:04:47

釣魚頁面不難寫
難的是如何讓人連上來又不發現

0
tgunlu
iT邦研究生 1 級 ‧ 2008-04-26 15:29:13

謝謝分享

0
fanylu60
iT邦研究生 1 級 ‧ 2008-04-26 16:38:40

感謝提供分享

0
yce701116
iT邦研究生 1 級 ‧ 2008-04-26 16:52:54

感謝分享這個資訊

0
plutosrita
iT邦研究生 1 級 ‧ 2008-05-03 09:24:17

謝謝分享

0
tyc1220
iT邦研究生 1 級 ‧ 2008-05-15 02:28:24

謝謝分享

0
gkkangel
iT邦好手 1 級 ‧ 2009-02-10 09:05:02

謝謝分享

我要留言

立即登入留言