瀏覽一般網頁其實就必須可能面臨被植入惡意程式的風險,然而如果你存取的是與金錢交易有關的網站,危險性更高,因為這是惡意人士更有興趣的目標。例如線上購物或網路銀行等網站上,目前有可能會發生哪些不安全的狀況?
由於網際網路的觸角已逐漸遍及家庭、學校與企業,愈來愈多人每天透過網路完成工作、進行線上交易、上網購物、網路轉帳。然而隨著網路使用愈頻繁,不小心遭電腦病毒侵害機會越大,個人帳號、密碼經由網路傳送,過程中被竊取、信用卡被盜刷。
網路的普及化造就了愈來愈多個人或企業利用網路進行電子交易。但是在電子交易的過程中,網路服務提供者是否能保障使用者交易過程的機密性,以及保護使用者個人機密資料,已經成為使用者最在乎的事情。
安全隱憂
使用者在進行電子交易時,之所以會造成個人資料外洩的情形,可能的原因如下:
使用者一時不察,登入到釣魚網站
大部份使用者並不會注意到要連結的網址是否正確,駭客會利用像是廣告郵件、關鍵字廣告等方式,誘使網路使用者點擊偽造連結,這種攻擊就是所謂的網路釣魚。
當有心人士利用大量購買關鍵字廣告的方式,藉此引誘使用者在透過搜尋引擎檢索相關字時,結果讓他們點選到假網站。一不小心,你就很有可能掉入釣魚網站的陷阱。使用者誤點,讓有心人士可趁機植入木馬程式,偷取個人信用及帳號、密碼等機密資料,進而盜轉存款、網路購物、小額付費等網路犯罪。
常見的網路釣魚網站誘騙手法,簡述如下:
廣告郵件:現在網路釣魚的誘騙手段都是從電子郵件訊息開始,看起來就像是來自可靠來源的正式通知,像是銀行、信用卡公司或聲譽良好的線上商家。在電子郵件訊息中,收件者會被引導至詐騙網站,並在其中被要求提供個人資訊,像是帳號或密碼。然後,通常會用此資訊來盜用身分。有很多釣魚網站,為了避免被偵查到,甚至會利用網路跳板的方式隱匿實際位置。例如,寄出一封由假eBay 網站要求客戶更新帳戶資料而發出的電子郵件。
搜尋引擎關鍵字搜尋:駭客利用關鍵字搜尋,架設假網站,例如搜尋「土地銀行1andbank」,英文「land」應是小寫的「L」,但仔細看搜尋結果中,可發現有筆連結,將小寫「L」變成阿拉伯數字的「1」,一旦使用者點入、連結,便會遭到詐騙集團以「網路釣魚」方式植入木馬程式,對方即可任意轉帳或盜取你的個人資料。例如搜尋「拍賣」的網址,結果出現的第一個網址就是Yahoo的假拍賣網站。
目前駭客會先註冊一個與正牌網站相似度極高的網站名稱,尤其是駭客會以高度相似的字母或數字混淆,例如英文字母小寫「l」與阿拉伯數字「1」,或者「n」與「h」等很像的符號,讓上網民眾一時間難以辨別,而掉入陷阱。
同時,在雅虎奇摩、Google等各大入口網站搜尋行銷服務刊登關鍵字廣告,使用者若上網搜尋「機票」、「網路銀行」、「拍賣」搜尋結果的最上方,便出現犯罪集團的關鍵字廣告。
一般使用者會以為搜尋網站的搜尋結果很可靠,絲毫不覺會被駭客集團鎖定。一旦使用者連結上該假網站並輸入帳號及密碼等個人資訊,使用者的電腦可能同時被植入木馬,駭客就能以遠端遙控功能及鍵盤側錄程式(keylogger),側錄民眾上網時所輸入的帳號密碼,同時還會搜尋電腦所有磁碟的憑證檔案,接著便可任意轉帳或盜取個人資料。
就技術上來看,除非站方有工作人員一個一個查看網站資訊,否則,單純用系統自動過濾,「要騙過電腦實在太容易了!」因為萬一電腦系統的過濾太嚴格,很可能會把一些正常的網頁誤判而過濾掉,所以自動過濾機制經常因使用習慣而調鬆,習於依賴電腦判斷的使用者仍不可避免地被誘騙。
正常網站被植入惡意程式
將惡意程式植入電子商務網站上,讓使用者在瀏覽網頁過程中,不知不覺地自動下載惡意程式,然後潛伏在使用者的電腦中,接著再伺機竊取使用者的個人機密性資料。
四條防護守則
事實上,不斷觀察、分析與了解網路釣魚的手法,我們就可以找出相關的保護方法。
如何確認是否為釣魚網站?
一般使用者其實往往只要稍加留意,其實並不難判斷出釣魚網站或信件,避免成為釣客威脅的對象。幾項特徵提供參考:
郵件的內容:知名的網路銀行或線上購物網站發送給會員信件,內容往往較為正式,如果郵件僅以純文字、連結,或者版面設計很粗糙,又要求會員確認帳號、密碼,使用者可不予理會。
某些釣魚信件為了避免日後偵查,往往是利用網路跳板發送的。欲確認是否為跳板發送的釣魚信件,你可將滑鼠移往信件內所提供的連結網址,記住!先不按登入,郵件軟體通常會顯示出該連結的真實位置,如發現顯示網址非典型的企業網址的格式,即有可能是釣魚網站,使用者不需理會。
如何避免誤入釣魚網站?
登入網站後,首先確認連結網址是否正確。部份釣魚網站利用登記與原網站容易混淆的URL藉以魚目混珠,使用者若能仔細觀察網址,就能夠輕易辨別真偽。對於要求檢查或修改帳號、密碼的信件,你可以撥一通電話,致電給銀行的客服人員,或從大型入口網站直接搜尋原網站,重新確認發信網站是否為真實網站,不要怕麻煩。如果網址不熟悉或有異狀,千萬不要輕易留下個人資料。將平時較常連結的網站加入瀏覽器我的最愛名單,亦可降低錯誤連結誤導入釣魚網站的風險。
如何確認正常網站是否已被植入惡意程式?
這對一般使用者而言,並非十分容易的事,除了事先從其它消息來源(像是大砲開講)得到相關訊息之外,並沒有辦法事先確認。
如何避免瀏覽正常網站而遭受惡意程式攻擊?
第一,無論是使用IE或是FireFox及其它瀏覽器,都必須隨時更新到最新的版本及漏洞修補程式。第二,防毒軟體也必須時時更新病毒碼,以確保新的病毒出現時,能夠即時攔截。
使用者如何加強自我保護?
1.不要使用出生日期、身份證字號、電話號碼等簡單密碼,這些資訊很容易地被人收集到或猜出。要記得定期更改使用帳戶、密碼。
2.不可向任何人透露密碼,包含自稱是銀行職員或是警方的人士,防止他人誘騙你。
3.避免把密碼寫入記事簿或電腦桌面,甚至貼在螢幕上。
4.登錄網路銀行或從事線上交易時,以公用電腦或他人電腦來操作是相當危險的,如果留意這一點,可以防止帳號密碼遭人盜用。
5.勿開啟來路不明的電子郵件中,除非您確定這是來自於已知的來源。附件文件的真面目可能是竊取個人資訊的惡意程式。
6.取消瀏覽器的密碼自動記憶功能,方法:工具網際網路選項內容自動完成表單上的使者名稱和密碼不打勾清除密碼確定
7.使用瀏覽器的外掛程式來過濾部分的釣魚網站,像是 Google工具列/桌面搜尋、Yahoo!工具列、Monkeyspaw等,皆提供類似的工具。