網路釣魚常被簡稱為網釣，
即攻擊者透過偽裝成正規的法人媒體，
以獲得如使用者名稱、密碼和信用卡明細等
個人敏感資訊進行犯罪詐騙。

網釣通常透過 e-mail 或即時通訊進行，
攻擊者會引導使用者到 URL 與介面外觀
同真正網站幾無二致的假冒網站輸入個人資料。

即便使用強式加密的 SSL 伺服器認證，
偵測網站是否仿冒實際上仍很困難。

網釣技術

鏈結操控

讓連結看上去像是屬於原本的合法組織，
實際上卻是引導到另一個網站。

過濾器規避

使用圖像代替文字，
使反網釣過濾器難以偵測
網釣電子郵件中常用的文字。

網站偽造

使用 JavaScript 改變位址欄，
用一個合法網址的位址欄圖片
蓋住真實位址欄仿冒知名網站。

電話網釣

聲稱是從銀行打來的訊息，
告訴使用者撥打某支電話號碼
以解決其銀行帳戶的問題。
一旦電話號碼被撥通
（網釣者擁有這支電話，通常是網絡電話），
該系統會提示使用者鍵入他們的帳號和密碼。

WIFI 免費熱點網釣

在公共場所設定一個假 Wi-Fi 熱點，
一旦使用者用個人電腦或手機登入該 Wi-Fi，
個人資料和所有隱私都會因此落入駭客手中，
有時連上假 Wi-Fi 的裝置甚至會被隱密安裝間諜軟體。

隱蔽重新導向漏洞（Covert Redirect）

攻擊者建立一個使用真實站點位址的彈出式登錄視窗，
引誘上網者輸入他們的個人資訊。

反網釣技術

社會觀念

• 收到要求「認證／核對身分」的信件時，與來源聯絡以檢查這份郵件真實性。
• 前往連結前，應確認網址為該公司的真正網站，並透過瀏覽器網址欄輸入前往，而不要輕易點擊信件中的超連結。
• 有些公司（如 PayPal）在電子郵件中，通常會以客戶使用者名稱稱呼其客戶。因此當電郵的收件人是通用格式（如「親愛的PayPal客戶」）時，就要留意可能是網釣信件。

網路技術

協助辨識合法網站

透過 TLS 與憑證進行安全認證：

• 確認連線在授權模式下
• 確認使用者連到的站點網址
• 確認管理機構保證其為真實站點

以上三者都齊備才能授權，
並且需要送交使用者確認。

安全連線

藉由 SSL 進行加密的安全連線，瀏覽器的網址列最前面，都會有一個上鎖的鎖頭圖樣。

管理機構

明確顯示使用者要求連線的網站網理機構，
在安全等級最低的狀況下，
對使用者而言瀏覽器就是管理機構，
瀏覽器透過控制憑證頒發機構
（CA，Certification Authorities）來承擔此責任。

瀏覽器提醒使用者欺詐網站

現在多數瀏覽器都會保持
一份已知的網釣網站名單，
並隨時更新。

消除網釣郵件

專門的垃圾郵件過濾器，
可以減少收件人收到網釣電子郵件。

法律對策

隨著網路犯罪推陳出新，
許多實際的法院判例被各國援引，
作為往後類似案例的判決依據。

參考資料

• 網路釣魚 - 維基百科