大部分的人都知道來路不明的連結不要點,奇怪的電子郵件不要開,但是究竟要如何辨別「來路不明」和「奇怪」,以及點了之後會發生什麼事,我們從網路通訊的角度來看,知道了原理之後我想應該能更容易避免這種網路詐騙。
奇怪的連結點了之後我的電腦會中毒嗎?他們能偷走我的信用卡資訊嗎?諸如此類的問題雖然都有可能發生,但是,不見得那麼容易。
大部分的惡意軟體其實都沒有想像中這麼厲害,通常我們的作業系統、瀏覽器,不論是電腦或是手機,都已經處理了大部分的情形。而往往被「釣」到的受害者,通常都是不小心主動洩漏資訊的。
今天就讓我們來簡單聊聊,如何辨識和避免這種比較常見的釣魚網站!
所謂的釣魚(Phishing)網站,就是一種試圖偽裝成某些著名機構的網站,目的為試圖騙取使用者敏感資訊,例如帳號密碼和信用卡號碼等等。
既然其目的是你的敏感資訊,這類釣魚網站自然就會想方設法讓你主動提供出來,例如以下幾個情境:
你的 Apple 帳號在某國外被使用了,請登入確認是否是你本人。假如你順著他提供的連結,可能會看到一個以假亂真的蘋果官網登入畫面,然後輸入你的帳號密碼之後,就順利登入了(就算輸入錯誤還是能登入)
你的 Etag 有金額逾期未繳,請登入後儘速繳納避免額外罰金。同樣提供你精美的遠通電收登入頁面,一樣能順利登入,輕鬆抵達信用卡輸入畫面
這樣的釣魚網站,雖然點了連結進入後不會讓你的電腦中毒,也沒辦法直接竊取你的資料,但是偶爾能讓人在緊張的情緒中不小心自己把訊息洩漏出去。
如果看到自己帳號被別人登入了,心態上一定會有些焦慮,想馬上確認是不是真的;怕被罰款的心情也會讓人想立馬檢查是不是真的有逾期未繳的帳單。
那麼,我們該怎麼辨別和應對這類釣魚網站呢?
首先可以看看瀏覽器提供的資訊:
例如我們前幾講所談的數位憑證,雖然其目的是保障資料傳輸的安全性,但是當此網站被舉報為惡意網站時,還是可以通知 CA(憑證簽署方)來撤銷此憑證,此時瀏覽器就會顯示「不安全及危險」的訊息了。
*釣魚網站
但是當這個釣魚網站可能還很新,在沒有被舉報之前,我們看到的網站會和真的一樣,又該怎麼處理?
如果查看網站本身的內容,畢竟可以被複製出類似的網頁,比較難辨識真假。但是從 URL 著手就可以看出個端倪了。
所謂 URL 就是我們俗稱的網址,而網址是需要透過購買域名而成的,不但要是唯一,而且好聽好記的域名相當的貴。
所以一個正當的網站,也會花心思在購買一個好的域名,例如 https://www.apple.com
就是蘋果的官方網站,域名 apple.com
簡潔好記。
而一個想偽造蘋果官網的網站,其 URL 就不會是這樣的,通常會是相當奇怪的 URL,例如 https://www.aappllee.xyz
。但是要注意的是,因為沒有辦法使用 apple.com
,可能會出現一些類似的域名,例如 appple.com
(多了一個 p
)、apples.com
(多了一個 s
)等等,需要額外注意。
那麼,我知道了這應該是個詐騙網站,該怎麼辦呢?
就和接到詐騙電話一樣,如果對方說會幫我們轉接給有關單位,由於這個來源是對方提供的,我們自然不能輕易相信。
如果是懷疑 Apple 帳號真的被登入,我們就自己連到蘋果官網,不論是從我們自己的書籤亦或是透過 Google 重新搜尋,總之就是不要點擊對方提供的連結。
有了這樣的思路,相信可以識別大部分的釣魚網站!