大部分的人都知道來路不明的連結不要點，奇怪的電子郵件不要開，但是究竟要如何辨別「來路不明」和「奇怪」，以及點了之後會發生什麼事，我們從網路通訊的角度來看，知道了原理之後我想應該能更容易避免這種網路詐騙。

奇怪的連結點了之後我的電腦會中毒嗎？他們能偷走我的信用卡資訊嗎？諸如此類的問題雖然都有可能發生，但是，不見得那麼容易。

大部分的惡意軟體其實都沒有想像中這麼厲害，通常我們的作業系統、瀏覽器，不論是電腦或是手機，都已經處理了大部分的情形。而往往被「釣」到的受害者，通常都是不小心主動洩漏資訊的。

今天就讓我們來簡單聊聊，如何辨識和避免這種比較常見的釣魚網站！

何謂釣魚網站？

所謂的釣魚（Phishing）網站，就是一種試圖偽裝成某些著名機構的網站，目的為試圖騙取使用者敏感資訊，例如帳號密碼和信用卡號碼等等。

既然其目的是你的敏感資訊，這類釣魚網站自然就會想方設法讓你主動提供出來，例如以下幾個情境：

1. 你的 Apple 帳號在某國外被使用了，請登入確認是否是你本人。假如你順著他提供的連結，可能會看到一個以假亂真的蘋果官網登入畫面，然後輸入你的帳號密碼之後，就順利登入了（就算輸入錯誤還是能登入）

2. 你的 Etag 有金額逾期未繳，請登入後儘速繳納避免額外罰金。同樣提供你精美的遠通電收登入頁面，一樣能順利登入，輕鬆抵達信用卡輸入畫面

這樣的釣魚網站，雖然點了連結進入後不會讓你的電腦中毒，也沒辦法直接竊取你的資料，但是偶爾能讓人在緊張的情緒中不小心自己把訊息洩漏出去。

基本辨識思路：瀏覽器的提醒

如果看到自己帳號被別人登入了，心態上一定會有些焦慮，想馬上確認是不是真的；怕被罰款的心情也會讓人想立馬檢查是不是真的有逾期未繳的帳單。

那麼，我們該怎麼辨別和應對這類釣魚網站呢？

首先可以看看瀏覽器提供的資訊：

例如我們前幾講所談的數位憑證，雖然其目的是保障資料傳輸的安全性，但是當此網站被舉報為惡意網站時，還是可以通知 CA（憑證簽署方）來撤銷此憑證，此時瀏覽器就會顯示「不安全及危險」的訊息了。

*釣魚網站

但是當這個釣魚網站可能還很新，在沒有被舉報之前，我們看到的網站會和真的一樣，又該怎麼處理？

基本辨識思路：查看 URL

如果查看網站本身的內容，畢竟可以被複製出類似的網頁，比較難辨識真假。但是從 URL 著手就可以看出個端倪了。

所謂 URL 就是我們俗稱的網址，而網址是需要透過購買域名而成的，不但要是唯一，而且好聽好記的域名相當的貴。

所以一個正當的網站，也會花心思在購買一個好的域名，例如 https://www.apple.com 就是蘋果的官方網站，域名 apple.com 簡潔好記。

而一個想偽造蘋果官網的網站，其 URL 就不會是這樣的，通常會是相當奇怪的 URL，例如 https://www.aappllee.xyz。但是要注意的是，因為沒有辦法使用 apple.com，可能會出現一些類似的域名，例如 appple.com（多了一個 p）、apples.com（多了一個 s）等等，需要額外注意。

應對思路：主動搜尋來源

那麼，我知道了這應該是個詐騙網站，該怎麼辦呢？

就和接到詐騙電話一樣，如果對方說會幫我們轉接給有關單位，由於這個來源是對方提供的，我們自然不能輕易相信。

如果是懷疑 Apple 帳號真的被登入，我們就自己連到蘋果官網，不論是從我們自己的書籤亦或是透過 Google 重新搜尋，總之就是不要點擊對方提供的連結。

有了這樣的思路，相信可以識別大部分的釣魚網站！

參考資料

1. Wiki - 網路釣魚

2. Google Chrome - 檢查網站連線是否安全