前言
網路釣魚(Phishing)是一種通過電子通訊進行詐騙的手段,犯罪分子通常偽裝成知名機構,以騙取使用者的個人敏感資訊,如使用者名稱、密碼和信用卡詳細資料。這些釣魚訊息通常偽裝成來自知名的社交網站(如YouTube、Facebook)、拍賣網站(如eBay)、網路銀行、電子支付服務(如PayPal)或網路管理者(如雅虎、ISP或公司機構),誘使受害者輕信。網路釣魚主要通過電子郵件或即時通訊進行,這些訊息會將使用者引導至假冒網站,這些網站看起來與真實網站幾乎無異,誘使受害者輸入個人資料。即使網站使用強加密的SSL伺服器認證,偵測這些偽造網站仍然非常困難。網路釣魚是一種典型的社會工程技術利用,利用了現有網路安全技術的薄弱環節。對抗日益增多的網路釣魚案例已經包括立法、使用者教育、宣傳和技術保護措施等多個方面。
網路釣魚的歷史與現狀
網路釣魚技術首次出現於1987年,而「網路釣魚」這個術語則在1996年首次使用。這個詞彙是英文單詞「fishing」(釣魚)的變體,可能受到「phreaking」(飛客,指早期電話系統的駭客行為)一詞的影響,表示通過釣取受害者的財務資訊和密碼來達到目的。
在美國線上(AOL)的早期,網路釣魚技術與交換盜版軟體的warez社群密切相關。自從AOL在1995年底採取措施防止利用偽造的信用卡號開立帳號後,破解者轉而使用網路釣魚技術來取得合法帳號。這些釣魚者通常偽裝成AOL的工作人員,向受害者發送即時訊息,要求他們提供密碼,以便進行「帳號驗證」或「賬單資訊確認」。一旦取得受害者的密碼,攻擊者便可利用受害者的帳戶進行詐欺或傳送垃圾郵件。
網路釣魚的轉型
隨著技術的發展,網路釣魚者開始將目標從AOL轉向金融機構和在線支付服務。2001年6月,第一次已知的針對支付系統的網路釣魚攻擊發生在E-gold系統上。儘管這些早期的攻擊最終失敗,但它們可以被視為針對主流銀行進行更大規模攻擊的試驗。到2004年,網路釣魚已成為經濟犯罪的一部分,並在全球市場上出現了專業化的攻擊組件,最終形成了完善的攻擊手段。當前的網路釣魚攻擊目標通常是銀行和在線支付服務的客戶,這些攻擊常常通過電子郵件來收集敏感資訊。最近的研究表明,網路釣魚攻擊已經能夠識別潛在受害者使用的銀行,並針對這些結果發送假冒電子郵件。專門針對特定個人的網路釣魚已被稱為魚叉式網路釣魚(spear phishing),而針對高層管理人員的攻擊則被稱為鯨釣(whaling)。
網路釣魚的現實例子
社交網站也是網路釣魚的常見目標,因為這些網站上的個人資料可以被用來進行身分盜竊。例如,2006年底,一個電腦蠕蟲攻擊了MySpace,修改了網站的連結,將使用者引導至一個假冒網站以竊取登入資訊。實驗表明,針對社交網站的網路釣魚攻擊成功率超過70%。
2018年,開發EOS.IO區塊鏈的公司block.one遭受釣魚攻擊,駭客入侵了block.one使用的Zendesk電子郵件系統,冒充公司客服向客戶發送釣魚電子郵件。當使用者點擊郵件中的連結時,會被引導至一個假網站,該網站用來截取使用者的加密貨幣錢包金鑰,從而盜取數位資產。同年,EOS.IO區塊鏈上的空投代幣也多次遭受釣魚攻擊,駭客製作了與EOS Black網站極為相似的釣魚網站,要求使用者輸入金鑰以領取代幣,從而竊取數位資產。
網路釣魚的技術和影響
網路釣魚技術包括鏈結操控、過濾器規避、網站偽造、電話網釣、WIFI免費熱點網釣、隱蔽重新導向漏洞等。常見的例子包括轉址網釣、中獎通知(如「您是第100萬次瀏覽者,請領取免費禮物」)、假裝裝置中毒或需要優化的動畫提示等。
網路釣魚所造成的損害範圍廣泛,從拒絕訪問電子郵件到造成巨大的財務損失。這種形式的身分盜竊越來越普遍,因為人們經常在不知不覺中將個人資訊(如信用卡號碼、社會安全號碼或身分證號碼)洩露給網路釣魚者。一旦取得這些資訊,釣魚者可能會利用受害者的個人資料創建假帳號,進而破壞受害者的信用,甚至讓受害者無法訪問自己的帳戶。
據估計,從2004年5月到2005年5月,約有120萬美國電腦使用者因網路釣魚遭受損失,總計約92900萬美元。隨著美國企業的客戶成為主要受害者,企業估計每年損失達到20億美元。到2007年,網路釣魚攻擊進一步升級,截至2007年8月,美國有360萬成年人在12個月內因網路釣魚損失32億美元。在英國,網路銀行詐騙的損失幾乎翻倍,從2004年的1220萬英鎊增加到2005年的2320萬英鎊,並且2005年每20位電腦使用者中就有一位聲稱因網路釣魚而蒙受財務損失。
結論
網路釣魚雖然可以造成巨大的財務和身分損失,但也促使了網路安全技術的進步和使用者意識的提高。隨著技術的發展,對抗網路釣魚的措施變得更加多樣化,涵蓋了立法、技術保護和使用者教育等多個方面。然而,釣魚攻擊的技巧也在不斷演變,因此需要持續更新和強化防護策略,以應對日益複雜的網路釣魚威脅。
參考資料