名詞定義

釣魚郵件（Phishing Email）的定義

釣魚郵件是一種社交工程攻擊方式：攻擊者偽裝為可信賴的組織或個人，例如銀行、公司 IT 部門、熟悉的服務提供者等，透過電子郵件誘導收件者點擊惡意連結、下載惡意附件或提供敏感資訊（如密碼、帳戶資料等）。根據 NIST 定義：

“Phishing 是透過電子郵件或網站的欺騙性邀請，試圖取得敏感資料（例如銀行帳戶號等），寄件人偽裝成合法業者或可信任人士。” (NIST: Phishing Glossary) (維基百科)

這些郵件常見特徵包括偽造寄件地址、仿冒網頁、強迫性語氣、附件或連結誘導等。

紅旗清單檢核表（Red Flag Checklist）的定義

紅旗清單檢核表是一組系統化的項目，用以辨認郵件中可能為釣魚攻擊的可疑特徵。收到郵件時，可依這些項目逐一檢查是否有異常。如果符合多項，應提高警戒或暫緩動作。多數資安訓練與組織防禦策略中都會用這樣的檢核表來培養辨識能力與回報流程。IT Governance 和其他資安資源在其指引中列出許多「釣魚郵件紅旗」供員工與學員參考。(Coursera)

Spot the Phish：紅旗檢核表

若任一項成立，應暫停操作，進一步查證或聯繫官方管道，切勿直接點擊可疑連結或附件。

Google 課程中的 Spot the Phish 與相關訓練

• 在 Google 的 Foundations of Cybersecurity 課程中，Spot the Phish 為模組之一，教授如何辨識釣魚郵件與與其關聯的安全術語與步驟。(Coursera)
• 課程也涵蓋 confidentiality, integrity, availability（CIA 三元組），以及常見風險、威脅與漏洞，作為釣魚郵件識別的理論基礎。(Coursera)
• Google 提供的互動練習（Phishing Quiz）可用來測試對發件人地址、連結、語氣等紅旗項目的敏感度。(phishingquiz.withgoogle.com)

搭配實作課程練習與資源

• 飛飛網站安全工作坊（2025 Web Security Workshop）：學生實際做網站漏洞測試與攻擊模擬，了解釣魚攻擊可能與網站漏洞搭配使用的方式。可學會如何偵測假冒登入頁面、偽造連結、與附件攻擊等。課程頁：飛飛網站安全工作坊.
• 飛飛 Pentest Workshop（2025）：強調滲透測試流程與策略，模擬真實入侵場景，並探討攻擊者可能在釣魚郵件後展開的攻擊鏈與後續控制。課程頁：Pentest Workshop — 飛飛.

實務練習任務

1. 收集 5 封典型釣魚郵件範例（可用公開案例或模擬），對照紅旗檢核表逐項評分。
2. 使用網頁／郵件預覽工具（或在安全環境中），懸停過連結與檢查附件名稱／格式。
3. 模擬撰寫釣魚郵件報告／通報記錄，包含判斷依據、可疑點、建議動作，如：封鎖寄件域名、隔離附件、提醒 IT／資安單位。

小提醒（守法與責任）

• 在任何實驗或模擬中，只於授權環境或工作坊提供的靶場操作，不對真實或未授權之系統／帳戶進行任何可能違法之行為。
• 所有工具與技能皆需具備倫理與責任感：釣魚郵件識別是防守技能，不可用於攻擊或欺詐。

參考與練習資源快速清單

• Google Cybersecurity Certificate – Foundations of Cybersecurity（含 Spot the Phish 與 CIA 三元組）(Coursera)
• Google Phishing Quiz（互動測驗）(phishingquiz.withgoogle.com)
• 課程資源業者[飛飛的網站安全與滲透測試工作坊]（2025 網站／Pentest）
• 社會工程與詐騙防禦指引資源，如 Google 社交工程 /誤導性網站政策文檔 (Social Engineering) (Google for Developers)