今日實作:撰寫一封假釣魚信
在醫院資訊室,我最常提醒同仁的一件事就是:不要亂點郵件裡的連結。因為駭客最常見的攻擊手法之一,就是利用「釣魚信」(Phishing Email)。
釣魚信的特徵很簡單:它會假冒合法單位的名義,設計出逼真的內容,誘使用戶點擊惡意連結,或輸入帳號密碼。問題是,當我們每天收到大量的電子郵件,很容易一時不察就中招。
為了讓大家更清楚駭客是怎麼設局的,我設計了一封「假釣魚信」,模擬駭客的手法,並解析其中的陷阱。
以下是一封模擬的釣魚信,假裝來自 Google,提醒使用者帳號有問題,要求立即登入確認:
📩 假釣魚信件內容(模擬)
寄件者:Google 安全性通知 security@google-notice.com
主旨:您的帳號異常登入,請立即驗證
內文:
親愛的使用者您好,
我們偵測到您的 Google 帳號於 2025/09/10 在台北以外的地區有異常登入紀錄。
為了保護您的帳號安全,請您立即登入確認,否則您的帳號將於 24 小時內被鎖定。
請點擊以下連結完成驗證:
http://google-security-check.com/verify
感謝您的配合,
Google 帳號安全中心
寄件者可疑
時間壓力
假連結
曾經有醫院同仁收到一封「健保署」名義的郵件,內容說明需要重新驗證健保卡資料。結果點進去後,其實是駭客架設的假網站。幸好同仁及時通報,資訊室立刻封鎖該連結,避免更多人受害。
釣魚信之所以危險,不是因為它有多高深的技術,而是因為它利用了人性的弱點:焦慮、急迫、與信任。
我的心得是:防範釣魚信最好的方法,不是安裝多少資安軟體,而是培養每個人看信的警覺心。