今日實作:撰寫一封假釣魚信

釣魚信範例模擬 – 看看駭客會怎麼設局

前言

在醫院資訊室，我最常提醒同仁的一件事就是：不要亂點郵件裡的連結。因為駭客最常見的攻擊手法之一，就是利用「釣魚信」(Phishing Email)。

釣魚信的特徵很簡單：它會假冒合法單位的名義，設計出逼真的內容，誘使用戶點擊惡意連結，或輸入帳號密碼。問題是，當我們每天收到大量的電子郵件，很容易一時不察就中招。

為了讓大家更清楚駭客是怎麼設局的，我設計了一封「假釣魚信」，模擬駭客的手法，並解析其中的陷阱。

一、釣魚信範例

以下是一封模擬的釣魚信，假裝來自 Google，提醒使用者帳號有問題，要求立即登入確認：

📩 假釣魚信件內容（模擬）

寄件者：Google 安全性通知 security@google-notice.com
主旨：您的帳號異常登入，請立即驗證

內文：

親愛的使用者您好，  

我們偵測到您的 Google 帳號於 2025/09/10 在台北以外的地區有異常登入紀錄。  
為了保護您的帳號安全，請您立即登入確認，否則您的帳號將於 24 小時內被鎖定。  

請點擊以下連結完成驗證：  
http://google-security-check.com/verify  

感謝您的配合，  
Google 帳號安全中心

二、這封信的陷阱

1. 寄件者可疑

   • 真正的 Google 通知不會使用「google-notice.com」這樣的假域名。
   • 實際應該是「@google.com」或相關官方網域。

2. 時間壓力

   • 駭客常用「否則 24 小時內鎖定」這種話術，讓人緊張、來不及思考就點了連結。

3. 假連結

   • 連結看似正常，其實是惡意網站。只要點進去輸入帳號密碼，駭客就能立刻取得使用者的帳號。

三、如何避免中招？

1. 檢查寄件者地址：不論信件多逼真，假網域總會露出破綻。
2. 不要急著點連結：有疑慮時，應該自行登入 Google 官方網站確認。
3. 多因子驗證 (2FA)：就算帳號密碼外洩，也能增加一層保護。
4. 回報資訊室：若懷疑收到釣魚信，應立刻通報，不要單打獨鬥。

四、醫院案例補充

曾經有醫院同仁收到一封「健保署」名義的郵件，內容說明需要重新驗證健保卡資料。結果點進去後，其實是駭客架設的假網站。幸好同仁及時通報，資訊室立刻封鎖該連結，避免更多人受害。

總結

釣魚信之所以危險，不是因為它有多高深的技術，而是因為它利用了人性的弱點：焦慮、急迫、與信任。

我的心得是：防範釣魚信最好的方法，不是安裝多少資安軟體，而是培養每個人看信的警覺心。