小心別被魚叉式網路釣魚釣上

CNN 報導,有一個自稱「搗蛋鬼」(Prankster)的英國駭客騙倒了一票白宮官員。藉此機會,我們想聊聊我們對於線上安全、魚叉式網路釣魚詐騙(spear-phishing),以及如何避免被駭客釣上的看法。

魚叉式網路釣魚詭計多端
「釣魚」是個廣義的用語,泛指不法分子為了誘騙你提供密碼、銀行帳戶資訊或信用卡號等機密資料而假冒合法的行為。釣魚詐騙者往往會把網撒得很大。

魚叉式網路釣魚」則較具針對性,這也是它稱呼的由來。此類詐騙會運用受害者的個人資料來欺瞞誤導,其手法更為細膩。不幸的是,研究顯示,這些伎倆確實管用

如果進一步看駭客在網上公布的與白宮之間電郵往來,不難發現,為了顯得更可信,駭客在信中提及確實發生過的會議和對話內容,而騙過了收件人。在這個釣魚事件中,駭客應是從媒體報導中取得相關的資訊。

我們雖然不是公眾人物,但也不能掉以輕心。我們會分享在社群媒體、專業人脈網、部落格和論壇留言等許多地方分享個人資料,這給了聰明的罪犯濫用個人資料的可乘之機。

分享個人資料前先確認對方身分
這一點的重要性再怎麼強調也不為過。現在,越來越多的個人隱私資訊被放在網上儲存,我們必須做好自保的工作來抵禦攻擊行為。你必須保護好個人的登入帳密。人人都應小心提防詐騙網站和可疑的連結

如果收到可疑訊息,你可先透過其他方式確認對方的身分,如打電話、發簡訊或當面問。在白宮的案例中,雖然國土安全顧問 Thomas Bossert 並未洩漏他的密碼或其他高度機密的資訊,卻只因他認為信件的內容可信,仍執意在電郵系統警告來信可疑的狀況下,主動提供給駭客他私人的電子郵件帳號。這也跟我們要談的下一點有關。

看到電郵系統判斷為可疑的信件時,你應該要…懷疑其可信度
其實,在 Bossert 收到的詐騙信件中,至少有一封被其電郵系統標示為[SUSPECTED_SPAM] (「可能是垃圾信」)。那就是最立即的警訊,應該先確定發信人的身分是否可信,再予以回應。

Mozilla 網管專家 Dave Miller 說:「當然系統難免有誤判的時候,但如果你不知道該怎麼反應的話,請 IT 人員幫忙確認比較保險。尤其當郵件被標示為垃圾信,又看似是來自同一單位的『公司內部』郵件時,更是輕忽不得。」

遠離魚叉保安康
無論你是被惡搞或釣魚的對象,只要有人透過電子郵件刻意惹你或激你的話,最好不要咬下那個餌。不要回應魚叉式釣魚的訊息,只要把那封信標示為垃圾信、轉寄給IT部門的同事或電郵系統廠商,然後繼續過你的日子。

原文連結

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.