星期四, 4月 12, 2007

網路釣魚-願者上鉤,不願者還是上鉤!

一. 前言:
網路釣魚 (phishing)是國際通用的新字,取phreak(偷接電話線的人)的前兩個字母ph
取代fishing(釣魚)的f,是以社會工程學(也就是騙術)結合電腦科技的新犯罪手法。
網路釣魚目的是騙取受害人的網站上的帳號密碼(網路銀行或線上遊戲)、信用卡資料
以及個人資料,進行例如線上轉帳、偷取遊戲虛擬寶物、窺伺別人的email以及盜刷等
違法行為。
通常詐騙的信件都會偽造自己是某知名的網站,根據統計,偽造的身分網路銀行佔81%,
入口網站佔9%,線上零售商約佔10%。由此可知,大部份phishing的最終目的就是要騙取
受害人的銀行存款與盜刷信用卡。

二. Phishing四部曲
如同釣魚一般,phishing也有類似釣魚的幾個步驟:

a. 丟下可口的魚餌:利用大量的電子郵件寄送,信件中假冒是某某銀行、線上零售商
或是知名的入口網站,甚至附上正牌的Logo,模仿的唯妙唯肖,搏取收件人的信任感,讓你
放心。根據國際反詐騙組織(Anti-Phishing Working Group, APWG )統計,約有5%會對信件中的內容有反應。

b. 快速抽動釣鉤:利用人性的弱點,如貪婪、不安全感讓收件人上當,通常在信件中
會以類似”緊急”、”為了更安全”、”抽獎”等字眼去push受害人在短時間內做決定…… ,
此時,就等你上鉤。

c. 時時牽引釣線:信件中,通常會有連結,可以連到某個網站,這個網站通常與被仿冒
的網站十分類似,有同樣的logo與設計,甚至連網址都跟正牌的網站很類似,通常只差一個兩
個字母或是利用”-“等符號隔開,例如,知名的線上遊戲廠商-遊戲橘子,就有人申請差一個
字母的網址http://www.gamannia.com與正牌的網址http://www.gamania.com,請問你看出來了嗎?或是利用網頁格式,表面上顯示的是正牌網站,實際上卻導引到另一個網站。收件人就快
要上鉤了。

d. 釣到就烙跑:等到收件人信以為真的將個人私密資料輸入,幾天後發現被騙,
釣魚網站也從世界上消失了,想要回來都不可能。根據APWG的統計,近一年(2004/4到2005/5),
釣魚網站共2870個,比去年增加28%,最短的生存時間為5.8天,最常為一個月,這麼短的時間,
透過電子郵件大量且無遠弗屆的傳送,受害人數可想而知。

網路釣魚不需要高竿的程式技巧與電腦知識,只要具備一般網頁的撰寫能力也可以變成
釣魚駭客。刑事警察局偵九隊三組就查獲國內一名十六歲的五專一年級吳姓男生,
利用網路釣魚冒充「雅虎奇摩網站客服中心」名義,騙取帳號、密碼。
目前的網路手法演變的更為高明,分述如下:

a. 管道的改變:除了郵件外,駭客也會撰寫病毒入侵至電腦中,等到被害人在瀏覽器上
輸入某銀行或駭客有興趣的網站,病毒就會將瀏覽器的網址重新導到駭客設計的模仿網站,
騙取資料。另外,有些人記不起那些眾多的網址,會利用搜尋網站(如,google)搜尋,
有些駭客也會註冊他的網站,讓你搜尋到模仿的網站,藉此盜取你的資料。知名的google
toolbar之前就存在著允許javascript執行的弱點,使得搜尋時,駭客可以利用javascript
修改搜尋時的網頁內容,將網站導到模擬的網站。

b. 詐騙手法的更新:有些釣魚信件,內文還會好心的提醒收件人不要被phishing了,
還有利用”secutity update”等假冒安全理由的內文,讓收件人上當。另外,利用outlook
的漏洞修改outlook顯示的網址,讓她看起來是合法的,還有利用javascript的程式技巧,
遮蔽網址列,讓程式做出的假網址遮蔽瀏覽器真正連結到的網址。

三.預防的方法
以下介紹幾點預防的方法:
a. 懷疑那些很緊急的要求你需入的帳號密碼的信件
1. 檢查信件有沒有銀行的數位簽章,沒有的話要小心,很可能是假的
2. 最好打電話求證,當然電話號碼要自己查,不要照信件提供的電話號碼。
3. 任何請你輸入帳號密碼、信用卡號以及身分證字號的私密資訊的信件都要存有戒心,
避免上當。
b. 不要連結信件中的網址,最好自己key-in,不要被偽造的網址欺騙了。
c. 在信件中如果直接有帳號和密碼的欄位,千萬不要輸入,若有必要,最好自己透過
瀏覽器進入該網站。
d. 通常進入有交易內容的網頁都會是加密過的網頁,網址開頭是https而非http,若
不是要小心。
e. 透過Windows Update修補瀏覽器與收信軟體(若使用outlook,需用Office Update修補)
的漏洞,避免利用漏洞植入病毒。
f. 經常進入您的網路帳戶,檢查是否有存款被提領、信用卡的不明刷卡記錄等問題,
以便及早跟銀行反應。銀行通常為了交易的合諧,通常都會負責賠償損失,例如,
澳洲某銀行就準備了200萬美金預防網路釣魚的狀況。
g. 萬一遭受詐騙,可以通知刑事警察局偵九隊,或是通報到APWG,將原信送
至reportphishing@antiphishing.com,可防止其他人再度受害。
h. 安裝院內提供的防毒軟體,若信件內含病毒,可以防止進入電腦中。

詐騙的手法日新月異,不論是透過電子郵件或是電話的詐欺都是利用人性的弱點,
謹慎小心不要將個人資料外漏,遇事情時小心確認不要慌張,就可以免於被詐欺的風險。



加入書籤:HemiDemiDel.icio.usfurlGoogle BookmarksYahoo! My Webtechnorati

0 comments:

Share

Twitter Delicious Facebook Digg Stumbleupon Favorites More