跳轉到

釣魚、詐騙

釣魚和詐騙是指不法分子利用社交工程技術,假冒合法可信的實體或個人,騙取受害者的個人資料、金錢或其他機敏資訊。

「一般釣魚(Phishing)」與「魚叉式釣魚(Spear phishing)」攻擊有什麼不同?

這裡不是探討實際的魚釣行為,而是針對攻擊手法目前可分為兩種型態:目標範圍不同、攻擊方法不同。

目標範圍不同

  • 一般釣魚攻擊通常是大規模且無差別的,攻擊者發送大量的電子郵件或訊息給許多人,期望能騙到一部分不注意的受害者。這種方法比較隨機,攻擊內容不針對特定個人或組織。
  • 魚叉式釣魚攻擊則是高度針對性的,攻擊者會專門挑選特定個人或組織作為目標。他們會進行詳細的研究,收集有關目標的資訊,並利用這些資訊設計較有說服力和精準的攻擊。

攻擊方法不同

  • 一般釣魚攻擊的方法常見於使用虛假網站、電子郵件或訊息,誘使受害者輸入機敏資料(例如帳號密碼、信用卡資訊等)或下載惡意軟體。
  • 魚叉式釣魚攻擊則是更加個人化,攻擊者會根據針對目標的興趣、職位、公司資訊等等來特製訊息,使受害者更容易上當。例如,攻擊者可能會模仿目標受害者的朋友或同事發送電子郵件,內容可能提到受害者熟悉的事情或目前正在進行的項目。

辨識釣魚、詐騙的風險常見的手法

  1. 假冒知名機構:收到看似來自知名機構(如銀行、政府、公司)的電子郵件或訊息,要求點擊連結或提供個人資料。
  2. 可疑連結和附件:電子郵件內附有不明連結或附件,點擊後會被要求登入或下載某些應用程式。
  3. 緊急或誘人的訊息:內容可能聲稱有緊急事態需要立即處理,或者提供看似極具吸引力的優惠。
  4. 不自然的語法和拼字錯誤:電子郵件或訊息的語法、語意錯誤多,或使用過於正式或不常見的詞彙。
  5. 不明來源的訊息:來自於陌生人或出乎意料的訊息,特別是不曾聯絡的信箱或平台發送。
  6. 要求私人資料:訊息中要求提交身份證號、信用卡號、密碼等機敏資訊。
  7. 虛假網站:被引導到與知名網站幾乎一模一樣的虛假網站,要求輸入登入資訊。
  8. 撥打可疑電話號碼:訊息中要求撥打一個不認識的電話號碼進行確認。
  9. 無關的主題或吸引眼球的標題:含有過於誇張的標題來吸引受害者點開。
  10. 多次發送:同一內容訊息多次重複發送,以增強說服力。

提防釣魚、詐騙的方法

  1. 謹慎處理不明來歷的訊息:不輕易點擊電子郵件中的連結,尤其是不知名的發件人。
  2. 驗證發信人:仔細檢查發信人的電子郵件地址,是否與官方地址一致。
  3. 獨立驗證內容:若涉及重要機構或財務信息,可通過官方渠道其他關係聯絡人再次確認信息的真實性。
  4. 安裝安全軟體:安裝並定期更新防病毒軟體和防火牆。
  5. 使用雙重驗證:啟用雙重驗證增強帳戶的安全性。
  6. 定期更新密碼:定期更換密碼,避免使用相同密碼於多個帳戶。
  7. 提高警覺:受教育於最新的釣魚、詐騙手法,提高警覺。
  8. 報告異常情況發現可疑的訊息或網站,及時報告給組織內部資安負責人
  9. 慎重分享資訊:在社交平台上不要過度分享個人資訊,降低風險被釣魚者利用。
  10. 教育培訓:定期進行資安教育,讓團體成員了解最新的資安風險及防範措施。

針對公民團體的釣魚、詐騙舉例

  1. 冒充政府或非政府組織的通知:收到假冒政府或相關 NGO / NPO 的資助或活動通知,要求提供組織資料。
  2. 誘人的捐助優惠:聲稱若提供某些資訊,將獲得大型補助或捐款。
  3. 偽裝成志工、實習生申請:假冒志工、實習生申請加入,並要求組織提供機敏資料。
  4. 註冊活動詐騙:假冒註冊活動確認郵件,要求填寫個人資料。
  5. 假冒調查研究:偽裝成調查機構要求公民團體提供資料,以進行「研究」。
  6. 夥伴合作詐騙:假冒成合作夥伴邀請洽談,並要求分享項目計畫書或其他機敏文件。
  7. 網頁流量提升詐騙:聲稱能幫助提升團體的網站訪問量或搜索排名,誘騙購買服務。
  8. 電子支付詐騙:偽裝成進行款項支付的郵件,要求更新付款資訊。
  9. 篡改捐款路徑:提供偽造的捐款連結誘騙捐款轉往假賬戶。
  10. 資料收集釣魚:通過假網站收集組織內部個人資料,甚至登錄公民團體內部系統。

第一時間應採取的行動

當公民團體懷疑遭遇「釣魚」或「詐騙」時,第一時間應採取以下行動:

  1. 保持冷靜,不立即回應:無論是收到可疑的電子郵件、簡訊或電話,請勿急於回應,避免在第一時間泄露機敏資訊。
  2. 不點擊可疑連結或附件若訊息中包含連結或附件,請勿點擊或下載。這可能是惡意軟體,會對您的設備和資料造成危害。
  3. 仔細檢查信息:檢查發信人的電子郵件地址和內容的語法及拼字。大多數釣魚攻擊往往會有拼字或語法錯誤,或使用不尋常的電子郵件地址。
  4. 與相關機構求證:若收到聲稱來自銀行、政府機構或其他重要單位的信息,直接聯絡這些機構的官方客服或支援部門確認信息的真實性,而不是通過訊息中提供的聯絡方式。
  5. 報告可疑活動:向團體內部資安負責人或 IT 部門報告該可疑資訊。他們可以進行進一步的調查並採取相應措施。
  6. 啟動網路安全程序:檢查是否有其他組織成員也接收到類似訊息,並啟動內部預設的網路安全程序(如更新密碼,啟動兩步驟驗證等)。
  7. 培訓和教育:針對釣魚和詐騙攻擊,定期對組織成員進行培訓和教育,提高整體資安意識和辨識能力。

網路詐騙知多少?

網路詐騙知多少?可先完成以下的測驗,快速了解對於現實中的案例如何去判斷。

由 Google 資安團隊 Jigsaw 製作的線上測驗,每一題透過實際的範例檢測是否為「網路詐騙內容」或「正常內容」。開始測驗後,名稱與電子郵件可不為真實資訊,資訊提供是否為真實資料不影響測試過程與結果。

辨別:一步一步辨識釣魚信件

  1. 檢查寄件人:確保寄件人地址是可信的且熟悉的,詐騙者常利用相似的域名迷惑使用者。
  2. 看清主題和內容:釣魚信件常會用威脅性緊急性誘惑性的語言來誘使你開啟連結或下載附件。
  3. 瀏覽偏差的網址:螢幕上的鼠標懸停在郵件中的連結上,不要直接點擊,確認顯示的網址是否與表面上的連結一致。
  4. 確認附件的文件類型:謹慎處理任何意外收到的附件,特別是可執行文件(.exe)、壓縮文件(例如.zip)甚至為 PDF 檔案。
  5. 利用線上工具檢查:利用以下工具交叉確認可疑網址和郵件。

檢測工具

Email Header Analyzer

  • MxToolbox Email Header Analyzer
  • 用於解析電子郵件標頭(Email Headers),幫助你了解郵件的來源和路徑,從而確認其真實性。
  • 使用方法:將電子郵件的完整標頭複製到工具中進行解析。

Have I Been Pwned

  • Have I Been Pwned
  • 提供一個簡單的方法來檢查你的電子郵件地址或帳號是否出現在已外洩事件的資料庫中,進而判斷是否可能成為釣魚攻擊的目標。
  • 使用方法:在網站中輸入你的電子郵件地址或帳號,即可查詢相關外洩事件記錄。

通報

請記得在組織內完成收到疑似釣魚信件或是社交工程詐騙信件的通報流程,以下為簡易的通報流程範本,可以依照此流程專注在角色、人員的確立。

疑似釣魚信件通報流程

1. 發現異常信件(發現者)

  • 注意標記:使用者應注意信件中的異常內容,例如語法錯誤、奇怪的發件人地址、請求機敏資訊等。
  • 不點擊連結:不要點擊信件中的任何連結或附件,確保信件內容未被執行。

2. 通報主管(發現者、IT 負責人)

  • 聯絡 IT 資安負責人:立即向 IT 主管或資安負責人通報,提供信件的完整細節和觀察到的異常。

3. 提供信件(發現者、IT 負責人)

  • 轉寄信件:將可疑信件轉寄至專用的內部報告信箱(如:報告釣魚信件的郵件群組),確保原始的信件電子郵件標頭(Email Headers)保持完整。
  • 標記信件:在轉寄時,標題中增加「疑似釣魚信件」或類似標記,以引起受理人員的重視。

4. 記錄事件(IT 負責人)

  • 填寫報告表格:詳盡記錄涉及到的異常情況,例如發件人、信件時間、主題和內容摘要等。
  • 保存證據:保存原始信件作為證據,不得刪除或篡改。

5. 初步分析(IT 負責人、資安團隊)

  • 安全團隊分析:資安團隊對報告的信件進行初步分析,確認是否為釣魚攻擊或其他安全威脅。
  • 評估風險:根據初步分析評估潛在風險,確定是否需要進一步的應變作為。

6. 通知相關人員(全體人員)

  • 防範提醒:若確定信件具有釣魚特徵,向全體員工發出防範提醒,告知近期有相關的釣魚活動。
  • 教育培訓:再次強調資安教育和培訓,讓員工了解如何應對釣魚信件。

其他資源