什麼是網路釣魚?
網路釣魚是網路釣魚詐騙的一種方案,駭客可藉此讓使用者分享密碼及社會安全碼等敏感資訊。通常,這會涉及發送垃圾電子郵件,而垃圾電子郵件看起來像是來自可信賴的來源,例如銀行(也就是誘餌),然後會連結到假冒可信賴來源的詐騙網站(這就是陷阱)。
了解這些騙局的面貌以及其如何運作,能幫助您辨識網路釣魚騙局,同時能讓您知道若您的網站遭到入侵,並承載了一個網路釣魚陷阱時,您能夠如何應對。
網路釣魚電郵會冒充可信賴的組織,藉此竊取使用者的憑證。在以下範例中,電子郵件使用一般的網路釣魚作法,要求用戶更新其帳戶資訊。但是,當您將滑鼠移到該連結上時,該連結並不會導向該公司的實際網站,而是導向一個網路釣魚陷阱網站。
有時候,唯一判定網站假冒的方法就是查看網頁的URL。例如,在上圖中,該頁面看起來可能像是來自PayPal的一樣,但是網址顯示該頁面不合法。
這裡是一個相當具說服力的網路釣魚頁面例子:
唯一能辨識出不是Google實際登入頁面的方法,就是看看瀏覽器的網址列。在此範例中,您會注意到網域名稱並非google.com。
例如,在http://login.google.com.evilphishingsite.com/index.html,您現在瀏覽的網站是evilphishingsite.com 。
如果您的網站遭到FTP入侵,駭客就可能會用您的帳戶託管網路釣魚網站。後續步驟請見我的網站遭到駭客入侵。我該怎麼辦?
當您檢視您的檔案與目錄時,您可以確認以知名企業命名的目錄(例如銀行或 Google)已被用作網路釣魚。 例如:
- ./html/HSBC/hsbc.com/
- ./html/Gmail/googledocs/Googledock/
相關步驟
- 您可以在此回報網路釣魚。
更多資訊
請看下列網路釣魚文章,以及如何保護自己的網路釣魚:
- 反網路釣魚工作組(APWG)首頁
- 聯邦貿易委員會建議:如何辨識並避免網路釣魚詐騙
- PayPal提供的資訊:如何辨識假郵件