分辨钓鱼攻击模式　远离诈骗威胁

　　网路钓鱼手法层出不穷，继上一期分享BEC邮件防护诈骗后，本文将进一步介绍八种钓鱼攻击模式，带您了解骇客如何利用人性的弱点骗取金钱、窃取个资与主机控制权；文末特别提供Google制作的钓鱼邮件小游戏，让大家经由演练，更加知己知彼、百战不殆。

---

　　骇客的诈骗手法，大抵不脱离用电子邮件附件挟带恶意软体或档案、内文埋入钓鱼连结，或是以文字骗取收件者的信任，诱导对方回信等方式，以下介绍常见的八种钓鱼攻击模式--

　　1.电子邮件钓鱼：骇客通常使用相似的网域名称，寄发令收件者难辨真伪的电子邮件，一旦点击连结或下载附件，隐藏其中的恶意程式即自动下载至电脑，并发动攻击；或是引导用户连结至虚假网站，输入帐号密码、信用卡等资料，属于所有钓鱼攻击模式中，最常见的一种，依照诈骗目标不同，还可细分为锁定特定对象的「鱼叉式钓鱼攻击」，以及锁定高阶主管的「捕鲸攻击」。

　　2.复制型钓鱼：骇客会密切监视受害者的收件匣，并利用最新收到的电子邮件进行复制。复制后的部分内文保持不变，再将恶意程式码伪装成附件，或是提供假网站的连结，让收件者因为熟悉的电子邮件帐号而失去戒心，毫不犹豫地下载附件和付款。

　　3.社交媒体钓鱼：骇客仿造Instagram、LinkedIn、Facebook、Twitter等官方社交媒体平台，制作出虚假的登入页面，虽然使用者登入后，大多会跳转至真正的社交媒体平台以进行认证，但在登入假平台的过程中，个资早已被盗取。

　　4.简讯钓鱼：系以手机简讯为平台的钓鱼攻击手法，透过文字简讯，骗取个人资料、引导用户点选简讯中的连结，或是拨打骇客提供的客服电话，简讯内容还会结合最新的时事，使目标对象更容易上钩，例如：假冒政府的纾困金领取方案连结、假冒证券商的飙股领取群组，都是近年十分猖獗的诈骗手法。

　　5.语音钓鱼：骇客会佯装成他人，拨打电话给目标对象，甚至使用「改号诈欺」（Caller ID Spoofing）的方式，更改或操纵来电号码显示，使人们误以为对方是合法的窗口。

　　6.搜寻引擎钓鱼：骇客故意在搜寻引擎中，推高仿冒网站的排序，由于网域名称多半与官方网站相似，加上低价商品作为诱饵，用户很容易掉入陷阱，进而消费。

　　7.网址嫁接钓鱼：骇客骇入用户电脑上的网域名称系统（DNS）快取，引导用户到仿冒的网站以盗取个资，由于电脑作业系统遭到入侵窜改，即使用户在浏览器上输入正确的网址，画面仍然会被引导到钓鱼网站，使用者很难察觉。

　　8.USB随身碟钓鱼：骇客先将USB遗落在某处，并贴上「机密资料」的标籤，引导拾获者插入电脑。USB一旦插入，暗藏其中的恶意程式会自动安装到电脑上，准备发动攻击。

　　虽然网路钓鱼攻击手法不断推陈出新，但只要随时提高警觉，不冲动点选任何连结及下载未知档案、不随意提供个人资料及财务资讯、对于网域及网名多加留意，且关注新的网路钓鱼技术，即能在各种网路诈骗中明哲保身。

▶点击连结玩钓鱼小游戏：https://bit.ly/41jrIM5

图片来源：Freepik

#