分辨釣魚攻擊模式　遠離詐騙威脅

　　網路釣魚手法層出不窮，繼上一期分享BEC郵件防護詐騙後，本文將進一步介紹八種釣魚攻擊模式，帶您了解駭客如何利用人性的弱點騙取金錢、竊取個資與主機控制權；文末特別提供Google製作的釣魚郵件小遊戲，讓大家經由演練，更加知己知彼、百戰不殆。

---

　　駭客的詐騙手法，大抵不脫離用電子郵件附件挾帶惡意軟體或檔案、內文埋入釣魚連結，或是以文字騙取收件者的信任，誘導對方回信等方式，以下介紹常見的八種釣魚攻擊模式--

　　1.電子郵件釣魚：駭客通常使用相似的網域名稱，寄發令收件者難辨真偽的電子郵件，一旦點擊連結或下載附件，隱藏其中的惡意程式即自動下載至電腦，並發動攻擊；或是引導用戶連結至虛假網站，輸入帳號密碼、信用卡等資料，屬於所有釣魚攻擊模式中，最常見的一種，依照詐騙目標不同，還可細分為鎖定特定對象的「魚叉式釣魚攻擊」，以及鎖定高階主管的「捕鯨攻擊」。

　　2.複製型釣魚：駭客會密切監視受害者的收件匣，並利用最新收到的電子郵件進行複製。複製後的部分內文保持不變，再將惡意程式碼偽裝成附件，或是提供假網站的連結，讓收件者因為熟悉的電子郵件帳號而失去戒心，毫不猶豫地下載附件和付款。

　　3.社交媒體釣魚：駭客仿造Instagram、LinkedIn、Facebook、Twitter等官方社交媒體平臺，製作出虛假的登入頁面，雖然使用者登入後，大多會跳轉至真正的社交媒體平臺以進行認證，但在登入假平臺的過程中，個資早已被盜取。

　　4.簡訊釣魚：係以手機簡訊為平臺的釣魚攻擊手法，透過文字簡訊，騙取個人資料、引導用戶點選簡訊中的連結，或是撥打駭客提供的客服電話，簡訊內容還會結合最新的時事，使目標對象更容易上鉤，例如：假冒政府的紓困金領取方案連結、假冒證券商的飆股領取群組，都是近年十分猖獗的詐騙手法。

　　5.語音釣魚：駭客會佯裝成他人，撥打電話給目標對象，甚至使用「改號詐欺」（Caller ID Spoofing）的方式，更改或操縱來電號碼顯示，使人們誤以為對方是合法的窗口。

　　6.搜尋引擎釣魚：駭客故意在搜尋引擎中，推高仿冒網站的排序，由於網域名稱多半與官方網站相似，加上低價商品作為誘餌，用戶很容易掉入陷阱，進而消費。

　　7.網址嫁接釣魚：駭客駭入用戶電腦上的網域名稱系統（DNS）快取，引導用戶到仿冒的網站以盜取個資，由於電腦作業系統遭到入侵竄改，即使用戶在瀏覽器上輸入正確的網址，畫面仍然會被引導到釣魚網站，使用者很難察覺。

　　8.USB隨身碟釣魚：駭客先將USB遺落在某處，並貼上「機密資料」的標籤，引導拾獲者插入電腦。USB一旦插入，暗藏其中的惡意程式會自動安裝到電腦上，準備發動攻擊。

　　雖然網路釣魚攻擊手法不斷推陳出新，但只要隨時提高警覺，不衝動點選任何連結及下載未知檔案、不隨意提供個人資料及財務資訊、對於網域及網名多加留意，且關注新的網路釣魚技術，即能在各種網路詐騙中明哲保身。

▶點擊連結玩釣魚小遊戲：https://bit.ly/41jrIM5

圖片來源：Freepik

#