李怡志/專題報導
過去幾年內,網路釣魚(又稱為phishing)已經在美國造成嚴重災情。歹徒利用垃圾郵件的管道發送仿效知名網站的電子郵件,引誘無知的使用者進入偽裝的知名網站,藉此騙取使用者帳號、密碼或姓名、地址、電話及信用卡資料,然後再利用這些資料獲取不當利益。由於這種網路犯罪手法相當新穎,網路犯罪專家估計,第一次收到「釣魚信件」的使用者有3%會被騙,而最近,這股風氣也漸漸吹入台灣。
網路釣魚通常會先寄發垃圾郵件,寄件人通常偽裝成花旗銀行、Y ahoo或eBay等知名公司,標題則多半為「系統更新,請檢查帳號」、「保護帳號,請變更密碼」、「帳號被關閉,請上網重新啟動」等容易吸引使用者注意的字眼,而電子郵件中幾乎都會有該公司的商標,藉以取信於受害者,然後再提供一個偽裝過的連結,誘騙使用者登入假網站輸入個人資料。
由於製作釣魚網站、發送釣魚垃圾郵件都相當容易,不需要複雜的駭客技術,只要會製作簡單的網頁並加入表單,就連國中生都能夠順利上手,所以這樣的詐騙案件也愈來愈多。刑事警察局偵九隊本周就偵破一起網路釣魚案件,嫌犯才就讀大專,根本還沒有成年。
許多釣魚網站為了避免日後偵查,都是利用網路跳板的方式侵入其他電腦,所以只要仔細觀察網址,就能夠輕易辨別真偽。但也有些「有心」的詐騙者,會申請與受害網站非常相似的網域名稱。遊戲橘子日前發現,位於大陸的詐騙者,申請了 gamannia.com的網址,並以「遊戲橘子客服中心」或「天堂」的名義發送垃圾郵件給玩家。由於偽裝的 gamannia.com網址與官方網站 gamania.com只差一個字母 n ,所以讓遊戲橘子相當緊張,擔心有網友受騙上當,甚至被因此安裝木馬程式,但所幸目前尚未傳出災情。
根據美國網路釣魚防範小組(APWG)的統計,釣魚網站平均的壽命長達6.1天,也就是說,從開始釣魚到被檢舉關站之間,這些網站通常可以存活將近一周,足以騙取相當多的使用者個人資料,而目前存活時間最長的釣魚網站,則有31天,網路使用者不可不多加提防。(2004/09/26 中時晚報)
利用仿冒電子郵件、仿冒網站的「網路釣魚」越來越風行,讓人防不勝防。業者建議,重要的交易網站最好平常就保持固定檢查帳號的習慣,收到信件後如果無法辨別真偽,不要點信件上的連結,而是自己輸入網址,減少被騙的機會。
網路釣魚信件通常有兩大特徵,首先,由於詐騙者的教育水準不高,所以信件的用字遣詞或文法看起來水準不高,甚至還可能出現錯字,不像是金融機構會犯的錯誤。其次,釣魚信件上面提供的連接網址雖然看起來是屬於某知名企業,但滑鼠移上去之後先不要點,許多郵件軟體就會出現該連結真正的位置,一旦發現不是原企業,就完全不需要理會。使用者如果收到信件之後,無法確認真偽,也可以自己在瀏覽器上輸入該公司的網址。
但美國網路釣魚防犯小組APWG也提醒,從今年下半年開始,除了以偽裝成知名網站來騙取帳號密碼的釣魚手法外,有愈來愈多詐騙者會自己設立1個看起來十分平常的貸款、藥品、網路銀行等網站,讓使用者絲毫沒有戒心,以為是在1個新的網站交易,卻因此洩漏了自己的姓名、地址、電話、信用卡卡號及認證碼。
依照統計,金融網站是釣魚駭客最喜歡攻擊的對象,因為可以直接獲得金錢。而花旗銀行、eBay、美國銀行(U.S. Bank)及Paypal是前4大被攻擊的對象。 (2004/09/26 中時晚報)
保留部分權利 (Some rights reserved), 1996-2006, Richy Li.