好的,來談談使用網際網路時常遇到的陷阱類型...
[網路釣魚(Phishing)]
說明:利用各種訊息交換媒體,假冒合法網站(址)或是熟識親友,使人誤點有問題連結及輸入帳號密碼,取得個人資料為手段,最終以取得利益為目的(通常為金錢),交換媒體包含 - 早期為電子郵件、網站到現在流行的社群網站(Facebook、Plurk等)。
範例一:透過Email利用人性弱點進行網路釣魚
例如有一封信是由某銀行寄出,通知你密碼已於剛剛進行變更,如果你沒有變更,請儘速點選以下連結 http:///www.abcbank.com.tw進行查核,但你確定沒有變更過密碼,這人是會緊張的,會害怕自己的存款會被盜領,這時就去點選他提供的連結http://www.abc-bank.com.tw(看的出來前後有啥不同吧?多了-),其實沒有仔細看根本不會察覺這並不是真的銀行的網址,但是連結的頁面保證一定長的跟真的一樣,這時你就乖乖的輸入了一堆個人資料,結果個資就這樣送出去,他們送100萬份Email,能取得的個資包含銀行登入的帳號密碼若回收有1/10,從中能取得的利益就相當可觀了。
[社交工程(Social Engineering)]
範例一:故意裝熟植入惡意程式
這是我最近收的到一封信,內容是有一個自稱是我Facebook朋友的人,想將我加入他meme(還真的有這個服務)的好友清單,我還在想這是那位仁兄,如果我不加注意,一定會先點開來看,但是再仔細瞧他的email就應該警覺(meme@yahoo-inc.com),為了取信大家,我點了有問題的網址,果然,下圖就是告訴我這是個有問題的網址。
所以不管是收到MAIL、即時通訊,任何人給的連結,其實都以不點選為原則,如果真的要用,建議從官方網站進入後,再去選擇要連線的功能,不然你的心臟就要大顆一點。
範例二:利用即時通訊(如MSN)
也是去年很紅的,歹徒竊取或太好猜到他人的MSN帳號後,請求MSN通訊錄中的親朋好友幫忙買大量遊戲卡點數,再騙取卡號及密碼,相關網址可參考警政署「165防詐騙連結」。
範例三:用訊息快速散播的社群網站進行網路綁架
最近正夯的透過Facebook快速散播的「周韋彤火辣影片」事件,利用短址連結(就是將惡意網址利用轉址服務轉換為看不出來源的短址,如http://abc.cc/xyz)再配合令人腦袋充血的標題(這標題明顯衝著男生來的><),點選之後會在你的瀏覽器(Firefox、Chrome)安裝擴充元件,但因為還在腦袋充血,不裝怎行!就這樣,Facebook就被綁架了,此惡意程式還會再將惡意連結分送給親朋好友,甚至一些有內崁Facebook留言版也會順便分享(我突然想起早期的電子郵件一家烤肉萬家香的盛況),當然現在資訊流通比以往更快,惡意連結散播的快,阻擋的也快,Firefox已將此惡意程式列為黑名單,解法也已經有囉,請參考以下非惡意連結!
類似像網路版通知中獎,引誘你連到有問題網站輸入個資等,手法千變萬化,反正用爛了再換一種,只要人有「貪念」、對錢財的「不安全感」存在的一天,類似的詐騙手法永遠存在,或是利用社交途徑讓人卸下心防而誤觸陷阱,要如何防堵,就是要靠大家的警覺心了,定期更換密碼,反覆求證才能確保上網安全無虞!
[補充]資安相關網站
內政部警政署 - 165全民防騙超連結
趨勢科技 – 網友常見困擾
賽門鐵克 – 病毒與風險
資安人科技網
沒有留言:
張貼留言