什麼是網路釣魚 - 釣魚 Fishing
By Edith
at 2010-07-06T08:47
at 2010-07-06T08:47
Table of Contents
根據反網路釣魚工作小組(APWG)定義,「Phishing」(網路釣魚)是利用偽造電子郵件與網站作為誘餌,愚弄使用者洩漏如銀行帳戶密碼、信用卡號碼等個人機密資料。利用知名品牌所建立的信賴感,幾可亂真的偽造網站與郵件也讓此類詐騙行為成功機率達5%。
網路釣魚(Phishing)一詞,是“Fishing”和“Phone”的綜合體,由於駭客始祖起初是以電話作案,所以用“Ph”來取代“F”,創造了”Phishing”,Phishing 發音與 Fishing相同。
~~~ 網路釣魚 小心上鉤 ~~~
網路上最進有一種願者上鉤的游戲 phishing(網路釣魚),如果您沒聽過那麼你,那就應該來了解一下它是個什麼遊戲。各位一定聽過垃圾郵件,就是一種未經許可擅自寄送的商業郵件。那phishing(網路釣魚)差別在於,垃圾郵件不一定是涉及詐欺,但所有的phishing都是這些發信者惡意設下的一種騙局。
~~如何辨識網路釣魚郵件 ~~
大多數人都能夠在現在意識到不能在網際網路上隨意透露個人資訊。但是對於新型態的 phishing電子郵件騙局來說,大多數網友卻很難加以判別真偽,因為詐騙者所捏造的收件人與寄件人跟合法公司所寄的一模一樣。
phishing這個新名詞,是將英文fishing(釣魚)的第一個英文字母"f",改變為"ph"。其實兩者意義上也差不多,英文的fishing是釣魚,於是phishing便有了一個很好的中文直譯典故:「姜太公釣魚,願者上鉤」。正如字面所告訴我們的的,phishing是透過垃圾郵件來詐騙網友的個人資料,一般多半是藉口他們的資料需要更新,或者基於安全理由需要重新進營身份驗證,如此便可騙取網友的帳號ID與密碼。網友則在毫無懷疑的情況下提供了他們的資訊,然而就在數小時甚至幾分鐘的短時間內,那些未經授權的交易就可能造成受騙者巨大的損失。
~~天下沒有白吃的午餐 ~~
網路郵件說,有一個以免費電影為號召的網址,只要你去申請帳號,網站會叫你找五個不同 ip的網友來參訪他們的網頁,然後你的帳號就能開通,可以免費看電影--可是,從來沒有人可以開通,所以,這是騙局?是嗎?當然。
事實上,根據調查報導的消息,據 bbs上公告,有問題的網址其實不止一個。不過,此種行為還不算是什麼的大損失。
~~phishing通常也會使用HTML格式的網頁電子郵件 ~~
除了捏造資料外,這類郵件通常也會使用 HTML格式的網頁電子郵件。乍看之下,不管是商標、標識、圖形,以及公司的鏈結全都應有竟有像是值得信任的。事實上,在很多情況下,他們都直接使用了正牌網站的圖檔也就是仿冒的一模一樣。曾有網友收到過仿冒線上刷卡公司網頁的phishing電子郵件,所顯示的網址似乎是真實的,似乎只需要輕輕點下這些鏈結就能夠登錄線上刷卡公司的網站。然而這些鏈結卻正是網頁所設置的陷阱,它們實際上鏈結的是一個無法解讀的IP網址,而非真實的線上刷卡頁面。
網路上雖然有 35%詐騙案是利用仿冒線上刷卡公司網頁,但其他包括幾乎所有的金融機構、信用卡發行公司、零售商或其他類型的商業交易,都不可避免的成為詐騙成員利用的對象。在英國NatWest由於受到這種惡意攻擊,不得不在12月份關閉公司網站。當NatWest被迫關閉其網站時,為方便與消費者進行聯繫,它們不得不支出大筆費用架設客服專線。在這種情形下,由於線路繁忙很可能導致消費者失去耐心,從而放棄購買。那麼,Visa也曾在假日旺季期間成為歹徒的目標。一旦詐騙成員成功地仿冒了一家合法公司的網頁,原本企業與消費者之間的email信賴感也會跟著被破壞,結果導致合法公司更難透過電子郵件與客戶做溝通。
此外,許多案例中,為了保持良好的客戶關係,若客戶因此而有金錢損失時,被冒用的機構往往會全額賠償,即使他們有明文政策聲明沒義務這麼做。這些成本也會轉嫁到企業營運成本上,比如多家澳洲銀行便撥出 200萬美元專門當作跟釣魚詐騙相關的賠償基金。
~~反應永遠不夠快 ~~
目前最亟待解決的問題是,一旦出現釣魚情況時,企業應該如何處理。很顯然的,首先絕對是趕快把詐騙網頁取下。但這涉及好幾種技術問題。例如:當詐騙者非法侵入一個合法的伺服器進行網頁發佈時,伺服器操作員(或管理員)合作一起刪除那些仿冒網頁;但有時候你還需要停掉該台伺服器,或者光由 ISP切斷所有連結過來的連線。
即使再反應再怎麼快也會覺得時間不夠,這是因為你可能得花上數個小時到數天的時間來隔離某個網頁或切斷網站。此外,若是網站設在國外,所需時間更多,現在有越來越多網站出現於東歐和亞洲。通常,當你把網站或網頁拿掉後,傷害也早已造成了。詐騙者利用釣魚手法竊取的資金往往透過臨時性帳戶,最終以轉帳方式流入他們的國外帳戶。因此,期望追蹤被竊資金的流向幾乎是不可能的。
~~解決之道 ~~
從社會角度來說,指導和教育是關鍵。例如:用戶需要獲得教育,提高對欺詐性電子郵件的識別和處理能力。「就技術面而言,由於 phishing(網路釣魚)也是一種垃圾郵件,因此,人們可以運用相同的垃圾郵件處理工具對它進行隔絕。例如:對網頁和電子郵件進行過濾,」。同時,建議公司定期對DNS進行掃描,以檢查是否存在一個與公司已註冊的相類似網域。Visa受到攻擊時,釣魚者正是使用了visa-security.com。此外,銀行在他們發出的電子郵件中啟動數位簽章,可只是客戶還必須學習如何辨識有簽章跟沒簽章的郵件。
~~「 Gone phishing」(釣魚再見) ~~
記得在自己的辦公室門上貼上「 Gone phishing」(釣魚再見),毫無疑問這一定會引起同事好奇和詢問。這正是在內部施展教育的好機會。
最後對 phishing(網路釣魚)問題感興趣的朋友可加入antiphishing.org。會員之間將可分享如何處理這類問題的許多情報與概念,當然他是英文的。目前,這個組織與其他一些之名產業工作小組結盟,共同致力於phishing問題的探索與解決。
以上所介紹的只是網 路中 的一小部份而已 , 還有所謂的「 抽成式網路賺錢 」 、 「上網式網路賺錢 」 、 「 綜合式網路賺錢 」 ( 提供點選 、 抽成 、 介紹的廣告 ) … … 等各式各樣的方法 , 但是要強調的是天下絕對沒有不勞而獲的賺錢方式 , 即使是上述的各種網路賺錢術也都必須善用各種網路資源或是 自身的人際關係 。
因此 ,各位必須小心一些利用抱著「 不 勞 而 獲 」心態來吸引網友的網 , 卻成為非法勾當或詐騙交易下的犧牲者 。
網路釣魚(Phishing)一詞,是“Fishing”和“Phone”的綜合體,由於駭客始祖起初是以電話作案,所以用“Ph”來取代“F”,創造了”Phishing”,Phishing 發音與 Fishing相同。
~~~ 網路釣魚 小心上鉤 ~~~
網路上最進有一種願者上鉤的游戲 phishing(網路釣魚),如果您沒聽過那麼你,那就應該來了解一下它是個什麼遊戲。各位一定聽過垃圾郵件,就是一種未經許可擅自寄送的商業郵件。那phishing(網路釣魚)差別在於,垃圾郵件不一定是涉及詐欺,但所有的phishing都是這些發信者惡意設下的一種騙局。
~~如何辨識網路釣魚郵件 ~~
大多數人都能夠在現在意識到不能在網際網路上隨意透露個人資訊。但是對於新型態的 phishing電子郵件騙局來說,大多數網友卻很難加以判別真偽,因為詐騙者所捏造的收件人與寄件人跟合法公司所寄的一模一樣。
phishing這個新名詞,是將英文fishing(釣魚)的第一個英文字母"f",改變為"ph"。其實兩者意義上也差不多,英文的fishing是釣魚,於是phishing便有了一個很好的中文直譯典故:「姜太公釣魚,願者上鉤」。正如字面所告訴我們的的,phishing是透過垃圾郵件來詐騙網友的個人資料,一般多半是藉口他們的資料需要更新,或者基於安全理由需要重新進營身份驗證,如此便可騙取網友的帳號ID與密碼。網友則在毫無懷疑的情況下提供了他們的資訊,然而就在數小時甚至幾分鐘的短時間內,那些未經授權的交易就可能造成受騙者巨大的損失。
~~天下沒有白吃的午餐 ~~
網路郵件說,有一個以免費電影為號召的網址,只要你去申請帳號,網站會叫你找五個不同 ip的網友來參訪他們的網頁,然後你的帳號就能開通,可以免費看電影--可是,從來沒有人可以開通,所以,這是騙局?是嗎?當然。
事實上,根據調查報導的消息,據 bbs上公告,有問題的網址其實不止一個。不過,此種行為還不算是什麼的大損失。
~~phishing通常也會使用HTML格式的網頁電子郵件 ~~
除了捏造資料外,這類郵件通常也會使用 HTML格式的網頁電子郵件。乍看之下,不管是商標、標識、圖形,以及公司的鏈結全都應有竟有像是值得信任的。事實上,在很多情況下,他們都直接使用了正牌網站的圖檔也就是仿冒的一模一樣。曾有網友收到過仿冒線上刷卡公司網頁的phishing電子郵件,所顯示的網址似乎是真實的,似乎只需要輕輕點下這些鏈結就能夠登錄線上刷卡公司的網站。然而這些鏈結卻正是網頁所設置的陷阱,它們實際上鏈結的是一個無法解讀的IP網址,而非真實的線上刷卡頁面。
網路上雖然有 35%詐騙案是利用仿冒線上刷卡公司網頁,但其他包括幾乎所有的金融機構、信用卡發行公司、零售商或其他類型的商業交易,都不可避免的成為詐騙成員利用的對象。在英國NatWest由於受到這種惡意攻擊,不得不在12月份關閉公司網站。當NatWest被迫關閉其網站時,為方便與消費者進行聯繫,它們不得不支出大筆費用架設客服專線。在這種情形下,由於線路繁忙很可能導致消費者失去耐心,從而放棄購買。那麼,Visa也曾在假日旺季期間成為歹徒的目標。一旦詐騙成員成功地仿冒了一家合法公司的網頁,原本企業與消費者之間的email信賴感也會跟著被破壞,結果導致合法公司更難透過電子郵件與客戶做溝通。
此外,許多案例中,為了保持良好的客戶關係,若客戶因此而有金錢損失時,被冒用的機構往往會全額賠償,即使他們有明文政策聲明沒義務這麼做。這些成本也會轉嫁到企業營運成本上,比如多家澳洲銀行便撥出 200萬美元專門當作跟釣魚詐騙相關的賠償基金。
~~反應永遠不夠快 ~~
目前最亟待解決的問題是,一旦出現釣魚情況時,企業應該如何處理。很顯然的,首先絕對是趕快把詐騙網頁取下。但這涉及好幾種技術問題。例如:當詐騙者非法侵入一個合法的伺服器進行網頁發佈時,伺服器操作員(或管理員)合作一起刪除那些仿冒網頁;但有時候你還需要停掉該台伺服器,或者光由 ISP切斷所有連結過來的連線。
即使再反應再怎麼快也會覺得時間不夠,這是因為你可能得花上數個小時到數天的時間來隔離某個網頁或切斷網站。此外,若是網站設在國外,所需時間更多,現在有越來越多網站出現於東歐和亞洲。通常,當你把網站或網頁拿掉後,傷害也早已造成了。詐騙者利用釣魚手法竊取的資金往往透過臨時性帳戶,最終以轉帳方式流入他們的國外帳戶。因此,期望追蹤被竊資金的流向幾乎是不可能的。
~~解決之道 ~~
從社會角度來說,指導和教育是關鍵。例如:用戶需要獲得教育,提高對欺詐性電子郵件的識別和處理能力。「就技術面而言,由於 phishing(網路釣魚)也是一種垃圾郵件,因此,人們可以運用相同的垃圾郵件處理工具對它進行隔絕。例如:對網頁和電子郵件進行過濾,」。同時,建議公司定期對DNS進行掃描,以檢查是否存在一個與公司已註冊的相類似網域。Visa受到攻擊時,釣魚者正是使用了visa-security.com。此外,銀行在他們發出的電子郵件中啟動數位簽章,可只是客戶還必須學習如何辨識有簽章跟沒簽章的郵件。
~~「 Gone phishing」(釣魚再見) ~~
記得在自己的辦公室門上貼上「 Gone phishing」(釣魚再見),毫無疑問這一定會引起同事好奇和詢問。這正是在內部施展教育的好機會。
最後對 phishing(網路釣魚)問題感興趣的朋友可加入antiphishing.org。會員之間將可分享如何處理這類問題的許多情報與概念,當然他是英文的。目前,這個組織與其他一些之名產業工作小組結盟,共同致力於phishing問題的探索與解決。
以上所介紹的只是網 路中 的一小部份而已 , 還有所謂的「 抽成式網路賺錢 」 、 「上網式網路賺錢 」 、 「 綜合式網路賺錢 」 ( 提供點選 、 抽成 、 介紹的廣告 ) … … 等各式各樣的方法 , 但是要強調的是天下絕對沒有不勞而獲的賺錢方式 , 即使是上述的各種網路賺錢術也都必須善用各種網路資源或是 自身的人際關係 。
因此 ,各位必須小心一些利用抱著「 不 勞 而 獲 」心態來吸引網友的網 , 卻成為非法勾當或詐騙交易下的犧牲者 。
Tags:
釣魚
All Comments
Related Posts
今日釣遊
By Thomas
at 2010-07-04T22:40
at 2010-07-04T22:40
石門水庫阿姆坪晚上都有警察了喔~要小心
By Caroline
at 2010-07-04T07:49
at 2010-07-04T07:49
請教各位大大..
By Quintina
at 2010-07-04T07:48
at 2010-07-04T07:48
請問苗栗明德水庫
By Frederic
at 2010-07-04T03:02
at 2010-07-04T03:02
這個也不錯玩
By Ivy
at 2010-07-03T17:19
at 2010-07-03T17:19