phishing網絡釣魚

六個對付網絡釣魚小貼士

網絡釣魚十分普遍,如果能察覺到發送危險連結的訊息,就能大大降低掉入騙徒陷阱,資料被盜的機會,以下就是一般用戶都能做到的關鍵小貼士。

1. 小心檢查電郵

當收到電郵,不要著急去回覆或依照其指示,首先要檢查是否有網絡釣魚的蛛絲馬跡,當中的特徵包括:

  • 一個很戲劇性的主題,常見的包括鉅額匯款、經濟補償、帳號被入侵或封鎖帳號,以及欺詐交易等,「吸睛」的主題能觸發不理智的回應,而貪婪和恐怖是最常用技倆。
  • 嚴重事態的壓力,例如「最後通知!」或「最後3小時」之類,都有令人緊急、恐慌的意圖,從而降低防範。
  • 使用錯誤、錯字或奇怪的文字,部份網絡罪犯的英文能力不太好,有部份攻擊者會故意製造錯誤,例如「milion」或其他不同的數字以繞過垃圾郵件過濾。
  • 不連貫的發送者地址,電郵地址有大量隨機文字和數字,又或者錯誤的網域名基乎可以確定是偽冒的跡象,尤其送件者自稱來自大機構所發出。
  • 電郵中的連結或指向的網站,通過用游標指向連結,小心檢查地址,騙徒就是賭受害者不留意連結的每個細節,以冒充知名公司或品牌,例如sumsung.com或qoogle.com。

這種檢查在大部份情況下都足以辨別大量傳送的網絡釣魚騙局,然而發送者名稱和地址也可以加工,連結也可以利用短縮網址令它無法預判,連環自動從新導引可以用看來較不可疑的網址去掩飾釣魚網站,所以盡可能避免依照發送過來的連結,除非是用戶自己要求,例如與銀行聯絡或網上商店確定。

用戶也可以利用搜索引擎去查看獎品是否真確存在於官方網站,從中得知獎品的內容,總括而言,想檢查信件中的連結,可以透過較迂迴的方法進行。

2. 對通訊App和社交網絡保持戒心

電郵並非唯一需要小心的地方,從通訊App接收到的訊息以至社交網絡,都有潛在危險,大家可以從朋友Facebook張貼的連結中找到惡意連結,在Twitter的留意中出現偽冒的品牌代表,又或者Discord上的DM也有類似情況。

廣告橫幅也需要小心,顯示的圖片可能會帶你到奇怪的網站,平台通常不限制橫幅的內容和導引的地點,即使是信譽良好的網站內出現的廣告也有可能把用戶帶到釣魚網站,應對的方法就如電郵一樣,小心檢查,可以的話不要點擊連結。

3. 進入銀行帳號前停一停想一想

銀行卡的資料特別敏感,因為他們直接關連到你的金錢,因此無論你如何接觸到網站,都應該再三檢查清楚是否和以相相同的網站。首先,小心查看地址,很大機會從錯字、以數字代替文字、在不應該的地方出現「-」和奇怪網域名都是危險的特徵,如果看到它們,應該立即刻開網站,並手動輸入正確的網址。

然後點擊地址左邊的鎖頭標示,雖然該鎖並不保證安全,但可以知道誰擁有讓網站。

4. 使用不同的密碼

如果不同的帳號使用相同的密碼,即使是可靠的密碼組合,仍然有機會所有帳號都被入侵,因為只要在一個釣魚網站輸入過一次,就可能「火燒連環船」,所以每個網站和App使用獨一無二的密碼十分重要。如果覺得記住數十個密碼十分困難,可以使用密碼管理工具去創建、管理和使用。

密碼管理員也扮演額外的檢查以防範網絡釣魚,如果打開App或網站發現無法自動填寫登入資料,這樣就很可能正在瀏覽假網站,對人眼而言可能是真網站,但不同地址的話,密碼管理員並不會填上帳號資料。其次是密碼管理員可以產生難以破解的密碼,最後是檢查現有的密碼組合是否過弱、用在其他帳號和已經被破解的密碼資料庫內。

5. 設定雙重認證去保護帳號

很多釣魚攻擊目的是騎劫帳號,但即使攻擊者取得你的登入和密碼,你仍然能阻止他們登入你的帳號,方法是如果可以的話設立雙重認證,一經設定,登入時需要額外的暫時核准碼,可以是過電郵、短訊甚至是身份驗證App,攻擊者並沒有這些資料。

但要注意,攻擊者可以製作假登入網頁要求一次性的雙重認證碼,所以最安全的做法是使用硬件的身份驗證器,例如Google的Titan Security Key或YubiKey的USB。部份身份驗證器使用NFC和藍芽去連結流動裝置,使用硬件式的保安金鑰的好處是它永遠不會在假網頁洩漏資料,網站需要發送正確的請求才會得到回應。

6. 使用可靠的防護

一直保持警剔並非易事,借助可靠的保安方案去防範網絡釣魚,對於可疑的網站會發出警告或封鎖,有助降低用戶掉入陷阱的機會。

資料來源:Kaspersky Blog