2007年7月25日 星期三

網路釣魚之猖獗(Phishing)

筆者最近有不少朋友(包括自己)都收到某線上交易網站的帳戶資料維護信,在好奇心的驅使之下,去問問Google,得到的結論就是...網路釣魚(Phishing)真是無奇不有

這裡指的網路釣魚可不是指警察伯伯在網路上,利用某些手段讓那些有心做不太正確的事情的人,自動上門喔!而是指利用人性的忽略來釣取個人資料,進一步達到斂財的目的

原本,筆者也只是傳聞現在這一類的狀況相當猖獗(先前有報導說許多銀行網站都身受其害),主要是利用類似的英文(數字的1和英文小寫的”L”、p和q的錯認...等)來誘導使用者登入及寫下個人資料,再利用得手的資料登入真實銀行中,進行轉帳或相關的動作,所以受害人數之多,難以估計


這次收到的信件,其實也有許多漏洞的存在,尤其是信件的真假難辨,筆著想了一下,也許最好的方式是不做回應(如果有該網站的帳號,請主動連絡,畢竟被動而受騙的機會太大了!),一定有人會納悶為何不回應最好呢?

確認信是,有註冊:請自行到「官網」回應確認(仔細驗證)
確認信是,沒註冊:有人假冒mail註冊,不回應使帳戶被刪除
確認信是,有註冊:點擊可能會導向至釣魚網站,上官網查詢
確認信是,沒註冊:不回應,省時又省力,當它是垃圾信

其實不要「被釣」的方式,其實就是化被動為主動,其實這是對詐騙事件應有的心態,畢竟不是每個作惡之人,都有電話轉接技術(先前新聞曾報導過,打去警局的電話,竟被轉向至詐騙集團),雖然這一類的技術實行上並不困難,我們也只能相信人性本善囉!

反觀網路釣魚的構成其實真的不難,只要利用「砍站軟體」,在加上一點資料庫的功力,就可以仿造出一個相同網站(如果是用Flash架構的網站可能要多花一點心力)

反觀這次收到信件,筆者去網路上搜尋到的資料,有下列一說:
其實追其本源,可能跟羅馬尼亞一位駭客聲稱自己國家才是最強有關,因為他在網路上已駭入該交易網站得到個人資料(包括信用卡號碼),雖然該文章很快即被刪除,但是隨後他在12個網站上同步公佈出那些帳戶、個人資料、信用卡號碼...等

隨即,官方發言人就證實其中有些帳戶是有效的,不過懷疑該駭客是利用網釣手法得到這些資料,於是就開啟了這一場極大的網釣戰爭,雖然根據Taiwan CNET的新聞(有點久遠了...),該網站有相關的防制技術,但是從最近有開始有許多人接獲確認信的狀況來說,網釣又再次流行,應該是可以預期的

防範網路釣魚還是有很多小地方可以留意,筆者附上eBay的說明頁paypal的說明頁供大家參考(因為他們是網路釣客的最愛),甚至可以利用加裝在瀏覽器的外掛程式(spoofstick...等)來判斷是否該網站是否為釣魚網站(據說ie7和還未正式發布的Firefox 3.0都有相關技術的置入)