來自電子前線基金會的計畫
在提升數位安全的過程中,您可能會遇到不懷好意的人試圖破壞您的安全目標。我們稱這些不懷好意的人為敵人或攻擊者。如果攻擊者發送看起來無害,但實際上是惡意的電子郵件或連結,則稱為網路釣魚。
網路釣魚攻擊
通常是以一種訊息的形式來說服您:
- 點擊一個連結;
- 打開一個文件;
- 在您的裝置上安裝軟體;或
- 將您的使用者名稱和密碼輸入一個看似真實的網站。
網路釣魚攻擊可能會誘使您交出密碼,或騙您在裝置上安裝惡意程式。攻擊者可以使用惡意程式來遠端控制您的裝置、竊取資訊或監視您。
本指引將幫助您辨識釣魚攻擊,並列出一些實用的方法來幫助防範這些釣魚攻擊。
網路釣魚攻擊類型 Anchor link
目標為密碼的網路釣魚 (又叫竊取憑證)
網路釣魚者可以藉由發送偽造連結來騙取您的密碼。訊息中的網址可能看似導向一個目的地,但實際上卻連往另一個。在您的電腦上,通常可以藉由將滑鼠指標停留在連結上來查看目標網址。但連結可能會進一步偽裝成類似的字母,或者使用與合法網域名稱不同一個字母的域名,並可能將您引導至看似您會使用的服務 (例如 Gmail 或 Dropbox) 的網頁。這些偽造、複製的登錄畫面通常看起來非常逼真,很容易讓您輸入使用者名稱和密碼。如果您這麼做,會將您的登入認證發送給攻擊者。
因此,在輸入任何密碼之前,請查看網頁瀏覽器的位址欄。它會顯示頁面的真實網域名稱。如果它與您認為正在登錄的網站不相符,請停止操作!請記住,在頁面上看到企業標誌,並不能用來確認它是真實的。任何人都可以將標誌或設計複製到自己的頁面上來試圖欺騙您。
一些釣魚者會使用看起來像常用網址的網站來欺騙您,例如:https://wwwpaypal.com/ 不同於 https://www.paypal.com/。同樣的,https://www.paypaI.com/ (用大寫字母「i」代替小寫「L」) 與 https://www.paypal.com/ 不同。許多人使用縮短網址來讓較長的 URL 更易於閱讀或輸入,但它也可用來隱藏惡意導向目標。如果您收到像是 Twitter 的 t.co 縮短網址,請嘗試將其放到 https://www.checkshorturl.com/ 中,以查看實際連線的情況。
請記住,偽造電子郵件以顯示假造的回覆位址是很容易的。這也就是說,只是檢查寄件人表面上的電子郵件位址,並不足以確認電子郵件確實是由該寄件人發送的。
魚叉式網路釣魚
大多數的網路釣魚攻擊範圍非常廣泛。攻擊者可能會向成千上萬的人發送電子郵件,稱信中有有趣的影片、重要文件或收費問題。
但有時候,攻擊者會對已知的某個目標進行攻擊,即是所謂的「魚叉式網路釣魚」。想像一下,您收到一封來自鮑里斯叔叔的電子郵件,聲稱裡面有他孩子的照片。因為鮑里斯確實有孩子,而且看起來像是他寄的,所以您打開它。打開電子郵件時,裡面有個 PDF 文件。您打開 PDF 時,甚至可能真的會顯示鮑里斯孩子的照片,但它也會悄悄安裝惡意程式在您的裝置上,用來監視您。鮑里斯叔叔並沒有發送這封電子郵件,但有人知道您有一個鮑里斯叔叔 (而且知道他有孩子)。您點擊的 PDF 文檔啟動了您的 PDF 檢視器,但利用該軟體中的漏洞來執行自己的程式碼。除了向您展示 PDF 之外,它還會將惡意程式下載到您的電腦上。該惡意程式可能會檢索您的聯絡人,並記錄您設備的攝影機和麥克風所看到和聽到的內容。
保護自己不受網路釣魚攻擊的最佳方式,就是不要點擊任何連結或打開任何附件。但是這個建議對於大多數人來說不切實際。以下是一些防範網路釣魚的實用方法。
如何加強防範網路釣魚攻擊Anchor link
確保您的軟體在最新狀態
使用惡意程式的網路釣魚攻擊通常靠軟體漏洞來將惡意程式植入您的裝置上。一旦發現錯誤,軟體製造商通常會發布更新加以修復。這也就是說,較舊的軟體有更多的公開漏洞可被利用安裝惡意程式。請確保您的軟體在最新狀態,降低感染惡意程式的風險。
使用密碼管理工具與自動填入
自動填入密碼的密碼管理工具能記憶這些密碼屬於哪個網站。人類很容易被偽造的登錄頁面欺騙,密碼管理工具不會上同樣的當。如果您使用密碼管理工具 (包括您瀏覽器內建的密碼管理工具),當它拒絕自動填寫密碼時,您應該停下來想一想,並仔細檢查您所在的網站。最好使用隨機生成的密碼,這樣您就不得不依靠自動填入,也就較不可能將您的密碼輸入到偽造的登錄頁面。
跟寄件人確認電子郵件
另一種辨認電子郵件是否為網路釣魚攻擊的方法,是藉由不同管道與發送電子郵件的人確認。如果電子郵件據稱是從您的銀行發送,請不要點擊電子郵件中的連結。請打電話給您的銀行,或打開瀏覽器並輸入您銀行網站的網址。同樣的,如果鮑里斯叔叔發送電子郵件附件給您,在打開附件前,請先打電話給他,問他是否寄了孩子的照片給您。
在 Google 雲端硬碟中打開可疑文件
有些人會預期收到來自寄件人身分不明的附件。例如,記者通常會收到各種來源的文件。但是,要驗證 Word 文件、Excel 試算表或 PDF 文件是不是惡意的可能很難。
在這些情況下,請不要打開下載的文件,而是把文件上傳到 Google 雲端硬碟或其他線上文件檢視器。它們會把文件轉換成圖像或 HTML,這麼做幾乎能完全防止文件在您的裝置上安裝惡意程式。如果您願意學習新軟體,並願意花時間為閱讀郵件或外來文件建立新的環境,目前有許多專門的作業系統可限制惡意程式的影響。TAILS 是一套 Linux 架構的作業系統,可在您使用之後自行刪除。Qubes 是另一套 Linux 架構的系統,它將應用程式仔細分離,以防止互相干擾,限制惡意程式的影響。兩者都可在筆記型電腦或桌上型電腦運作。
您也可以將不受信任的連結和檔案提交給 VirusTotal。它是一項線上服務,使用多種不同防毒引擎檢查檔案和連結並報告結果。這並非萬無一失——防毒軟體往往無法檢測到新的惡意程式或有針對性的攻擊,但有檢查總比沒檢查好。
您上傳到公共網站 (例如 VirusTotal 或 Google 雲端硬碟) 的任何檔案或連結,都可能會被在該公司工作的人,或任何可存取該網站的人查看。如果檔案中包含機密資訊或為特權溝通(privileged communications),您可能需要考慮其他替代方案。
小心電子郵件寄送的指示
有些網路釣魚電子郵件聲稱來自電腦支援部門或技術公司,並要求您回傳密碼、允許「電腦維修人員」遠端存取您的電腦,或停用裝置上的某些安全功能。這樣的電子郵件可能會提供一個為何有此必要的說明,例如聲稱您的電子郵件空間已滿,或您的電腦已被駭客入侵。不幸的是,遵守這些虛假的指示可能會對您的資訊安全不利。在提供任何技術資料或遵循技術指示之前要特別小心,除非您可以絕對確定請求來源是真實的。
如果您對別人發送給您的電子郵件或連結存疑,請不要打開或點擊該連結,直到您使用上述的提示排除疑慮,並確信收到的內容並非惡意。