搜尋此網誌

2010年5月16日 星期日

[教戰守則] 如何避免成為釣魚攻擊的受害者

Phishing-Email-Scams 在前幾天的文章中,我們提到 Facebook 成為釣魚攻擊目標第四名的這個警訊。為什麼說是警訊呢?因為前三名 (PayPal、eBay、HSBC) 的網站,雖然在台灣也有提供服務,但是真正的使用人數都不及 Facebook 來的多。而且使用 Facebook 的人,涵蓋層面較廣,其中不乏許多對於網路安全意識較為薄弱的使用者。再加上一般人的認知上 Facebook 並不是什麼很重要的服務 (相較於購物網站或網路銀行而言),所以更容易因此失去了警戒心。這些因素再再都會使得 (針對 Facebook 的) 釣魚攻擊更加容易成功。

要避免遭受釣魚攻擊,作法其實很一般性。也就是說,保護網路銀行帳號跟保護 Facebook 帳號在觀念與基本作法上並沒有太大的差別,只是因為網路銀行包含更多且更值錢的資料,所以需要採用更謹慎的心態。根據 Anti-Phishing Working Group (APWG) 的文件,建議使用者採用下列方法以保護自己:

  • 對於緊急要求提供個人財務相關資訊 (如銀行帳號) 的電子郵件保持懷疑的心態。
  • 如果你無法確認發訊者的身分或意圖,不要直接點選電子郵件、即時訊息、或聊天訊息內的連結
    • 事實上,因為很多釣魚攻擊也會透過蠕蟲的概念散布給親朋好友,所以就算是已經知道發訊者確實為自己所熟知的人,也要盡量避免直接點選訊息內附的連結。
  • 不要在電子郵件內的表單填寫個人財務相關資訊。
  • 當你在填寫信用卡或其他敏感性的資料時,務必確保你連結的是安全的網站。
    • 所謂安全的網站至少必須採用 SSL 的加密方式,而且擁有由第三方所發放的合法憑證。
  • 記得並不是所有網站都會顯示 https。
    • 當你連結網址時,必須特別注意網址列所顯示的網址是否正確。關於此點,其實有些難度。因為釣魚網站的攻擊者,會使用一些障眼法來讓干擾使用者的判斷。光是 l 與 1 的差別,就可以讓很多使用者中招。儘管如此,多一份小心總是好的。
  • 安裝能夠保護你避免受到惡意網站攻擊的瀏覽器工具。
    • 事實上,很多新版的瀏覽器都已經具備偵測釣魚網站的能力。不過因為使用的資料來源不一,所以各家的偵測與防護能力也有所差別。
    • 因此盡管瀏覽器已經內建偵測能力,個人建議還是可以安裝額外的工具 (如 SiteAdvisor) 加以保護。除了可以提供雙重的防護外,也可以減少不同瀏覽器之間的差異。
  • 定期登入你的帳號。
  • 定期檢查你的銀行帳號、信用卡、債務帳單,以避免非法交易的產生。
  • 確保你的瀏覽器保持在最新的更新狀態。
    • 目前常見的瀏覽器,都提供了自動更新的功能。儘管如此,仍舊必須小心該功能是否被關閉了。
    • 另外一個必須注意的問題就是當瀏覽器進行大改版時 (如由 Firefox 2 改版成 Firefox 3),自動更新是否依舊有。而當因為某些原因不能進行版本更新時,必須確保舊版本仍受到原開發商的維護。
  • 當你發現釣魚網站或假冒網站時回報給相關的組織。
    • 因為這類組織幾乎都是使用外文 (英文) ,所以對某些使用者或許會有執行上的困難。事實上,這個動作比較偏向救人,而不是自救。

仔細檢視上面的建議,除了定期更新與安裝具備偵測惡意網站功能的瀏覽器 (或工具) 屬於技術方面的手法之外,其他都是屬於非技術性的手法。也就是說使用者自己的心態與警覺心,才是能否有效對抗釣魚攻擊最根本也是最重要的因素。

在上述的建議方法中,雖然都只提到個人財務相關資料,但是對於其他私密資料 (如帳號/密碼、身分證字號、甚至是生日),我們都應該採用相同的謹慎態度加以處理。一旦這些資料不保,不但可能因此造成個人財務資料的外洩,其所造成的危害甚至不僅只於金錢方面的損失。不可不慎。

完整的建議說明文件 (英文) 在這裡

About