何謂網路釣魚？

網路釣魚是一種興起於 1990 年代中期的攻擊手法，一開始是有一群年輕人利用美國線上 (AOL) 的聊天室功能來假冒 AOL 系統管理員。他們竊取其他使用者的信用卡卡號來讓他們永久免費使用 AOL 服務。

AOL 提供了一個「新會員聊天室」的功能來讓使用者到聊天室尋求使用上的協助。這群駭客創了一些看似 AOL 系統管理員的帳號 (如「BillingAccounting」)，然後告訴使用者說他們的帳號發生問題。 

使用者被要求提供信用卡卡號來解決這些問題，這群不肖的駭客就拿這些信用卡來支付他們自己的帳號費用。雖然「網路釣魚」一詞當初創造出來時是指類似這樣的攻擊，不過時至今日，它主要已經變成了電子郵件詐騙的代名詞。就這樣，網路釣魚詐騙一直持續至今，而且隨處可見。根據 Verizon 2021 年資料外洩調查報告 (Data Breach Investigations Report，簡稱 DBIR) 指出，36% 的資料外洩都是因網路釣魚而引起。

既然網路釣魚主要仰賴的是社交工程技巧，那麼很重要的一點就是，所有使用者都應了解駭客如何利用人性的弱點。首先，社交工程技巧是一種駭客用來說服使用者做某些動作的騙術，使用者在平常的時候通常不會做這些事。

社交工程技巧有時很單純，例如故意假裝手上拿滿了東西來讓人家主動開門。還有一種類似的社交工程技巧是故意將一個 USB 隨身碟遺落在停車場，隨身碟上還貼著「家庭生活照」的標籤。但這個 USB 隨身碟很可能暗藏惡意程式，一旦插入電腦，惡意程式就會自動安裝到電腦上，如此就能駭入電腦。這就是所謂姜太公釣魚，願者上鉤。

目前，網路釣魚主要是指一般的電子郵件攻擊，駭客會盡可能大量散發這類電子郵件，並經常假冒一些常見的服務或機構，如：PayPal 或美國銀行 (Bank of America)。

這類電子郵件會謊稱他們懷疑您的帳號遭人盜用，要求您點選郵件內的連結來確認帳號的合法性。這個連結通常有兩種作用：

1. 將您帶到某個酷似原機構的網站，但其實是個惡意網站，例如將使用者帶到「www.PayPals.com」，但其實真正的 PayPal 網址是「www.PayPal.com」 (請注意第一個網址多了一個「s」)。當您在這個網頁上輸入自己的登入資訊時，駭客就可以蒐集到您的帳號 ID 跟密碼。
   
   接下來，駭客就能進入您的銀行帳號，然後將裡面的存款匯走。不僅如此，駭客還可能獲得另一項好處，那就是駭客或許也取得了進入您其他帳號的密碼，例如：Amazon 或 eBay (因為您在這些網站上也使用了同樣的帳號密碼)。
2. 下載惡意程式到您的電腦上，惡意程式一旦安裝到電腦上，就能用於發動後續攻擊。這個惡意程式有時是鍵盤側錄程式，可用來擷取您輸入的登入資訊或信用卡卡號，有時是勒索病毒，會將硬碟上的檔案加密然後向您勒索一筆贖金 (通常使用比特幣)。
   
   有一種可能的情況是，駭客會下載挖礦程式到電腦上，利用被感染的電腦開挖比特幣。它會趁您沒在用電腦時挖礦，或者隨時占用一定比例的 CPU 資源來挖礦。當駭客在挖礦時，電腦的速度通常會變得很慢。

這些年來，網路釣魚已經發展出針對各種不同資料的攻擊，除了錢之外，駭客的目標也可能是一些機敏資料或是照片。