在網路釣魚攻擊中,駭客會假扮成他人,利用詐騙通訊內容誘騙受害者提供敏感資訊或下載惡意程式。
目錄
網路釣魚中的「釣魚」兩個字是指駭客利用「誘餌」並假冒正常機構來引誘受害者上當。它被視為一種社交工程攻擊,因為它利用了人類的恐懼、同理心、貪婪等情緒來從事狡猾和詐騙的行為。
在網路釣魚詐騙當中,駭客會經由電子郵件、簡訊、電話或社群媒體平台,並假冒正常且值得信賴的個人或企業來接觸受害者。他們會利用情緒操弄誘騙受害者提供敏感的個人或企業資料。目的是要:
- 竊取個人身分識別資訊 (PII),例如:使用者名稱、密碼、信用卡卡號、銀行資料,或是他們可能用來販售或駭入帳號或竊取錢財的敏感企業資訊。
- 說服使用者將錢匯到看似信譽良好的個人或公司。
- 讓使用者的電腦感染惡意程式或勒索病毒。
網路釣魚攻擊有多常見?
網路釣魚是導致資料外洩最常見的攻擊管道。2025 年第一季,網路釣魚防治工作小組 (Anti-Phishing Working Group) 統計了超過一百萬次的網路釣魚攻擊,是 2023 年底以來數量最多的一季1。這些攻擊當中有超過 30% 都是針對線上支付與金融產業。
網路釣魚之所以在駭客之間相當流行,有幾個原因:
- 成本低廉:駭客只需製作一封看似來自某家正常企業的電子郵件或簡訊。
- 攻擊很容易成功,因為它們會利用人類的情緒,而非程式設計技術。
- 企業非常仰賴電子郵件,使得電子郵件成為企業最嚴重的一項威脅管道。
- 即使有資安軟體,還是不可能百分之百攔截這類攻擊,因為使用者還是有可能點選其中的網址、開啟文件,或提供敏感資訊。根據 Gartner® 的報告指出:「人為疏失造成的資安事件大約占全部的 76%。此外,系統入侵、基本的網站應用程式攻擊,以及社交工程攻擊,加起來約占所有資安事件的 79%2。」
網路釣魚攻擊最初是如何開始的
「網路釣魚」一詞最早出現在 1994 年,當時有一群青少年在 AOL 上利用手動方式向不知情的使用者索取信用卡卡號。
從此之後,駭客便不斷發明新的方法來向連上網際網路的使用者蒐集資訊。到了 2000 年代中期,又出現了一些其他術語,如「魚叉式網路釣魚」和「網路捕鯨」,用來描述專門針對高階主管或高知名度、高權限人士的攻擊。
到了 2010 年代,網路釣魚攻擊開始不只出現在電子郵件或聊天室,駭客開始使用多種平台,包括:行動裝置、社群媒體以及即時通訊應用程式。
今日,駭客會利用 AI 來製作訊息 (包括語音和視訊) 好讓它們看起來更容易讓人相信,同時也用 AI 來修正文法和拼字錯誤、根據社群媒體蒐集而來的資料將訊息個人化,以及將訊息翻譯成任何目標語言。不僅如此,駭客還會製作深偽 (deepfake) 內容,這是一種高度逼真的音訊和視訊內容,通常使用 AI 來模仿某人的聲音或外貌。
網路釣魚如何運作?
網路釣魚訊息通常會讓人覺得緊急而需要立即回應。比方說,它可能會要求收件人點選某個網址或提供敏感資訊來避免帳號遭到停用。使用者若真的照做,就會將資料傳送給駭客,或下載惡意程式到電腦上。網路釣魚訊息會刻意做得真假難分,因為它們會模仿正常訊息的樣貌和內容,使用官方的標誌、網址,還有其他特色元素。
雖然絕大多數網路釣魚訊息都會假冒來自知名且值得信賴的來源 (例如銀行),但有時寄件人會是陌生人,例如早期一起名為「奈及利亞王子詐騙」的網路釣魚攻擊就是如此。受害者收到的電子郵件宣稱來自一名富有的皇室成員或政府官員,希望找人幫忙將錢匯到國外。他們承諾如果收件人先匯一筆錢或提供個人資訊給他們,他們將來會提供一筆豐厚的報酬,這樣的手法至今仍在使用。
網路釣魚的技術層面
雖然網路釣魚攻擊可能只是一封簡單的詐騙電子郵件,但多年來,駭客已開發出許多精密的技巧來讓訊息更容易讓人相信,並且更有效蒐集資訊:
- 假冒網域:將電子郵件或網站偽裝得看似來自正牌的網域,例如看起來很像的網址或是刻意拼錯字的網域 (拼錯字或稍微變體)。
- 假網站:架設一個假冒真實網站的詐騙網站。
- 假冒電子郵件:偽造寄件人的電子郵件地址,讓郵件看起來像是來自正牌的企業。
- 假 SSL 憑證:使用偷來或假冒的安全憑證來讓網站看起來很安全,通常是藉由顯示人們熟悉的鎖頭符號。
- 假的/惡意的登入頁面:模仿正牌的登入畫面來蒐集受害者的使用者名稱和密碼。
- 惡意連結:用來散布惡意程式或將使用者導向網路釣魚網頁的網址。
- 搜刮聯絡人:使用各種技巧來蒐集電子郵件地址、員工姓名或個人資訊等等,用來建立目標清單或個人化訊息。
- DNS 快速變換:快速切換惡意網域所使用的 IP 位址以避免被偵測。
網路釣魚與其他網路攻擊有何不同?
其他同樣常見的網路攻擊類型還有惡意程式和垃圾郵件,以下是網路釣魚和它們的不同之處:
- 惡意程式是一種可安裝在系統上的技術性威脅,無需仰賴使用者回應詐騙訊息。雖然網路釣魚可用於散布惡意程式,但兩者並不相同。
- 垃圾郵件是指不請自來的大量訊息,例如不受歡迎的廣告或內容。有別於網路釣魚,垃圾郵件並不包含假冒他人或社交工程詐騙的成分。
網路釣魚攻擊的類型
由於有這麼多犯罪途徑可供駭客使用,也難怪今日的網路釣魚攻擊類型繁多:
- 垂釣式/社群媒體網路釣魚:駭客透過社群媒體平台的私訊來與受害者聯繫,從事社群媒體網路釣魚攻擊。
- 應用程式/應用程式內部網路釣魚:正常應用程式出現假的登入畫面或惡意的彈出訊息。
- 變臉詐騙 (BEC):這類破壞性很強的企業網路釣魚,通常使用被駭員工的電子郵件帳號來發送訊息,或由一名駭客冒充高階主管或廠商來要求將錢匯到某個詐騙帳號。有時候,變臉詐騙也可能來自內部,例如,企業內部員工使用偷來的登入憑證存取內部支付系統,修改匯款流向。
- 重複訊息網路釣魚:將之前收到的真實訊息再發送一次,然後附上惡意網址或危險附件。既然收件人相信了第一封訊息,那就更有可能相信並回應第二封訊息。
- 網路釣魚電子郵件:駭客發送一封看似正常的電子郵件來引起收件人的疑慮、擔憂或好奇,並要求收件人點選某個網址或提供個人資料。儘管駭客集團有各式各樣的最新平台可用,但電子郵件仍是他們最普遍使用的,其中一個原因是,同樣的郵件可以分別發送給許多人來提高成功機率。
- QR code 網路釣魚 (Quishing):Quishing 是使用 QR code 來連上惡意網站的一種網路釣魚手法,比方說連上竊取使用者登入憑證的網站。
- 網路釣魚簡訊 (Smishing):駭客集團發送文字簡訊 (SMS) 要求接收者點選某個網址或撥打電話給發送者,這就是網路釣魚簡訊。
- 魚叉式網路釣魚 (Spear phishing):駭客發送一封針對某機構或某位人士的電子郵件,被針對的對象通常是財務部門的人員,因為他們擁有敏感資料的存取權限或授權。駭客集團有可能蒐集或購買有關攻擊目標的相關資訊,目的是要讓訊息看起來更具體明確、更容易被相信。
- 語音釣魚 (Vishing):駭客會撥打市話、手機或 VoIP 電話來與使用者交談,從事所謂的語音釣魚。
- 網路捕鯨 (Whaling):網路捕鯨 (Whaling) 跟魚叉式網路釣魚類似,但目標通常是高階主管。
分辨網路釣魚攻擊
由於網路釣魚如此猖獗,因此所有員工都必須隨時留意網路釣魚訊息的徵兆,包括:
- 可疑的寄件人地址,例如:accounts.paypal@gmail.com,這個電子郵件的使用者名稱當中雖然含有「paypal」字樣,但它實際上是一個 Gmail 電子郵件地址。
- 訊息中的拼字錯誤或文法錯誤。
- 急著催促收件人立即行動、語帶威脅,或者要求提供個人資訊。
- 網站上或電子郵件簽名當中沒有聯絡資訊。
- 太過好康的優惠。
- 未指名道姓的電子郵件,例如「親愛的夫人您好」。
- 使用短網址連結。
- 電子郵件地址結尾與官方網站所在的網域不符,例如:name@amaz0n.com 而非 name@amazon.com,這裡的字母「o」被偷換成了數字「0」(零)。
- 使用非正常檔案類型的附件,尤其是 .exe 或 .zip。
網路釣魚攻擊得逞案例研究
近年來出現了多起惡名昭彰的網路釣魚攻擊:
- Google Docs 網路釣魚 (2017 年):受害者收到一封電子郵件要求提供存取權限給一個看似 Google Doc 的應用程式,但其實是假的 OAuth 應用程式。當使用者提供存取權限時,駭客便能存取使用者的 Gmail 通訊錄,然後將該訊息發送給更多受害者。
- PayPal 網路釣魚詐騙 (持續中):駭客發送看似 PayPal 官方訊息的電子郵件來警告收件人出現可疑活動或帳號問題。當收件人點選連結時,就會被帶到一個假的登入頁面來竊取他們的登入憑證和金融資訊。
- Office 365 登入憑證攻擊 (2019 年至今):使用看起來像 Microsoft 通知訊息的電子郵件,通常是針對企業。這些郵件可能宣稱收件人的密碼已經過期,或者有了一個新的語音信箱,郵件內的網址會指向一個假的登入畫面,該畫面會擷取企業的登入憑證以便用於變臉詐騙 (BEC)。
防範網路釣魚攻擊
雖然網路釣魚無所不在,但一般個人和企業仍有許多方法可以保護自己。
個人良好習慣
- 在回覆電子郵件之前,請小心檢查其內容,看看是否有拼字或文法錯誤,並且避免透過電子郵件提供金融資訊或個人資料。在開啟電子郵件的附件檔案之前,請先稍微想一下,這個人平常會寄檔案給你嗎? 如果不會,請直接向他們詢問確認。
- 在點選網址之前請先查看一下,以免點選到來路不明的連結。將滑鼠游標移到連結上方,看看它顯示的網址是否看起來正常,並且以「https」開頭,表示這是一個安全的網站。避免點選短網址,例如「https://bit.ly」。
- 當您在網站上輸入敏感資料之前,請先查看網頁頂端顯示的網址。確認一下:這是不是正牌的網站? 網址中是否存在不該有的字元? 是否有些字母被改成了數字 (例如將字母「O」換成了數字「0」? 網址是以「https」開頭嗎?
- 讓資安軟體、應用程式、裝置以及瀏覽器隨時保持更新。
- 使用防火牆、防毒軟體、惡意程式防護、網路釣魚防護等工具。
- 經常變更密碼,並使用接近或超過 20 個字元的密碼。在密碼中包含大寫、小寫、數字或符號。切勿在多個網站或應用程式使用相同的密碼。若您無法記住自己的密碼,請建立一個您記得住的長密碼,然後將其他密碼鎖在一套密碼管理員程式內。
- 在您的帳號上啟用雙重認證 (2FA)。
- 使用安全的通訊平台。
- 看到好友轉發的貼文,先別急著點進去。如果某樣東西好得讓人難以置信,那很可能就是假的。當收到好友傳來的訊息說他們遇到了困難急需借錢的時候,先別急著回應,先想一下他們會這樣向你借錢嗎?
- 在看到螢幕上方或下方的彈出訊息時,先思考一下再決定是否點選。
- 絕對不要輕易提供您的個資,除非您很肯定對方是您信賴的人。
企業最佳實務原則
- 使用一套電子郵件閘道來攔截垃圾郵件,並過濾掉含有可疑連結或附件檔案的郵件。
- Gartner 建議:「投資具備機器學習 (ML) 功能的電子郵件防護解決方案來發掘 AI 生成的網路釣魚和 QR code 網路釣魚3。」這些工具有助於偵測傳統過濾規則可能抓不到的精密攻擊。
- 採用 Domain-based Message Authentication, Reporting, and Conformance (DMARC) 電子郵件認證工具來防止駭客偽造電子郵件中的「寄件人」地址。
- 投資一套網站過濾解決方案來偵測惡意網址並過濾內容。
- 安裝一套端點防護解決方案來保護企業的裝置。
- 採用 AI 過濾技術來偵測變臉詐騙 (BEC) 郵件。
- 採用服務內整合的資安解決方案來防範來自您企業內部的網路釣魚攻擊。
- 確定您的員工都了解網路釣魚攻擊的危險,定期對員工實施網路釣魚模擬攻擊訓練。
遇到網路釣魚時該如何處理
如果您或您的企業掉入了網路釣魚的陷阱,請務必迅速採取行動:
- 檢查金融帳戶是否有可疑或非預期的活動。
- 變更密碼並啟用 2FA。
- 執行資安掃描,並且安裝或更新防毒軟體與惡意程式防護軟體。
- 通知相關單位,包括:銀行、社群媒體平台、ISP、IT 部門以及財務部門。
- 向美國聯邦貿易委員會 (FTC) 和網路釣魚防治工作小組通報這起攻擊。
- 向 Equifax、Experian 或 TransUnion 這類信用報告機構註冊來持續防範身分盜用。
哪裡可以取得有關防範網路釣魚攻擊的協助?
網路釣魚依然是駭客滲透企業最有效 (且造成的代價最昂貴) 的管道之一。隨著社交工程技巧的演進,傳統的電子郵件過濾與被動式防禦根本不夠。資安團隊需要能了解人類行為的工具、偵測細微的異常狀況,並且在威脅到達收件匣之前預先加以攔截。此時,AI 驅動的現代化電子郵件與協同作業防護就能派上用場。
Trend Vision One™ – Email and Collaboration Security 能協助企業主動管理人員風險並且防範今日最先進的網路釣魚威脅。它不會只靠靜態規則或特徵比對來偵測,而是以人員為網路資安的核心,藉由分析通訊模式、使用者行為、電子郵件意圖以及情境訊號來發掘隱藏在信任關係當中的攻擊。
Scott Sargeant 是趨勢科技產品管理副總裁,也是一名經驗豐富的技術領導人,在開發網路資安與 IT 領域企業級解決方案方面擁有 25 年以上經驗。
常見問題 (FAQ)
網路釣魚攻擊對中小企業的影響是否有別於大型企業?
網路釣魚攻擊通常會讓中小企業蒙受更大的財務損失、停機以及商譽損失,因為中小企業無法像大型企業擁有那麼多的網路資安資源。
網路釣魚 (phishing) 與網址嫁接 (pharming) 有什麼差別?
網路釣魚是誘騙受害者提供敏感資訊,網址嫁接是暗中將使用者從某個正牌網站重導至詐騙網站。
網路釣魚攻擊是否能避開雙重認證 (2FA)?
是的。網路釣魚套件有可能攔截一次性密碼,或者使用反向代理器 (reverse proxy) 來駭入登入階段,基本上等於避開了 2FA。
可否舉一個真實網路釣魚電子郵件的範例?
例如一封來自 Amazon 的電子郵件說您的帳戶已被停用,並要求您點選一個網址來驗證您的帳戶,這就有可能是網路釣魚郵件。
駭客集團如何利用 AI 或深偽 (deepfake) 來從事網路釣魚?
駭客會使用 AI 撰寫一些針對性、容易讓人相信的訊息,或者生成模仿收件人認識對象的聲音和長相的深偽語音或影片。
哪些產業最容易遭到網路釣魚攻擊?
網路釣魚最常攻擊的產業包括金融服務、醫療以及零售,因為他們會儲存大量的客戶資料和支付資訊。
行動裝置使用者該如何防範網路釣魚?
行動裝置使用者應確認訊息的寄件人、安裝行動安全防護軟體、隨時保持裝置和瀏覽器更新,並且避免點選可疑連結。
企業偵測一起網路釣魚攻擊需要多久的時間?
偵測一起網路釣魚攻擊有時可能需要數週或數個月的時間,因為網路釣魚通常只有在登入憑證遭到濫用或發現可疑活動之後才會露出馬腳。
網路釣魚駭客將面臨什麼法律後果?
網路釣魚駭客集團可能面臨的法律後果包括:罰款、坐牢、沒收資產,甚至是引渡。
DNS 防護在防範網路釣魚方面扮演什麼角色?
DNS 防護可防止使用者存取已知的惡意網域或假網站,並支援 DMARC、SPF 和 DKIM 等認證通訊協定來驗證寄件人。
資料來源
資料來源 1: Anti-Phishing Working Group,2025 年,「網路釣魚活動趨勢報告」(Phishing activity trends reports)。https://apwg.org/trendsreports
資料來源 2:Gartner,「如何保護企業免於變臉詐騙網路釣魚」(How to protect organizations against business email compromise phishing),作者:Franz Hinner,日期:2025 年 3 月 28 日。
資料來源 3:Gartner,「解決進階電子郵件安全威脅的四大原則」(4 tenets to address advanced email security threats),作者:Satarupa Patnaik 與 Franz Hinner,日期:2024 年 10 月 14 日。
GARTNER 是 Gartner Inc. 和/或其相關機構的商標。