網路釣魚有哪些類型?

網路釣魚攻擊有很多種形態跟樣貌,從傳統的網路釣魚電子郵件,到一些更有創意的手法,例如魚叉式網路釣魚和網路釣魚簡訊,它們全都有一個共同的目的:那就是騙取您的個人資料。

網路釣魚攻擊有哪些類型?

網路釣魚攻擊是一種社交工程攻擊,視攻擊者而定,其目標相當廣泛,有時候只是很通用的詐騙電子郵件,對象是任何擁有 PayPal 帳號的使用者。

網路釣魚也可以是一種專門瞄準特定人士的針對性攻擊,此時駭客會針對您來客製化郵件,例如直接跟您對話,或者加入一些只有您的熟人才知道的資訊。這通常是因為駭客已經掌握了您的個人資料,所以才有這些資訊。像這樣的網路釣魚郵件,就算是最小心謹慎的收件人也難保不會受騙。根據 PhishMe Research 的研究指出,勒索病毒攻擊占了所有網路釣魚郵件的 97% 以上。

何謂魚叉式網路釣魚 (Spear Phishing) 攻擊?

用釣竿釣魚,您有可能釣上來的是一條比目魚、海底動物,或者是垃圾。但如果是用魚叉捕魚,那您就可以將目標鎖定在特定的魚類。魚叉式網路釣魚也是同樣的意思。

魚叉式網路釣魚專門攻擊某一特定族群,或某一類特定目標,例如某家公司的系統管理員。以下是一封魚叉式網路釣魚的範例,請注意駭客特別針對了收件人所在的產業、受害者被要求點選的連結,以及駭客要求立即回覆等幾個重點。

何謂網路捕鯨 (Whaling)?

網路捕鯨是一種針對性更強的網路釣魚,因為這類攻擊專挑比一般魚類更大的目標下手 (也就是鯨魚)。這類攻擊鎖定的目標通常是某個產業或某家企業的 CEO、CFO 或其他 CXX 級的高層主管。網路捕鯨郵件的內容可能會說公司正遇到法律事件,請您點選連結來查看更多資訊。

點選連結之後,您會被帶到一個網頁要您輸入一些公司的重要資訊,例如:稅籍編號與銀行帳號。

何謂網路釣魚簡訊 (Smishing)?

網路釣魚簡訊是一種利用手機文字簡訊 (SMS) 來誘騙您的攻擊手法。一般的網路釣魚簡訊攻擊技巧,是發送一則含有連結可以點選或是含有電話號碼可以回撥的簡訊到手機上。

一種常見的網路釣魚簡訊攻擊,是發送一則看似來自您銀行的手機簡訊,內容會說您的帳號被盜,要您立即回應。駭客會要求您確認您的銀行帳號、身分證字號等等,駭客一旦掌握了這些資訊,就能掌控您的銀行帳號。

何謂網路釣魚電話 (Vishing)?

網路釣魚電話的目的跟其他類型的網路釣魚攻擊一樣,都是為了騙取您的個人或企業資訊,只是這類攻擊是經由語音電話。英文名稱 Vishing 中的「v」字就是代表語音的意思。

一種常見的網路釣魚電話是自稱為 Microsoft 人員打來的電話,這名人員會宣稱他們在您的電腦上偵測到病毒。接著,您必須提供信用卡資訊,好讓他幫您安裝一套新版的防毒軟體在您的電腦上。您一旦上當,駭客就會拿到您的信用卡資料,然後您的電腦很可能會被裝上惡意程式。

這個惡意程式有可能是個銀行木馬程式,或是一個殭屍病毒。銀行木馬程式會暗中監視您的上網活動,然後竊取您的資料,通常是您的銀行帳號和密碼。

殭屍病毒則是一種可讓駭客任意操控您電腦的軟體,駭客會利用幕後操縱 (C&C) 伺服器來操控它,用您的電腦來挖比特幣、發送垃圾郵件、發動分散式阻斷服務 (DDoS) 攻擊等等。

何謂網路釣魚電子郵件?

網路釣魚電子郵件是最普遍的一種網路釣魚形態,從 1990 年代存在至今。駭客會發送這類電子郵件到所有他們可蒐集到的電子郵件地址。郵件內容會說,您的帳號可能被盜,您必須立即點選郵件中隨附的連結來處理。這類攻擊通常很容易辨識,因為這類郵件的內容大多含有錯字或句法錯誤。

但也有些郵件不太容易判斷是否為網路釣魚攻擊,尤其是當郵件的遣詞造句都特別謹慎時。此時可查看電子郵件的來源,以及郵件內提供的連結網址來判斷這是不是一封可疑的郵件。

還有一種網路釣魚詐騙稱作「性愛勒索」(sextortion),駭客會發送一封看似由您所發出的電子郵件,駭客會宣稱已經掌控了您的電子郵件帳號和您的電腦。並宣稱他們擁有您的密碼,並且偷錄了一段您的影片。

駭客會宣稱您經常用您的電腦看 A 片,然後您看 A 片的過程都被您電腦的視訊攝影機拍了下來。他們要求您支付一筆金額 (通常是比特幣),否則就將這段影片發送給您的親朋好友或同事。

何謂搜尋引擎網路釣魚?

搜尋引擎網路釣魚又稱為「搜尋引擎最佳化 (SEO) 毒化」或「SEO 木馬」,也就是駭客設法讓自己的網站連結排行在 Google 或其他搜尋引擎搜尋結果的前幾名。當您點選這些在搜尋結果中出現的連結時,就會被帶到駭客架設的網站。當您與這個網站互動或輸入敏感資料時,駭客就會取得您的資訊。駭客可能假冒的網站不限任何種類,不過他們主要還是針對銀行、轉帳、社群媒體以及購物網站。

網路釣魚議題