Day19【Web】网路攻击：网路钓鱼（Phishing）

网路钓鱼常被简称为网钓，
即攻击者透过伪装成正规的法人媒体，
以获得如使用者名称、密码和信用卡明细等
个人敏感资讯进行犯罪诈骗。

网钓通常透过 e-mail 或即时通讯进行，
攻击者会引导使用者到 URL 与介面外观
同真正网站几无二致的假冒网站输入个人资料。

即便使用强式加密的 SSL 服务器认证，
侦测网站是否仿冒实际上仍很困难。

网钓技术

链结操控

让连结看上去像是属於原本的合法组织，
实际上却是引导到另一个网站。

过滤器规避

使用图像代替文字，
使反网钓过滤器难以侦测
网钓电子邮件中常用的文字。

网站伪造

使用 JavaScript 改变位址栏，
用一个合法网址的位址栏图片
盖住真实位址栏仿冒知名网站。

电话网钓

声称是从银行打来的讯息，
告诉使用者拨打某支电话号码
以解决其银行帐户的问题。
一旦电话号码被拨通
（网钓者拥有这支电话，通常是网络电话），
该系统会提示使用者键入他们的帐号和密码。

WIFI 免费热点网钓

在公共场所设定一个假 Wi-Fi 热点，
一旦使用者用个人电脑或手机登入该 Wi-Fi，
个人资料和所有隐私都会因此落入骇客手中，
有时连上假 Wi-Fi 的装置甚至会被隐密安装间谍软件。

隐蔽重新导向漏洞（Covert Redirect）

攻击者建立一个使用真实站点位址的弹出式登录视窗，
引诱上网者输入他们的个人资讯。

反网钓技术

社会观念

• 收到要求「认证／核对身分」的信件时，与来源联络以检查这份邮件真实性。
• 前往连结前，应确认网址为该公司的真正网站，并透过浏览器网址栏输入前往，而不要轻易点击信件中的超连结。
• 有些公司（如 PayPal）在电子邮件中，通常会以客户使用者名称称呼其客户。因此当电邮的收件人是通用格式（如「亲爱的PayPal客户」）时，就要留意可能是网钓信件。

网路技术

协助辨识合法网站

透过 TLS 与凭证进行安全认证：

• 确认连线在授权模式下
• 确认使用者连到的站点网址
• 确认管理机构保证其为真实站点

以上三者都齐备才能授权，
并且需要送交使用者确认。

安全连线

藉由 SSL 进行加密的安全连线，浏览器的网址列最前面，都会有一个上锁的锁头图样。

管理机构

明确显示使用者要求连线的网站网理机构，
在安全等级最低的状况下，
对使用者而言浏览器就是管理机构，
浏览器透过控制凭证颁发机构
（CA，Certification Authorities）来承担此责任。

浏览器提醒使用者欺诈网站

现在多数浏览器都会保持
一份已知的网钓网站名单，
并随时更新。

消除网钓邮件

专门的垃圾邮件过滤器，
可以减少收件人收到网钓电子邮件。

法律对策

随着网路犯罪推陈出新，
许多实际的法院判例被各国援引，
作为往後类似案例的判决依据。

参考资料

• 网路钓鱼 - 维基百科