網路釣魚是最古老的網路犯罪威脅之一，自網路誕生之初就已存在。

然而，網路釣魚詐騙也是任何組織面臨的最大網路安全威脅之一，其獨特之處在於它針對的是人類而不是軟體或硬體。

這意味著，即使您投資了最昂貴的網路安全基礎設施，如果易受攻擊的員工受到網路釣魚計畫的危害，您的組織也可能面臨風險。這是網路釣魚如此危險的主要原因之一。

不幸的是，近年來網路釣魚的危險在品質和數量上都在增加。根據反網路釣魚工作小組 (APWG) 的網路釣魚活動趨勢報告，到2022 年3 月，網路釣魚攻擊將達到1,025,968 起，較2021 年第四季增加15%。種類也有所增加。

在本文中，我們將共同了解什麼是網路釣魚、如何識別網路釣魚，以及企業如何更有效地保護其員工和客戶免受網路釣魚攻擊。

在本指南結束時，您將了解：

• 什麼是網路釣魚詐騙？
• 2024 年不同類型的網路釣魚
• 如何辨識網路釣魚嘗試
• 如何保護您的企業免受網路釣魚 
• 如何報告成功和不成功的網路釣魚嘗試並減輕損害

讓我們立即開始本指南。

目錄

• 什麼是網路釣魚詐騙？
• 網路犯罪者為何進行網路釣魚？
• 網路釣魚攻擊的剖析
• 不同類型的網路釣魚攻擊
• 如何保護您的企業免受網路釣魚
• 阻止網路釣魚攻擊中冒充您的品牌
• 接下來是什麼

什麼是網路釣魚詐騙？

網路釣魚是一種網路犯罪，犯罪者冒充名人或合法機構聯繫目標受害者，誘騙受害者提供機密、敏感和/或有價值的信息，例如個人識別資訊 (PII) 、銀行詳細資料、信用卡資訊、帳戶憑證等。

「網路釣魚」一詞類似於釣魚，指的是網路犯罪如何從受害者那裡「釣魚」憑證、密碼和其他敏感資訊。 

網路釣魚一詞最早於 1996 年左右被駭客使用，當時駭客竊取了當時流行的 AOL（美國線上）帳戶。 20 世紀 90 年代末的駭客傾向於使用字母“ph”來代替“f”（即“phreaks”），因此得名“網絡釣魚”。

傳統上，網路釣魚是透過電子郵件進行的，但現在網路釣魚可以透過電話、簡訊、社群媒體評論、社群媒體私訊、部落格評論等各種不同的通訊媒介進行。

網路犯罪者為何進行網路釣魚？

簡而言之，就是將被竊資訊貨幣化。

與大多數其他犯罪活動（包括網路犯罪）一樣，大多數網路釣魚攻擊背後都有經濟動機。

然而，在某些情況下，動機不是經濟的，例如個人恩怨或政治原因（即黑人運動），但這種情況相對較少。 

那麼，網路犯罪者如何透過網路釣魚賺錢呢？了解他們的獲利技術可能會幫助您識別網路釣魚嘗試，以下是一些範例：

• 竊取您的信用卡信息，然後使用信用卡詳細信息在互聯網上購買商品。
• 例如，當網路犯罪分子成功提取敏感資訊時，勒索，然後勒索受害者向他們支付一些錢，否則他們將向公眾發布該資訊。
• 向其他方（即您的競爭對手、其他駭客）出售敏感/個人資訊。暗網上常見的做法。
• 使用您的資訊發起另一項詐騙/網路犯罪活動，例如，使用您的帳戶聯絡您的朋友來詐騙他們。

網路釣魚攻擊的剖析

網路釣魚是社會工程的一種形式，它是一個總稱，用於指透過人際互動實現的各種犯罪活動。

網路釣魚依靠心理操縱來誘騙受害者洩露敏感資訊或犯下安全錯誤。

雖然網路犯罪分子可以在網路釣魚攻擊中使用不同的技術和方案，但通常他們會遵循以下模式：

1. 犯罪者首先研究目標受害者和/或他們所處的環境，以收集必要的信息，例如潛在的安全漏洞和其他弱點。
2. 犯罪者發起聯繫，試圖獲得受害者的信任。
3. 肇事者要嘛：
   1. 提供一些有價值的東西來激發受害者的緊迫感。
   2. 通常透過虛構的威脅向目標受害者灌輸恐懼（即「您的帳戶很快就會被刪除，我們需要驗證您的身分」）。
4. 受害者被誘騙洩露他們的個人資訊或憑證。

例如：

1. 犯罪者以 Gmail 使用者為目標受害者，對 Gmail 平台及其政策進行了研究。
2. 犯罪者向 Gmail 用戶發送了一封電子郵件，其電子郵件地址類似於 Google 的官方地址（例如，帶有「Google.biz」網域）。
3. 該電子郵件提醒用戶存在違反政策的情況，需要立即採取行動（即更改密碼、更改安全性問題等），並且該電子郵件將包含與 Gmail 登入頁面幾乎相同的虛假網站的連結。
4. 受害者在虛假登入頁面上輸入他們當前的憑證，他們的憑證將有效地發送給攻擊者。 

這只是網路犯罪分子每天使用的眾多不同網路釣魚技術和方案的一個例子。但是，我們可以將網路釣魚攻擊分為幾種主要類型，我們將在下面討論。

不同類型的網路釣魚攻擊

1.電子郵件網路釣魚

顧名思義，最基本的網路釣魚計劃類型涉及犯罪者冒充知名品牌或個人發送電子郵件。

該電子郵件將包含惡意網站的連結或包含會感染收件者裝置的惡意軟體的附件。

如何識別：

雖然網路犯罪分子在發起電子郵件網路釣魚方面變得越來越老練，但您通常可以尋找以下跡象：

• 檢查寄件者電子郵件地址的網域名稱並確保其合法。
• 如果電子郵件包含任何聯絡資訊，請將此聯絡資訊與電子郵件聲稱來自的公司網站上的聯絡資訊進行交叉核對。
• 避免點擊任何縮短的連結。這是欺騙安全電子郵件網關的常用技術。 
• 仔細檢查所有看起來合法的徽標並查看原始程式碼。它們往往包含惡意 HTML 屬性。
• 當電子郵件的文字很少且正文中只有圖像/照片時，請保持適當的懷疑。該圖像可能隱藏惡意程式碼。

2.魚叉式網路釣魚

魚叉式網路釣魚通常也使用電子郵件作為主要通訊媒介，因此它可以被視為電子郵件網路釣魚的變體。 

主要區別在於魚叉式網路釣魚的針對性更強，通常針對單一受害者（或一小群受害者）。

犯罪者首先對目標受害者進行深入研究，從社交媒體、公司網站等收集有關受害者的信息，然後利用收集到的真實姓名等信息，針對該受害者制定個性化方案（受害者的老闆或人力資源開發經理的電話號碼等，以獲取受害者的信任。 

最終，由於受害者根據所使用的有效資訊相信了詐騙者的身份，因此陷入了犯罪者的陷阱。

如何識別：

由於攻擊者進行了大量的研究以及他們使用的看似有效的信息，識別魚叉式網路釣魚攻擊可能更具挑戰性。但是，請尋找以下內容：

• 一封聲稱來自您的老闆或公司重要人士的電子郵件，其中包含受密碼保護的文件或文檔，要求您輸入使用者名稱和密碼。這是竊取憑證的常見方案。
• 一般來說，考慮到所謂寄件者的工作職能，請注意任何看似異常的請求。
• 另一種常見的方案是提供儲存在 Google Drive、Dropbox 或其他基於雲端的儲存服務上的文件的連結。這些連結通常會將您重新導向到惡意網站。

3.捕鯨

魚叉式網路釣魚策略的另一種變體，捕鯨或通常也稱為“首席執行官欺詐”，涉及犯罪者使用開源情報 (OSINT) 技術來查找組織首席執行官或高層管理人員的姓名，然後使用虛假資訊冒充該人電子郵件。 

然後，犯罪者會針對該公司的員工，向收款人索取帳戶憑證、銀行訊息，甚至要求收款人進行轉帳。

如何識別：

• 仔細檢查寄件者的電子郵件地址，確保其來自公司的官方電子郵件地址。一個常見的技巧是聲稱電子郵件來自他們的個人地址（即他們目前無法訪問他們的工作電子郵件。）
• 請毫不猶豫地與公司中的其他人確認，甚至將電子郵件提供給聲稱來自電話的人。
• 如果電子郵件聲稱來自您公司中以前從未與您有過任何聯繫的人員，請格外小心。

4.HTTPS網路釣魚

我們中的許多人都接受過培訓，認為 HTTPS 網站是端對端加密的，因此在提交個人資訊和憑證時是安全的。

然而，許多詐騙者在網路釣魚嘗試中利用這些知識，在網路釣魚電子郵件中連結的虛假網站中使用 HTTPS 協定。

如何識別：

• 檢查連結是否使用超文本隱藏真實URL
• 重新檢查連結是否沒有被縮短，並且URL的所有部分都顯示出來

5.語音釣魚

「語音網路釣魚」的縮寫，顧名思義，這是透過電話進行的網路釣魚嘗試。 

通常，犯罪者會在繁忙的時間打電話，恰逢壓力很大的季節、時期或事件，聲稱自己來自一家老牌公司，並營造出高度的緊迫感。 

這個想法是為了讓電話製造一種恐慌感，讓接聽者陷入安全錯誤並洩露他們的敏感資訊。

如何識別： 

• 如果呼叫請求針對呼叫者類型的異常操作，尤其是當它要求敏感或個人資訊時，請保持合理的懷疑。
• 仔細檢查來電號碼是否來自異常位置或封鎖。
• 使用行動應用程式可以檢查未知號碼來電的身份。 iOS 和 Android 裝置上都有很多此類應用程式。
• 最好避免在緊張的時間或情況下接聽未知號碼的電話。

6.網路詐騙

它是「簡訊網路釣魚」的縮寫，是一種透過簡訊 (SMS) 進行的網路釣魚嘗試。

通常，犯罪者會發送聲稱來自已建立的組織或公司的短信，並且該短信將包含包含惡意軟體和/或將您重定向到惡意網站的連結。

由於許多人傾向於將簡訊視為更私人且「無害」的訊息，因此簡訊詐騙可能會讓受害者措手不及。

如何識別：

• 在點擊任何連結之前，請直接檢查該簡訊聲稱來自的公司的網站是否有與該簡訊請求的操作相關的任何通知。 
• 請立即聯絡該公司合法網站上列出的號碼並確認簡訊的合法性。
• 在按一下任何連結或採取任何建議的操作之前，請檢查寄件者的區號和號碼，並將其與您的聯絡人清單進行比較。

7.釣魚者網路釣魚

Angler 網路釣魚是針對社群媒體使用者的一種特定類型的網路釣魚，主要涉及犯罪者使用虛假社群媒體帳號來冒充知名公司或個人。

Angler 網路釣魚尤其利用了這樣一個事實：企業和客戶在社群媒體上的互動變得越來越頻繁和預期。犯罪者透過通知和私訊與目標受害者互動，誘騙他們犯下安全錯誤。

如何識別： 

• 仔細檢查該帳戶是否有藍色勾號（已驗證帳戶）。
• 請警惕包含可能將您重新導向至惡意網站的連結的通知。
• 避免點擊來自很少共享鏈接的人（或從未向您發送訊息的人員/帳戶）的私信中的任何鏈接，即使該鏈接看起來合法。
• 如果有任何私訊來自您認識的人，但很少給您發送訊息，請仔細檢查該帳戶，因為它可能是欺騙性的或新創建的

8.網域嫁接

域欺騙是一種相當高級的網路釣魚形式，其名稱是「網路釣魚」和「農業」的組合。 

一種常見的網域欺騙技術涉及犯罪者劫持 DNS，將嘗試造訪特定網站的使用者重新導向至虛假網站。

複雜的網路欺騙嘗試可能很難被發現。 

如何識別：

• 仔細檢查網站的 URL 是否使用 HTTP 而不是 HTTPS
• 尋找拼字錯誤、顏色不符、設計不當、內容單薄等不一致之處，這些都可能表示網站是假冒的。

如何保護您的企業免受網路釣魚

在上面，我們學習瞭如何識別網路釣魚技術的主要類型以及保護自己免受這些技術侵害的基本步驟。

在本節中，我們還將討論一些需要遵循的重要最佳實踐，以保護您自己和您的企業免受各種網路釣魚攻擊：

1.教育你的員工

由於網路釣魚基本上是社會工程，因此您應該擁有的第一道防線是確保您的員工接受必要的教育和培訓，以識別網路釣魚嘗試並保護他們的憑證/敏感資訊。

將網路釣魚意識培訓作為員工入職計畫的一部分，並定期更新培訓以包含更新的方法和趨勢。

2.需要多重身份驗證

當您的員工被誘騙洩露其憑證時，要求多重身份驗證可以降低網路釣魚成功的風險。 

透過多重身份驗證，您將要求您的員工在登入您的網路和應用程式之前提供密碼以外的另一個資訊。 

次要（或更多）資訊可以是： 

• 它們是什麼：生物識別，例如臉部 ID 或指紋
• 他們知道的東西：另一個密碼、PIN、安全問題的答案等。
• 他們擁有的東西： 配對設備、鑰匙卡、USB 適配器等。 

3.定期備份

成功的網路釣魚攻擊可能會導致惡意軟體感染，包括勒索軟體，這可能會導致您無法存取某些檔案/應用程序，甚至導致系統完全故障。

為了降低這種風險，請定期備份資料。

我們建議遵循 3-2-1 備份原則：3 個資料副本，位於 2 個不同的媒體上，其中 1 個保存在異地。                            

阻止網路釣魚攻擊中冒充您的品牌

與網路釣魚相關的另一個問題是您的網域名稱或品牌名稱被網路犯罪分子用作其網路釣魚計劃的一部分。 

儘管從技術上講這不是您的錯，但網路釣魚攻擊的受害者可能會指責詐騙者冒充的品牌，從而對品牌聲譽造成負面影響。

雖然 100% 防止網路犯罪分子冒充您的品牌即使不是不可能，也是非常困難的，但您的企業可以採取以下步驟來降低風險：

• 在您的網站上使用 SSL 憑證 (HTTPS)。這樣，當詐騙者想要冒充您的網站時，除了假冒憑證之外，他們還需要獲得合法的 SSL 憑證。這可能會讓他們洩氣。
• 使用 DKIM 或 DMARC 等協定為您的企業發送或接收的電子郵件新增驗證。這可以防止外部各方使用您的網域發送虛假電子郵件，從而有效防止電子郵件網路釣魚。
• 註冊網域的變體（不同的 TLD、潛在的拼字錯誤等），以防止這些變體被用於網路釣魚嘗試。
• 使用 WebRto 網域管理來幫助即時保護您企業的網域。 WebRto 可以在自動駕駛儀的許多不同平台上有效地捕獲使用您的網域的網路釣魚嘗試，而不需要任何手動幹預。WebRto 還可以幫助您在虛假冒充網站對您的聲譽造成任何負面影響之前將其刪除。

接下來是什麼

雖然詐騙者和網路犯罪分子執行的網路釣魚攻擊有多種不同類型，但所有網路釣魚攻擊都具有以下共同特徵：

• 製造緊迫感：犯罪者經常透過虛構的緊急威脅嚇唬您或透過限時優惠吸引您來敦促您迅速採取行動。有些網路釣魚計畫甚至會告訴您，您只有幾分鐘的時間回應。
• 好得令人難以置信：網路釣魚通常涉及引人注目且有吸引力的優惠和聲明。例如，聲稱您贏得了 iPhone 並要求您點擊連結。
• 不尋常的寄件者：特別注意網站的 URL 和寄件者的電子郵件地址。如果電子郵件來自您不認識的人，或您看到任何異常情況，請避免點擊任何內容。 
• 可疑連結：除非您 100% 確定，否則不要點擊任何連結。您可以將滑鼠懸停在連結上，以便檢查實際的 URL 並仔細查看該 URL 是否合法。
• 危險附件：切勿點選您無法 100% 確定的電子郵件中的任何附件。該附件可能包含惡意軟體、勒索軟體或其他病毒。

雖然沒有單一方法可以避免網路釣魚攻擊，但您可以結合上述提示來防止網路釣魚攻擊並減輕損害。

同樣重要的是要記住，除了建立強大的網路安全基礎設施和最佳實踐之外，防止網路釣魚的另一個關鍵因素是教育。當涉及網路釣魚和其他社會工程計劃時，您的組織的安全程度取決於其中最缺乏知識的人員。