website security

曾被釣魚網站騙過嗎?捍衛網路安全第一招,就是睜大你的眼

什麼是釣魚網站,簡單來說就是有心人士做了一個盜版網站,外觀與正版的幾乎一模一樣,目的是要讓瀏覽者在無預警之下,進入盜版網站進而卸下心防輸入個人隱私資訊,而不法業者便能趁機竊取資料進行不法用途。一般而言,會被仿造做為釣魚網站的平台多為知名入口網站,像是 Facebook、Google、或是金融業的網銀登入介面,由於幾可亂真的網站呈現,乍看根本無法發現差異,因此多數用戶通常會上當受騙。

但事實上,只要稍加留意,還是可以透過「網址」去做判斷。怎麼說呢?因為在網路上網址具有唯一性,就像是網路世界中的門牌一樣,無論網站外觀如何相像,網址不一樣那就屬於不同的物件,因此只要留意一下網址的顯示,還是可以判斷你所在的介面,是否為正當經營的合法網站。以下分享幾項釣魚網站常用的小伎倆,以及說明要如何「睜大眼睛防範」!

釣魚網站的類型

就算是釣魚網站,還是有區分基礎跟進階的釣魚方式,兩者的差異在於:

1. 基礎版 :當用戶輸入帳密後,畫面卻一直停留於「登入的 loading 狀態」,很遺憾的,你的密碼已被偷。

2. 進階版:當輸入帳密後,雖導到真正的網站去,但「用戶卻還要再重新輸入帳密」,同樣地非常遺憾,你的密碼已被偷。

無論是上述哪一種,就結果來說都是一樣的,就是你的資料已經被偷了!為了避免這類資安事件的發生,建議大家在輸入個資隱私時,可以先透過簡單的網址判斷,確認網站合法性。但若是遇到進階的釣魚網站,由於瀏覽者在登入後的第二階段,就被帶往真正網站,因此用戶通常會不疑有他,在無防備心之下讓資料白白流出去。

如何避免被釣魚網站所騙

釣魚網站的資安防護,可以區分為事前的預防與事後補強。事前的預防包含,在每次輸入個資隱私時,多看一眼網址是否正確,以及是否帶有 HTTPS 加密連線,建議用戶若要輸入個人資訊時,一定要確認網站是經過 SSL 數位憑證所保護(也就是網址列顯示 HTTPS),此加密可以避免資料外洩且破解,保障企業或是會員隱私,而通常具備 HTTPS 加密的網站,網址列都會有鎖頭標示,這些都是很簡單可以去判斷的指標。

但若不幸的,如果你已經在釣魚網站輸入了個人或是信用卡資訊,請馬上確認銀行帳戶是否有異常交易記錄,並通知銀行行員確認後續的因應作法,如果有必要,請剪掉手上那張信用卡吧,同時回報給原網站,請其加強網站的安全性,因為此類網站資安漏洞,將有可能導致客戶資料的大量外洩,影響品牌商譽,甚至是需要付出賠償金。

企業網站該如何避免成為釣魚網站目標

通常,多數企業得知自己成為釣魚網站目標,通常只有「有苦難言」的哀傷情緒吧。如同抓盜版一樣,通常需要通報者的告知才能事後得知,但其實還是可以利用一些小工具,減少資安的潛在風險,並加強網站的安全等級。

1. 使用 SSL 數位憑證加密,保障客戶與企業資料隱私。
2. 定期追蹤品牌關鍵字或是企業名稱的對外露出,避免商業字被置入於不法網站。
3. 網站上線前進行全面性的原碼掃描、黑箱(白箱)網站檢測,或是進階的網站滲透測試。
4. 善用 HackerScan 網站掛馬入侵偵測,以定期的監控追蹤,確保網站沒有被植入惡意程式。

避免資料外洩,就要提高瀏覽網路行為的警覺性,在進行任何機敏資料的輸入時,必定要再三確認網站合法性,確認網址的正確性、是否有安裝 SSL 數位憑證,網站是否通過安全認可等方式,加強資料防護,隨時隨地都顧好資安!

圖片來源:Christiaan Colen/flickr.com

發表迴響