Content
對抗網路釣魚攻擊的最佳作法
正當您認為加入今天的電子商務是安全的行為之際,網路釣魚成為全球最危險的詐騙手法之一。
網路釣魚會在傳送電子郵件訊息時,附加回覆的地址、連結與圖片,讓它看起來與合法的信件沒有兩樣,簡直就像是金融機構發給顧客的郵件。
不幸的是,這些電子郵件的目標,就是要欺騙未懷疑的收件者,讓他們暴露個人的帳號、信用卡與其他的機密資訊。 一旦顧客提供這些資訊之後,網路釣魚客就可以任意盜用這些身分,並執行偽造的交易。
網路釣魚客也會從用戶身上竊取專屬的資訊,方式是引誘他們拜訪網路釣魚的網站,或是在用戶電腦上安裝間諜程式,讓用戶在拜訪合法網站時竊取他們的資訊。
平權的違法者
這些日子以來,無人可以倖免於詐騙集團的不良企圖。 表現搶眼的企業、金融機構、保險公司與信用貸款組織的用戶,都成為網路釣魚的獵物。
網路釣魚客多以著名組織為目標,因為大多數的電子郵件都是隨機發佈的。 通常,已成立的組織都會吹噓自己的客戶量,因此也增加這些組織的客戶收到詐騙郵件的機會。
事實上,以 The Federal Deposit Insurance Corp. 與 American Bankers Association 為主旨的詐騙郵件,已經滲透過全球無數的收件匣。 即使 FBI 也是網路釣魚的受害者之一。
網路釣魚的威脅完全沒有趨緩的跡象。 根據 Anti-Phishing Working Group 的報告,有一個專門打擊身分盜用與詐騙的產業協會,在 2004 年一月就受到 176 次網路釣魚的攻擊,也就是平均每天面對 5.7 個新的攻擊。 在 2004 年六月之前,這個數字升高到 1,422 次網路釣魚的攻擊。
分析師預測,在所有詐騙的電子郵件中,有將近 5% 成功取得收件者的機密資料。 不過,消費者不是唯一受到網路釣魚威脅的對象。 在二月份被網路釣魚的攻擊癱瘓五小時之後,這家全美前二十大的銀行每小時都會接到九萬通電話。
尤有甚者,成為網路釣魚攻擊對象的公司,也有可能喪失線上顧客對他們的信任。 例如,如果某家銀行成為詐騙集團的對象,則其顧客就可能不使用線上金融交易。
千萬不要上當
這些日子以來,網路釣魚客開始使用日益複雜的技巧,像是以彈出視窗與偽造的掛鎖符號 (偽裝成安全交易的網站0,愚弄不知情的訪客。 不過,也有一些方式可以避免成為網路釣魚的誘餌。 McAfee 建議,公司應該制訂電子郵件的安全原則,並經常在內部進行宣導,讓網路釣魚不會與合法的電子郵件混為一談。
例如,公司可以制訂這樣的原則:公司絕不會要求顧客填寫內嵌於電子郵件中的任何表單。 之後,如果顧客收到帶有表單的電子郵件,就會立刻知道它是網路釣魚的攻擊。
接著,公司應該提供讓客戶得以驗證的管道,確認電子郵件的訊息是合法的,還是來自於網路釣魚客。 如果要做到這點,公司應該建立一項政策,將驗證資訊加入每封傳給客戶的電子郵件內。
例如,有些公司會要求客戶選擇個人化的圖片,並插入電子郵件中,讓網路釣魚客比較難模仿企業的電子郵件訊息。
公司應該避免在 HTML 格式的電子郵件中,加入可點選的連結。 因為網路釣魚客需要依賴密碼擷取,企業也應該避免要求客戶在登入網站時輸入機密的資訊。 事實上,智慧卡與其他的驗證手法,都比密碼與社會安全代碼更加複雜。
用戶也可以將網頁瀏覽器的安全性設為最高,並顯示 http 的警告,讓他們知道拜訪的網站是否安全。
如果公司能主動偵測網際網路,找出潛在的網路釣魚網站,就能阻止網路釣魚客的攻擊。通常,這些網站都會在發出網路釣魚電子郵件之前出現。
最後,企業應該建置高品質的安全內容管理解決方案或工具,很多公司都以附加服務的方式提供給他們的客戶。 例如,McAfee 提供反垃圾郵件解決方案,可以在閘道辨識網路釣魚的攻擊。另外,McAfee 也提供桌上型電腦防毒產品以及入侵防禦工具。 透過安裝這類保護的功能,您可以確保所有傳入的訊息都是安全的,並讓不想要的內容無法感染您的網路,或影響您的使用者。
