網路也能釣到魚？

預防自己成為釣餌，教育使用者別上當

繼社交工程（Social Engineering）之後，最近常聽到「Phishing（網路釣魚，音同Fishing）」這個詞。Phishing可以說是「Phone」加上「Fishing」，由於駭客（Kevin Mitnick）一開始是利用電話進行詐騙，而且Phishing與Fishing的唸法相同，所以駭客們創造出Phishing這個字。

Phishing是使用幾可亂真的電子郵件與網站，以誘騙使用者的個人資料，包括信用卡號碼、帳號與密碼及身分證字號等，知名的銀行、網路商店及信用卡公司都是Phishers（網路誘騙者）的最愛，如花旗銀行、eBay及美國銀行。

為了對抗Phishing，花旗銀行、eBay、Websense等數家公司組成APWG（Anti-Phishing Working Group，www.antiphishing.org），致力於消除詐騙及身分盜竊等攻擊行為。上個月Best Buy、AT&T及IBM等公司則組成TECF（www.tecf.org），同樣致力於防範網站及郵件誘騙等犯罪。網路釣魚事件呈倍數成長

Phishing造成什麼危害呢？

Gartner的一項調查顯示，有5700萬美國消費者肯定收到或很可能收到過此類的詐騙郵件。Gartner表示，在去年遭遇此類詐騙的400萬名消費者中，有30%的消費者瀏覽假冒的eBay網站，29%的人發現假冒的PayPal網站，14%的人發現假冒的花旗銀行網站。

Brightmail的資料顯示，全球網路詐騙郵件的數量持續增長，到今年4月總共有31億封；英國安全機構MI2G的報告指出，去年有250多起針對銀行、信用卡公司、電子商務網站及政府機關的Phishing攻擊。

根據APWG最新的統計，詐騙電子郵件或網站的數量在今年1月只有175起，但到5月已經有1197起，危害越來越嚴重。金融業是最常被詐騙的公司，網路服務和ISP也是目標之一。MI2G估計，去年Phishing造成全球經濟損失超過322億美元，包括客戶減少、業務中斷及恢復商譽等努力，而且今年第一季的Phishing數量已經超過去年一整年，大約損失248億美元。發生了這麼多起攻擊事件，也讓消費者對電子商務的信心降低，Cyota針對線上銀行使用者進行調查，由於Phishing的威脅，有高達74%的被調查者會降低線上購物的可能性。企業如何自保？

目前最大的Phishing詐騙金額是16000美元，大多數則是在100美元之內。舉例來說，如果你的信用卡號碼被騙取，那麼不論是對銀行或消費者而言，都將面臨損失，但是，為了不影響商譽，許多銀行在客戶被盜刷時，往往會全額賠償，而將這些成本轉嫁到企業營運成本上，澳洲就有多家銀行共同提撥200萬美元做為Phishing的賠償基金。

為了自保，早在5、6年前，臺灣網路銀行剛起步時，就有銀行發現網路上出現假冒的網站，當使用者在入口網站打入關鍵字搜尋時，可能有一半是偽造的網站，所以銀行立即雇請業者掃描各大網域註冊單位（例如TWNIC）及入口網站，檢查是否有不法人士設置假網站。臺灣的Yahoo！網站也曾發生過類似的事件，駭客設計幾可亂真的網頁，並要求使用者更換密碼。另外，也有一些病毒偽裝成Paypal或微軟所發出的郵件，要求填入個人資料，才能繼續使用與更新。隨著網路應用的普遍化，Phishing詐騙將會越來越多。

目前主要是透過網頁過濾和防垃圾郵件來解決Phishing。

Websense技術顧問林皇興表示，Websense會透過各種自動程式及Honeynet進行搜索，尋找新的詐騙網站。目前Honeynet由6個Honeypots所組成，當發現新的詐騙網站後，相關的資訊便會加入Websense資料庫內，然後自動傳送到企業的安全增值組內。不論是從電子郵件中的超連結，或是在瀏覽器中輸入URL，Websense會自動攔截這些陷阱，減低企業員工受騙的風險。

Symantec技術顧問林俊宏認為，只要有工具和郵件名單，一般人很容易就可以成為Spammer，門檻非常低，所以Phishing才會如此氾濫。為了對抗Phishing，Symantec提供Brightmail Anti-Fraud服務，他們與美國的9家主要ISP合作，收集大量網路詐欺郵件的特徵。當企業提出需求時，Brightmail會檢查郵件寄件者的網域名稱，偵測是否有詐騙郵件。由於目前亞洲的Phishing問題尚不嚴重，Symantec尚未在亞洲提供Anti-Fraud服務。許多廠商也推出各自的解決方案，包括微軟Caller ID計畫，要求電子郵件的發信者公布郵件伺服器的IP地址，AOL也在測試相似的Sender Policy Framework系統，Yahoo!則公布DomainKeys。最近，趨勢科技也推出防網路釣魚解決方案PhishTrap和TMASE。

但要注意的是，上述的解決方案都只能解決一半的Phishing問題。雖然防垃圾郵件產品可以擋下詐騙信件，卻無法阻擋使用者存取詐騙網站；相同的，網頁過濾產品可以阻擋使用者存取詐騙網站，但卻沒辦法擋下詐騙信件。而且目前這些產品大都只能在企業內防護，一旦使用者外出或回家，仍然有可能被詐騙。治標治本，不如從教育從手

「教育」是防止網路詐騙的不二法門，所以我們仍要一再的提醒使用者注意網路安全，避免不安全的行為：

1.不開啟來路不明的電子郵件，並安裝個人防護軟體。

2.收到銀行、商店、網站或軟體公司的郵件通知時，最好至該公司的官方網站進行確認，或以電話詢問郵件內容是否屬實。

3.不要使用公用電腦進行線上交易（轉帳、下單），因為這些電腦可能存在木馬及後門程式。

4.將網路銀行的網址加入「我的最愛」，避免從搜尋引擎或電子郵件的超連結直接登入，最好使用安全憑證及約定帳戶進行轉帳。

5.比對郵件內的超連結是否與郵件內文及開啟後的網址相同，有些詐騙郵件的內文是HTTPS網址，但開啟後卻是HTTP，這樣的信件絕對大有問題。

6.大部分的Phishing信件是使用英文，除非你是在國外申請該服務，不然應該都會收到中文信件。

雖然Phishing攻擊涉及全球的多家銀行，但去年大多數的Phishing攻擊目標仍是以美國和英國為主，但沒有人敢保證未來會不會以臺灣為目標。由於Phishing技術不斷提升，專家預期Phishing很快就會蔓延到所有商業領域，任何擁有線上業務的企業都有可能成為受害者，我們只能慶幸，目前Phishing尚未在臺灣蔓延。文⊙陳世煌