如果最近你有看電視新聞,就會發現很多人因MSN帳號被盜用,而被騙金錢,損失金額由幾百元到十多萬元不等。是MSN本身很危險嗎?有那麼容易被駭客入侵嗎?當然MSN不是毫無漏洞的,只是程式本身的漏洞,只能透過定期更新軟體解決,而觀察最近發生的詐騙事件,其實大部份都是使用者疏忽大意所致,不論是被植入木馬或是誤入釣魚網站,導致密碼被盜取。其實只要把握一些電腦使用習慣,可以避免許多的網路詐騙事件。
小心釣魚網站
根據賽門鐵克統計,台北已經成為亞太地區擁有最多釣魚網站的城市,釣魚網站基本上分為兩大種類。如何針對釣魚網站作出對應的防禦。可參考以下程序。
第一類釣魚網:虛假網站
網路駭客會架設模仿知名網站的假網頁,如Yahoo!、MSN及網路銀行登入頁面等等,誘騙使用者輸入帳號資料。繼而利用控制帳戶進行詐騙。最近發生MSN帳號被盜用的事件,應該就是敗在這些網站手上,由於偽造網址與真正的網址類似,而且網頁只是紀錄你輸入的資料,導致個人資料被盜取。由於本身並無惡意程式碼,所以即使電腦安裝了安全軟體與掃毒程式,也不會有任何警示或攔截動作。
舉例:
https://login.yahoo.com/config/mail?.intl=tw(真的網址)
https://login-yahoo.com/config/mail?.intl=tw(假的網址)
假在那裡?答案是域名,真的網址域名是yahoo.com,login只是副域名。假的網址域名是login-yahoo.com,沒有副域名。如果是真的網址,副域名與主域名是用「.」號去分隔,而不是用其他符號去分隔,所以遇到這樣的域名時,應該特別留意。解決方案是:在按下網址列或輸入帳號資料前,先檢查網址列位置是不是真的網頁。建議在進入需要提供帳戶及密碼的頁面時,應在網址列直接手動輸入比較好。最好不要按任何頁面裡的連結網址,手動輸入是最安全的做法。
▲在知名拍賣網站常會看到這樣的誘騙網址,點進去會發現跟知名網頁的登入頁面一樣。
第二類釣魚網站:植入惡意程式碼的網站
網路駭客會利用Email或網頁,利用能引發你好奇心的標題,引誘你點選網頁連結。當你按下連結進入網頁的時候,網頁指令(如Java、ActiveX等)便會啟動,自動下載木馬或遠端遙控程式,自動安裝到你的電腦中。這時你的電腦會變為所謂的傀儡電腦,除了存放在電腦的所有檔案都讓駭客隨意取用,更危險的是,你會成為駭客攻擊別人的跳板。解決方案是:檢視你的瀏覽器設定是否安全,有沒有將所有網站程式執行設定為「提示」。安裝正版的防毒軟體,大部份市面上的防毒軟體都可以防止絕大多數這類惡意程式碼的入侵,每天更新防毒軟體和作業系統很重要,也是預防這類釣魚網站的最佳方法。
▲一般防毒軟體可以偵測到內藏指令碼的危險網頁。
網路安全小天使提醒大家,打開網頁連結前先想一想,釣魚網站要提防。切記切記。
第一次遇到假域名是在數年前的愚人節新聞,該造假新聞使用的域名是要仿冒CNN新聞謊報比爾蓋茲死翹翹,他把副網域取得很長並且包含CNN.com,因此辨識域名時一定要看到最結尾"/"符號之前的主域名是甚麼才有辦法確認真實性。
另外有在做網拍的人也應該小心冒名確認信,雖然沒有遇過這類釣魚信,但是每次收到下標確認通知信時心中總會懷疑。理論上有心人只要逛你的賣場就會有你的EMAIL,他可以假造一封一模一樣的下標通知信來騙賣家,一般賣家應該都會很順手的點進去賣場連結然後輸入帳號密碼登入,如果這個登入畫面是假造,帳號密碼就不保了。因此我都是再次手動輸入賣場登入頁面網址來做登入動作,以防止這類的釣魚信。
網址輸入https://login-yahoo.com/..會自動轉成https://login.yahoo.com/..
它會直接轉成真網址,然後跑到我真正登入的頁面 ....
這一種釣魚手法連網址都是一模一樣的,更別提頁面排版了。
這一種手法是透過假造域名,把它弄的跟真的網站完全一樣,
但會透過跳轉把你轉到假的伺服器上。
所以單單看網址是不夠的,重要的是要做好拍賣的防釣魚圖片
(不須登入,防釣圖片還要登入?會笑翻別人的)
至於植木馬網站,透過 WOT 套件網路識別是比較安全一點的。
(官網網址在:http://www.mywot.com/)
火狐套件:https://addons.mozilla.org/zh-TW/firefox/addon/3456