跳至主內容

網絡釣魚 全城防禦

 

網絡釣魚
全城防禦

釣魚攻擊是什麼?

釣魚攻擊是網絡世界最常見的「騙」術之一。騙徒會冒充他人或公司的身分,然後發送各種巧立名目,甚至威迫利誘等訊息,引誘受害人點擊訊息中的連結、下載附件或是提供個人資料,如信用卡、身分證、戶口密碼等。。

釣魚攻擊一直是普羅大眾最常遭遇的網絡攻擊之一,大家查看電子郵箱或智能電話時有沒有見過一些內容可疑的訊息?

例如:

 

訊息通常都會附有一條網絡連結,帶你去一個樣像模像樣的某機構網站,但那假網站只有一個功能,就是要求提供個人資料如帳戶密碼或信用卡號碼,這就是典型的釣魚攻擊!

在本中心每年處理的保安事故當中,涉及釣魚攻擊的事故一直名列前茅。騙徒懂得利用熱門或多人關注的話題製造虛假訊息,亦懂得進化以規避科技上的保安措施,所以每日都有新的內容及假網站出現。

為什麼叫釣魚攻擊 ?

"Phishing"這個術語最早出現在1996年的美國黑客雜誌《2600:The Hacker Quarterly》,由"Phreaking"及"Fishing"拼寫而成,黑客希望通過這種拼寫錯誤來欺騙用戶。 而用釣魚(fishing)比喻是因為黑客的手法如現實的釣魚活動相似:先冒充別人,並以「魚翁撒網」手法向目標群組發送受關注的訊息,然後靜待目標「願者上釣」。套入廣東話就更加傳神,令人聯想起「釣水魚」。

世界上最早的釣魚攻撃

自有互聯網以來這種攻擊手法就已經存在,一些早期的釣魚攻擊可以追溯到1990年代末。

當時,黑客利用AOL(美國在線)的即時通訊工具,冒充 AOL 員工向用戶發送偽造的官方消息,要求他們提供個人信息。這些早期的釣魚攻擊可能是已知的最早的例子之一。

還有什麼網絡「騙」術? 它們和釣魚攻擊有什麼分別?

網絡世界同真實世界一樣,都有很多不法分子伺機欺騙別人來獲取私利。其他「騙」術手法如假網店,假冒商標,假買家,假投資,假網絡情人,假求職,假資訊等,多不勝數。

此類案件與釣魚攻擊不同,不法分子有時需要直接接觸受害人,被追查或識破的機會較高;但釣魚攻擊一般比較間接,而且不法分子誘騙得所需資料後會待時機成熟才會使用那些資料去犯案,例如用盜取的信用卡消費,非法登入網上銀行或公司帳戶挪用資金等。

網絡騙徒 vs 黑客

網絡騙徒是指利用電腦或網絡作為渠道來行騙獲利的人。

黑客一般是指利用電腦技術入侵系統或獲得資料的人,當中又有分白帽 (保安專家) 和黑帽 (不法分子),但本文不在此作詳細解釋,讀者可自行搜查資料。

網絡騙徒和黑客的分別在於涉事的不法分子用什麼手段來達到其目的而已。

為何黑客喜歡用釣魚攻擊?

因為成本和技術門檻低,但效益和追查難度卻很高。

假訊息內容、假網站製作軟件、假域名生成軟件、海外託管伺服器、目標群的電郵或電話號碼等通通都可以輕易在互聯網上找到或買到,而且以匿名或假網名進行。大量發送假訊息後只需等待水魚上釣,毋須「呃呃氹氹」等拋頭露面工作,難以被追查。

他們的目標

可以是信用卡資料,然後盜用簽帳;

可以是公司的系統帳號密碼,然後入侵公司系統偷取機密或破壞資料;

可以是個人資料如身份證、電話、地址等,然後冒充受害人身分;

亦可以是社交平台的密碼,然後完全控制其帳號發放不實言論或刪除資料;

而且很多時假網站都是架設於海外,即使受害機構快速發現及舉報,亦需費時聯絡有關海外機構協助關閉,早已有不少受害人中招都不自知。即使假網站被關閉,黑客亦可輕易地重新旗鼓,再次發動下一波釣魚攻擊。

攻擊途俓和方式

但凡任何通訊渠道都會被用作釣魚攻擊,下列為大家常用的通訊方式都是熱門途徑:

  • 電子郵件
  • 即時通訊訊息,如SMS, WhatsApp等
  • 社交媒體平台
  • 網上廣告
  • 二維碼 (QR Code)
  • 電話

error

注意

黑客從何得知我們的電郵地址或電話號碼?

  • 從互聯網上收集所得,例如很多用戶於社交媒體平台將自己的聯絡方法設置為公開任人查閱。另外,亦可從機構公開的電話簿中收集。
  • 黑客攻擊及入侵其他機構的數據庫,偷取其客戶的資料。
  • 用戶曾不慎墮入釣魚攻擊圈套,將資料洩漏。
  • 網絡亦有黑市交易平台,黑客可從中買到其他黑客偷取到的資料。

error

提示

🏫除此以外,亦有其他形式引導用戶至釣魚網站,如被入侵及加插假連結的網站、被篡改的域名伺服器、黑客架設的Wi-Fi熱點等。

ℹ️黑客使用生成式 AI 工具(例如 ChatGPT)來創建釣魚電郵的內容,乍看之下與官方郵件幾可亂真。 除了製作釣魚電郵外,黑客還使用 AI或deepfake 來生成假語音 (Vishing)或假視像 (Zishing)來發動釣魚攻擊。 2023年4月中國安慶發生詐騙案。 騙徒利用deepfake在視頻通話中偽裝成受害人的熟人,使受害人放鬆警惕,然後騙財。

ℹ️另一種現在較少用的方式是直接在電子郵件中索取敏感資料。

手法

簡單而言,釣魚攻擊的核心與欺騙一樣,都是心理博弈,看看誰被看穿弱點,被引誘錯信對方,自願交出敏感資料。

黑客會找方法突破和模糊我們「信任」的弱點。由於每個人的弱點都有不同,即使相同或相似的欺詐手法,總會有受害人上釣。

error

重點

心理上的弱點

  • 利用人本性貪小便宜、不安/恐懼,甚至好奇、自尊等心理。

認知上的弱點

  • 自我保護意識不足,例如不了解個人資料的用途及重要性,不了解網絡世界與現實世界一樣「凶險」等。
  • 知識不足,例如不懂分辨真假訊息和網站,不知黑客的手法等。

網絡使用陋習

  • 慣性開啟任何訊息內的連結和附件。
  • 單憑外表來判斷網站的是否真實,忽略了其他細節。

error

重點

🪄例子

黑客架設了一個假網站,訛稱只要輸入個人資料就可以豐富的獎品。如果只需要填寫姓名,相信大部分的市民都會填寫;如果需要再提供電話號碼及電郵地址,可能有一半市民卻步;如果對方再進一步要求上載住址及身份證明,大家都會開始懷疑是否值得相信。

這個與我們對個人資料重要性的了解和風險管理有所關連,例如只填寫姓名和電郵就有機會獲得優惠卷,大部人會認為即使對方是騙子,被騙去姓名和電郵亦沒有什麼大不了,於是會判斷潛在利益大過潛在風險,「博一博」無妨,所以就會「落疊」上釣。

潛在利益/影響大過疑心

黑客就是要訛稱有很大的潛在利益/影響來降低我們的疑心:沒有使用特別的技術,但在內容上下了功夫,更加貼近人的心理弱點及市場環境。最常用的手法是假冒我們熟悉的機構或人,模仿他們的網站、電郵或即時訊息來接觸我們。

  • 冒充上司、同事、生意夥伴或某機構下達指令、分享文件連結或寄出文件檔,例如:
    • 「現附上過期未付發票,請於3日內繳清欠款」
    • 「多謝惠顧,已收到你的付款,請檢查附上的收據」
    • 「你的同事分享了一個文件給你」
    • 「你已被本公司取錄」
  • 捏造緊急狀況令我們無暇核實真假,例如
    • 威嚇 - 「你的電話帳單已過期,請立即支付否則電話會被停用」
    • 催促 - 「特選客戶優惠最後今天,立即登入領取」
    • 緊急 - 「你的信用咭積分快過期,立即兌換!」、「你有一個包裹未取,請於3天內支付快遞附加費」
  • 跟隨社會熱話來製造釣魚訊息內容,例如
    • 好奇 -「立即登記加入加密貨幣分析頻道」
    • 優惠 -「首3個月免費試用」

以香港為例,近期釣魚攻擊主要針對一些知名的積分換領計劃,以積分即將到期來誘騙受害人點擊釣魚訊息中的假冒網站。

另外,本中心亦發現近期假冒電訊商的釣魚攻擊有上升趨勢,其可能是因為電話實名登記的影響。

預防釣魚攻擊

坊間有好多保安工具都可以幫助我們預防釣魚攻擊,只要好好利用就可以大大 減少或減低受釣魚攻擊的機會及影響。

error

重點

善用電子郵箱和瀏覽器的反釣魚功能: 郵箱供應商都會自動偵測釣魚電郵的特徵,然後封鎖它們;瀏覽器存取網頁時,會根據數據分析網址,若是釣魚網站則會彈出警告頁面,提示用戶不要瀏覽。

  • 利用郵箱的可疑電郵舉報功能,舉報後電郵系統會紀錄及封鎖。
  • 不要瀏覽被瀏覽器標示為可疑的網站。
  • 開啟瀏覽器封鎖彈出式視窗的功能,阻擋惡意的廣告或登入請求。

啟用多重因素驗證,加強帳戶保安: 網絡服務商會提供多重因素驗證選項,要求用戶輸入驗證碼或額外授權才讓其登入,以免當用戶不慎洩露了密碼給黑客後而被盜用帳戶。

  • 啟用多重因素驗證,不要將驗證碼分享給其他人。
  • 不要於不同帳戶間重用相同密碼。

經常更新系統及防毒軟件: 釣魚訊息有時會附帶或引領下載惡意軟件,這些軟件或會利用系統保安漏洞來感染受影響系統。

  • 將電腦、流動裝置、瀏覽器和防毒軟件等設定為自動更新。
  • 其他軟件如有自動更新功能,都應啟用;否則應經常檢查有否可用更新,部份常用軟件通常每月都係發布更新程式。
  • 留意HKCERT網站或Facebook,獲取最新系統保安更新資訊。

使用檢查平台: 讓公眾可查詢有關連結或郵箱是否有可疑。

  • 使用由可信機構提供的檢查服務,如檢查結果為可疑或有風險,便不應點撃連結或回覆訊息。

參與防釣魚訊息練習: 熟悉釣魚訊息的特徵及正確處理方法

  • 機構可定期為員工舉辦演練及提供最新保安資訊,加強員工辨識釣魚訊息的能力;鼓勵員工舉報收到的可疑訊息。
  • 完成本網頁的釣魚攻擊小測驗測試一下自己對釣魚攻擊既了解。

error

重點

為什麼我們不能倚靠科技替我們預防釣魚攻擊?

不是。相反若沒有科技幫助,我們會收到更多更多的釣魚訊息。但是…

  • 所謂道高一尺,魔高一丈。黑客懂得與時並進,找出科技的漏洞,例如:

    • 只針對特定目標群製作釣魚訊息內容,令保安系統收集不到足夠資料判斷真偽。
    • 暗藏釣魚連結於圖片中或惡意程式碼中。
    • 增大附件的檔案大小來試圖避開惡意程式掃瞄系統。
    • 用縮短連結來隱藏真正的釣魚連結。
    • 扮成回覆電郵,或是加入大量無意義文字到釣魚訊息中,混淆保安系統的判斷。
    • 入侵用戶的電郵帳號來發送釣魚訊息,欺騙他的朋友、同事。
    • 用近似目標機構名稱的假域名來做釣魚連結。
  • 釣魚訊息或網站未有被舉報。
  • 為平衡保安性與使用性,以防正常電郵都一併被封鎖,系統管理員一般不會將保安程度調較至最高等級,但反效果是會有小部份釣魚電郵進入用戶郵箱。
  • 電腦數據可能未有及時更新,令其未能辨識最新的釣魚網站。
  • 除電郵保安系統發展較成熟外,其他通訊渠道如SMS的保安程度不一,易被乘虛而入。

error

注意

❌ 錯誤想法 vs ✔️ 真實情況

 

❌ 釣魚攻擊來自網絡系統,應由源頭或保安系統堵截更有效

✔️ 保安系統已有效堵截大部份釣魚訊息,但仍要倚靠用戶處理漏網之漁,相輔相成

 

❌ 用戶不是保安專家,沒有理由額外要擔當網絡保安工作

✔️ 網絡保安是每一個電腦用戶的責任,而其實你只是保護自己而已

 

❌ 科技應減輕人手作業,而不是倒退地要求用戶核實每個訊息的真偽

✔️ 相信未來人工智能會做到。但現階段請繼續學習如何核實訊息真偽

知己知彼

如何洞悉釣魚攻擊?

總括來說,釣魚訊息多是假冒其他機構或個人名義來騙取信任,但因技術所限,有些部份不能完全冒充,黑客只能以魚目混珠方式來以假亂真,用戶只要留意細節就能分辦有否可疑之處。

內容有很多文法或拼寫錯誤

釣魚訊息會出現英文語法不通、串錯字、中文繁簡體夾雜、錯別字、格式混亂等。

  • 原因:黑客用同一釣魚訊息攻擊不同國家用戶,會使用翻譯軟件來轉換成中或英文,所以質素良莠不齊。
  • 現實:一般機構向用戶所發出的訊息內容都會先經校對,所以很少出現明顯的語法錯誤或格式混亂的情況。

帶誤導性或陌生的連結

為令連結更似模似樣,他們會使用相類似的域名來混淆用戶,例如 hkcert852.org、hlcert.org、hkcert.xyz、hkcertorg.dyndns.org等。另一方法是使用縮短網址服務令連結變成簡短版,如tinyurl.com/ydehjpnm等,令人無從分辨真假。

  • 原因:因技術所限,黑客不能完全冒充機構的域名,例如黑客不能使用 hkcert.org 作為釣魚連結。
  • 現實:機構會有專屬域名,一般都包含機構名稱及業務性質,為宣傳其品牌及以供識別,他們不會以別的域名來提供網上服務

陌生的寄件者或可疑的電郵地址

使用其他電郵地址,例如 [email protected][email protected][email protected],或是直接用免費電郵服務如 gmail.com等。

  • 原因:電郵保安系統有機製去檢查寄件者,會攔截冒充其他機構的電郵。
  • 現實:與網站連結一樣,機構會有自己名稱的專屬域名,為宣傳其品牌及以供識別,他們不會以別的域名作為電郵地址。

使用語調緊急或是帶威嚇性的標題

假冒權威機構,如政府、執法機構及金融機構等等,並用緊急或威逼的字眼,引發受害人恐慌心態,跟從指示行動。

  • 原因:請參閱上文”手法” 部份內有關” 心理上的弱點”。
  • 現實:機構一般都會客氣地對待自己的客戶;如有任何特發情況要通知客戶,一般做法都會提供詳細解釋以及查詢方法;網站連結亦會是正確的官方網站。
 

error

提示

  • 一般機構的網上服務都會用其機構名稱、業務性質和地區來註冊獨有的專屬域名,例本中心用了hkcert作為域名開頭部份;後尾部份商業機構會用 .com,非商業機構會用 .org,政府部門會用 .gov,位於香港的會再加 .hk等。
  • 由於域名不能被冒充,所以黑客只能以相似域名誤導用戶。換句話說,檢查域名是有效洞悉釣魚攻擊的方法之一
百戰百勝

處理訊息正確做法

很多人收到訊息是先看標題,容易先被”吸引”的文字誤導,產生先入為主的錯覺,疑心降低,然後跟從對方指示最後受騙。我們建議用戶應先:

 

檢查寄件者的電郵地址域名

如果寄件者的電郵域名與所聲稱的機構正式域名有差別,很大機會已經是釣魚電郵;如果是以公共郵箱來代表機構,用戶就要格外留神,因為一般有規模的機構不會這樣做;如果是來自不熟悉的機構,最好是致電該機構核實寄件者身份。

 

緊記「邊有咁大隻蛤乸隨街跳」

先處理心情,後處理事情。不要被興奮、緊急或慌張的心情淹蓋理智,記住網絡世界與現實世界一樣,過份優惠的待遇不會無償發生。

相反,機構一般亦不會在無詳細說明,或以威嚇有嚴重後果等的方式撰寫通知訊息,然後附帶連結來要求客戶點擊。

 

檢查內文的連結域名

帶誤導性或與所聲稱機構名稱不符的連結,很大機會會引領至釣魚網站。機構的正式域名是無法冒充的,黑客只能通過取巧方法,令假冒連結與真正的連結極為相似來誤導用戶,例如hkcert852.org、hlcert.org、hkcert.xyz、hkcertorg.dyndns.org等都與本中心無關。另一種魚目混珠的方法是使用相似的字元或其他語言的字母來混淆用戶,例如用數字“1”假裝“l”(“L”的小寫)、用數字“0”假裝英文字母“o”或“O”、用西里爾字母的“а”假裝英語的“a”等等。

error

注意

什麼是西里爾字母?
是一種是廣泛通行於斯拉夫語族 (如俄羅斯)、突厥、蒙古、烏拉爾、高加索和伊朗語國家使用的字母。以下是例子是俄羅斯語的西里爾字母,當中有部份字母與英文字母非常相似:

「守網者」推出的免費搜尋器「防騙視伏器」來辨識詐騙及網絡陷阱。它支援檢查電郵地址、網址和IP地址等,結果會以不同顏色警示。

 

檢查被引領至的網站

再次檢查瀏覽器上所顯示的網址域名有否可疑。

釣魚網站雖然外表可複製至一模一樣,但通常都沒有任何功能或內容,例如點擊網站內其他頁面時會出現錯誤字句,或只有很舊的資料,這些都屬可疑狀況。

 

提防及掃描下載的檔案

如點撃連結後系統自動下載了一個或多個檔案,用戶應提高警惕,因檔案可能是惡意軟件。

如使用防毒軟件掃描後被標示為惡意軟件,用戶應立即刪除該檔案及訊息。

 

如任何一個檢查結果為可疑,就千萬不要打開訊息內的連結和附件(包括來自電郵、SMS、WhatsApp、社交媒體上的帖文等),或是向可疑網站提供任何資料。

然後向我們舉報及刪除有關訊息。

如不慎中招,可以怎樣做?

  1. 更改所有已洩漏的網上服務帳戶密碼,以及聯絡相關服務供應商通報事故。
  2. 在不同的網上服務設定不同的帳戶密碼。
  3. 暫停被盜用的信用卡。
  4. 密切監察你的帳戶是否有可疑交易或活動。
  5. 留意任何冒充你身份的可疑即時通訊。
  6. 向HKCERT報告。
  7. 啟用雙重驗證。
其他相關知識#1

個人資料的重要性

相較於財務資料,如信用卡、銀行戶口等,普遍用戶對個人資料的保護意識都不高,因為我們日常生活都經常要提供個人資料,如開戶口、登記優惠、網上購物等,而洩露這些資料看似沒有什麼後果。

error

重點

📖《個人資料(私隱)條例》

根據《個人資料(私隱)條例》,個人資料是指與一名在世人士有關及可確定個人身份的資料,亦必須以可供查閲及處理的方式記錄下來。

然而這只是因為你提供的資料被正當機構用作合法的事上,但如果資料被不法分子取得,他們可以:

  • 冒充身份進行非法活動
  • 盜用帳戶操控交易或偷取其他資料
  • 侵犯個人私隱

所以保護個人資料是非常重要。

其他相關知識#2

香港金融管理局應對針對銀行的釣魚攻擊

用戶的網上銀行帳戶一直是黑客的盜用目標之一,他們會冒充銀行發送釣魚訊息及假網站騙取用戶的登入資料,然後操控其網上戶口。很多時用戶收到聲稱為銀行的訊息,都會比較緊張而令疑心變低,容易信以為真。

其實本港金管局已向銀行發出監管要求,要求銀行不可透過短訊或電郵超連結,引領客戶到其網站或流動應用程式進行交易,更不會透過超連結要求客戶提供任何敏感的個人資料(包括登入密碼和一次性密碼)。

error

重點

銀行訊息

及時查閱銀行發出的手機短訊及通訊,並查核交易紀錄。若發現可疑情況,無論牽涉金額多少,應立即通知銀行。銀行一定不會以電話或電郵,要求提供任何敏感的個人資料(包括密碼)。

https://www.hkma.gov.hk/chi/smart-consumers/internet-banking/#using-internet-banking-services

金管局和香港銀行公會在2021年7月發出的新聞稿,再次提醒公眾銀行是不會透過短訊或電郵超連結,引領客戶到網站及Apps進行交易,或提供個人訊息。

error

注意

按照金管局的監管要求,銀行不會透過短訊或電郵超連結,引領客戶到其網站或流動應用程式進行交易,更不會透過超連結要求客戶提供任何敏感的個人資料(包括登入密碼和一次性密碼)。如果公眾收到任何短訊或電郵超連結,要求輸入網上銀行個人登入資料,這些短訊或電郵不應是由銀行發出的。市民在點擊任何聲稱為銀行發出的超連結之前,應「三思而後行」。

https://www.hkma.gov.hk/chi/news-and-media/press-releases/2021/07/20210706-3/

我們建議市民如收到聲稱為銀行的訊息以及連結,當中直接引領用戶進行交易或提供個人資料,應向有關銀行核實及通報。

市民亦可留意金管局及銀行所發出的欺詐網站公告,了解更多假銀行網站資訊,以免蒙受損失。

其他相關知識#3

釣魚攻擊亦令重用密碼的問題浮現

商業電子化,我們持有的電子平台帳號愈來愈多,很多平台都會用用戶的電郵地址和自行設置的密碼作為登入資料。部分人會用Password Manager來記錄帳號密碼,但亦有部分用戶為免麻煩及忘記密碼,會有將不同帳號的密碼都設定成一樣的陋習。

如果用戶不慎中了釣魚攻擊而洩露了帳號及密碼,黑客可以用這一組偷到的登入資料來嘗試登入用戶的其他帳號,造成連續損失;如果用戶連公司內部系統的密碼都設定為同一組,更有機會讓黑客入侵公司,後果嚴重。

我們建議用戶

  1. 密碼不要重用,及要定期更改
  2. 密碼要絕對保密,不要與任何人分享及提防釣魚攻擊
  3. 啟用多重要素驗證加強帳戶保安