Tuesday, March 30, 2004

網路詐騙日益嚴重

記者鍾翠玲/台北報導  26/03/2004

隨著上網人數愈來愈普及,網際網路也成犯罪手法肆虐的新場所,網路釣魚(phising)也漸成詐騙集團常用的花招。

網路釣魚(phishing)一詞來自釣魚(fishing),是誘騙手法的一種。它往往是偽照知名公司的網站,或是冒充名義發出假造郵件,以騙取不知情的使用者的使用者名稱、密碼,或是銀行帳號等機密資訊。也有使用者點入垃圾郵件中的網頁連接到假造的網站,信以為真地輸入機密資料。

「反網路釣魚工作小組」(Anti-Phishing Working Group, APWG)所發佈的「網路釣魚相關趨勢報告」(Phishing Attach Trends Report)指出,網路釣魚現在為禍情況日漸嚴重。這個組織是一個旨在消弭網路釣魚的產業協會,網站並提供網友通報網路釣魚的網址。

根據這個報告,今年一月共發生157次網路釣魚,平均每日有5.7次, 比上個月多了52%。而最近的報告顯示,二月網路釣魚事件更提升為282件,每日9.7次,成長率再攀升為60%。

APWG的統計指出,被冒用公司網站或郵件寄件者多半是知名的線上零售商、銀行或保險公司。像是eBay、PayPal、AOL、微軟及美國運通都曾被冒用,其中eBay更是「蟬連」去年十一月到今年二月被冒充次數的第一名寶座。

雖然國內目前還沒有類似報告,不過網路釣魚相關的垃圾郵件的議題,去年已在國內形成討論。例如,由北市消費者電子商務協會(SOSA)、Hinet、Seednet、雅虎等相關業者開始呼籲立法管制垃圾郵件的傳遞。

另外,一些用來防堵垃圾郵件的產品也可用以防止網路釣魚。防毒軟體供應商如McAfee、趨勢科技、賽門鐵克、組合國際以及其他網路安全設備,也都具有反垃圾郵件功能。

而除了從立法及產品面來防堵垃圾郵件外,使用者也應該小心被「釣上」。像是SOSA指出,使用者對於來路不明的郵件,即使不想再收到,也不要輕易回覆,否則就等於讓對方確知這是有效的電子郵件。

McAfee建議傳送郵件的公司最好建立一個原則,在每封傳送到客戶的電子郵件上加上驗證資訊,以便區分合法與惡意的郵件。McAfee並建議,企業網站上應採用強驗證機制,因為若企業在使用者登入網站時不以手動輸入機密資訊 (如信用卡號碼或密碼),詐騙者就更難取得使用者的詳細資料。

賽門鐵克北亞區技術總監王岳忠則提供防止網路銀行帳戶及密碼被偷的方法。王岳忠指出,使用者應該將平時瀏覽的網站分成三等級,分別是完全不牽涉交易、純粹是電子報的網站;一般線上購物網站;以及網路銀行的網站。線上購物網站又可分為入口網站提供連結的線上商店,以及知名的線上零售商,如PC home,而消費者對前者的警覺心就要提高。

王岳建議,三種網站應該使用不同的使用者名稱及密碼;愈後面代表資料牽涉的重要性愈高。

對於網站要求留下身分證字號或帳號等機密資訊,「使用者應該以有沒有必要知道(need-to-know-based)來判斷應不應該留下密碼,」他補充,「如果一個電子報網站硬要你留下銀行帳號,你寧可不要訂也不要上當。」

王岳忠指出,由於網路釣魚的網站手法愈來愈高明而難以判斷,因此許多人一個使用者名稱和密碼通用各網站的作法相當危險。「也就是說,你現在已經開始交易的網站,最好立刻去把密碼改掉。」

fr. http://taiwan.cnet.com/news/software/0,2000064574,20088530,00.htm

0 Comments:

Post a Comment

<< Home