「你的電腦已中毒!請立即購買防毒軟體」
「警告!你的手機已被病毒感染或找到病毒」
這種彈出視窗幾乎人人都看過。多半時候,我們會下意識地按掉它,但有時候,就可能被它牽著走。近日媒體報導,連政治人物也不小心中招——這提醒我們:被釣到,往往是因為「剛好在那個時候,剛好相信了那一句話」。
這種丟出一個可信的餌,吸引民眾咬住,並引誘提供個資與財富的作法,就是網路釣魚。
我們談網路釣魚,並不是要譴責被害者。相反的,我們想和讀者一起把這些「看起來很真」的陷阱,拆解給大家看:它怎麼設計、哪裡最容易讓人失手、我們又能如何在日常把關。
以下,我們用三個最常見的情境,帶大家直接進入釣魚詐騙的結界。每一則故事都會提供辨識重點,你可以立刻教爸媽、也能轉給群組的朋友。
情境1:普發現金的「假官網」
最近隨著「普發現金一萬」正式上路的討論越熱,附加於上的詐騙也就越多。最常見的手法,就是仿冒「登記領取」頁面:版面乾淨、Logo正確、連字型和按鈕顏色都做得像。
在你不知不覺感到有點相信之後,接著就:輸入身分證字號、出生年月日、健保卡號,甚至要求綁定銀行帳號——資訊一送出,個資就被打包外帶。
而這類的假官網,他們經常會使用下列的手法來吸引用戶:
.網址障眼法:如Google的小寫L,就很常被改成數字1或英文的大寫I。
.品牌背書感:頁面嵌入官方圖騰,或放假留言、假新聞截圖增加可信度。
你要記住的2個辨識點:
1.政府網站一律「.gov.tw」結尾:遇到「.gov.tw.com」這種多了「.com」,就算好康報再大,也要果決直接關掉!
2.不要從社群連過去:如果涉及輸入個資或啟動金流,一律「自行打開瀏覽器、手動進入官方網址」;不走陌生連結,就是最簡單的安全路線。
情境2:「知名平台」的通知信
某天,你的信箱跳出一封主旨:「【重要】發票載具異常,請立即重新設定歸戶」。信中說明步驟清楚、還有看起來很官方的圖示,按下去就是一個登入頁面,要你輸入身分證字號、生日、信用卡號——只要填了,盜刷會比你意識到還快發生。
那一瞬間,他們到底是怎麼騙的?手法如下:
.假冒寄件者:寄件名稱打著「財政部電子發票整合服務平台」等知名平台的大旗,但實際信箱並非來自官方網域。
.流程設計複雜:互動的一路上,對方會一下要求你「驗證信用卡」,一下要求你「綁定信用卡」以完成「異常解除」;讓你在忙碌之餘,無法意識到自己正在被騙。
你要記住的2個辨識點:
1.寄件信箱要看網域:例如前述電子發票平台就是「[email protected]」。而且,如同前述,政府機關的網域,只要結尾不是gov.tw,百分百有問題!
2.索取敏感資料=紅燈停:政府單位不會沒事叫你提供信用卡號、卡片驗證碼。
情境3:私訊夾帶的發財或投票網址
現代人已經離不開社群平台,那你有沒有類似的經驗?
有時我們會收到陌生私訊,上面寫著「老師帶飛飆股,最後30名,點這裡免費入群👉bit.ly/xxxx」,或是「年度抽獎開放申請,未登記將失效👉bit.ly/xxxx」。也有那種許久不見的朋友(常見是被盜帳號),忽然發了訊息來,以投票給寵物或小孩的名義要求你點入特定網址。
如果這時你心想:先點進去看看也沒差,接著就會碰到填寫一堆個資的關卡。不過,由於你還沒警覺,大剌剌地填完了社群帳號密碼與驗證碼,以便「登入投資或投票」,更順便綁定了信用卡,也奉送了小額扣款——這時,錢被盜刷外,說不定你的社群帳號也被盜了。
他們到底是怎麼讓大家自願填那麼多資訊的?手法如下:
.限時壓力+專業/親友形象:用「最後名額」或「官方或人情」逼你先點後想。
.縮網址遮真相:使用短連結,便可輕鬆掩蓋實際目的地。
你要記住的3個辨識點:
1.不要開啟來路不明的連結:閃開疑慮,就是保護自己最直接的做法。
2.網站外觀是否健全:如果碰到排版凌亂、半形全形混用、多處錯字,直接關掉。
3.碰到投資、帳密輸入等敏感動作:請警鈴大響,停止操作。若真有投資或投票需要,可自行用官方正式網站或App手動為之,別急著從私訊或QR Code完成。
懂得留意就不怕!
雖然網路釣魚還滿常見的,但我們也不必什麼都不敢點。
像近年社群上流傳的「早安圖暗藏駭客程式」疑雲,其實早在2019年,就被事實查核中心證實是謠言。專家解釋,透過LINE或Facebook傳送的圖片都會被系統壓縮,惡意程式都會被破壞,不太可能感染病毒。真正要警覺的,是那些「看起來像圖片、其實是連結」的內容。
資訊工業策進會資安研究所資深業務經理邱之崧指出,比起點開單純的圖片,隨便點開一個連到外部網站的網址、或掃描來路不明的QR Code,更有可能碰到個資被竊、甚至被遠端控制電腦的問題。
這是因為,那些惡意網站可能埋有木馬程式,只要使用者瀏覽器讀取到那些網站,就會自動下載惡意程式並植入民眾主機,使用者很難察覺。
因此,邱之崧建議民眾,不要在社群開啟來路不明的連結與QR Code,尤其要注意縮網址。就像我們前面談到的,收到電子郵件、對話訊息時就要特別留意,以免被導向那些假網站,被騙取個資與金錢而不自知。
所以,與其什麼都不點,不如學會「多看一眼」:先檢查網址是否完整,是否以.gov.tw 或官方信箱結尾,這都是保護自己的簡單習慣,更不要隨便被私訊講兩句就奉送自己的敏感個資。
防詐不是要我們遠離網路,而是讓我們能在網路上更自在地生活。只要養成一點「懷疑的優雅」,你我都能在資訊洪流裡,安全又自在地上網。
(本文章反映作者意見,不代表《銀天下》立場/責任編輯:吳佳珍)
