認識與防範常見的網路詐騙
數聯資安 技術處 張富吉處長
隨著人們在網路上進行愈來愈多的學習、分享、聯繫、購物與銀行交易,騙徒也一樣不落人後地跟著搭上了這股風潮。全球每年受到網路詐騙的受害者高達數百萬人。據FBI 統計,光美國2012一年發生的網路詐騙案件就有30萬起,金額達5億美金之譜,受害者平均每人的損失金額將近4千美金。
大部分網路詐騙的目標都在於金錢或比較機密的個人資料,後者幾乎可算是網路黑市的現金。騙徒拿到個人相關資料後,就可以拿來假冒身分或對受害者進行詐騙,這種罪犯稱為「身分竊賊」。即使僅拿到一小部分資料,例如身分證號碼、地址、銀行帳號或密碼,都足以讓騙徒盜刷信用卡、開立銀行帳戶、取得貸款甚至假冒身分進行實際的犯罪行為。整個過程就是所謂的網路詐騙。
騙徒透過網路進行詐騙的方式,大部分都是透過社交工程(註)的手法引誘受害者上鉤,以下列舉最常見的狀況。
一、網路釣魚
這種詐騙手法運用電子郵件、即時通訊軟體 (例如Skype) 或社群網站傳遞訊息,內容極為逼真,誘使受害者心甘情願奉上帳號密碼等較為機密的資訊,甚至附上免付費電話號碼或網址以取信被害人,當然這些都是假的,打電話過去或按下網址,接聽的人和所看到的網頁,通通都是騙徒精心布下幾可亂真的陷阱,以騙取受害者提供個人資料。
二、假冒安全軟體
騙徒也會製造看似無害的網頁,假裝提供優惠折扣或免費安全軟體,聲稱能保護電腦不受惡意軟體侵襲,或是恐嚇電腦已經受到感染,再假好意提供軟體幫助清除,但事實上可能正好相反。只要你照騙徒網頁上的步驟進行,下載並安裝這類頂著安全防護名義掛羊頭賣狗肉的軟體,就中了騙徒的招數了。這類軟體會誘騙你付錢(例如升級到根本不存在的付費版軟體),或暗中在電腦上加裝惡意軟體,偷偷盗取密碼、使用者名稱、銀行帳號與其他機密資料。
三、冒名技術人員
有些騙徒會假冒諸如IBM、微軟等大型科技公司的員工,主動打電話關懷被害者,說他們收到其電腦已經中毒的警告,試圖說服被害者讓他們控制他的電腦,以便幫他把病毒移除。但實際上他們的行為很可能是安裝假冒或惡意軟體,而且還向被害者收取高額費用,形同剝兩次皮,讓被害者賠了夫人又折兵。
四、中獎
當有人告訴你贏得某項比賽或樂透的巨額獎金,或是即將繼承一大筆金錢等,先別高興,這也是騙徒屢見不鮮的技倆。騙徒首先會信誓旦旦承諾一定送出獎項或金錢,但堅持你得先透過匯款或信用卡支付手續費或稅金才可以領得到,但若你未察覺有異而真的付出這筆錢,那就形同肉包子打狗,再也不會接到他們的任何訊息了,而且騙徒還會把你付款用的帳號再轉賣出去。
五、財務詐欺
騙徒下手絕不心軟,甚至會對財務上已經遇到困境的人落井下石,聲稱可以很快幫他們解決信用不良或卡債問題,但要求被害者先支付一筆費用。其他諸如利用人性貪婪弱點,標榜超高報酬率投資引君入甕,也是極為常見。
以上介紹了現今網路詐騙的各種面貌與危害程度,在您周圍隨時都在發生,提高警覺,小心求證,才是保護自己最好的方法。接下來提供一些建議供讀者趨吉避凶,避免成為騙徒的盤中飧。
一、簡單的網路詐騙辨認技巧
要如何破解騙徒層出不窮又別出心裁的詐騙手法呢?以電子郵件為例,其實只要稍微細心注意以下幾個地方,通常就不會誤入陷阱了。
1.看看發信者的名稱與其電子郵件地址是否可疑,例如名稱寫的是微軟技術部門,但電子郵件地址卻不是微軟公司。
2.收件人或信首的稱謂,不是直接寫出你的名字,而是以籠統模糊的先生小姐稱呼。
3.信件內容看起來很緊急或很嚇人,要求收件人立刻下載或安裝某些軟體,這其實是騙徒的心理戰術,期待收件者在急迫感的氛圍下,來不及想太多就照信件中的指示進行。
4.語句中有不少文法錯誤,甚至寫錯字或拼錯單字,這是騙徒用來突破防範釣魚的安全軟體所使用的方法。
5.要求收件人再度驗證或更新帳號,或吹噓只要付一筆小錢就可以解決債務之類。
二、如何得知已成為網路詐騙的受害者
網路詐騙手法一直是與時俱進的,即使是電腦高手,有時也會不經意上當成為受害者。這裡提供2個方式,供讀者確認自己是否已經掉入陷阱。
1.電腦受到惡意軟體感染
電腦是不是突然變慢、反應遲鈍或常常當機?電腦裡面的某些檔案或軟體是不是突然不見、再也無法取得或使用?就算沒有上網,螢幕上也會突然跳出一些視窗,要求你付錢買東西或展示廣告?
2.身分遭到冒用
信用卡或其他網路帳戶的帳單上出現不明的費用;無法登入網路銀行或其他帳戶;接到收款公司通知要為您從沒買過的東西支付價金;沒收到銀行或信用卡的帳單(已被騙徒攔截)。
三、防範網路詐騙
防範網路詐騙最有效的方法都是老生常談了,儘管聽起來簡單到不可置信,但確實是效果最好。
1.謹慎看待可疑的電子郵件或即時訊息
最危險的詐騙莫過於偽裝到幾可亂真的地步,尤其更應留意電子郵件,即使是熟識或信任的人或公司,也要在心裡打個折扣。首先,若電子郵件中提到類似「以後如果不想收到這類郵件,請回復本信即可」之類的,務必不能相信。回覆這封信的後果恰好相反,等於讓騙徒確定這封信有人收到,騙徒會那麼好心把你從肥羊名單中除名才怪。另外,按下網址或打電話之前請三思,因為網址、電話號碼以及寄件者的身分都可以偽造。最好透過其他管道或帳號向寄件者求證,才是最可靠的方法
2.小心保護機密資料
重要的機密資料切勿寫在電子郵件或即時訊息中,也不可以在突然跳出來的網頁或視窗中輸入。確認網頁是安全且非仿冒,而且真的是連線到您想去的網站,才可以輸入機密資料。透過網路連線銀行、購物、下載軟體以及進行其他重要機密的商業活動時,最好只在自己家裡的電腦上進行,千萬不要在公用電腦或無線網路上做這些事。定期檢閱銀行和信用卡帳單,看看有沒有突然多出的不明消費。私人使用的主要電子郵件地址應保密,最好只給認識的朋友和信得過的公司,盡量避免留在求職網站或其他公開的網路資料上。
3.強化電腦防禦能力
安裝最新版的軟體,最好設定成自動更新。安裝知名廠商的防毒軟體,切勿關閉電腦的防火牆,且無線網路分享要設密碼。千萬不要遵循不明人士在電話中的指示,也不可以讓他們控制你的電腦。
4.提高密碼強度
密碼不要太簡單,最好是對你有意義(所以你容易記住) 但對別人為莫明所以的文字數字組合,能夠同時含有大小寫英文字母、數字和符號為佳。不要到處都用同一組密碼,以免一處密碼被破解導致全盤皆沒。若非得把密碼寫下來不可,請把記錄密碼的紙張放在安全的地方。
網路詐騙儘管行之有年,但不僅未見消退,反而有逐漸增長的趨勢。這其實也很容易理解,因本質上和古老的金光黨沒什麼兩樣,只是加入了網路這個比較炫的科技元素。只要人性仍有貪與懼,可以預見網路詐騙必將歷久不衰。但願讀者能多謹慎小心,才不會誤入騙徒精心佈下的天羅地網。
註:「社交工程」指利用各種方式取信於受害者,進而取得其電腦控制權或機密身分資料的手法。「社交」表示騙徒使用的是「社交行為」術語或手段,讓受害者誤信為其朋友、上司、同事、官方機構或某間公司;「工程」則表示這可不是隨便編而容易被識破的謊言,是騙徒絞盡腦汁設計出來有如工程工藝般的心血結晶。
最後更新日期:2013/05/20