【網路安全】如何預防辨識Yahoo奇摩拍賣,網拍釣魚網站盜帳號詐騙手法公開  文/灰色金盞花

 按一下分享到你的臉書Facebook

使用網路釣魚網站來進行盜取帳號的手法,在網路上很常見,尤其在Yahoo奇摩拍賣或PChome的露天拍賣很常出現。

網路釣魚這個名詞簡單解釋就是,『架設一個假的網站,讓網友信以為真,而輸入帳號密碼登入』。

一旦將真實的帳號密碼輸入,就會被記錄下來。

而後果、通常很慘。

 

金盞花的朋友最近在Yahoo奇摩拍賣就遇到了網路釣魚,我們用這個例子來做講解,教大家如何辨識釣魚網站,以及預防。

先來看過程,後面再教大家原理和辨識的方法。

 

這個例子是『買家』假裝詢問,誘使『賣家』去點選連結。

也有例子是『賣家』設下產品說明連結,誘騙『買家』去看的。

網址乍看之下有模有樣,不過實際上很假,它在網址裡面使用 - 取代 .

b1.gif  

 

 

 

打開這個網址後,畫面像這樣。和真的Yahoo很像。

金盞花試著登入   帳號:釣魚網站   密碼:白痴

b3.jpg    

 

結果還真的登入了。

這時候檢查一下網址,變成真的Yahoo拍賣了,可是帳號卻不是剛剛輸入的『釣魚網站』,而是真實的帳號。

會出現真實帳號,是因為金盞花一直在登入狀態。(後面說明)

若不在登入狀態,則不會有登入的狀態列出現。

b2.jpg   

 

 

釣魚網站基本原理

釣魚網站其實就是偽製一個幾可亂真的網頁,誘騙網友去進行登入的動作。

一旦輸入帳號密碼去登入,網頁便會將帳號密碼儲存起來,送給這些『詐騙集團』。

接著通常會有兩種情況

第一.如上例、這個網頁會將網友引導到正確的網頁,所以網友不會察覺已經上當了,而是以為真的登入了。

這種例子通常是『目的地網頁』其實是不需要登入的。

以我朋友的例子來說,要瀏覽一個產品根本不需要登入,但是釣魚網站卻先出現登入畫面,接著才連結到產品畫面,這樣就是有問題。

第二.假如『目的地網頁』是需要登入才能看見,那麼這個網站會出現『帳號密碼輸入錯誤』的畫面,要求重新登入。

接著引導到『真正』的官網登入畫面,這時候重新輸入一次帳號密碼,當然可以登入。

我們會懷疑自己第一次輸入時,應該打錯字了,但其實帳號密碼已經被釣魚網站記錄了。

 

 

釣魚網站如何分辨防範

了解釣魚網站的基本原理後,就有很多方式來分辨。

我們先來看看真正的Yahoo奇摩登入畫面。

什麼都可能是假的,只有網址不會假,所以必須先由網址檢查起。

真正的登入畫面網址其實很長,但長度不是重點。

重點在網址的一開頭是  https://  而不是 http://

https://開頭的網址,代表加密傳輸,防止資料外洩,但是假的網址是以 http://當開頭。

這是一種分辨方式,但不是絕對。

b4.jpg   

 

再提供一種方式去檢驗

當懷疑是釣魚網站時,先不要登入。

改由去『真正』的Yahoo奇摩官網登入,接著再回去刷新假的釣魚網站,如果還是登入畫面,表示這是假的。

真正的Yahoo奇摩已經登入過了,所以不應該出現登入畫面。

 

 

預防釣魚網站要養成好習慣

1.只要是需要登入的畫面,一律回到官網登入,不要在連結中直接登入。

2.登入畫面通常都是加密傳輸,使用https開頭的網址。

3.仔細分辨網址 例如 yahoo 變成yah00 (英文的o變成數字的0)

或者英文的l變成數字的1,或者yahoo變成yahooo(多了一個o)

或者本例 將 . 變成 -

4.至少安裝一套防毒軟體,並且該功能含有釣魚網站過濾的。

5.不要亂連結不被信任來源的網址。

6.如果在Yahoo拍賣發現釣魚網站,可以到這邊檢舉,減少受害者。  Yahoo奇摩服務中心

 

【非設計部落公告】盜文、盜連、外連圖片,處理方式。

 

覺得『非設計部落』文章不錯,請動動滑鼠點一下『讚』喔!

arrow
arrow
    全站熱搜

    鹿老師 發表在 痞客邦 留言(1) 人氣()

    E-mail轉寄