【網路安全】如何預防辨識Yahoo奇摩拍賣,網拍釣魚網站盜帳號詐騙手法公開 文/灰色金盞花
使用網路釣魚網站來進行盜取帳號的手法,在網路上很常見,尤其在Yahoo奇摩拍賣或PChome的露天拍賣很常出現。
網路釣魚這個名詞簡單解釋就是,『架設一個假的網站,讓網友信以為真,而輸入帳號密碼登入』。
一旦將真實的帳號密碼輸入,就會被記錄下來。
而後果、通常很慘。
金盞花的朋友最近在Yahoo奇摩拍賣就遇到了網路釣魚,我們用這個例子來做講解,教大家如何辨識釣魚網站,以及預防。
先來看過程,後面再教大家原理和辨識的方法。
這個例子是『買家』假裝詢問,誘使『賣家』去點選連結。
也有例子是『賣家』設下產品說明連結,誘騙『買家』去看的。
網址乍看之下有模有樣,不過實際上很假,它在網址裡面使用 - 取代 .
打開這個網址後,畫面像這樣。和真的Yahoo很像。
金盞花試著登入 帳號:釣魚網站 密碼:白痴
結果還真的登入了。
這時候檢查一下網址,變成真的Yahoo拍賣了,可是帳號卻不是剛剛輸入的『釣魚網站』,而是真實的帳號。
會出現真實帳號,是因為金盞花一直在登入狀態。(後面說明)
若不在登入狀態,則不會有登入的狀態列出現。
釣魚網站基本原理
釣魚網站其實就是偽製一個幾可亂真的網頁,誘騙網友去進行登入的動作。
一旦輸入帳號密碼去登入,網頁便會將帳號密碼儲存起來,送給這些『詐騙集團』。
接著通常會有兩種情況
第一.如上例、這個網頁會將網友引導到正確的網頁,所以網友不會察覺已經上當了,而是以為真的登入了。
這種例子通常是『目的地網頁』其實是不需要登入的。
以我朋友的例子來說,要瀏覽一個產品根本不需要登入,但是釣魚網站卻先出現登入畫面,接著才連結到產品畫面,這樣就是有問題。
第二.假如『目的地網頁』是需要登入才能看見,那麼這個網站會出現『帳號密碼輸入錯誤』的畫面,要求重新登入。
接著引導到『真正』的官網登入畫面,這時候重新輸入一次帳號密碼,當然可以登入。
我們會懷疑自己第一次輸入時,應該打錯字了,但其實帳號密碼已經被釣魚網站記錄了。
釣魚網站如何分辨防範
了解釣魚網站的基本原理後,就有很多方式來分辨。
我們先來看看真正的Yahoo奇摩登入畫面。
什麼都可能是假的,只有網址不會假,所以必須先由網址檢查起。
真正的登入畫面網址其實很長,但長度不是重點。
重點在網址的一開頭是 https:// 而不是 http://
https://開頭的網址,代表加密傳輸,防止資料外洩,但是假的網址是以 http://當開頭。
這是一種分辨方式,但不是絕對。
再提供一種方式去檢驗
當懷疑是釣魚網站時,先不要登入。
改由去『真正』的Yahoo奇摩官網登入,接著再回去刷新假的釣魚網站,如果還是登入畫面,表示這是假的。
真正的Yahoo奇摩已經登入過了,所以不應該出現登入畫面。
預防釣魚網站要養成好習慣
1.只要是需要登入的畫面,一律回到官網登入,不要在連結中直接登入。
2.登入畫面通常都是加密傳輸,使用https開頭的網址。
3.仔細分辨網址 例如 yahoo 變成yah00 (英文的o變成數字的0)
或者英文的l變成數字的1,或者yahoo變成yahooo(多了一個o)
或者本例 將 . 變成 -
4.至少安裝一套防毒軟體,並且該功能含有釣魚網站過濾的。
5.不要亂連結不被信任來源的網址。
6.如果在Yahoo拍賣發現釣魚網站,可以到這邊檢舉,減少受害者。 Yahoo奇摩服務中心
【非設計部落公告】盜文、盜連、外連圖片,處理方式。
覺得『非設計部落』文章不錯,請動動滑鼠點一下『讚』喔!
留言列表
【非氏不可】各班講義/開班資訊/行銷托管服務 (6)
2011/10/22