釣魚是網絡罪犯取得帳戶及個人資料存取權最常見的方法之一。它依賴的是欺騙手法,而非技術本領或黑客入侵。
攻擊者會冒充可信機構或人士,施加壓力,誘使受害者點擊連結、下載有害檔案,或輸入敏感資料。
了解釣魚如何運作(以及如何識別釣魚詐騙),可避免帳戶被接管或身分盜用,減少對你生活與財務的影響。
重點摘要:
- 釣魚是一類詐騙,透過冒充可信來源,誘使人們洩露敏感資料或安裝惡意軟件。
- 電郵、短信、電話及社交媒體是常見的釣魚投遞渠道。
- 大多數網絡攻擊始於釣魚;它是資料外洩與帳戶被接管的主要入口。
- 製造緊迫感與恐懼是關鍵手法,例如聲稱帳戶將被停用或有欠款未繳。
- 養成簡單習慣,如核實連結並啟用多重驗證(MFA),可大幅降低風險。
甚麼是釣魚?
釣魚是一種網絡攻擊,罪犯會冒充可信的人士或機構,誘使用戶洩露敏感資料或安裝惡意軟件。
其目標通常是竊取登入憑證或個人資料,但釣魚亦可用來投放惡意軟件或取得帳戶存取權。這類攻擊多以電郵或訊息出現,乍看之下十分正規,但其實旨在欺騙收件人。
由於釣魚鎖定的是人類行為,它仍是攻擊者取得帳戶、裝置或系統初始存取權的最常見方法之一。攻擊者往往透過一則釣魚訊息取得入口,然後進一步深入帳戶或系統竊取資料或行騙。
釣魚被廣泛視為最常見的網絡罪行。FBI 的 Internet Crime Report 顯示,spoofing 攻擊與釣魚的回報數量是其他任何詐騙形式的兩倍。
釣魚如何運作?
釣魚透過將虛假的請求包裝成真實可信,繼而引導受害者採取行動,讓攻擊者獲取金錢或有價值的個人資料。
典型的釣魚攻擊通常包含以下步驟:
- 冒充:攻擊者假裝成可信來源,例如銀行或僱主。
- 接觸:訊息透過電郵或其他渠道送達,常用熟悉的品牌外觀或偽造的寄件人資料。
- 互動:要求受害者點擊連結、開啟附件、回覆資料,或透過假網站登入。
- 資料擷取:假頁面或檔案會收集密碼及其他敏感資料。
- 濫用:攻擊者利用所得資料發動進一步攻擊,例如帳戶接管或身分盜用。
Five stages of phishing.png alt=展示釣魚攻擊五個階段的示意圖
危險之處在於釣魚往往看起來很正規。假登入頁面可能幾乎與真實頁面一模一樣;偽造的電郵或會使用你熟悉品牌的標誌與語氣。因此,僅靠視覺外觀並不足以判斷訊息是否安全。
為何釣魚攻擊會得逞?
釣魚之所以成功,是因為它鎖定人類行為。攻擊者了解甚麼能驅使人們行動,他們或會施加壓力,或先建立信任再加以濫用。
關於帳戶將被關閉、欠費未繳、可疑登入或錯過派送等緊急警告,都是為了削弱人的冷靜判斷。權威亦會影響判斷——看似來自銀行或政府機構的訊息,往往更難被質疑。
即使是精通科技的人也可能中招,特別是在分心之際,或面對看似與自己相關的訊息時。當反應比核實來得更容易時,釣魚便會奏效。
釣魚攻擊有哪些類型?
可按訊息的傳送方式及目標精準度來分組。有些是一次過向成千上萬人發動的廣泛活動,另一些則是為特定人士或機構量身訂做。
了解這些類別有助用戶不論在任何渠道中,都能更快識別威脅並作出正確回應。
最常見的釣魚攻擊有哪些?
這些攻擊依賴常用的通訊渠道,通常以大量散發的方式出現。
- 電郵釣魚 透過大量訊息冒充可信品牌或服務,以收集登入憑證或個人資料。
- Smishing 以短信(SMS)促使收件人點擊連結、致電號碼或分享敏感資料。
- Vishing 以電話或語音留言,攻擊者冒充支援人員、銀行或政府機構。
- Quishing 使用惡意的 QR 碼,將用戶轉到詐騙網站或觸發不安全下載。
這些方法之所以常見,是因為易於擴大規模,並能快速觸及龐大受眾。
甚麼是進階的釣魚攻擊?
進階釣魚攻擊會鎖定特定目標,或使用更精密的技術來提高可信度並繞過基本防護。
- Spear phishing 以個人化資訊鎖定特定人士或群組。
- Whaling 鎖定掌握敏感資料或財務權限的高層或決策者。
- Business Email Compromise(BEC)會冒充可信的商務聯絡人,要求付款或敏感資料。
- Clone phishing 複製真實訊息,並將其中的連結或附件替換為惡意版本。
- Pharming 透過操控網域或網絡等技術設定,將用戶導向詐騙網站。
Phishing types at a glance.png alt=常見與進階釣魚攻擊類型概覽
釣魚訊息有何特徵?
釣魚訊息往往看似正規的電郵、短信、公司內部請求或帳戶提示,目的是令收件人相信通訊是真實的。
許多釣魚訊息會貼近地模仿可信品牌,但不尋常的要求、意料之外的附件,或連到陌生網域的連結,仍然可揭示其詐騙本質。
以下是用戶在現實中常見的情境:
- 配送通知聲稱包裹無法送達,要求你點擊連結確認地址。
- 銀行提示警告可疑活動,指示你立即登入以保護帳戶。
- 公司訊息看似來自經理,要求緊急付款或文件。
- 意外收到的密碼重設電郵,要求你透過所提供的連結驗證帳戶。
- 來自服務供應商的短信表示若不確認賬單資料,你的帳戶將被停用。
- 海報或電郵上的 QR 碼叫你掃描以領取折扣或更新帳戶資料。
這些訊息之所以看似正常,是因為它們複製了人們每天習以為常的真實溝通方式。
如何辨識釣魚企圖?
留意不尋常的要求、突如其來的緊迫感、可疑連結,或與寄件人一貫行為不符的訊息,便可辨識釣魚企圖。
可使用以下判斷框架:
- 這則訊息是預期中的嗎?對密碼或驗證的意外要求是常見警號。
- 是否被要求迅速行動?緊迫期限、威嚇或警告,往往用來削弱冷靜思考。
- 請求是否涉及敏感資料?正當機構很少會透過電郵或短信索取密碼或財務資料。
- 訊息是否要求驗證、付款、登入憑證或敏感資料?對涉及敏感操作的突如其來要求,是常見的釣魚手法。
- 寄件人是否與情境相符?不要只看名字或標誌是否正確,還要判斷訊息是否合乎情理。
- 能否透過其他渠道核實?如有不對勁,請使用官方聯絡資料直接聯絡該機構確認。
最安全的做法,是在行動前先暫停並核實。
在互動前應檢查甚麼?
在有任何互動前,先快速完成以下核對清單。
- 確認寄件人身分。檢查電郵地址、電話號碼或網域是否與機構的官方聯絡資料相符。細微的拼寫差異或不尋常的網域都是常見警號。
- 檢查網址是否與機構的官方網域一致。安全的 HTTPS 連線與 SSL 憑證會加密通訊,但並不保證網站一定是真實可靠。
- 質疑不尋常的緊迫感。要求立刻行動、威脅後果,或迫使你迅速回應的訊息,應特別小心。
- 若上述檢查有任何可疑,請在繼續前,改以官方渠道核實該請求。
正當公司決不會要求你做甚麼?
正當機構應遵循嚴格的保安做法,不會透過非正式或不安全的渠道要求你進行敏感操作。
- 他們決不會透過電郵或電話索取敏感資料(例如密碼、PIN 或完整安全碼)。
- 他們決不會在沒有妥善核實與既定程序下,要求緊急付款或轉賬。
- 他們決不會要求你繞過保安控制,例如停用保護或分享一次性驗證碼。
如遇到以上任何要求,請視為可疑,並獨立核實後才回應。
釣魚攻擊如何演變?
釣魚正轉向更具針對性及數據驅動的活動,利用受害者的真實資訊。攻擊者現時會結合外洩的憑證與自動化工具,製作更可信、更難被偵測的訊息。
科技亦改變了投遞方式。攻擊者愈來愈常同時使用多個渠道:短信、通訊應用程式、電話、社交媒體……層出不窮。這種方式可提高受害者回應的機會。
自動化在這個演變中扮演重要角色。現代釣魚行動可在數分鐘內發送數以千計的客製訊息,測試哪個版本更有效,並迅速調整策略。核心的欺騙不變,但用來建立與投遞釣魚攻擊的工具日益先進。
AI 如何用於釣魚攻擊?
人工智能可讓攻擊者以更少力氣製作更逼真的訊息。AI 工具能根據公開資訊生成自然語言,並針對特定人士量身訂做內容。
AI 亦削弱了許多原本可協助用戶識別詐騙的傳統警號,例如文法拙劣或用詞怪異。此技術亦讓攻擊者能快速擴大活動規模,於不同平台大量發送個人化訊息。
有哪些新興的釣魚技術?
釣魚正超越傳統電郵,演變為協同的多渠道攻擊,跨裝置與通訊方式緊追受害者。
- 多渠道釣魚結合電郵、SMS、語音通話與通訊應用程式,以提升可信度與持續性。
- 深度偽造冒充利用合成語音或影片,模仿受信任的人士,如經理、同事或家人。
- QR 碼釣魚(quishing)使用惡意代碼,將用戶導向詐騙網站或觸發不安全下載。
這些技術反映更廣泛的趨勢:釣魚更具適應性,僅憑視覺線索已愈來愈難分辨。
面對現代釣魚,必須採用分層防護,將審慎行為與可偵測惡意連結、檔案與網站的保安工具結合。
如果誤信釣魚詐騙會怎樣?
釣魚詐騙的影響取決於你分享了哪些資訊,以及攻擊者行動的速度。
常見後果是帳戶被接管。攻擊者會利用被盜憑證存取你的帳戶,包括電郵、社交媒體、購物或銀行帳戶。一旦進入,他們可能更改密碼、以你的帳戶發送訊息,或藉此重設其他服務的存取權。
財務損失亦相當普遍。攻擊者可能進行未經授權的購買,或利用被盜資料開立新帳戶。即使是零碎資訊,也可被拼湊用於日後的身分盜用或詐騙。
長遠影響可能包括持續的私隱外洩、信貸受損,以及重複的詐騙嘗試。被盜資料往往會被重用、分享或兜售,意味著受害者在事件發生後的數月甚至數年內仍可能面臨風險。
收到釣魚訊息應怎樣做?
對釣魚訊息最安全的回應,是先暫停並小心處理。不與訊息互動而迅速採取行動,有助減低被入侵的風險。
- 不要點擊連結、開啟附件或回覆該訊息。
- 若訊息看似針對真實機構,請透過該公司的官方網站或支援渠道直接聯絡。
- 若需要舉報,請保留該訊息,但避免點擊其中的連結或附件。
- 一經確認為詐騙,請刪除或標記為垃圾郵件。
- 如適用,將該訊息回報給你的電郵服務供應商或公司保安團隊。
- 封鎖寄件人。
以上步驟有助避免誤觸,並減少類似詐騙傳播至其他人的機會。
如果你點擊了釣魚連結,應該怎樣做?
點擊釣魚連結並不必然代表你的裝置或帳戶已遭入侵,但確實會增加風險。首要任務是迅速行動,以控制潛在損害並保障你的資訊。
你的應對應聚焦於鎖定帳戶並檢查未經授權的活動,其後再著手減低進一步被濫用的機會。及早行動可阻止攻擊者奪取你的帳戶與資料。
應立即做甚麼?
盡快按以下步驟進行,先處理最可能受影響的帳戶。
- 更改受影響帳戶的密碼,以及任何使用相同或相近憑證的帳戶。
- 啟用多重驗證(MFA),即使密碼外洩也可阻擋未經授權的登入。
- 若可能輸入了財務或敏感帳戶資料,請聯絡你的銀行或服務供應商。
這些行動可迅速保障存取權,並限制攻擊者利用被盜資料的能力。
如何降低持續風險?
即時應對只是其中一步;你還需要持續監察與加固裝置及帳戶,以捕捉延遲或隱蔽的活動。
- 在裝置上執行保安掃描,檢查是否有惡意軟件或未經授權的軟件。
- 監察帳戶與結單,留意不熟悉的登入或更改。
- 若個人或財務資料可能已外洩,請向相關機構或部門回報事件。
持續保持警覺十分重要,因為被盜資料可能在原始釣魚嘗試後數天或數週才被利用。
如何預防釣魚攻擊?
預防釣魚需結合日常習慣與保護技術。大部分成功的攻擊源於倉促決定或帳戶保安薄弱,因此保持一致的流程與防護可帶來重大差別。
長期保護來自於核實請求、行動前放慢步伐,以及使用內建的保安工具來偵測可疑活動。
哪些習慣可降低釣魚風險?
簡單習慣能減少接觸釣魚的機會,並讓可疑訊息更易被識別。認識釣魚連結如何被偽裝,有助避免最常見的憑證盜竊途徑之一。
- 把獨立核實變成日常習慣,尤其面對意外請求時。
- 避免在壓力下行動。絕大部分釣魚訊息都會製造緊迫或要求立即回應。
- 對任何意外的聯絡保持懷疑,特別是當中要求敏感資料或不尋常操作時。
這些習慣有助你在互動前先暫停並評估風險。
哪些保安措施能提供強而有力的保護?
技術性防護可增加一道防線,即使釣魚訊息相當逼真,也能協助阻擋攻擊。
- 使用多重驗證(MFA)以防止未經授權的帳戶存取。
- 啟用 Google、Apple 和 Microsoft 等供應商的內建平台防護,包括安全提示與登入核驗。
- 使用可信賴的網絡保安軟件,以偵測惡意連結、附件及可疑活動。
這些措施可減低一次失誤便導致帳戶被接管的可能性。
避免釣魚的最重要守則是甚麼?
行動前先核實。
若訊息要求提供資料或立即行動(甚至是金錢),請在回應前透過可信來源確認請求。短短一步核實,往往足以在釣魚得逞前將其阻止。
延伸閱讀:
推薦產品:
FAQ
為何釣魚電郵看起來如此真實?
釣魚電郵之所以令人信以為真,是因為攻擊者會複製你在可信公司常見的真實標誌與用語。他們亦可能利用被盜資料或 AI 工具來個人化訊息,並消除明顯錯誤。
社交媒體也會收到釣魚訊息嗎?
會。釣魚可透過社交媒體上的私訊、假帳戶,或包含惡意連結的貼文進行。攻擊者常冒充朋友或熱門品牌以取得信任。
為何我突然收到一大堆釣魚電郵?
若你的地址在資料外洩中被曝光,或被加入垃圾郵件清單,便可能突然增加釣魚電郵。攻擊者亦會同時向許多人發送大規模活動。
只打開釣魚電郵就會被入侵嗎?
在大多數情況下,單是開啟電郵並不足以令裝置被入侵。風險通常始於使用者點擊惡意連結、下載檔案,或輸入敏感資料。
