
钓鱼攻击,又称「网络钓鱼」,是流行的网络犯罪手段。黑客以渔翁撒网方式发放伪 装由政府、银行、网上付款服务商、网上零售商
什么是钓鱼攻击?
钓鱼攻击(Phishing attack),又称「网络钓鱼」,是流行的网络犯罪手段。黑客以渔翁撒网方式发放伪装由政府、银行、网上付款服务商、网上零售商或公司商业伙伴等机构的电邮或短讯,内含的链接或二维码所指向的钓鱼网站与真实网站极度相似,从而诱使收件人输入登入密码、个人资料、信用卡资料等。 黑客亦可能会在讯息内嵌连结、二维码或档案附件,如收件人不慎点击连结或开启附件,其装置便可能受恶意软件感染。
【艾妮與黎峻提提你:提防釣魚攻擊 有Link唔好亂click!】
钓鱼电邮及短讯


钓鱼网站

黑客最近假冒什么?
在去年的网络钓鱼当中,黑客以假冒金融机构和邮递服务占大多数。
假冒金融机构/电子支付平台
黑客假冒金融机构,例如银行发出的钓鱼短讯,声称户口有异常或有转账指示,要求用户立即处理或确认。 诱骗用户进入假网站并提供手机号码和一次性密码,然后用另一手机骑劫账户并将钱转走。 由于骗徒隐藏发讯人的电话号码,并假冒银行昵称,手机系统会把同一昵称发出短讯视为同一人发出,令真假短讯放在一起,令人难以分辨。
也有黑客从不同渠道(如系统漏洞、暗网等)取得市民个人资料,假扮银行职员来电,声称要求用户提供「交易密码」及以手机接收「一次性密码」以更新支付平台账户,否则会冻结其户口。 由于骗徒能准确地讲出市民的个人资料,因而容易取得市民信任。 取得上述资料后,骗徒随即骑劫户口并将钱转走。
假冒邮递服务/公营机构
「由于欠缺资料,包裹未能付运」、「未能顺利付款,已暂停有关服务,请更新付款方式」、「Your package with track number xxxx still waiting your instruction (你的包裹编号XXX仍等待指示)」,都是假冒邮递服务或电力公司、煤气公司、港铁等公营机构钓鱼讯息的开场白,诱骗用户打开链接进入假网站。 由于钓鱼讯息的接口设几可乱真,而且使用了迫切的字眼如「暂停服务」、「会被退件」等,令收件人在情急之下提供个人或信用咭资料。
注意寄件者的电邮标头,检查电邮地址的域名(domain)是否有异样
标题包含「帐号即将关闭」等字眼,利用收件者担忧的心理以减低其警觉性
电邮内容前后矛盾、文法不通或拼字错误
电邮内有可疑连结、二维码或附件
伪冒网站的域名与官方网站的域名极为相似(如数字「1」取代字母「I」)
伪冒网站或会有部分连结失效
安全贴士

不要开启来历不明的邮件或讯息

查看清楚寄件者的资料

切勿点击可疑电邮或讯息内的超连结

切勿登入未经查证的网站

如网站要求提供个人或信用卡资料,应加倍小心

如怀疑受骗,应保存相关电邮或讯息,并尽快报警