Phishing

過去駭客要執行網釣攻擊必須藉由電子郵件或各種社交網站的惡意連結將用戶導向偽造的網頁以騙取使用者的帳號資訊，現在這種手法可以說簡化了網釣攻擊方式。文/陳曉莉 (編譯)

Mozilla Firefox瀏覽器的介面及創意負責人Aza Raskin最近發現了一個新的網釣手法，可改變使用者瀏覽網頁的標籤及介面，以誘導使用者輸入網路服務的帳號與密碼。

資訊安全廠商賽門鐵克最新公布的1月份垃圾郵件報告指出，在去年12月共觀察到1100多個釣魚網站，分散於全球61個國家；美國仍舊是全球釣魚網站主機來源國家的第一名，佔了全部的47%，南韓則佔了全球的7%。(撰稿‧編輯：韓啟賢 　　新聞引據： 採訪)

如果以IP位址網域的網站主機城市做排名，韓國的首爾(Seoul)是全球釣魚主機來源城市的第一名。報告指出，用IP位址顯示網域的釣魚網站，有越來越分散到其他新城市的趨勢，因為這種方式可輕易地隱藏假冒的網域名稱。

由於警察局公務電腦中有許多民眾重要個人資料與筆錄資料等，若員警因為誤信釣魚郵件、點擊惡意連結，導致公務電腦被植入木馬程式，將使得公務電腦中民眾相關重要個資被竊。文/黃彥棻 (記者)

歷經8個月的社交工程威脅演練，臺北縣警察局誤信釣魚信件的開信率，已從去年10月的3.5％，降到今年6月的0.12％，總計3季社交工程演練，演練人次近2萬人（19,321人），平均開信率1.86％。

一名自稱為“orin0co”的駭客表示，他已成功入侵蘋果CEO史蒂夫•賈伯斯(Steve Jobs)的亞馬遜網站個人帳戶，並獲得了賈伯斯的購買記錄和信用卡號碼等個人資訊。

據orin0co稱，賈伯斯是一個網路購物狂。在過去的10年中，賈伯斯從亞馬遜網站購買了2萬件商品，相當於每年2000件，每天5件。orin0co計劃把這些資訊出售給記者。

orin0co在一封電子郵件中表示：“我掌握了賈伯斯的一些資訊，其他人不知道。我並沒有濫用這些資訊，否則的話賈伯斯早就修改登錄資料了。”orin0co透過給賈伯斯發了一封假冒的“官方郵件”，誘騙賈伯斯登錄假冒的亞馬遜網站，從而成功獲得上述資訊。

Facebook表示，已由MarkMonitor提供反詐欺解決方案以協助Facebook偵測及避免網路釣魚與惡意程式的攻擊。

上周連續受到兩個不同網釣攻擊，並讓駭客在Facebook裡散布偽造的網站連結趁機竊取使用者的帳號密碼後，Facebook宣布已成功抵擋相關的惡意網站。

上周相繼出現在Facebook上的兩個釣魚網站分別為fbstarter.com及fbaction.net。駭客於Facebook上散布上述網址，當使用者連到該網址時會出現類似Facebook要求使用者輸入帳號/密碼的視窗，以竊取使用者的帳密並存取使用者資訊。

一份全球資安研究報告指出，引導電腦使用者回信或連結到一個假冒的電子郵件地址或網址，並藉此騙取受害人個人資料的網路釣魚網站，於2008年成長了6成6。在這些網站中，又以金融服務議題做為幌子的居多，佔了7成6。(撰稿‧編輯：韓啟賢)

雖然已經有過很多先例，但還是有些電腦使用者會不小心落入網路釣魚(phishing)的陷阱；像是一些與報稅等時事相關又切身的議題或詐騙手法，很容易就攻破電腦使用者的心防；一旦受騙、點選連結，個人資料就會被駭客所竊取。

Trusteer建議使用者要部署瀏覽器安全工具，在瀏覽其他網站前務必要關閉金融網站或其他重要的線上應用程式視窗。

資安業者Trusteer在近日發表一份研究（PDF檔）指出，過去駭客利用散布偽造的電子郵件來誘導使用者連上網路釣魚網站的手法將逐漸改變，新一代網釣手法可能利用瀏覽器漏洞，在網友造訪正牌網站的同時跳出一個偽造的視窗讓使用者步入網釣陷阱。