種類一:消費折扣陷阱
詐騙手法:根據消費行為分析,有較好的折扣和較低的售價往往是消費者在網路上購物的主因之一,而網路駭客也了解消費者心態,建構假的消費網站、張貼大量折扣訊息,吸引消費者上鉤、留下信用卡資料,個人資料就此外洩。
大眾因應之道:網路購物前注意網路商家是否有聯絡電話和地址可供聯繫,尤其當進行到付費階段時要格外留意,例如:注意付費頁面的網址中是否有https(其中s代表的是secure安全的意思),一定要透過安全加密的網頁提供信用卡資料,不要透過電子郵件。
企業因應之道:企業不需過於擔心地限制員工上網購物,教導員工正確的注意網路陷阱和部署有效的防護工具才是首要重點。企業可制定公司內部網路使用政策,達到管控員工網路行為和教育員工辨識網路威脅的功效。當然,有效的網路安全防護工具,例如Websense Security Gateway,即可進行網站分類,對於動態的、可疑度高的網頁,為企業網路安全提供即時、主動防護。
種類二:偽裝陷阱
詐騙手法:過年過節總少不了親朋好友寄送的卡片、郵件問候或有趣的影片,但往往在其中便隱藏著惡意連結和釣魚網站連結。現在大家在開啟網路郵件、卡片或影片檔案時,已經懂得要過濾不明寄送者,但這種利用熟人的郵件作掩護、散佈惡意連結的手法,容易使人落入陷阱,網路上較常見。
大眾因應之道:建議使用即時網路安全偵測軟體以降低風險,否則使用者就必須對於所開啟的連結和所瀏覽的網站提高警覺。當過濾熟人寄發的郵件時,最好的方式是向寄送者求證郵件是否屬實;另外,在點擊每一個連結網址前,仔細檢查其網址中是否含有可疑或不明的網域來源,若有可疑之處就立即刪除。
企業因應之道:綜合式網路攻擊持續在增加,且在垃圾郵件中有高達85.6%的比例內含垃圾網站連結和惡意網站連結。建議企業應該部署結合網路和郵件安全偵測及防護的解決方案,以正確辨識網路和郵件的安全性,即時阻擋不當的網站和郵件被開啟,或阻止任何檔案被傳遞到可疑的網域。
種類三:網頁隱藏式陷阱
詐騙手法:這是最危險的手法,使用者不需有太多的互動,只要瀏覽一個已中毒的網站,惡意或含有病毒的應用程式,就會被默默的植入電腦,而使用者不自知。
大眾因應之道:建議使用者隨時留意電腦的網路安全防護方案是否為最新版本,若不是,務必即時更新,否則等於對著駭客敞開大門、歡迎攻擊入侵。
企業因應之道:病毒碼已不如過去所知常隱身在於色情或賭博網站,根據研究資料顯示,77%的合法網站,例如:新聞、旅遊或購物網站都可能存在著病毒碼。因此,網站類型已不足以做判斷,企業若有建置網路安全防護工具,必須具備同時監控網站類型、網頁內容、網站內建的應用程式等功能才算完整且能有效的即時進行風險評估。
種類四:假性反詐騙廣告陷阱
詐騙手法:社交工程(Social engineering)是這個手法的美名,常做為誘引,使人誤入陷阱。此手法的執行方式使用者常感到熟悉,Websense安全實驗室已發現大量實例,多以防毒掃描為偽裝。首先會先有一個彈跳視窗,告知正在使用中電腦已被病毒感染,需要執行一個全磁碟掃描以策安全,這當然是詐騙訊息,電腦沒有中毒,但使用者可能已下載甚至付費購買惡意軟體,進行惡意全磁碟掃瞄,且在過程中讓駭客自由獲取重要資料。
大眾因應之道:留意搜尋引擎的搜尋結果,惡意攻擊常隱身於搜尋結果排序前幾名的網站,駭客企圖藉此提高引誘使用者進入惡意網站的可能性;或當使用者點擊搜尋結果時,製造出假性中毒的陷阱。建議大眾,提高警覺進行所有網路行為是不二法門。
企業因應之道:建議企業使用高階的網路安全防護工具,例如Websense Security Gateway,即可偵測和阻擋Proxy、各類型惡意網站、色情網站、疆屍病毒、鍵盤側錄、釣魚網站和間諜網站等各式各樣不安全的網站內容。另外,Websense Security Gateway可同時協防資料外洩問題和阻擋因Web 2.0社交型網站而衍生的新型攻擊。
種類五:趣味小遊戲陷阱
詐騙手法:就像利用拼圖遊戲,將病毒分割為小單位以躲避偵測,當使用者進入網頁時,JavaScript會從多個伺服器得到網頁建構元素和位元組,分散的病毒就隱身在這些少量的元素中,當各個伺服器的資料傳送完畢、網頁完成,即病毒合體、危機觸發。
大眾因應之道:這種攻擊手法普遍見於各種瀏覽器,關閉JavaScript的功能即可阻擋危機發生,然而這是不切實際的方法,還是建議大眾提高警覺、留意使用中電腦的網路安全防護方案功能是否更新到足以因應才是根本之道。
企業因應之道:安全解決方案即為主動式內容掃描,需要留意的不僅是磁碟內靜態的資料內容,更重要的是時時動態變化的瀏覽器資料內容。