网路钓鱼与网址嫁接

定义

网路钓鱼是透过电话、电子邮件、即时通讯 (IM) 或传真，尝试取得个人身分资讯，其目的是窃取身分资料、智慧财产，最终窃取财物。这些网路钓鱼行为大部分皆会以合法的目的做掩饰；也就是说，它们乍看之下合法，实际上却是由不法的企业组织所为。典型的电子网路钓鱼攻击包含两种元件：几可乱真的电子邮件和诈骗网页。这让网路钓鱼成为特别难以察觉对付的危险犯罪行为，因为犯罪者善于将其用来诱骗受害者，使他们认同其合法性。采用 HTML 格式的电子邮件通常包含公司标志、色彩、图形、字型样式和其他网页素材，且主旨通常为帐户问题、帐户验证、安全性升级，及新产品或服务赠送等。在这些电子邮件中，Web 连结的外观和风格和其仿造的原始合法网站几乎一模一样，因此很难查觉出这是网路诈欺。

网址嫁接类似网路钓鱼。但是网址嫁接不会直接骗取个人或企业资讯，而是挟持合法的网站，如 "www.mybank.com"），然后透过网域名称伺服器 (DNS) 将网站重新导向到看似与原始网站无异的错误 IP 位址。这些假冒的网站会透过图形使用者介面来收集受到保护的资讯，使用者根本不会发现有异样。因为要进行网址嫁接必须具备非常高超的技术，再加上 DNS 非常难操控，所以网址嫁接远比网路钓鱼少见。不过，网址嫁接在不久的将来还是有可能成为不小的威胁。

保护网路、伺服器、个人电脑及行动装置不受网路钓鱼与网址嫁接威胁的方法

• 在所有可能的进入点 - 包括网际网路闸道、传讯闸道、端点用户端、端点伺服器和网路 - 采用完整的网路钓鱼防护和网址嫁接解决方案。趋势科技提供了各种网路钓鱼防护和网址嫁接防护的产品和解决方案，以符合各种企业需求。网路钓鱼防护产品
• 让所有浏览器、电子邮件及即时通讯安全修补程式维持在最新状态。
• 教育员工，让他们了解最新的安全威胁、中毒征兆，以及防护伺服器、电脑与行动装置的方法：
• 提高警觉。 请勿依赖个人的观察力来辨识合法和非法的私密资讯要求。从事网路钓鱼和网址转嫁的人都是十分狡猾的犯罪者，他们善于诈骗，即便是最精明的使用者也可能会上当。
• 千万不要将个人或私密资料交给不熟悉或不明的个人或企业。
• 千万不要将个人或私密资料交给不熟悉或不明的个人或企业。删除所有要求私密资料的电子邮件。如果要求看似合法，则可使用已确定的电话号码来确认此要求。
• 请勿关闭企业内部使用的防毒、网路钓鱼防护、防火墙或其他安全防护功能。
• 如果您碰到有任何通讯（透过电子邮件、电话、传真或即时通讯的方法）要求企业或个人资讯，请寻求 IT 部门的谘询与技术支援。

没有充分保护您的技术资产不受网路钓鱼与网址嫁接威胁的后果

• 智慧财产遭窃，可能导致严重的财务损失。
• 危害（有时无法恢复）市场地位。
• 损害公司信用与声誉。
• 让公司员工曝露在身分资讯遭窃的风险中，会使员工为了回复损害，而导致工作生产力（上班时间）严重下降。