臺北市立大學-計算機與網路中心 Computer and Network Center

何謂釣魚網站？

釣魚式攻擊(Phishing，與釣魚的英語fishing發音一樣)又名「釣魚法」或「網路釣魚」，是企圖通過電子郵件或即時通訊訊息，把用戶誘騙至官方外觀幾無二致的假冒網站，冒充真正需要信息的值得信任的人，欺詐性地獲取敏感的個人信息（比如密碼和信用卡細節）的行為。

什麼是DoS?

DoS的全名為阻絕服務攻擊（Denial of Service, DoS），藉由攻擊主機發送大量的或不正常的(TCP/UDP) 網路封包，造成被攻擊的目標主機當機、重新啟動，或是目標網段的交通壅塞，以致於該主機無法繼續進行某項服務。

什麼是DDoS?

DDoS的全名為分散式阻絕服務攻擊（Distributed Denial of Service, DDoS），分散式阻斷服務（DDoS）攻擊的前身是所謂的『阻斷服務攻擊（Denial of Service,DoS）』 DDoS和DoS相同，不以竄改或竊取主機資料為目的，而是癱瘓系統主機使之無法正常運作。DDoS是DoS的一種變形，因為它是透過網路分散來源的技 巧，所以將之稱作分散式DoS，DDoS攻擊方式在於它是從網路上的許多台主機同時發動類似DoS的攻擊行為，所以遭受攻擊的主機同時面對的敵人數目將是數百台來自不同網域的主機。

密碼保管小常識
* 避免使用與生日、電話、身分證字號等個人資料作為帳號密碼。
* 盡量使用字母與數字組合的帳號密碼。
* 定期更改密碼。
* 取消瀏覽器的「自動完成」功能。
* 避免使用公共電腦登入需輸入帳號密碼之網頁。

保障電腦免受入侵

* 避免下載來源不明或未經認證的.exe、.pif、.vbs等副檔名檔案及軟體。
* 定期更新作業軟體或瀏覽器。
* 加裝具防火牆功能之IP分享器，或安裝防火牆軟體。
* 加裝防毒防駭軟體並定期更新病毒碼，或使用線上掃毒除駭服務定期掃描電腦檔案。

安全認證網站
●事件：某證券公司發生客戶帳號與密碼遭到不明人士盜用，被重新下載線上憑證進而冒用帳戶買賣股票。

●說明：安全認證標章是由公正第三方之驗證機構，針對網路商店之交易安全進行檢驗；通過驗證之網路商店，驗證機構會提供「安全認證標章」張貼於該網站上，以便消費者辨識該網站之交易安全與可靠。 常見的安全認證標章如下： 安全認證標章一 安全認證標章二 安全認證標章三 安全認證標章四

●防護措施：
1.使用網路交易或者填寫個人資料時，需先檢查該網站是否有安全認證標章。
2.使用網路購物或網路銀行時，應檢查網址列開頭是否為https，以確保資料傳輸有加密安全機制。
3.IE瀏覽視窗的檢查狀態列中會出現黃色鎖頭圖示。

cookie紀錄
●事件：2名學生駭客以跨站式網頁攻擊（XSS）及cookie等手法，入侵超過30家企業與學校的伺服器，竊取個人資料以及企業研發資料。

●說明：cookie是存在瀏覽器中的小型文字檔，記錄使用者瀏覽網頁的資訊、帳號與密碼。當使用者下次再度使用瀏覽器時，電腦能自動顯示最近使用過的網頁，使用者也無需重新輸入帳號與密碼。

●防護措施：
1. cookie紀錄重要的個人資料與網路使用習慣，應隨手刪除電腦裡的cookie紀錄。
2. 詳讀每個網站的隱私權政策，尤其是cookie所蒐集的使用者資訊用途，以避免個人資料被濫用。
3. 使用電子簽章發送電子郵件。
4. 安裝系統修補程式。

數位簽章
●事件：大陸駭客以民進黨主席游錫 的名義發新聞稿，寄發植入木馬程式病毒的電子郵件，導致收件人電腦中毒。

●說明：如同書面文件的簽名、蓋章，網路環境中也有數位簽章，作為通信與交易的基礎。由於數位簽章是簽署人向憑證機構申請後核發，且文件傳遞過程亦經加密與驗證，所以具有防止竄改偽造、確認交易對象身份、避免事後否認等功能。

●防護措施：
1. 有法律保障的數位簽章，是由主管機關公告核定的憑證機構所核發。
2. 應確認數位憑證的有效期限。

社交工程
● 定義：社交工程，英文為Social Engineering，是以影響力或說服力來欺騙他人以獲得有用的資訊，社交工程造成極大威脅的原因，在於惡意人士不需要具備頂尖的電腦專業技術，只要企業員工對於防範詐騙沒有足夠的認知，就可以輕易地避軟硬體安全防護，而騙取到各項帳號密碼、個人資料、財務資料或公司重要資料等資訊。

● 事件：
1.駭客偽裝銀行身分，寄給受害人認證網頁，未經審慎確認，即輸入個人的帳號密碼，結果帳號密碼被竊，損失近千萬。
2.明星或色情圖片也是許多惡意程式慣用的社交工程技巧之一，這些都是利用使用者的好奇心來散佈惡意程式，之前Sobig網路病毒出現在某個含有色情內容的網路討論群組，網友點選了其中像是裸照的內容就會感染病毒，而該病毒總共導致了約10億美金的損失。

●說明：社交工程就是一種利用人性弱點的詐騙技術，藉由與人之間的互動而形成的犯罪行為。它避開了嚴密的資通安全技術防護，是非常難以防範的攻擊模式。

● 防護措施：
1.遇到他人以任何身份要求個人或公司資料時，應先謹慎確認身份。
2.不管是信件或言詞交談，應小心勿隨意透露個人重要資訊給他人。

網路釣魚
●事件：
兩岸駭客聯手偽造釣魚網站，盜取上百位民眾的信用卡資料。

●說明：
網路釣魚是駭客仿冒知名公司網站，架設神似的假網頁，誘騙使用者登入假網站輸入個人資料。

● 防護措施：
1. 勿用電子郵件內提供的超連結，以自己輸入網址方式取代。
2. 收到要求輸入個人資料的電子郵件時，一定要向原公司求證，以減少被騙機會。

殭屍電腦
● 事件：
美國聯邦調查局指出，全球遭殭屍網路控制的電腦約一百萬台，多數受害
者不知自己資料已被剽竊。

● 說明：
受到殭屍病毒（BotNet）感染的主機，會猶如殭屍般任由駭客控制，上網
連線速度會突然變慢。駭客會以遠端控制受感染的主機，進行網路攻擊，包括竊取私密資料、散佈垃圾郵件、發動阻斷式服務等網路犯罪行為。

● 防護措施：
1. 不開啟任何來路不明的磁片、光碟、email的附加檔，尤其是不認識的人寄來的電子郵件附加檔。
2. 不能心存僥倖，電腦一定要安裝防毒軟體，因惡意軟體變化日新月異，病毒碼也要時時更新。
3. 應先確認電子郵件的來源及正確性。

P2P＆BT軟體
●事件：
某人在無意間使用線上FOXY軟體，搜尋並下載資料，結果被控侵權。

● 說明：
市面上流行FOXY、ezpeer、eDonkey、torrent(龍捲風)、MXIE等各類使用P2P或BT技術之MP3、影片、程式、圖片檔 及其他檔案格式之搜尋軟體，使用上述類型軟體除嚴重佔用網路頻寬資源，影響網路正常外，所下載之檔案亦有侵害智慧財產權及著作權問題。

●防護措施：
請勿下載此類軟體，如已安裝，務必將軟體完全移除。

●資安小叮嚀：
電腦教室屬公務電腦，嚴禁使用P2P或BT下載任何侵害智慧財產權及著作權檔案！