按 Enter 到主內容區
:::

TWCERT-電子報

:::

節日性與假期性網路釣魚分析

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-10-14
  • 點閱次數:415
節日性與假期性網路釣魚分析

1.簡介
2.節日性與假期性網路釣魚案例
3.節日性與假期性網路釣魚防護
4.結論與建議


  • 節日性與假期性之網路釣魚,主要是利用人性的弱點,尤其在假期和節日時分,許多使用者除了會因為放假而鬆懈警戒外,也會因為節日的氛圍,提高了民眾線上購買商品的慾望,而導致大量的網路釣魚趁機攻擊且成功機率更高。
  • 尤其隨著網路購物的新興發展,除了過往傳統節日外,越來越多網路購物節的促銷活動紛紛推出,導致在相關時節時,針對線上購物的網路釣魚攻擊大量增加,導致節日性網路釣魚受害者數量隨之驟升。
  • 關於節日性與假期性的網路釣魚攻擊,其類型大致分為假冒的銷售與廣告、假冒的網路購物驗證訊息、假冒的訂單商品物流資訊,以及假冒的善心捐款求助等,讓使用者在假日或節日進行購物、瀏覽網頁或社群媒體時,往往一不小心就因此上當受騙。
  • 因此,使用網路時為避免不慎受騙上當而遭受損失,應針對節日性與假期性網路釣魚進行基本防護,例如注意自身信用卡或金融卡是否遺失或遭盜刷、養成保留購物證明習慣、經常檢查賬戶交易情形及核對帳單內容等,透過這些基本的節日性與假期性網路釣魚防護,讓減少使用者在節慶期間受騙上當之機率。

一、簡介

節日性與假期性的網路釣魚,主要是利用使用者在假日放鬆或專注於節日的活動時,對釣魚郵件等資訊疏於警戒的心理,例如假日時收到旅遊類型的釣魚資訊,或在情人節時收到折扣極高的禮品等釣魚資訊,甚至利用物流釣魚資訊誘騙假日在家中休息的使用者上鉤。尤其近年隨著COVID-19疫情的爆發,導致越來越多人不論是購買假日的食物與日用品,或是送給他人的節日禮物,都會透過網際網路瀏覽及購買。根據台灣網路資訊中心(Taiwan Network Information Center, TWNIC)的統計報告,在國內,2020年有59.6%的使用者會透過網路進行購物,平均消費金額為新台幣3,217元,較2019年增加556元。而在這些網路購物過程中的假期與節日促銷廣告、物流通知、匯款通知等資訊,都可以成為攻擊者進行網路釣魚的最佳利器之一。

舉例來說,在2020年的雙十一節慶,因網路購物的成熟以及COVID-19等因素,造成創辦集團前所未有的高額營收,總共達到740億美元,為2019年的近兩倍營收。而國外較為熟知的黑色星期五(Black Friday)和網路星期一(Cyber Monday),也分別創造了90億美元和108億美元的收益,都比去年成長了21.6%和15.1%。然而,許多攻擊者便利用使用者大量網路購物的形勢,進行與之相關的網路釣魚攻擊。由於這些節日都位於10月底至11月,因此,該月所搜集的網路釣魚攻擊數量急速增加。根據歐洲知名資安新聞網站Help Net Security的報導,在近三年期間,全年所有網路購物的數量中,疑似為網路釣魚的數量佔比,以及僅限於每年度從感恩節、黑色星期五,到網路星期一的購物季節期間所有的網路購物數量中,疑似為網路釣魚的數量佔比,如圖1。

圖1 2018年至2020年之全年與購物季節網路釣魚比例統計

圖1、2018年至2020年之全年與購物季節網路釣魚比例統計。

從圖1中可以見得,從2018年到2019年期間,雖然全年的網路釣魚比例有所下降,但針對購物季節期間的網路釣魚比例,卻明顯快速增加了5.94%,顯示攻擊者開始將無目標且大量發送的網路釣魚攻擊,開始轉而著重於假日及節日使用者大量進行網路購物的時節進行攻擊。而在2020年,全年的網物購物之網路釣魚比例快速上升,而整個購物季節雖有小幅度的下降,但仍維持著相當高之比例,甚至在購物季節期間,有37%的網路購物消費者表示疑似遭到與COVID-19方面的網路釣魚攻擊,顯示著仍有諸多攻擊者將特殊購物時節作為目標,進行相關的網路釣魚攻擊。

除了網路購物之外,許多傳統節日也成為攻擊者的最佳目標之一,例如許多攻擊者會利用情人節送禮給另一半的習慣,進行販售花卉、酒、珠寶等禮品,以及假冒情人的網路釣魚攻擊,誘騙使用者上當後,竊取其個資和金融資訊。根據美國FBI的網路犯罪投訴中心統計,在2019年,因為類似的浪漫騙局而受騙的受害者,其損失總金額高達4.75億美元。並且除了常見的節慶假日外,像是報稅季節,也是許多攻擊者喜愛的目標,尤其在網際網路越發方便的現在,網路報稅的功能及便利性增加,許多攻擊者便偽冒政府機關,以退稅理由進行網路釣魚,誘導使用者提供個資,或是告知使用者欠繳稅金,要求必須透過預付卡、禮品卡或電匯等方式補繳,否則威脅將可能遭到逮補。

在假期或節日中,大量的網路釣魚攻擊發生,使用者因假日放鬆一時不察容易上當,因而此期間網路釣魚的成功率提升許多。一般而言,網路釣魚的類型大致如下:

  1. 假冒之銷售與廣告:隨著網路購物可減少時間花費,且可瀏覽大量各類的物品,網路購物已經成為隨處可見的購物方式,眾多商家為提升自身的熱度及能見度,除了會販售各式各樣的商品外,更會透過如社群媒體、網頁置入或寄送電子郵件等方式投放廣告。然而,攻擊者便會利用相關各式各樣的商品,針對各個節日、假日,假冒商家販售與之相對應的商品,並到處投放相關廣告,甚至經常假藉名義提供大量的優惠,讓使用者被其優惠吸引,一時不察而上當。
  2. 假冒之網路購物驗證訊息:在進行網路購物時,許多使用者為提升便利性,往往會透過信用卡進行款項支付,減省需前往特定場所或與物流人員進行款項支付確認等耗時費力的實體程序。然而,攻擊者便可利用此模式,告知使用者其必須點擊惡意連結方能針對其信用卡的支付進行確認,而使用者往往便不疑有他,點擊惡意連結後,提供相關資訊,讓攻擊者得以取得使用者的相關金融資訊,並進行後續惡意行為。
  3. 假冒之訂單商品物流資訊:隨著網路購物的興起,使用者放假不需出家門,即可線上購買所需物品,因此攻擊者便利用網路購物透過物流公司寄送之模式,寄送偽冒物流資訊,讓使用者收到後點擊惡意連結,甚至進入偽冒的電商或物流頁面,進而竊取使用者個資隱私資料。
  4. 假冒之善心捐款求助:在大眾歡愉的節慶時節,許多攻擊者利用大眾的善心,偽冒弱勢族群或災難受災戶等,要求使用者提供相關資金以度過佳節,而動了惻隱之心的使用者便會點擊惡意連結,或是提供金融資訊,以便將資金匯給攻擊者,導致相關資訊外洩。

由上可知,在假日或節慶時節,使用者往往會因放鬆而降低戒心或一時難以應付突發狀況,甚至受到時節相關商品的促銷吸引,導致受騙上當而得不償失。因此,不論是何種時節,使用者都應針對可疑的、不確定的資訊保持戒心,則可避免輕易受騙上當。

TOP

二、節日性與假期性網路釣魚案例

隨著網路購物的普及性及便利性的增加,除了使用者的大量增加外,網路釣魚的數量同樣也與日俱增;此外,網路釣魚的模式逐漸從一開始的大量、無目標的攻擊,逐漸轉變成目標性鎖定,在分析使用者的行為模式之後,以最佳成功率方式進行網路釣魚攻擊。而網路購物往往是在假日或節慶時被使用的最為頻繁,自然成為攻擊者的一大目標。

(一)假期性網路釣魚案例

在現代人難得悠閒的放假時節,許多人為減少實地購物所花費的時間和精力,往往選擇透過網路購物去購置必需品及相關產品。然而,卻有許多攻擊者利用此習慣,在假日使用者往往放鬆戒心時,透過節日相關或日常必須的相關商品,加上誇張的便利性及優惠,誘騙使用者上當後,成功竊取其個資。針對假日的網路釣魚攻擊逐漸增加的同時,國內也發生不少相關案例,茲統整列表如下。

表1、假期性網路釣魚案例統整表

表1 假期性網路釣魚案例統整表

在假日時節,是許多人難得進行長時間網路活動的時間,也是大眾放鬆身心的日子。然而,攻擊者卻利用許多人假日放鬆警戒的機會,假冒成他人,騙取使用者的個資、金融資訊,甚至個人財務,使得使用者一時的不察或善意遭到利用,反而造成自身極大的困擾和損失。

(二)節日性網路釣魚案例

越來越多的網路購物節日推陳出新,導致每年的網路購物節日營收逐漸增加,成為一種新興的購物熱潮。然而,卻有許多攻擊者利用此習慣,將帶有惡意的訊息包裝成購物的商品等資訊,透過節日相關的訊息,誘騙使用者上當後,成功竊取其個資。在針對節日的網路釣魚攻擊逐漸增加的同時,國內也發生不少相關案例,列表如下:

表2、節日性網路釣魚統整表

表2 節日性網路釣魚統整表

在節慶期間,攻擊者將假冒的產品提供較大折扣,藉以誘引消費者購買,或利用與節慶相關的聳動文字,吸引消費者前往該網站瀏覽,甚至在消費者購物後,假冒為購物相關商家或物流人員,藉口優惠秒殺、網路抽獎等理由,迫使消費者於不假思索情況下便提供個資,甚至提供相關金融資訊,讓攻擊者得以利用節日,竊取更多資訊、獲取更多不法利益。

TOP

三、節日性與假期性網路釣魚防護

隨著網際網路的普及化,以及網路購物的興起,許多民眾在假日時為節省出門購物的時間和精力,會選擇透過網際網路購買所需物品。尤其是在節慶時節,許多與節日相關的產品紛紛推陳出新,增加民眾的購買慾望。更遑論近幾年大量的網路購物節日紛紛推出,產生極為驚人的經濟效益。然而,也有越來越多的攻擊者倚賴網路購物的發展,藉此賺取更多的不法利益。這些攻擊者往往會利用大折扣、特殊產品、仿冒知名商家的商品,或假冒網路購物的物流公司,要求使用者提供個資方進行運送。以及假冒為金融企業,告知使用者其使用的支付方式未成功,需利用攻擊者的方式重新支付,導致這些消費扣款落入攻擊者手中。甚至透過行善的名義,要求民眾提供資金或提升購物意願,實質上卻是讓攻擊者輕易獲取不正當的金錢利益。

因此,為避免在假日或節日時,因一時的疏忽導致蒙受額外損失,使用者在每個節日、假期時,除提高警戒外,應採取下述防範措施[16]:

  1. 注意自己的金融卡與信用卡:注意自己在購物時,所拿出的卡片位置,以及是否有遭他人掃描、盜用,甚至竊取其中的資訊。
  2. 保留購買證明:在進行購物時,應保留任何購買的收據、購買證明及金流證明等資訊,一旦有任何問題,可以作為證據以保障自身權益。
  3. 經常檢查賬戶及帳單:使用者必須經常檢閱信用卡相關的帳單和支付內容、數額,並且保留相關紀錄,避免遭他人利用盜刷而不自知。
  4. 確認網站的真實性:許多攻擊者會透過與真網站相似的網址和網頁呈現欺騙使用者,只要使用者不仔細檢查便難以分辨該網站的真假,讓使用者以為該網址為真正的企業網站,事實上反而是誤入釣魚網站。以及在進行善心捐款時,應確定捐款對象的真實性,以及透過可信任之協募款商家進行愛心捐獻。
  5. 維持注意網站安全性的習慣:許多偽冒的釣魚網站或臨時架設的假網站,鮮少會注意並耗費精力使用HTTPS,因此,使用者在進行連網行為時,可多加留意該網站是否為HTTPS,一旦沒有使用HTTPS,就必須多加注意,並且減少提供個人資訊進行金融交流等行為。
  6. 確認與追蹤貨物的物流狀況:使用者應選擇足以信任的物流公司進行商品配送,且時時注意配送狀態,避免被假冒的送貨資訊欺騙,使得重要貨物落入攻擊者手中。
  7. 注意過高的折扣:對於一些不太合理、過度優惠折扣,甚至不合常理的價格,必須多加留意過濾。例如知名品牌的智慧型手機,終年不予以折扣,卻在某些商家中提供頗高的優惠價格,則該產品品質、來源,甚至真假,都必須多加留意,避免購買後財物兩空。

在美好的假期及節日時分,是大眾歡慶、購物及放鬆的日子,但往往會出現惡意人士利用這些美好,藉由各種網路釣魚手法,從民眾身上獲取不法利益,導致美好的日子變調。因此,在這些特殊的日子裡,使用者在進行網路行為時,務必謹慎小心,對於任何可疑的訊息一概不全盤接受,並且盡量透過可信的管道進行購物或金流交換等行為,除了保障自身的權益不受損外,,也避免無端受到任何有心人士打擾,安心歡度美好的假期及節日。

TOP

四、結論與建議

1、節日與假期,是許多人放鬆警戒及較常使用網路購物等行為的時節,導致越來越多攻擊者會透過針對節日與假期的網路釣魚攻擊,來增加其網路釣魚的成功機率。較常出現的類型為假冒的銷售與廣告、網路購物驗證訊息、訂單商品物流資訊,以及善心捐款求助等,讓在假日及節日時常進行網路行為的使用者防不勝防。

2、為避免遭受節日與假期性的網路釣魚攻擊,雖然在購物前,使用者就必須慎之又慎,避免受騙上當,但在決定購買後也應留有萬一被詐騙之後減少損失的餘地。因此建議使用者在進行網路購物時,盡量不使用金融卡或轉帳方式付款,而是透過非當場扣款的信用卡,或是透過如PayPal、Apple Pay等可信第三方支付管道進行款項支付,一旦確認遭受詐騙,仍可向信用卡公司或支付管道進行投訴,以取回部分或全數消費金額。

3、在進行購物時,不論是金融卡還是信用卡,都是許多人支付款項的喜好選擇。然而,這些卡片上的資訊一旦遺失或外洩,則其中的資金可能都轉為攻擊者所有。而這些攻擊者一旦取得相關資訊,為了不打草驚蛇,往往會以小額支付方式,多筆交易後以取得較大資金。雖然在進行任何交易時,使用者都必須小心謹慎,但就怕一時疏忽導致資訊外洩,因此,使用者最好替自身金融卡或信用卡,設定輸入次數上限,一旦在同樣系統中購物超過該次數,將會被鎖定且提供警示,如此,萬一不小心被竊取資訊,仍可防堵攻擊者透過大筆數的小額購物,累積消費大量的金額。

4、在節日時分,使用者往往會收到大量的廣告訊息,但點擊進入後的購買系統類型不盡相同,例如有些透過電商平台、有些自創網站,甚至有些要求使用者下載應用程式進行購物。因此建議使用者,盡量避免在檢閱廣告後,下載任何檔案,不論是廣告宣傳檔案或應用程式下載,因為在這些檔案中,難以辨別是否有惡意程式潛藏於其中。即便該應用程式為透過App Store或Google Play Store等合法管道下載,但仍需仔細檢閱其要求之權限,以及隱私條款,避免在下載並進行購物後,自身所提供的相關訊息,遭到惡意使用。

5、在假期期間,許多人會外出使用公共WiFi或電腦,然而,在節慶時分,會有許多攻擊者藉由不安全的網路或電腦,竊取使用者的資訊。因此,建議使用者一旦使用公共且不保證安全的WiFi和電腦時,盡量減少進行購物或金流交換等行為,避免攻擊者透過不安全的網路和不安全的電腦,竊取使用者的個資和資金。

6、在節日與假期時節,不論是購物或捐款的支付方式都相當多,而近期流行、預先付款的禮物卡、預付卡與點數卡等,更是便利且受歡迎的支付方式,由於事先已確認其價值且便於攜帶,甚至會配合店家有相對應的優惠,使得此種類型的支付方式越來越受大眾歡迎。但正如其名,此種支付模式經常被作為贈送用途,尤其愈來越多的禮品卡不需透過實體交易,僅需告知序號即可使用及支付款項,且難以追回,導致越來越多的攻擊者會要求使用者透過禮物卡進行交易。因此,建議使用者若收到任何支付訊息,不論是購物還是善心捐款,一旦對方要求透過禮物卡進行支付,多半都屬於網路釣魚較多,務必多加留心,避免上當。

7、為避免在節日與假期時,遭到相關網路釣魚攻擊,許多企業、組織及網站都會定期公佈那些可疑或確實有進行惡意行為的網站及公司,建議使用者在進行任何購物或款項支付前,都應前往這些網站查詢,確認目標支付對象並非可疑或詐騙者。但若使用者仍不幸遭到網路釣魚攻擊,則建議使用者應立即通報相對應的組織,採取進一步的防範措施,促其加強整體網路資安能量以防堵攻擊蔓延。

TOP

回頁首