你有收過這樣的訊息或mail嗎?某個影音平台、政府機構或銀行,說你帳戶異常、扣款失敗,信用卡有問題,並附上一串網址,要你點擊重新輸入帳號密碼,或信用卡號碼,等你發現時為時已晚,被假資訊騙了!
在資訊超負荷、注意力稀缺的年代,該如何一秒辨識,避免落入詐騙、釣魚網站陷阱。
主持人:劉傑中Ethan
對談來賓:
余若凡執行長 台灣網路資訊中心
翁浩正理事長 台灣駭客協會 (HIT) /戴夫寇爾 (DEVCORE)執行長
重點摘要
網域名稱的真相:數位世界的門牌與潛藏的釣魚陷阱
在數位時代,網域名稱不僅是網站的地址,更是個人與企業的「數位身分證」。然而,其申請的便利性與多樣性,也為詐騙集團提供了可乘之機,深入剖析網域名稱的本質、不同後綴的差異,以及網路釣魚攻擊如何利用人性弱點與假冒網址,一步步竊取用戶的帳號密碼與個資,並揭示其背後龐大的黑色產業鏈。
余若凡執行長指出,現今絕大多數的網域名稱(如 .com、.tw)皆開放給任何人付費申請,是建立數位品牌識別的基礎。然而,這也意味著詐騙門檻降低,她特別點出幾個關鍵現象:
- 特定網域的管制性: 僅有如政府機關的 .gov.tw 或學術單位的 .edu.tw 等少數網域,在註冊時有嚴格的審核機制,具備較高的公信力。
- 詐騙集團的成本考量: 由於成本低廉,許多新興網域名稱(如 .xyz)成為詐騙集團的首選。此外,管理規則較為鬆散的註冊管理機構,也容易成為詐騙溫床。
- 品牌混淆的風險: 執行長以知名通訊軟體 LINE 為例,其官方網址為 line.me,但 line.com 因未被官方註冊而被他人搶佔,造成潛在的資安風險,這凸顯了企業在規劃品牌識別時,必須將「防詐騙」納入考量,否則一旦品牌被冒用,將嚴重損害商譽。
翁浩正執行長從駭客攻防的角度,詳細說明了最常見的網址詐騙手法——網路釣魚(Phishing):
- 攻擊流程: 攻擊者發送一個偽冒的連結,誘騙受害者點擊後,導入一個以假亂真的登入頁面,一旦使用者不疑有他地輸入帳號密碼,這些憑證便會被竊取。
- 竊取後的危害: 駭客取得帳密後,不僅能盜用帳號進行詐騙,還能將大量竊得的個資(如購物紀錄、金融資料)在暗網等地下市場販售,進行二次獲利,形成一條完整的黑色產業鏈。
- 攻擊的普遍性: 釣魚郵件或訊息是全球範圍內最普遍的攻擊手法,不僅針對一般民眾,更是駭客入侵企業的主要管道之一,他強調,只要有利益可圖,駭客就會無孔不入。
數位資產保衛戰:網域名稱即商譽,個人與企業的品牌防護
網域名稱的核心價值已從單純的行銷工具,提升至攸關品牌信任與企業存續的「數位資產」。探討企業與個人品牌應如何前瞻性地佈局網域策略,避免因疏忽而導致品牌被盜用、商譽受損,甚至面臨被挾持勒索的巨大風險,並透過真實案例,警示輕忽網域管理的嚴重後果。
余若凡執行長強調,網域名稱是「數位身份證」與「網路門牌」,其重要性遠超過社群媒體帳號,她提出以下觀點:
- 自主權的重要性: 經營社群媒體如同當「房客」,需遵守平台政策,若平台停止服務,過往心血將付之一炬,擁有自己的網域名稱,才能真正掌握數位世界的主導權。
- 主動防禦策略: 企業應將所有相關的網域名稱(如 .com、.tw、中文域名)預先註冊下來,即使暫不使用,也能防止被他人搶註後進行流量劫持或詐騙,保護品牌信譽,這項成本極低,卻是至關重要的保險。
- 網域選擇的原則: 在詐騙橫行的時代,網域應以「好記」、「直覺」為最高原則,例如「104人力銀行」的 104.com.tw。此外,使用「中文域名」或具國家識別性的 .TW 網域,不僅能增加在地消費者的信任感,也有助於搜尋引擎優化。
翁浩正執行長以真實案例,揭示網域控制權失守的災難性後果:
- 網域作為核心資產: 他完全認同網域名稱應被視為「需要盤點的數位資產」,企業應系統性地管理所有註冊的網域,確保及時續約,避免因遺忘而被人搶註。許多駭客會監控即將到期的網域,一旦原持有者未續約便立即搶佔,再高價轉賣或用於犯罪。
- 社交工程的恐怖: 他分享了2014年一個使用者名稱僅為「N」的推特帳號被盜的經典案例,駭客並未使用高深技術,而是透過先打電話給支付公司 PayPal 騙取信用卡末四碼,再利用此資訊致電網域註冊商 GoDaddy,成功重設帳號密碼,進而接管了受害者的網域名稱。
- 連鎖效應: 一旦網域名稱被控制,駭客就能控制與該網域關聯的所有電子信箱,接著駭客能利用信箱接收重設密碼的信件,進而掌控受害者在各大社群平台、金融服務的所有帳號,最終受害者被迫將極具價值的推特帳號「讓」給駭客,以阻止更大的損失,這個案例血淋淋地證明,網域的失守等於數位世界所有資產的門戶洞開。
攻防實戰:個人與中小企業的數位防護策略
面對日益猖獗的網路威脅,缺乏專職資安團隊的個人與中小企業該如何自保?從註冊商服務、帳號管理技術到未來趨勢,提供了具體且可行的防護措施,涵蓋如何選擇安全的服務、善用多因子認證強化帳號安全,並展望無密碼時代的來臨,旨在降低使用者被攻擊的風險。
余若凡執行長說明 TWNIC為提升 .TW 網域安全性所推出的加值服務:
- .tw域名安全鎖服務: 針對前述案例中導致的網域被盜,TWNIC 提供「.tw域名安全鎖服務Regisgry Lock Service」,一旦啟用,任何涉及網域移轉或重要資料變更的請求,都必須與預設的聯絡人進行直接確認,而非僅憑一通電話或部分個資即可授權,從制度上杜絕此類詐騙。
- 監控與通知服務: 針對資源有限的中小企業,TWNIC 協助監控其帳號狀態,一旦發現異常,會主動通知用戶,爭取應變時間。
- .tw綠色域名認證服務: 推出類似社群平台的「藍勾勾」驗證機制。經過 TWNIC 特別驗證、確認註冊人身分的網域,會獲得標示,使用者看到此標示,即可確認該網站的可信度較高,是詐騙網站的機率極低。
翁浩正執行長從使用者端提出最關鍵的防護建議:
- 慎選網域註冊商: 選擇信譽良好、提供完善安全機制的註冊商是第一步。
- 啟用多因子認證: 這是保護帳號最有效、最簡單的方法,在輸入帳號密碼後,系統會要求輸入手機驗證碼或透過其他方式進行二次驗證,證明是本人操作,即使密碼外洩,駭客也無法輕易登入。他強調像網域註冊商這類高權限的帳號,務必開啟多因子認證。
- 展望無密碼未來: 他表示記住複雜密碼是違反人性的,未來趨勢是「無密碼認證」,例如透過手機上的 Face ID、指紋等生物辨識,或點擊手機確認登入,取代傳統密碼輸入,這將大幅提升安全性與便利性,但在此之前,多因子認證仍是不可或缺的防線。
數位時代的生存心法:建立資安警覺與防護意識
技術防護是基礎,但最終防線仍在於每一位使用者的數位意識,從心態建立到實用技巧,總結出在資訊爆炸時代的生存法則,強調「放慢速度、保持警覺」的重要性,並提供多種查證管道,教育大眾如何辨識可疑連結與訊息,將數位韌性內化為日常生活的一部分。
余若凡執行長提出簡單易行的「停三秒原則」:
- 點擊前先思考: 在點擊任何連結前,先停頓三秒鐘。思考這是否為常用連結?發信來源是否合理(例如報稅網站應為 .gov.tw)?
- 善用查證工具: 若不確定,可利用 165 反詐騙 LINE 帳號、數位發展部提供的查詢網頁,確認該網址是否已被通報為詐騙。
- 交叉驗證: 透過 Google 搜尋相關評論,或利用WHOIS 查詢服務,檢視網域的註冊資料(如申請人、申請時間),判斷其是否與聲稱的品牌相符,一個正規品牌的註冊資料應是完整且一致的。
翁浩正執行長總結了給公司經營者與一般民眾的最終建議:
- 對經營者: 務必將「網域名稱視為數位資產」,做好盤點、註冊與保護,並強制所有高權限帳號開啟多因子認證。
- 對民眾: 建立「慢下來」的習慣,越是緊急的訊息,越要冷靜求證,不要盲目信任 Google 搜尋結果的第一筆資料,因為詐騙集團會購買關鍵字廣告,讓假網站排在最前面,務必核對官方網站的真實網址,再進行下一步操作。
- 共同的責任: 個人資安不僅關乎自己,在企業環境中,任何一個人的疏忽都可能成為整個組織的破口,因此,建立全民的數位衛生習慣與防護意識,是打造數位韌性社會的基石。