技術交流

加強資安意識,面對「釣魚網站」將不再讓您皮皮挫

吳建東 吳建東

eBay網站從它在美國成立的時代我就是使用者,在美國eBay網站上受騙也不止一次了,損失金額約六萬多元,浪費的時間更不用說,在網路虛擬的世界,學習是需要成本的,在沒有PKI電子簽章認證的基礎下,相信對方是需要相當的勇氣的,誰說美國會講英文的就沒壞人? 投訴美國詐欺事件要準備相當多的文件,臺灣相對而言更為艱辛,網際網路虛擬化的世界還有很長的一段路要走。 9個月前我收到了一封偽裝來自eBay的英文信件,告訴我說我必須要重新確認身份,於是我上去填了帳號及密碼,還有信用卡卡號及確認碼,填資料之前我小心地確認上的是eBay 的HTTPS加密網頁,三個月後我才發覺這是騙人的網站,駭客的術語稱為「Phishing」。

Phishing的發音與 Fishing 相同,是駭客新造的的專用名辭,網路上對於 Phishing 下的定義是:「一種透過電子郵件傳送的方式,來仿冒特定網站以設法騙取使用者的私密資料,該駭客網站會導引使用者到駭客網站,要求更新個人基本資料,例如:帳號、密碼、信用卡卡號、身份證字號、銀行帳號等合法網站已擁有的資料,例如假的eBay信件會告訴使用者,從現在起我們必須重新確認使用者身份,如果你不更新你的信用卡卡號以確認你的身份,你的帳號將被取消,透過大量發送的SPAM垃圾信件,駭客可以蒐集到為數不少的使用者資料。

我從事資訊安全產業,提供完善的自然人憑證驗證及目前最安全的單一簽入系統給許多政府一級單位、我寫了20年的程式,我了解許許多多別人不知的資安漏洞、我裝了防火牆、我隨時檢查是否有後門程式、我了解Windows底層技術、熟悉組合語言、了解病毒、Spyware、而對於個人資料隱私我更是相當重視及小心,要確認是Phishing我認為相當困難,大多數的人根本不會知道被騙了,假eBay是一封英文信件,大量的中文釣魚信件指日可待點時間說明,讓大家有點心理準備,對未來總是好的。誰說您不會收到偽造銀行、政府單位來的 Phishing Email ?

吳建東(資通電腦研發部經理)
精研PKI(憑證驗證)、IAM(身份認證)相關資安技術多年,也承接多項政府及企業資安認證專案,包括交通部自然人憑證暨單一簽入帳號整合平台建置、國防部MCA首次導入電子憑證、衛生署HCA國民出生通報系統憑證、台北市政府員工電子識別證單一簽入系統及宜蘭縣政府電子簽章系統、研考會公文G2B2C憑證應用管理系統、研考會民眾e管家系統…等。