#1
|
||||
|
||||
[新聞]關鍵字廣告成網路釣魚工具
記者馬培治/台北報導
12/2/2007 原文網址 : http://taiwan.cnet.com/news/software...0115065,00.htm 不同於以往網路釣魚多利用電子郵件為餌,入口網站的關鍵字廣告也成為網路釣魚利用的工具。 刑事局科技犯罪防制中心上週發佈新聞稿指出,發現有犯罪集團以註冊相似網域名稱、購買主要入口網站關鍵字廣告等方式,誘導使用者連上有惡意程式的網站,植入木馬或後門程式,盜取網路銀行帳號、密碼、憑證等,以進行轉帳等非法行為。 刑事局偵察員林建隆表示,犯罪集團自去年底開始架設假網站,包括網路銀行、航空公司、旅行社、人力銀行等共超過50個以上,估計已有數十萬筆個人資料遭竊取,遭盜用的網路銀行帳戶損失金額亦有數百萬元。但該局不願透露遭假冒之公司及具體損失金額。 林建隆指出,駭客利用數字1與英文小寫l及n、h等相似卻難以一時辨識出的字母、符號註冊網域名稱,使民眾難辨真偽。據國內媒體自由時報報導,土地銀行landbank中之英文字母「l」即被以數字「1」註冊成假網站之網域名稱,誘導使用者連上該網站,並遭植入木馬程式。 為了增加點擊次數並取信於民,刑事局表示,犯罪集團亦向主要入口網站購買關鍵字廣告,使假網站之廣告出現於搜尋結果之上方,利用民眾信任搜尋結果之心態,連上假網站。 對於關鍵字廣告遭駭客利用成為詐騙網站跳板,被媒體點名的雅虎奇摩發言人許卉妃強調,該公司內部針對關鍵字廣告的刊登早有審核機制,在刑事局發佈消息前,就透過監控機制發現並移除問題廣告。 她表示,雅虎奇摩會以比對程式與人工雙軌並行的方式,對所有申請關鍵字廣告的客戶進行網站內容與廣告內容是否相符的審查,「確保廣告與網頁內容相關且沒有問題後才能上架,」她說。 此外,對於特別容易有金錢交易的金融業及旅遊業之關鍵字廣告,許卉妃表示雅虎奇摩會進行特別監控,發現有問題即不予上架。 除了內容的審核外,許卉妃說,由於關鍵字廣告的付款主要是透過信用卡,因此也有和金融機構合作,針對有問題的信用卡(例如偽卡)支付廣告費的刊登者加強查核。 「我們不是執法單位,」許卉妃解釋,該公司僅能由過往經驗以及消費者申訴等來判定關鍵字廣告是否連往惡意網站,「當然我們針對已上架的廣告也會持續監視」,但她也說,此類網站防不勝防,消費者上網時多小心謹慎也相當重要。 資安業者:提高警覺並選用網站過濾軟體 利用關鍵字廣告誘人上當的手法,看在資安業者眼中,並不是新玩意。 「這種手法根本是換湯不換藥」,CA(組合國際)技術顧問林宏嘉表示,相較於過去的網路釣魚手法,這種從關鍵字廣告下手的方式,以結果論,沒什麼差別。 趨勢科技台灣區技術總監王應達也說,技術上差別不大,「只是有害訊息的傳遞管道由電子郵件變成關鍵字廣告罷了,」他說。 王應達認為,過去太多的釣魚或藏毒信件,使得使用者對email管道而來的訊息較有警惕,「現在威脅是從網址點選而來,大家的戒心較低。」他說。 對於防範網路詐騙,主要資安業者都說,選用安全產品之外,使用者也應提高警覺。 賽門鐵克技術顧問總監王岳忠便說,該公司之Norton Confidential可辨識網站之安全性,提醒使用者提高警覺。 但他也承認,不可能有產品可達到百分之百的安全性,他建議使用者不要隨便點選網址連結,要上網路銀行等網站,「最好自己一一鍵入網址。」他說。 王應達也表示,雖然該公司之PC-cillin有提供網址過濾與私密資料保護之功能,能防止連上危險網站或可攔截私密資料之上傳,但「使用者仍應自己做到第一層的過濾與判斷。」 王應達解釋,使用者應該在第一關先判定連上的網頁之正確性,軟體的自動化篩選則是提供第二道防護。 林宏嘉則主張多層次的防護。他認為,目前網路攻擊的型式多為混合式,釣魚網站除了以假亂真外,還會暗藏間諜程式、木馬等,他建議消費者在基本的防火牆、防毒、防間諜軟體之外,進行線上交易時更要特別謹慎。 他說,消費者選擇線上交易如網路銀行等交易時,最好可選擇有多重認證機制的業者,例如在帳號密碼之外再加上憑證、晶片卡等認證機制,多一道安全保障。
__________________
A.一文請勿多貼。 B.請選擇相關屬性的版面發文。 C.各類廣告有專版,請勿隨意發至不相干之版面。 ---------------------------------------------- 發佈您網站的新聞請到 What's New 新聞發佈網來。 |