未來網路釣魚極可能發展成更複雜的網路騙術

隨著寬頻網路日益普及，電子商務與網路銀行的興起與盛行，網路詐騙也跟著蓬勃發展。市調機構Gartner根據5000位上網成人所做成的調查結果顯示，約有5700萬的消費者曾經或還疑收過網路釣魚詐騙郵件，過去一年當中，每5個美國人中就有一個遇過網路釣魚（Phishing）詐騙。反網路釣魚工作小組去年11月在美國舊金山成立

有鑑於此，為了有效遏止網路釣魚詐騙行為，APWG（Anti-Phishing Working Group，反網路釣魚工作小組）去年11月在美國舊金山，由ISP、金融機構、電子商務供應商和科技廠商等超過250家公司共同成立，目前已經有400多個會員，每個月都會提出一分「網路釣魚趨勢報告」（Phishing Attach Trends Report）。

APWG指出，光是去年一整年，美國地區因為網路釣魚詐騙所造成的損失高達24億美元。由於每個企業都有可能成為詐騙對象，就如同垃圾郵件所面臨的問題，除了反釣魚技術的研發，加強法律制定，社會大眾必須自立自強、提高警覺。金融機構成為網路釣魚主要犯罪目標

網路釣魚不以社會工程（Social Engineering）手法詐騙，約有95％的比例以偽造郵件方式發出，電子郵件形式與外觀幾乎與所仿冒的單位完全相同，不管是公司logo、顏色、圖形、網站格式及公司連結等五臟俱全，詐騙者通常會複製整個HTML頁面及所有圖檔。所顯示的網址看起來就像是真的，從連結到登入網站的時間也只需要幾秒鐘，一般人很難察覺這是陷阱，發現自己其實是被引進一個IP無法辨識的不明網址。

除此之外，已經出現一種使用JavaScript將瀏覽器網址列所顯示的位址遮掉的新手法，讓呈現出來的網址與假冒公司的官方網址完全相同。即使銀行通常會在發出的電子郵件中啟動數位簽章，但是詐騙者偽裝成SSL認證機制的情況也時有所聞，消費者必須學習如何辨識真正的數位簽章。假網站稍縱即逝，網路飛行蹤客難以掌握

這類騙術會誘導網友連結到冒牌的知名網站上，像是ISP、金融機構或線上購物網站等等，然後要求用戶填入個人資料或帳號密碼。由APWG所公布的資料顯示，而最常被仿冒的前三家公司分別是：花旗銀行、eBay 和Paypal。而趨勢科技所公布的則是花旗銀行、eBay 和美國銀行，其中美國銀行還出現3倍的成長。

由於假網站不會24小時開放，通常只出現8到12小時，導致網路釣魚的犯罪源頭難以追蹤，目前美國出現的案例都未能偵破，只追查到知名公司網站。未來恐怕將發展出更厲害的釣魚詐騙手法，但現階段還只能夠被動防禦。金融業亟需因應網路詐騙手法的解決方案

反觀臺灣地區，刑事警察局偵九隊今年6月初破獲首起利用網路釣魚手法入侵網路銀行的案例，竊取網友銀行戶頭帳號和密碼。短短2小時之內就竊取3000個帳戶資料，後來總共取得20萬筆機密資料，不過後來因為假網站掛在網路上太久才被循線偵破。其中還有一個戶頭存款高達2億元臺幣，還好網路銀行已經關閉「非約定帳戶轉帳功能」，才未造成重大損失。

趨勢科技亞太區國際行銷部產品行銷經理李淳熙表示：「與網路病毒模式相同，反釣魚目前也只能被動因應，釣魚手法有越演越烈的跡象，去年全年不過1000多件，今年單單一個月就超過去年。趨勢從下半年開始，將把Anti-Phishing整合入下一個版本的個人端產品，企業端多功能整合產品也將主打反釣魚。」

針對日新月異的網路犯罪手法，Brightmail在美國已經推出防詐騙的專屬產品，賽門鐵克亞太區資訊安全技術顧問林育民則是指出：「目前臺灣市面上還沒有專門防範網路犯罪的產品，賽門鐵克整併Brightmail產品線後，是否推出專屬產品還需進行市場評估。不過，臺灣的確有很多大型的金融機構缺乏這類技術，已經對資安廠商提出相關需求。」

隨著SurfContro和Websens內容安全廠商的推動，EIM（企業網際網路管理）市場持續加溫，包括Web Filter、URL Category List、Email Dictionaries Instant Messaging Filter等內容管理的細項產品需求浮現，賽門鐵克和趨勢也漸漸加入部分內容管理的功能在整合性企業產品當中，Anti-Spam、Anti-Phishing及Anti-Spyware等功能成為遊走在內容安全與網路安全兩大區塊之間。

像是提升員工使用即時通訊軟體的安全防護，或是員工企圖試圖連上不安全的網站時，就會遭到攔阻。而臺灣的寬華科技也推出SpamWall硬體，結合電子郵件伺服器，整合包括垃圾郵件、病毒郵件、電子郵件駭客攻擊及內容過濾等功能。

美國加強立法，希望杜絕網路詐騙

網路詐騙不只妨害電子商務與網路銀行的發展，也破壞人際間的信任關係。美國為了防止各式詐騙持續蔓延，已經通過新的「身分竊盜強制懲治條例」（ITPEA，the Identity Theft Penalty Enhancement Act）， 訂出一套新罰則，以處分竊取他人身分相關資料的罪犯，ITPEA還制定最低刑期，以嚇阻曾被起訴但服刑期很短的詐騙累犯。

銀行紛紛著手導入動態密碼機制

除了金融卡將全面換成晶片卡，儘管Token（動態密碼機制）建置成本相對較高，台新、中國國際商銀等多家銀行紛紛著手導入「一次性動態密碼」（One Time Password，OTP）的安全機制，而美國花旗等銀行早就提供Token機制給全球的VIP使用。

目前RSA Security、Secure Computing、寬華網路都有動態密碼產品，以SmartCard、鑰匙環、call機或計算機形式出現。每六十秒變更顯示一組特別密碼．讓使用者的電子身分難以被擷取、模仿、偷竊或破壞。