中國駭客偽造釣魚網站，臺灣受害企業超過50家

釣魚網站對臺灣企業與個人隱私的危害，日前正式獲得證實。內政部警政署科技犯罪防治中心日前發現，有犯罪集團雇用中國大陸駭客，偽造臺灣的網路銀行、旅遊航運、人力銀行等知名企業的假網站，初步估計，受害企業超過50個以上。為了杜絕釣魚網站對企業的危害，也引進第三方認證機制，強化網路安全。

此次由警政署科技犯罪防治中心發現的犯罪手法，主要是從2006年12月開始，臺灣犯罪集團雇用中國大陸駭客，陸續架設、偽造臺灣知名企業的網站，包含10家假的網路銀行、2家航空公司、4家電腦科技公司、4家旅行社、1家人力銀行以及多個理財網站，總數超過50個。科技犯罪防治中心偵查員林建隆表示，這些釣魚網站都申請註冊和原始正牌網站相似度極高的網路名稱，例如小寫的英文字母l與數字1，或者小寫的h和n等相似符號以擾亂視聽外，他也說，駭客偽造這些企業網站的目的，主要是希望藉此取得金錢。這個結果也符合資安公司相關研究報告指稱，駭客現在都以金錢為導向而非為了出名。

除了利用在知名入口網站購買關鍵字廣告的手法，讓偽造的企業釣魚網站能有更高的曝光率，被更多人連結、登入外，林建隆繼之表示，此次被偽造的企業釣魚網站，較以往類似釣魚網站犯罪手法更為精細。主要原因是當民眾透過搜尋引擎連結到釣魚網站後，犯罪集團藉由網頁框架夾帶惡意程式的方式，將具有竊取個人資料的木馬程式或鍵盤側錄程式（keylogger），植入網路使用者的電腦中，藉此竊取電腦使用者相關的憑證檔案、帳號密碼等，再回傳中國駭客的主控臺。但此時，不只是讓網路使用者登入釣魚網站、輸入資料而已，駭客最後仍會將使用者瀏覽的網站導回正牌網站上，降低網路使用者的警覺性。透過竊取到的身分資料、帳號、密碼與憑證檔案等，登入網路銀行，進行任意轉帳或盜取資料等犯罪行為。

由於銀行業是目前駭客主要鎖定的對象，為了強化網路銀行網站的真實性，銀行業者則透過PKI認證機制以對抗惡意釣魚網站。某金控資訊處主管表示，為了杜絕釣魚網站對銀行用戶的侵害，銀行透過強化認證機制確保帳戶安全。例如，若使用SSL加密傳輸和帳號、密碼，網路銀行只提供查詢和約定轉帳；要進行非約定轉帳，就一定得利用晶片金融卡的PKI認證機制，或者是一次性的動態密碼（One Time Password，OTP），降低網路銀行帳戶被駭客盜用的機會。除了銀行業者外，其他業者在發現這個現象後，也主動進行網路偵察、巡邏，注意是否有偽冒的釣魚網站，想藉此取得網路使用者的個人資料。

對抗網路釣魚，企業與資安公司，為了維護自身形象與商譽，都不惜大動作與駭客犯罪集團對抗。為了避免助紂為虐、增長犯罪歪風，網路使用者也必須具有基本的辨識釣魚網站與自保能力。文⊙黃彥棻