防範網路釣魚，多管齊下因應

林達峰資策會科技法律中心法律研究員

偽裝或冒充知名企業或政府機關名義，架設網站或發送電郵提供網站連結，引誘網路用戶連上該偽冒網站輸入帳號密碼資料，藉此將之蒐集彙整的行為，通稱「phishing」（係結合fishing及sophiscated兩字而新造之詞彙；以下簡稱「網路釣魚」）。

我國即曾發生複製中國信託網路銀行網頁，將之張貼於免費網頁空間，再將此一偽冒網站的網址提供予各大搜尋網站，使網路用戶利用搜尋引擎查詢中國信託網路銀行以便連結瀏覽時，即可能誤連偽冒網站，將銀行帳號密碼拱手奉送於人的案例。日本也曾有人架設外觀與知名入口網站「Yahoo!」近似的「Yafoo!」網站，藉此取得20餘位上錯網站民眾的帳號密碼，進而登入正牌網站，偷看帳號所有人的電子郵件。

國外相關團體APWG（Anti-Phishing Working Group）的研究更指出，從2003年下半年到2004年上半年，一年內美國約有5700萬人收過網路釣魚電郵，而2004下半年到2005年上半年更增加到7300萬人。其中，約有19％的收信人曾點選釣魚電郵提供的網址，並約有3％的收信人曾在偽冒的釣魚網站輸入個人資料；而銀行及信用卡公司在這兩年內，則因網路釣魚情事蒙受近21億美元的損失。

收信人相信網路釣魚電郵並予回應的比例（約3至5％），遠較其他一般內容垃圾電郵的情形（僅0.01％）為高，讓有心人士趨之若鶩，持續投入發送電郵或架設網站從事網路釣魚的行列。此種行為除偽冒知名企業或政府機關之名義，可能侵犯彼等權益外，並導致誤信網站或電郵內容為真之網路用戶輸入帳號密碼資料，如帳號密碼資料遭不當利用，更會衍生盜領存款、盜刷信用卡、電子郵件帳戶被任意登入窺探、遭人冒用身份進行交易、甚至藉以散布不實或猥褻資訊等問題。

此外，目前更已出現名為「pharming」（有譯為「網址轉嫁連結」者）的新式手法，直接入侵DNS伺服器，即便網路用戶輸入的是正確網址，布建於DNS的木馬程式同樣可將用戶導向偽裝或假冒之釣魚網站。這麼一來，對於有心從事網路釣魚之人而言，連發送電郵引人上鉤的步驟都可省去。

依照現行法制，從事上開網路釣魚行為之人，可能須依民法第184條以下規定，對受害人（名稱遭偽冒之企業或政府機關、帳號及密碼遭攫取或盜用之個人）負民事損害賠償責任；其行為亦可能構成刑法第358條以下妨害電腦使用罪章各罪、第339條第2項之詐欺得利罪、著作權法第91條第1項之重製罪等，而應負刑事責任。

追究網路釣魚行為人之法律責任，能夠填補受害人權益所遭損害，並對社會大眾產生嚇阻作用，有其實益。不過，從事網路釣魚的過程，無論是發送電郵、架設網頁、布建木馬程式，均具有隱匿特質，光是辨識行為人身份，已屬不易。再者，網路釣魚行為的時間周期非常之短，根據APWG研究，偽冒網頁開放連結讓人瀏覽並登載資料的時間，平均只有5.8天，能否在如此短暫的時間內確實把握其行為全貌，著實考驗受害人及執法機關的能耐。最後，如果從事該等行為的機器或線路等設備位於國外，則蒐集或保存相關證據也有一定難度。

如欲周延處理網路釣魚及其衍生問題，除藉由法律機制「事後」填補與追懲外，從技術提昇或業者自律的角度切入，探討如何設計「事前」或「事中」的因應策略，法律機制於此又能扮演何種角色，亦有必要。就技術層面而言，能否在瀏覽網頁的某些階段引入認證或管控機制，藉此確認網頁架設者及瀏覽者雙方的身份為真、甚至即早發現網路釣魚行為？關於業界自律部分，有無可能促成ISP業者間的情報交流，以免從事網路釣魚之人不斷「換家再戰」，有恃無恐？均值探究。誠然，如何兼顧網路用戶個人資料以及通信祕密的保護，並且妥善搭配既有法制，避免與現行實務作為或學說見解產生扞格，同屬重要，仍待識者持續關注，以期早日形成共識，適切因應相關問題。