如何辨識釣魚連結:安全連結 vs 危險連結
點擊前學會辨識釣魚連結。實用檢查清單、需要警惕的危險信號,以及正規連結共享服務與詐騙網站的差異。
如何辨識釣魚連結:安全連結 vs 危險連結
我們每天點擊數十個連結。郵件中的連結、簡訊裡的URL、社群媒體上的分享連結。但只要其中一個是釣魚連結,一次點擊就可能導致個人資訊外洩或經濟損失。
本文介紹釣魚連結的運作原理、辨識方法,以及正規連結共享服務與惡意網站的差異。
什麼是釣魚攻擊
釣魚(Phishing)是冒充可信機構或個人來竊取個人資訊、登入憑證或金融資料的網路攻擊。最常見的形式是寄送指向假網站的連結。
常見釣魚手法
偽造登入頁面
製作與真實服務(銀行、郵箱、社群平台)幾乎一樣的登入頁面,誘導使用者輸入帳號密碼。只有URL不同,設計上幾乎無法區分。
製造緊迫感
「您的帳戶將被凍結」、「付款失敗」、「24小時內不處理將刪除資料」等措辭迫使你倉促點擊。
濫用短連結
利用bit.ly、tinyurl等短連結服務隱藏真實目的地。點擊前無法知道連結指向何處。
惡意附件
開啟郵件附件可能安裝惡意軟體,或附件中的連結跳轉到釣魚網站。
如何辨識釣魚連結
1. 檢查URL中的網域
最基本也最有效的方法。
| 真實 | 偽造 |
|---|---|
| accounts.google.com | accounts-google.security-check.com |
| www.paypal.com | www.paypa1.com |
| login.yahoo.com.tw | login.yahoo.com.tw.fake-site.com |
關鍵是檢查路徑前的網域。yahoo.com.tw和yahoo.com.tw.fake-site.com是完全不同的網站。
2. 點擊前將滑鼠懸停在連結上
在電腦上,將滑鼠放在連結上,瀏覽器底部會顯示實際URL。如果顯示文字與實際URL不一致,很可能是釣魚。
3. 確認HTTPS
HTTPS表示連線已加密,但有HTTPS不代表絕對安全。釣魚網站也可以使用HTTPS。但絕對不要在HTTP(沒有S)的網站上輸入登入資訊。
4. 留意可疑參數
URL中包含redirect=、token=、verify=等參數時,可能在收集資料或將你重新導向到其他網站。
5. 驗證寄件者
仔細檢查郵件或訊息的寄件者地址。support@goog1e.com這類地址會巧妙地替換字元來偽裝。
釣魚連結疑似清單
以下任一條件成立就不要點擊:
- 來自意外寄件者的連結
- 訊息要求緊急行動
- 網域與平時不同
- 頁面要求輸入個人資訊或登入憑證
- 網域有細微拼寫差異(paypa1 vs paypal)
- 短連結隱藏了真實目的地
正規連結共享服務有何不同
理解釣魚網站與LOCK.PUB等正規連結共享服務的差異,能幫助你更有信心地判斷連結安全性。
正規服務的特徵
- 使用固定官方網域:LOCK.PUB始終使用
lock.pub網域 - 不收集個人資訊:密碼驗證頁面不會要求電子郵件、手機號碼或銀行資訊
- 密碼用於存取控制:保護共享內容的密碼,而非竊取你的帳號憑證
- 行為透明:輸入密碼後只顯示預先說明的內容
| 比較項 | 釣魚網站 | LOCK.PUB |
|---|---|---|
| 網域 | 每次不同 | 始終是lock.pub |
| 資料收集 | 電子郵件、密碼、卡號 | 不收集 |
| 目的 | 竊取資訊 | 保護內容 |
| 密碼用途 | 盜取帳號憑證 | 控制共享內容存取 |
如果點擊了釣魚連結怎麼辦
如果已經點擊了釣魚連結,請立即採取以下措施:
- 如果輸入了憑證,立即更改該服務的密碼
- 更改所有使用相同密碼的其他服務的密碼
- 啟用雙重認證
- 檢查帳戶是否有可疑登入活動
- 如果輸入了金融資訊,立即聯繫銀行
預防釣魚的日常習慣
- 為所有重要帳戶啟用雙重認證
- 每個服務使用不同的密碼
- 遇到可疑連結時,手動在瀏覽器輸入網址
- 保持瀏覽器和作業系統為最新版本
- 使用密碼管理器,在假網站上不會自動填入,幫助你發現釣魚
建立可信賴的連結進行分享
透過可信服務分享連結,接收者可以放心點擊。在LOCK.PUB建立密碼保護的連結,安全地分享。