近期不少公司、個人接連收到假冒的Meta、Apple Pay詐騙信件,詐騙集團假造這些知名公司發送帳戶停權的釣魚信,意圖讓你緊張進而點選信件的釣魚連結。萬一不小心,你可能會直接把公司帳戶的帳號密碼或信用卡等資訊直接送出,但要防範這類釣魚信也並非沒有方法,其實細心、冷靜就能規避掉多數的陷阱。以下我們將介紹4個詐騙信件的案例,以及辨識、防範詐騙信的5個訣竅。
老闆跟你要資料可能是假的 機敏資訊要雙重驗證
先說說最近幾個案例,案例一是詐騙集團假造公司老闆的電子郵件,要求底下主管協助購買禮品卡。這案例麻煩之處是詐騙集團使用老闆真實電子郵件的顯示名稱,並且寄送給特定業務主管,表示詐騙集團了解公司內部的組織圖與業務範圍,若不小心可能會上當。寄送機敏資訊或是跟金錢有關的活動,都要雙重驗證,透過不同的管道如電話、通訊軟體再次確認,就能避免多數的狀況。
▲當老闆跟你要資料或是節日要你去買禮物卡的時候,別立刻給對方,先透過不同管道雙重確認是否真有其事。這種詐騙信往往很容易上當,因為對方熟知公司的組織關係,且信件中老闆名字、信件用語習慣都相符而且還針對特定人員發送,若理由聽起來合理,像是尾牙要你去買禮物包含禮物卡,若沒有細心確認很容易上當。
你的帳號被停權 點下連結就中招了
接著第二個案例則是詐騙集團冒充Meta管理團隊給各大公司或個人,跟你說「您的廣告帳戶已被停用」,如果你是負責人,可能會緊張地按下信件的提交申訴,就可能會直接進入以假亂真的釣魚網站。接著可能輸入管理帳號的帳號密碼,或是重要的信用卡資料。這封信件雖然版型看起來很真實,但內容語句與文字讓人產生懷疑,最重要的是釣魚信使用hotmail網域寄送,顯然是封釣魚信。雖然透過寄送者可以判讀多數詐騙信件,但網域、網址都有可能偽造,不能當成唯一判別的標準。
▲數位廣告投放人員如果收到停權信一定會很緊張,但先確認是不是真的官方信件,像是寄件者網域就是最容易辨識的一環。此外,信件用語、習慣也可能是辨識的方法,像台灣與中國用語就有相當多的差異,另外信件往往也不會像圖中信件超連結還漏字。
系統通知信箱容量滿了 你該做的是刪信而不是亂點連結
下一個案例是假冒Google或公司行政團隊,跟你說已經達到電子郵件容量上限,要你點選連結防止帳號被關閉。這種狀態也很常見,畢竟Google免費信箱容量15GB,不小心可能就達到上限,但你要小心這類系統信件也很可能是釣魚信。不過信箱或雲端空間如果容量滿了,應該要先去把垃圾信清一清,而不是去點陌生連結增加容量吧!
▲多數人應該都收過信箱已滿的系統通知信件,如果不小心點了連結可能就會出事。
大公司要告你侵權 請先冷靜看看信件是真是假
最後的案例對於經營部落格或是社群時可能會碰到,詐騙集團假冒媒體、創作者等知名單位來信警告你的某某照片、影片、文章侵犯了版權,要你立刻下架並點選連結,或是開啟附件回傳資料等方式,藉此竊取你的資料。由於假冒的大多是知名企業或創作者,你可能想想後覺得自己可能有用到對方的內容,那就很可能會中招。
這類信件你首先要注意的是郵件發信者與網域,先確認發信者網域是否正確,例如Google可能是由@google.com所發出,Apple可能用@email.apple.com這些網域。然而你若看到這些大公司來信,網域顯示的卻是@gmail.com或是@hotmail.com就要留意了,這幾乎可以肯定是詐騙信件。
▲最近有詐騙集團假冒關鍵評論網媒體集團發送侵權信件,這類釣魚信都會假冒大公司或知名單位通知你侵權,要你點選連結確認或是用下載附件回覆資訊等方式騙你安裝惡意軟體。不過這釣魚信也太不專業,假冒本站母集團發侵權信給本站,是不是搞錯了些什麼?
重點一:別點選信中任何連結、勿下載任何附件
釣魚信之所以叫做釣魚信,就是因為你不上鉤吃餌就不會出事。多數的詐騙釣魚信件,不外乎是誘導你點選連結,或是引導你下載附件。因此不隨意點開信件的連結,也不要隨意下載陌生信件的附件是防範的第一要務。
此外,附件檔案類型是可以偽裝的,看起來是圖片但卻暗藏惡意程式。另外連結也可以透過轉換網址或是錯誤的拚字讓你疏忽,被誘導至看起來很像官網的假網站。
▲詐騙信件永遠不會缺少連結與附件,通常都會利誘或威脅你去點擊,不予理會就沒事。
重點二:不要輕易提供個人資訊、金融帳戶、重要證件
除了誘導你點選連結、下載附件之外,另外也有一種是透過信件往來獲取重要資訊。曾有詐騙集團鎖定高價值目標後,謊稱是某公司業務窗口,花了長時間信件往來談生意獲取對方信任,最終得手。
對於一般人而言,陌生信件要求你提供個人資訊如身分証字號、金融帳戶資料,或是駕照、身分證影本等,若非絕對可信的來源切勿輕易給對方相關資料。假若有必要透過信件傳遞機敏資料,可利用壓縮軟體壓縮後加上密碼,並將密碼利用不同的管道告知對方,能減少信件內容外流的風險。
▲總是會有非得要給對方機敏資訊的情況,最簡單的方法就是用壓縮軟體壓縮後加密,密碼利用別的管道給予對方,這樣就能避免信件外流時一部分的風險。
重點三:勿輕信信件中寄件者名稱、郵件地址 注意拼字是否正確
信件中最容易假冒的就是寄件者,另外電子郵件地址與網域也可能造假,也有部分手法是用錯誤的拼字誤導你以為是正確的網域,像是例如Apple寫成App1e。收到信無論如何都應該先確認寄件者、信件網域,雖然有可能造假但難度較高且多數釣魚信都沒這麼認真,都是用gamil、hotmail等免費信箱寄送居多。
▲正常的系統信都會由該服務的網域發出,雖然寄件人與網域也可能造假,但多數釣魚信都不會這麼認真,圖為Google官方網域。
重點四:留意收件人稱謂以及寄件者署名
這是個用來辨識的小細節,如果是官方發送的信件,通常都會有你註冊時使用的帳號名稱或姓名,信件中往往也會使用這樣的名稱。但多數詐騙信中,通常會用親愛的用戶、尊貴的客人之類較為攏統的稱謂,而非精準的稱呼,雖然不代表一定正確但往往也能過濾掉不少信件。
此外,商業往來的信件中,寄件者大多也會在文末附加簽名檔,包括公司名稱、聯絡方式等資訊,雖然不一定真實,但也是個可用來辨識的細節。就像工作中商業信件往來,你不太可能完全不使用簽名檔,政府部門信件也通常會有承辦人名稱職稱可供查詢。
▲雖然是小地方,但信件收件人與署名有時也可以做為辨識方法之一。附帶一提,如果是政府發送的函,上方都會有承辦人的聯絡方式,你可以透過不同管道來確認此封信件的真假。
重點五:冷靜面對緊急或威脅 尋求165反詐騙協助
通常釣魚信都會用緊急或是威脅的方式讓你減少思考的時間,像是你中獎了需要在今天內領獎,或是威脅你侵權需要立刻回覆信件否則將提告,當你緊張時就很容易落入陷阱,因此冷靜是第一要務,接著是尋求協助。
內政部警政署165反詐騙可以協助你查證、檢舉、報案,除了電話撥打165專線外,也可以透過警政署165反詐騙網使用相關服務。
內政部警政署165反詐騙網:連結
▲內政部警政署165反詐騙網站可以讓你報案或檢舉,也可透過電話撥打165專線尋求協助。
不起貪念、冷靜思考、多重查證能避免多數詐騙
釣魚信只是詐騙集團常用的方法之一,另外像是簡訊詐騙、電話詐騙、訊息詐騙等等不同手法,但不外乎都是利用緊急或脅迫的方式讓你失去冷靜思考的能力,在慌忙之下就容易發生錯誤落入陷阱。
不少詐騙都是利用人性貪念來誘導你提供身分資訊或是操作ATM自動提款機,另外也有不少是假冒警察、檢察官等身分脅迫你,碰到狀況先尋求身邊人的協助並多重查證,往往就能避開這些問題。當碰到問題時,也不要吝於尋求協助,像是165專線就能幫助你釐清許多狀況,往往一通電話就能避免你大筆的金錢損失。
預防釣魚信件的5個重點:
- 重點一:別點選信中任何連結、勿下載任何附件
- 重點二:不要輕易提供個人資訊、金融帳戶、重要證件
- 重點三:勿輕信信件中寄件者名稱、郵件地址 注意拼字是否正確
- 重點四:留意收件人稱謂以及寄件者署名
- 重點五:冷靜面對緊急或威脅 尋求165反詐騙協助
