網路釣魚是一種網路攻擊，是指具有惡意動機的攻擊者偽裝成信譽良好的企業以欺騙人們並收集其信用卡詳細資料、使用者名稱或密碼等敏感資訊的一系列行為。由於網路釣魚涉及心理操縱並依賴人為失誤（而不是硬體或軟體漏洞），因此被認定為是一種社會工程攻擊。

通常，網路釣魚攻擊會利用詐騙電子郵件誘使用戶在詐騙網站中輸入敏感資訊。這些電子郵件通常會透過要求使用者重設密碼或確認信用卡訊息，致使他們登入與原始網站非常相似的虛假網站。網路釣魚的主要類型是複製式網路釣魚、魚叉式網路釣魚和網域欺騙。

網路釣魚攻擊也存在於加密貨幣的生態系統中，在這種環境下，惡意行為者試圖從用戶那裡竊取比特幣或其他數位貨幣。舉例來說，攻擊者可以偽造一個網站，將錢包地址改為他自己的，從而讓用戶以為他們進行的是合法的付費服務，而事實上，攻擊者正在竊取他們的財產。  

網路釣魚分為哪些類型？

網路釣魚通常根據目標和攻擊媒介分為許多不同的類型。在此我們舉一些常見的例子。

• 複製式網路釣魚：攻擊者使用一封已發出的合法電子郵件，複製出一封含有惡意網站連結的類似郵件之後，攻擊者可以聲稱這是一個更新過的或全新的鏈接，而舊的鏈接已經過期。

• 魚叉式網路釣魚：這種類型集中攻擊一個人或機構——通常是知名的。魚叉式攻擊由於需要偽裝身份，所以比其他網路釣魚類型更複雜。攻擊者首先要收集有關受害者的信息（例如，朋友或家庭成員的姓名），然後根據此數據建立一條訊息，主要用來引導受害者訪問惡意網站或下載惡意文件。

• 網域欺騙：攻擊者會破壞DNS記錄，將合法網站的訪客引至攻擊者事先布好的詐騙網站。這是上述類型中最危險的攻擊，由於DNS記錄不在使用者的控制範圍內，因此使用者無法防範。

• 鯨釣：一種針對富人和重要人士——例如CEO和政府官員——的魚叉式網路釣魚。

• 電子郵件欺騙：用於網路釣魚的電子郵件通常會偽造與合法公司或人員的通訊。此類郵件會向不知情的受害者提供惡意網站的鏈接，（點擊後）攻擊者可以透過使用巧妙偽裝好的登錄頁面來收集登入資訊和PII。這些頁面可能包含特洛伊木馬、鍵盤記錄程式以及其他竊取個人資訊的惡意腳本。

• 網站跳轉：網站跳轉將使用者引至不同於原本網址的URL。利用網站漏洞的攻擊者會植入跳轉（功能）並將惡意軟體安裝到使用者的電腦上。

• 註冊近似網域：註冊近似網域的釣魚手法是將流量引導到使用外文、具有常見拼字錯誤、或是使用稍微變換的頂級域名的偽造網站。網路釣魚者用網域來模仿合法網站的介面，從而欺騙輸錯或誤讀URL的使用者。

• “水坑”：在水坑攻擊中，網絡釣魚者先對用戶進行分析並找出他們經常造訪的網站,然後掃描這些網站以檢查是否存在漏洞，並儘可能針對下次訪問植入設計好的惡意腳本。

• 冒名頂替與免費贈品：冒充社群媒體上有影響力的人物是網路釣魚中的另一種伎倆 。網路釣魚者會冒充公司的主要領導者，並且針對他們的受眾宣傳贈品或實施其他的騙局。 （網路釣魚者）甚至可以透過社會工程尋找容易上當的用戶，從而單獨定位這種騙局的受害者。 “演員”們可以破解認證使用者（的登入資訊）並修改使用者名稱以冒充真人，同時保證認證良好的狀態。受害者更有可能與看似有影響力的人物互動並提供PII，為網路釣魚者創造可利用其訊息的機會。

  近來，網路釣魚者出於同樣的目的集中針對Slack，Discord和Telegram這樣的平台，來使用聊天行騙、冒充別人、以及偽裝合法服務等手段來進行釣魚攻擊。

• 廣告：付費廣告是應用在網路釣魚的另一個策略。這些（虛假）廣告使用"註冊近似網域"並付費將其推送到搜尋結果。這些網站甚至可能成為搜尋合法公司或服務（如幣安）後得到的熱門搜尋結果。它們通常被用作網路釣魚獲取敏感資訊的手段，其中可能包括你交易帳戶的登入資訊。

• 惡意應用程式：網路釣魚者也可能將惡意應用程式用作植入惡意軟體的載體，以監控你的行為或竊取敏感資訊.他們可能把應用程式偽裝成價格追蹤軟體、錢包、和其他與加密貨幣相關的工具（已有一些傾向於交易和持有加密貨幣的用戶群）。

• 簡訊及語音釣魚：簡訊釣魚，一種基於簡訊的網路釣魚形式，以及語音釣魚，基於語音或電話等效的釣魚形式，是攻擊者試圖獲取個人資訊的其他方式。

網路釣魚與網域欺騙

儘管有些人將網域欺騙視為一種網路釣魚攻擊，但它依賴於一種不同的機制。網路釣魚和網域欺騙之間的主要區別在於，在網路釣魚攻擊中。受害者必須自己做出錯誤的行為，而網域欺騙只需要受害者嘗試存取一個DNS記錄被攻擊者成功攻擊的合法網站。

如何防止網路釣魚？

• 保持警覺：對網路釣魚的最佳防禦方法是對收到的電子郵件進行判斷和審查。你是否本應從寄件者收到關於此主題的電子郵件？你是否懷疑此人正在向你索取與他業務無關的資訊？如果存在上述疑問，請嘗試透過其他方式與寄件者聯繫。

• 檢查內容：你可以在搜尋引擎上輸入部分內容（或寄件者的電子郵件地址），以檢查是否有使用此方法的網路釣魚攻擊記錄。

• 嘗試其他方法：如果你認為你收到了一個合法請求以確認熟悉業務的帳戶信息，請嘗試通過不同方式執行此操作，不要點擊電子郵件中的連結。

• 檢查URL：將滑鼠移到連結上，不要點擊，檢查這個連結是否以HTTPS開頭而非HTTP。但請注意，僅僅檢查過開頭並不能保證網站是可靠的。仔細檢查網址裡是否有拼字錯誤、特殊字元和其他不尋常之處。

• 不要分享你的私鑰：永遠不要把你的比特幣錢包的私鑰給別人，並警惕地判斷你要給的任何加密貨幣的產品和賣家是否合法。與信用卡相比，處理加密的不同之處在於，如果您從未收到約定的商品或服務，那麼政府不會對收費提出異議。這就是為什麼在處理加密貨幣交易時必須特別小心的原因。

結論

網路釣魚是最廣泛且最常見的網路攻擊技術之一。雖然主流服務的電子郵件過濾軟體可以有效地過濾假消息而留下真正的郵件，但仍需小心保持好最後一道防線。警惕任何試圖從你那裡獲取敏感或私人資訊的行為。如果可能的話，透過發送方和請求是合法的管道來確認訊息。避免在電子郵件中點擊有關安全事件的鏈接，並根據自己的方式轉到該網頁，同時也要注意URL開頭的HTTPS是否正確。最後，對於加密貨幣交易要特別小心，因為在商家堅持到交易結束的情況下，無法逆轉這些交易。永遠保持你的私鑰和密碼的私密性，不要輕易相信任何資訊。