5大防毒防駭重要須知，新手必學靠自己、老手複習做好人

概念3：網路瀏覽要小心，避免瀏覽器綁架與木馬上身

我們都知道上網不能隨便點選連結下載檔案，但是，可能比較少人知道，就算你只是隨意點入某個網站，隨意觀賞網頁內容，都有可能因此惹禍上身，這就是一種惡意網站的攻擊方式。

一般來說，惡意網站就是利用瀏覽器本身的安全漏洞，在網頁中嵌入代碼，進而破壞或惡意修改使用者瀏覽器設定的網站，此外通常還有幾個特性，比較明顯的有強制安裝特殊軟體，或者跳出不知名的瀏覽器擴充插件安裝通知，無預警彈出廣告頁，甚至最常見的就是綁架瀏覽器的首頁設定，這類情況最容易發生在市佔率最高的瀏覽器IE上。

▲到可信任的網站下載瀏覽器Plugin：為了避免安裝惡意軟體，最好只在官方軟體商店內下載裝Plugin。

另一個更難以預防的惡意網站攻擊，就是直接將惡意連結或木馬程式，嵌入網頁代碼、圖片、Flash中，進行主動攻擊，只要一登入或點選圖片就會受到感染，又被稱為掛馬網頁，這種利用漏洞的偷渡式下載，是相當普及且難以預防的。因此除了安裝防毒軟體之外，使用者最好還是定期更新瀏覽器，不要某個版本好用就一直用個好幾年，安全漏洞不補起來的話，上網是一個相當危險的行為。

▲保持瀏覽器最新版本：瀏覽器每一次更新除了新增功能，也會修補漏洞。

概念4：網路釣魚加社交工程，漸成主流資安漏洞

網路釣魚（phishing）是一種利用電腦技術，以取得個人資料，如電子郵件帳號、密碼、信用卡資料為目的的手法，通常是藉由偽造Email或金融機構與購物網站，而讓使用者誤上。一開始的網路釣魚，是假借某些知名公司機構的名義，發送資料維護或中獎通知的Email給受害人，要求登入假公司網站，也就是釣魚網站（phishing site），確認或修改個人資料資料，盜取帳號、密碼與個人資料。

這些釣魚網站常常都跟真網頁幾可亂真，通常都能偽造出與真網頁樣式、顏色上非常相近，例如掛上一樣的logo、使用同樣的漸層色彩，甚至連網址都模仿，差別可能只在多一個或少一個英文字母、英文字母l跟數字1的微小差異等。此外，為了取信於人，有些釣魚網站甚至會向搜尋引擎購買相關關鍵字，將網站列在搜尋結果的前端，不小心點擊後就會遭到詐騙，國內知名網站Yahoo!奇摩拍賣、國外的eBay、Paypal都是最常被釣魚網站模仿的對象。

▲設定安全圖章：釣魚網站猖獗，容易被模仿的網站也推出防範措施，如Yahoo!奇摩拍賣推出安全圖章，有顯示自己設定圖片的，才是正牌網站。

即時通訊網路詐騙

傳統的網路釣魚之後更加上社交工程的原理，延伸到即時通訊軟體釣魚，這種形式與傳統透過Email的方式很相近，但是將傳遞詐騙資訊的媒介，從現在一般人一看即過的Email，改成信任度較高的即時通訊軟體，如MSN、Skype或Yahoo!奇摩即時通，也就是算準了一般人對於Email上的資訊多半不會盡信，但若是由即時通訊軟體上的朋友，丟給你一段連結或資訊，則多數人當下都不會懷疑，成功機率比Email大大增加。甚至連我們編輯也曾經受害。

▲騙取MSN帳號、密碼：即時通訊網路釣魚目前最為熱門，一不小心就被假網站騙取帳號跟密碼。

網址嫁接攻擊

過去的釣魚網站都是想盡辦法讓使用者，誤點上製作出來的假網站，但是新的網址嫁接攻擊（Pharming Attack），則是直接攻擊ISP的DNS伺服器，或修改使用者電腦中，網域名稱（Domain Name）跟IP位址的對應記錄，使得使用者明明打上A網站的正確網域名稱，卻登入B網站這個虛設的釣魚網站。

例如以T客邦網站來看，網域名稱為「http://www.techbang.com.tw」，目前對應的IP位址為「60.199.208.218」，也就是說，如果使用者在瀏覽器網址列打入「http://www.techbang.com.tw」，會開始查詢使用者所用ISP的DNS伺服器，找出並連接對應的IP「60.199.208.218」，然而，如果該使用者ISP業者的DNS伺服器遭到網址嫁接攻擊，將「http://www.techbang.com.tw」對應的IP修改成另一個釣魚網站的IP，使用者就會明明打入正確的網域名稱，卻連線到釣魚網站。

網址嫁接攻擊，成功的克服了「引誘使用者進入釣魚假網站」，這個網路釣魚最難的一環，因為現在的網路使用者都會很注意網域名稱是否輸入有誤，甚至瀏覽器還會自動更正錯誤名稱，卻沒想到輸入正確網域後，也會有被引導到錯誤網站的可能。這種網址嫁接攻擊，成功的克服了「引誘使用者進入釣魚假網站」，這個網路釣魚最難的一環，成為資安防護的漏洞之一。