今天的收穫:防釣魚碼以及如何自保
關鍵要點
釣魚是一種網路攻擊,詐騙分子會試圖「釣取」信用卡號等敏感資訊。
受害者通常會收到偽造的電子郵件引導他們去點擊一個惡意連結、下載惡意軟體或洩露個人資訊等等。
幣安用戶可以設置防釣魚碼來進行交叉檢查辨認幣安電子郵件的真偽。
在 Web3 之前,網路釣魚攻擊普遍都是針對銀行帳戶和信用卡。但是現在,您的加密貨幣錢包也可能成為目標。
不論您認為您的資產有多安全,不管它是在金庫裡、在區塊鏈上或在您的硬體錢包裡,人腦仍然隨時都有被操縱的可能。例如,詐騙分子可以很輕鬆的騙取人們的信任來謀利,但他們多數其實不懂得如何駭入最先進的資安系統。
人類不是程式,人會有恐懼、貪婪和好奇等情緒,因此釣魚攻擊不論是現在或未來都會是詐騙集團的首選。
根據由 Deloitte 在 2021 年進行的金融網路調查,也被稱為社交工程的釣魚/惡意軟體,被視為是對金融服務領域的事業最嚴重的網路威脅。
本指南將帶您深入了解釣魚攻擊須知,包含真實案例和如何透過幣安的防釣魚碼保護自身帳戶。
什麼是網絡釣魚?
網路釣魚是熱門的網路攻擊手法,詐騙分子會透過假冒有信譽的商家或機構試圖「釣取」信用卡卡號等個資。此外,釣魚屬於社交工程攻擊的一種,而社交工程是所有基於與人類互動進行的惡意活動的總稱。簡而言之, 社交工程的駭入對象是人類而非程式。
最常見的網路釣魚形式是透過電子郵件。例如,您可能會收到來自您「信任」的對象的電子郵件,誘使您去點擊連結、下載有害的惡意軟體或洩漏出個人資訊。
Verizon 的 2022 數據洩漏調查報告發現有 96 % 的網路釣魚攻擊是透過電子郵件進行的。
最常見的嫌疑犯:釣魚電子郵件
電子郵件釣魚應用了一系列的技術來偽造發件者的地址。這些電子郵件有可能看起來明顯是詐騙,但也可能經過精心設計的模仿,即使加密貨幣的資深用戶也無法辨其真偽。畢竟,網路釣魚攻擊之所以存在是因為它確實有效。您可以在下方查看我們針對 5 封真實案例中釣魚電子郵件的分析。
範例1
攻擊者撰寫這封郵件的目的是竊取一位顧客的電子郵件、密碼和兩步驟驗證備份金鑰。該郵件從 <do-not-reply19@www--binance.com> 發出,使用與幣安相似的域名。但請不要被「binance.com」給欺騙,詐騙分子會用盡各種辦法來偽裝他們的電子郵件地址。
範例2
這封電子郵件嘗試說服用戶下載看似無害實則為惡意軟體的 PDF 檔案。不像是上一個例子,信中的格式和用詞顯得十分不專業。
範例3
這封電子郵件試圖引導用戶透過點擊幣安的連結查看自己是否收到了 0.129 BTC。我們建議用戶不要點擊任何顯得奇怪、陌生或可疑的連結。您也可以在幣安驗證二次檢查任何幣安網域。除此之外,您可透過連絡幣安客服來驗證可疑的電子郵件及其內容。
範例4
這封信試圖引導用戶參加名為「ETH 贈獎活動」的競賽,信末有寫著「參加」的綠色按鈕。就像第一個例子一樣,您可以注意到發件人用的是假的幣安電子郵件地址。
範例5
這封信的發件人自稱是幣安的「上架總監」並要求使用者發訊息到他們的 Telegram。受害者在 Telegram 上與他們聯絡後,攻擊者會要求受害者發送一定數額的加密貨幣到他們的錢包地址。雖然電子郵件的域名上顯示的是 Binance.com,但這封電子郵件並非由我們發送。事實上,幣安員工絕對不會要求用戶提供敏感資訊。
別上鉤,設定您的防釣魚碼
完成設定後,您專屬的英數組合代碼將作為防釣魚碼出現在所有確實由幣安寄給您的電子郵件中。若電子郵件中附帶了錯誤的代碼或沒有附上代碼,請立即聯繫幣安客服。該電子郵件很可能嘗試想要竊取您的個資。反過來說,您也能夠透過信中的防釣魚碼辨認出真正來自幣安的電子郵件。
防釣魚碼是高度敏感的個人資訊,不論如何都不應該與任何人分享,包含幣安的員工。
以下是幣安的電子郵件附帶和不附帶防釣魚碼的樣子。
如何設置您的防釣魚碼
設定您的防釣魚碼很簡單,只需要幾分鐘便可完成。按照下方的步驟即可開始設定:
首先,請透過您的電腦登入您的幣安帳戶。
前往您的帳戶個人中心。您會在安全性欄位下方看到防釣魚碼的設定。
欲啟用,請點擊 [啟用]。
用一串英數組合建立屬於您自己的防釣魚碼
該代碼必須至少有 8 個字元,並包含大寫字母及數字。我們建議使用者挑選好記但難以被攻擊者猜到的代碼。
依據您使用的兩步驟驗證器的不同,請輸入您的 Google 或簡訊驗證碼。
您的防釣魚碼便完成設定了。從現在開始,所有由幣安發送的電子郵件都會包含您的專屬代碼。
如何更新您的防釣魚碼
就跟密碼一樣,您最好常態性的更新您的防釣魚碼—至少一個月一次。有的時候,攻擊者可能已經獲取了您的防釣魚碼並且在等待時機發送攻擊。透過經常變更代碼,您可以避免代碼遭到洩漏或被成功釣魚的可能性。若您懷疑您的防釣魚碼已洩漏,請務必盡快更新。
欲更新您的代碼,請前往您的帳戶個人中心的防釣魚碼區塊。請點擊 [變更代碼] 並完成和上次建立防釣魚碼一樣的流程。請確保新代碼與舊代碼不會太過相似。