你的購物季也是駭客的狂歡季節嗎？F5建議四大網路防身招式

百貨公司周年慶網路星期一、聖誕感恩購物節、農曆新年購物促銷如火如荼接續展開，網路購物信件也漫天紛飛，線上折扣購物的黃金檔期吸引大家點閱。亞太電子化商務正以13%滲透率持續成長。假期促銷活動帶來大量的折扣與低價商品，但同時也吸引惡意人士企圖利用人們購物的歡樂心情。

F5最新的2018網路釣魚與詐欺報告(2018 Phishing and Fraud Report)發現10、11、12月的詐欺事件比過往每年發生的數量增加超過50%。根據微軟和IT分析市調顧問公司Frost & Sillivan合作發布的亞太資安研究報告指出，台灣大型企業，因資安事件所造成的經濟損失，每年平均損失1,760萬美元，有六成的台灣民眾曾收到來自攻擊者的惡意郵件，其中又有六成的人會開啟惡意內容，包含附件或惡意網址，且一旦電腦被滲透，往往要三個月才會發現電腦遭入侵。

網路釣魚者利用社交工程，瞄準那些對低價無法抗拒的大眾，透過價格為誘餌，並採用社交媒體或電子郵件等最有效率的戰術誘捕目標獵物。購物節網路釣魚事件層出不窮，不論企業或個人都需要留意此一風險。

「數位潔癖」是很重要的，當員工用公司電腦落入簡單的電商郵件陷阱，其結果可能導致整個企業的大災難。例如，以50個國家超過500家工業公司為目標的商業電子郵件入侵攻擊(Business Email Compromise; BEC)就是因為員工下載一個惡意檔案而被觸發，開啟大門讓駭客能夠侵入企業資料和網路。

那麼，個人使用者該如何保護自己，防範購物節釣魚威脅？以下是四個自保要訣：

一、質疑太過好康的廣告 「最新iPad二折大拍賣！」

看起來好到不太真實的廣告就應該存疑。購物季期間，你可以預期電子信箱將湧入大量促銷廣告。提醒大家別對這些促銷太過興奮。我們或許很難追蹤自己訂閱的郵件名單，但聰明的做法是要對那些可疑的促銷抱持懷疑。這類垃圾郵件往往充斥著許多語言錯誤、超值促銷和可疑的連結。

如消費者容易被抽獎頁面、折價券下載、購物金幣連結等網站所騙。俗語說免錢的最貴，通常這些網頁裡都會隱藏惡意程式連結、騙流量或是夾帶著釣魚訊息，竊取你的的個人資料，所以今年的購物季必須對這類郵件提高警覺。

二、以真實生活案例教育你的家人和好友

或許你以前已做過了，但仍需再次提醒親友有關網路釣魚風險。因為網路釣魚攻擊者的技術越來越複雜化，他們的詐騙手法不斷翻新。

花一點時間測驗他們，看他們是否有遇到任何釣魚連結，並過濾出那些傳送給他們的不同垃圾郵件。事實上，常見的詐騙手法之一就是偽冒的訂單確認郵件，亦即以虛設的商家發送郵件並要求收件人點選「購物追蹤」或「住址驗證」連結，但這些連結事實上會造成使用者下載惡意軟體。這類郵件通常偽裝得很好，再加上購物節期間線上購物的龐大數量，很容易讓收件人誤認為合法郵件。

三、確保維持更新狀態

不論企業或個人都必須肩負這項責任。除了隨時掌握最新惡意軟體攻擊情資之外，還要經常確認所有裝置的防毒軟體都有自動更新。每月定期執行系統掃描也能確保所有修補更新都是最新版本。

另一個著名的購物節攻擊是偽裝成出貨狀態通知。由於購物節期間的郵件大量湧入，你可能比較不會懷疑一些非預期的郵件。然而，你必須保持警覺並確認是否真的有下單。然後，直接到貨運網站如UPS、USPS、FedEx等，輸入你的追蹤號碼以查詢貨品資訊。

四、額外保護你的個人資訊

一如前述，釣魚攻擊者手法日趨複雜，他們的目標越來越集中於個人並且具有針對性。今天有些攻擊包含敏感資訊，使其看起來更像合法郵件。有些人使用公司電腦登入個人郵件及其他帳號以進行線上購物或其他事務，但這也無助於預防釣魚攻擊。

不管怎樣，沒有任何事可以阻擋釣魚者攻擊，光憑解決方案、政策與程序並無法阻絕入侵威脅。額外的保護例如應用程式修補更新、多因子認證及適切的Web過濾方案等，都可以建置在工作場所和家裡。身處員工攜帶自有裝置(BYOD)年代，建立強大的安全文化與員工教育是保護企業的關鍵。

別讓這些攻擊破壞了你的節慶氣氛。購物節有很多好康的東西等著你，不應該錯過。經常檢視線上購物程序，安全的享受購物。