面對高風險店商賣場肆虐,怎麼面對
怎麼防範信用卡網路盜刷?資安專家密技大公開
▲網路交易是盜刷的溫床,民眾需要學會判斷假網站。(圖/取自免費圖庫pixabay)
記者沈君帆/綜合報導
對於網路盜刷,中華民國銀行公會提出「5要3不要」的防範辦法,其中5要是:「要注意消費簡訊、要細閱交易帳單、要遠離可疑網站、要養成良好的密碼命名習慣、要使用或下載最新的防毒軟體與作業系統」;3不要是:「不要讓親友使用您的卡號、不要回應任何向您要求個人資料的不明電子郵件或簡訊、不要使用公用網路進行交易」。
這些都是基本且實用的觀念,但其中「要遠離可疑網站」,對許多民眾知易行難,因為判斷網站有知識的門檻。我們訪問了資安專家趨勢科技協理劉彥伯,整理成以下重點。
如何判斷網站真假?
在信用卡網路盜刷的案件裡,最常發生在釣魚網站受騙,持卡人輸入了信用卡資訊,甚至OTP密碼,導致後續的盜刷。然而,現在的釣魚網站真假難辨,有些甚至山寨成有名且有公信力的網站,做到以假亂真的程度。劉彥伯坦承,如果沒有上鉤前的脈絡,一個山寨的網站直接拿到他面前,一時之間他也很難分辨出真假。
因此,如何分辨網站將是現代人重要技能,他提供了幾個判斷方式。
1.不能盡信搜尋引擎找到的結果
使用搜尋引擎是現在每個人查找資料的第一步,以往搜尋出來的前幾順位都是有代表性的網站,現在已不見得是真的,詐騙集團會去下廣告,讓自己的網站排在搜尋的前幾位,民眾很容易上鉤點進詐騙網站裡。
2.確認網址鎖頭
瀏覽器的網址左方會有圖示,只要有鎖頭,代表該網頁有申請SSL憑證,透過該網站傳送或接收的資訊都有加密處理,輸入的資訊不會外洩。Google對於網站連線安全有更詳細的解說:檢查網站連線是否安全
近來可發現,很多詐騙網站都會申請SSL憑證,鎖頭已經不夠判斷,但劉彥伯強調「有鎖頭不一定真,沒鎖頭一定假,就算不是假的,也是駭客等在旁邊」,所以檢視鎖頭還是重要的依據。
3.確認網址
這個網站與你以為的網站是否同一個網址?網址字小,諸如0與o、c與o之類微小差異,最能騙到眼睛;又或在國外網站網址後面加上-tw,讓人誤以為台灣分公司。光是在網址上動手腳,就有太多招數,民眾睜大眼睛可以看出一些端倪。另外,詐騙型的一頁式購物網站,網址大多與網站名稱無關。正常的網站,網址會以網站名稱的英文或縮寫來命名,如中華電信是cht.com.tw,詐騙網站的網址命名常常沒有這樣的邏輯。
4.查詢網站年齡
原則上,太年輕的網站需要懷疑,使用WHOIS(www.whois365.com/tw),可以查到這個網站註冊多久了,誰註冊的,註冊人相關連絡方式。
5.同一個IP的其它網站
以該網站的IP,再去查找這個IP有沒有其它網站。一般來說,架設網站都會把相關的網站掛在一起,詐騙集團也一樣,所以就有可能「同一個IP掛了很多詐騙網站」,如果一時之間難以判斷一個網站的真假,可以點進去與它同一個IP的其它網站看看,多看就更能察覺是否不懷好意。可使用如yougetsignal.com或whatsmyip.org/whois-dns-lookup/ 之類IP反查工具。
6.別輕易信任網站內的評價,應該多留意網站外的評價
詐騙網站都會在自己網站內留下很多正評,不可以盡信之。民眾可以透過臉書、PTT或Dcard社群的搜尋,在社群平台上面輸入網站的名稱、網址,看看有沒有其他人的交易心得或經驗。
7.照片畫質
詐騙網站或APP所用的照片常常畫素較低,畫質較差,因為大部分都使用截圖的方式盜圖。
8.確認客服聯絡方式
購物網站都會留有客服方式,詐騙網站要取信於人也都會有,卻不一定有功用。因此可以確認每一種客服方式,打電話去詢問,或跟線上客服對答,都可以讓他們露出馬腳。如果客服只留e-mail就更要小心,可以上網搜尋該e-mail帳號,可能就會發現一堆詐騙相關。
9.確認付款方式
購物網站都會提供各式的付款方式,信用卡或電子支付如paypal、linepay,使用這些支付方式都要經過該服務的金流公司資格審查,對消費者會有一定的保護。因此劉彥伯建議,每種支付方式都試點看看,詐騙網站不容易每種支付都能有效串接。當它只能提供部分或單一的支付方式,民眾就該提高警覺。
10.隨意輸入卡號
到了刷卡網頁,要再看網址有沒有鎖頭,並且最好是在常見的金流刷卡平台交易。最後一步要刷卡付錢時,可以先隨意輸入一組卡號測試,因為合規的交易網站通常具備較嚴格的卡號驗證機制,若隨意輸入號碼可通過驗證,代表該網站極有可能是信用卡釣魚網站,務必立即停止交易。
以上每點詐騙集團也許都能破解,比如花錢就可以申請SSL鎖頭、買下經營不善的電商就不會讓網站太年輕、用流量將負評洗成正評、偷更精美的圖或請人拍照,這些都是做得到的,但要每破解一道辨識法就得花更多成本,詐騙集團會在無利可圖之前就縮手了。民眾如果建立了這些判斷知識,一定可以有效防範網路盜刷。