Ugrás a fő tartalomhoz

如何保護自己免受釣魚攻擊

釣魚攻擊仍然是帳戶被盜用的首要方式。了解現代釣魚攻擊的運作原理、需要注意的警示訊號,以及真正能阻止攻擊的實用防護措施。

2026-04-14

TL;DR

  • 釣魚攻擊是帳戶被接管的首要原因——攻擊者在假網站上誘騙您提供憑證。
  • 現代釣魚套件能完美複製登入頁面,並即時代理您的 2FA 驗證碼。
  • 硬體安全金鑰(YubiKey、FIDO2)是唯一在設計上就能防釣魚的防護措施。
  • 密碼管理器會拒絕在錯誤的網域上自動填入,藉此保護您。
  • 輸入憑證前先檢查確切的網域,永遠不要從電子郵件中的連結登入。

什麼是釣魚攻擊?

釣魚攻擊是一種社會工程攻擊,攻擊者建立一個令人信服的合法網站副本——通常是像素級的完美複製——並誘騙受害者在那裡輸入憑證。受害者提交表單的那一刻,攻擊者就會擷取用戶名、密碼以及任何第二因素認證,然後在幾秒內使用它們來接管真實帳戶。

這個詞來自於用誘餌「釣」受害者的隱喻(通常是電子郵件)。拼字改變是為了強調攻擊者經常使用電號碼(SMS 釣魚,或稱「簡訊釣魚」)和看起來專業的基礎設施。

為什麼釣魚攻擊仍然是首要威脅

當今大多數大規模帳戶洩漏並不涉及駭客入侵、破解密碼或繞過加密。它們涉及人類在假網站上輸入密碼。釣魚攻擊具有以下特點:

  • 成本低廉 — 攻擊者只需一台 VPS 和一個偽造網域的成本就能發送數百萬封電子郵件
  • 難以過濾 — 現代套件會輪換網域、使用合法主機,並即時適應過濾器
  • 效果顯著 — 即使是有安全意識的用戶也會上精心製作的目標攻擊(魚叉式釣魚)的當
  • 可規模化 — 單一成功的釣魚攻擊通常能透過密碼重複使用獲得數十個關聯服務的存取權限

2024 年 Verizon 資料洩漏調查報告發現,釣魚攻擊是超過 36% 所有洩漏事件的初始存取途徑——超過任何其他單一原因。

現代釣魚攻擊的運作方式

釣魚攻擊已遠遠超越 2000 年代的「奈及利亞王子」電子郵件。現代釣魚攻擊通常包括:

1. 令人信服的誘餌

通常是電子郵件、簡訊或聊天訊息,營造緊迫感(「您的帳戶將被暫停」)、權威性(「Microsoft 安全團隊」)或好奇心(「有人在照片中標記了您」)。魚叉式釣魚進一步利用從 LinkedIn、洩漏資料庫或先前通信中獲取的個人詳細資訊。

2. 像素級完美的假網站

攻擊者使用現成的釣魚套件來複製目標網站的 HTML、CSS 和 JavaScript。許多套件以服務形式販售(釣魚即服務),配有運作中的儀表板和客戶支援。

3. 用於 2FA 的即時代理

危險的部分:現代套件不只是擷取您的密碼。它們充當中間人代理,將您輸入的所有內容——包括您的 TOTP 驗證碼——在幾秒內轉發到真實網站,繞過大部分 2FA。這種技術稱為對手在中間(AiTM),被用於 Evilginx2 和 Modlishka 等工具中。

4. 工作階段權杖竊取

一旦您透過代理進行認證,攻擊者就會擷取您的工作階段 cookie,即使您更改密碼後仍能使用它保持登入狀態。這就是為什麼釣魚響應總是包括撤銷活躍工作階段,而不只是密碼輪換。

真正能阻止釣魚攻擊的方法

硬體安全金鑰(FIDO2 / WebAuthn)

這是唯一在設計上就能防釣魚的防護類別。當您使用 FIDO2 金鑰登入時,您的金鑰會以密碼學方式驗證請求認證的網站確切網域。假網站——無論視覺上多麼完美——都有不同的網域,因此金鑰會拒絕響應。密碼學握手根本無法完成。

Google 在 2017 年為所有 85,000+ 名員工強制使用 YubiKey,並報告在隨後的幾年中公司帳戶零成功釣魚攻擊

通行金鑰

通行金鑰是 FIDO2 的消費者友好版本。它們使用相同的網域綁定密碼學技術,並內建於 iOS、Android、macOS 和 Windows 中。如果您使用的網站支援通行金鑰,啟用一個就能讓該帳戶防釣魚。

密碼管理器

密碼管理器是您的第二道防線,因為它只會在儲存憑證的確切網域上自動填入。如果您進入 paypaI.com(大寫 I)而非 paypal.com,您的管理器會靜默拒絕填入表單。這種拒絕是有問題的響亮警告。

電子郵件和 DNS 過濾

電子郵件提供商使用 DMARC、SPF 和 DKIM 來檢測偽造的寄件者地址。大多數現代提供商會捕捉明顯的攻擊企圖,但目標攻擊仍會漏網。在您的郵件用戶端中啟用「回報釣魚」按鈕,這樣您就能幫助過濾器改進。

需要注意的警示訊號

當您收到要求登入、驗證或緊急行動的訊息時:

  • 緊迫性和威脅 — 「您的帳戶將在 24 小時內關閉」
  • 通用問候語 — 「親愛的客戶」而非您的姓名
  • 相似網域paypaI.comapp1e.comsecure-microsoft-login.net
  • 意外附件 — 特別是要求您登入檢視的 .zip.html.pdf 檔案
  • 語法或格式錯誤 — 大公司會校對他們的電子郵件
  • 連結不匹配 — 將滑鼠移至連結上方並檢查目的地是否與文字匹配

如果有任何感覺不對勁的地方,請關閉電子郵件。手動導覽到網站。如果真的有問題,當您透過正常工作流程登入時就會看到。

如果您上當了該怎麼辦

迅速行動——速度很重要,因為攻擊者會在幾分鐘內開始使用憑證。

  1. 立即更改密碼,在不同裝置上(例如,如果您在筆電上上當,就使用您的手機)
  2. 撤銷所有活躍工作階段,在帳戶設定中——這會踢出任何目前使用被盜工作階段權杖的人
  3. 啟用 2FA,如果之前沒有啟用,盡可能使用硬體金鑰或通行金鑰
  4. 檢查未經授權的活動 — 已發送郵件、最近登入、帳單變更、新轉發規則
  5. 通知受影響的機構,如果是金融或工作帳戶
  6. 檢查其他帳戶,使用相同密碼的——即使您確定沒有重複使用密碼,也要檢查

總結

釣魚攻擊之所以猖獗,是因為它繞過了技術並針對人類。最佳防護措施結合三個層面:密碼管理器(拒絕在錯誤網域上自動填入)、抗釣魚 2FA(綁定到真實網域的硬體金鑰或通行金鑰),以及健康的懷疑態度(永遠不要從電子郵件連結登入)。

首先在您最重要的帳戶——您的電子郵件——上啟用這三項。從那裡開始,您數位生活的其餘部分會變得明顯更安全。

如何保護自己免受釣魚攻擊

強化您的帳戶免受釣魚攻擊的實用、有序檢查清單。

  1. 使用密碼管理器:安裝信譽良好的密碼管理器(1Password、Bitwarden、Proton Pass)並讓它自動填入憑證。它會拒絕在類似網域上自動填入,為您提供內建的釣魚檢測器。
  2. 啟用抗釣魚的 2FA:為您最重要的帳戶添加 FIDO2 硬體金鑰(YubiKey、Google Titan)或通行金鑰——首先是電子郵件,然後是銀行、雲端儲存和密碼管理器。這些是唯一真正能阻止現代釣魚攻擊的 2FA 方法。
  3. 永遠不要從電子郵件連結登入:當您收到要求登入的電子郵件時,關閉該郵件並透過書籤或輸入 URL 手動導覽到網站。郵件中的連結可能是完美的仿製品;瀏覽器中的書籤則不是。
  4. 輸入前檢查確切的網域:輸入任何密碼前,查看網址列中的完整 URL。檢查 https、正確的拼字,以及沒有額外的子網域如 paypal.com.secure-login.net。
  5. 回報並繼續前進:向您的電子郵件提供商回報釣魚攻擊企圖(大多數都有「回報釣魚」按鈕)。然後繼續您的日常生活——釣魚攻擊只有在您上當時才危險,而意識是戰鬥的大部分。

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email