跳至主要內容

如何保護自己免受網路釣魚攻擊

網路釣魚是帳號遭竊的首要原因。了解現代網路釣魚的運作方式、警示訊號,以及真正能阻止攻擊的防禦措施。

最後更新: 2026年4月14日

摘要

  • 網路釣魚是帳號遭奪取的首要原因——攻擊者誘騙您在假冒網站上輸入憑證。
  • 現代網路釣魚工具組能以像素級精確度複製登入頁面,並即時代理您的 2FA 驗證碼。
  • 硬體安全金鑰(YubiKey、FIDO2)是唯一在設計上能防範網路釣魚的防禦手段。
  • 密碼管理器能拒絕在錯誤網域上自動填寫,從而保護您的安全。
  • 輸入憑證前請仔細核對確切的網域名稱,絕不透過電子郵件中的連結登入。

什麼是網路釣魚?

網路釣魚是一種社會工程攻擊,攻擊者建立一個逼真的合法網站複製品——通常精確到像素級別——並誘騙受害者在其中輸入憑證。受害者一旦提交表單,攻擊者便會擷取使用者名稱、密碼及任何第二驗證因素,並在數秒內利用這些資訊奪取真實帳號的控制權。

這個詞源自以誘餌「釣魚」受害者的比喻(通常是一封電子郵件)。其拼寫之所以改變,是為了強調攻擊者經常使用phone numbers(電話號碼)(即 SMS 網路釣魚,或稱「smishing」)和看起來專業的基礎設施。

為什麼網路釣魚仍是首要威脅

如今大多數大規模帳號外洩事件並非源於駭客入侵、破解密碼或繞過加密。它們的起因是有人將密碼輸入了假冒網站。網路釣魚之所以如此危險,是因為它:

  • 成本低廉——攻擊者只需花費一台 VPS 和一個偽造網域的費用,便可發送數百萬封電子郵件
  • 難以過濾——現代釣魚工具組不斷輪換網域、使用合法的主機服務,並即時適應過濾器
  • 高度有效——即使是具備安全意識的使用者,也可能受騙於精心設計的針對性攻擊(魚叉式網路釣魚)
  • 可大規模擴展——一次成功的網路釣魚攻擊通常能透過密碼重複使用取得數十個關聯服務的存取權限

2024 年 Verizon 資料外洩調查報告發現,網路釣魚是超過 36% 的所有外洩事件的初始存取向量——比任何其他單一原因都多。

現代網路釣魚的運作方式

網路釣魚已遠遠超越 2000 年代「奈及利亞王子」電子郵件的水準。現代網路釣魚攻擊通常包含以下環節:

1. 令人信服的誘餌

通常是一封電子郵件、簡訊或即時訊息,製造緊迫感(「您的帳號即將被暫停」)、權威感(「Microsoft 安全團隊」)或好奇心(「有人在照片中標記了您」)。魚叉式網路釣魚更進一步,使用從 LinkedIn、外洩資料或先前通訊中獲取的個人資訊。

2. 像素級完美的假冒網站

攻擊者使用現成的網路釣魚工具組,複製目標網站的 HTML、CSS 和 JavaScript。許多工具組以服務形式出售(釣魚即服務),配備功能完整的管理介面和客戶支援。

3. 針對 2FA 的即時代理

最危險的部分:現代工具組不僅僅擷取您的密碼。它們充當中間人代理,將您輸入的所有內容——包括您的 TOTP 驗證碼——在數秒內轉發至真實網站,從而繞過大多數 2FA。此技術稱為對手中間人(AiTM),被 Evilginx2 和 Modlishka 等工具所使用。

4. 工作階段憑證竊取

一旦您透過代理完成身份驗證,攻擊者便會擷取您的工作階段 Cookie,並能在您更改密碼後仍保持登入狀態。這就是為什麼網路釣魚事件的應對措施始終包括撤銷有效工作階段,而不僅僅是更換密碼。

真正能阻止網路釣魚的措施

硬體安全金鑰(FIDO2 / WebAuthn)

這是唯一在設計上能防範網路釣魚的防禦類別。當您使用 FIDO2 金鑰登入時,您的金鑰會以密碼學方式驗證請求身份驗證的網站的確切網域。假冒網站——無論外觀多麼完美——都擁有不同的網域,因此金鑰將拒絕回應。密碼學握手根本無法完成。

Google 在 2017 年為其所有超過 85,000 名員工強制使用 YubiKey,並在此後數年內報告公司帳號零成功網路釣魚攻擊

通行密鑰(Passkeys)

通行密鑰是 FIDO2 面向消費者的進化版本。它們使用相同的網域綁定密碼學,並內建於 iOS、Android、macOS 和 Windows 中。若您使用的網站支援通行密鑰,啟用後即可使該帳號免受網路釣魚攻擊。

密碼管理器

密碼管理器是您的第二道防線,因為它只在憑證儲存時所使用的確切網域上自動填寫。若您進入 paypaI.com(大寫 I)而非 paypal.com,您的密碼管理器將靜默地拒絕填寫表單。這種拒絕是一個強烈的警示訊號,表示情況有異。

電子郵件與 DNS 過濾

電子郵件服務商使用 DMARC、SPF 和 DKIM 來偵測偽造的寄件者地址。大多數現代服務商能攔截明顯的嘗試,但針對性攻擊仍可能漏網。請在您的郵件客戶端啟用「回報網路釣魚」按鈕,以協助改善過濾器的效能。

需注意的警示訊號

當您收到要求您登入、驗證或緊急採取行動的訊息時:

  • 緊迫感與威脅——「您的帳號將在 24 小時內關閉」
  • 泛用的稱呼——「親愛的客戶」,而非您的姓名
  • 外觀相似的網域——paypaI.comapp1e.comsecure-microsoft-login.net
  • 意外的附件——尤其是要求您登入才能查看的 .zip.html.pdf 檔案
  • 文法或格式錯誤——大型企業都會對其電子郵件進行校對
  • 連結不符——將滑鼠懸停於連結上,確認目標網址是否與連結文字相符

若有任何感覺不對勁的地方,請關閉電子郵件。手動前往網站。若真有問題,您透過正常流程登入時就會看到。

若您受騙了,該怎麼辦

請迅速採取行動——速度至關重要,因為攻擊者通常在數分鐘內便開始使用所竊取的憑證。

  1. 立即更改密碼,在另一台裝置上進行(例如,若您是在筆記型電腦上受騙,請使用手機)
  2. 撤銷所有有效的工作階段,在帳號設定中操作——這將踢出任何正在使用已竊取工作階段憑證的人
  3. 啟用 2FA,若尚未啟用,並盡可能使用硬體金鑰或通行密鑰
  4. 檢查是否有未經授權的活動——已發送的電子郵件、近期登入記錄、帳單變更、新的轉寄規則
  5. 通知受影響的機構,若為金融或工作帳號
  6. 檢查其他使用相同密碼的帳號——即使您確信自己未重複使用密碼,也請逐一確認

結語

網路釣魚之所以盛行,是因為它繞過了技術防禦,直接針對人類。最佳的防禦措施融合了三個層次:密碼管理器(拒絕在錯誤網域上自動填寫)、防網路釣魚的 2FA(與真實網域綁定的硬體金鑰或通行密鑰),以及健全的懷疑態度(絕不透過電子郵件連結登入)。

請首先在您最重要的帳號——您的電子郵件——上啟用以上三項防護措施。從那裡開始,您整個數位生活的安全性將獲得實質性的提升。

如何保護自己免受網路釣魚攻擊

一份實用、按順序排列的清單,協助您強化帳號以抵禦網路釣魚攻擊。

  1. 使用密碼管理器:安裝信譽良好的密碼管理器(1Password、Bitwarden、Proton Pass),並讓其自動填寫憑證。它將拒絕在外觀相似的假冒網域上自動填寫,為您提供內建的網路釣魚偵測功能。
  2. 啟用防網路釣魚的 2FA:為最重要的帳號新增 FIDO2 硬體金鑰(YubiKey、Google Titan)或通行密鑰(passkey)——首先從電子郵件帳號開始,其次是銀行、雲端儲存空間和密碼管理器。這些是唯一能真正阻止現代網路釣魚的 2FA 方式。
  3. 絕不透過電子郵件連結登入:當您收到要求登入的電子郵件時,請關閉郵件,並透過書籤或手動輸入 URL 的方式前往網站。電子郵件中的連結可能是完美的仿冒品,但瀏覽器中的書籤不會。
  4. 輸入前核對確切的網域名稱:在輸入任何密碼之前,請查看網址列中的完整 URL。確認是否有 https、正確的拼寫,以及是否存在如 paypal.com.secure-login.net 之類的額外子網域。
  5. 回報並繼續前行:向您的電子郵件服務商回報網路釣魚嘗試(大多數服務商都有「回報網路釣魚」按鈕)。然後繼續您的日常——網路釣魚只有在您受騙時才有危險,而提高警覺是最重要的防線。

常見問題