跳至主要內容
>_ITDITD網站資安平台

名詞解釋

#網路釣魚防護#MFA#郵件安全#社交工程

什麼是網路釣魚(Phishing)——比「識破」更可靠的防禦與手法種類

網路釣魚是冒充可信對象、誘導你進入假網站,從而竊取密碼或資訊的詐騙。要害在於它瞄準的是『人』而非軟體漏洞。本文從防禦視角講解種類(魚叉式釣魚、BEC、簡訊釣魚、中間人型)以及比『當心』更可靠的防禦(抗釣魚MFA、網域核對、郵件認證),不公開攻擊步驟。

發布於 2026-06-13 更新於 2026-06-13 閱讀時間 2 分鐘

「假裝成可信的對象,把你誘入假網站」——這就是網路釣魚。本文講解手法的種類與可靠的防禦(不公開攻擊步驟)。

原理:瞄準的不是「軟體漏洞」而是「人」

XSS與SQL注入攻擊的是軟體缺陷,而網路釣魚攻擊的是人的判斷。它用「您的帳戶已被停用」「請盡快確認」這類緊迫感、權威、恐懼奪走你思考的餘地,把你誘導到以假亂真的假網站去輸入密碼。即便是技術漏洞為零的網站,只要使用者被騙,憑證照樣會外洩。

入侵入口第一名
勒索軟體與資訊外洩大多以網路釣魚為起點,容易成為最初的那扇門
緊迫·權威·恐懼
用『立刻』『來自官方』『可以幫你止損』奪走思考餘地是慣用手段
AiTM
中間人型。假網站連一次性驗證碼都中繼,可能突破普通的MFA

手法的種類(叫法不同,本質相同)

普通釣魚

向不特定多數人群廣撒網

魚叉式釣魚

專門瞄準特定個人/組織

BEC

冒充合作方/高層下達匯款指令

簡訊釣魚

使用SMS

語音釣魚

使用電話

中間人型(AiTM)

把認證中繼到真網站以突破MFA

網路釣魚的典型種類。途徑與目標各異,但『冒充+誘導』的本質相同。

叫法雖不同,本質都在於**「偽裝成可信對象進行誘導」這一點。尤其是 BEC(商業郵件詐騙),它連惡意軟體都不用,僅靠「偽裝成合作方的匯款請求」就造成巨大的金錢損失。這類手法應當靠業務流程的核對**而非技術來攔截。

防禦:與其靠識破的注意力,不如用「機制」攔截

1

使用抗釣魚MFA(最重要)

對假網站不起反應的機制才是關鍵。通行金鑰/實體安全金鑰(FIDO2)與網域繫結,因此在假網域上認證從原理上就無法成立,連中間人型(AiTM)也無法突破。SMS/驗證器應用程式的驗證碼可能被中繼,所以應從王國的鑰匙(郵件/網域/支付)開始優先遷移到抗釣魚MFA(→ MFA的選擇方法)。

2

不點連結,自己主動去官方

不要點郵件或SMS裡的連結,而是透過書籤或手動輸入直接存取官方網站來核對。越是偽裝成「帳戶確認」「帳單」「配送」的訊息,越要走自己的途徑開啟,而不是經由連結。

3

用技術手段減少郵件冒充

正確設定網域的SPF/DKIM/DMARC,讓冒用自家網域的偽造郵件能在接收端被攔下(→ 什麼是SPF/DKIM/DMARC)。密碼管理器在假網域上不會自動填入,所以「填不進去」本身就是假網站的線索。

4

面對緊迫·權威的壓力先停下/匯款走另一條途徑核實

「立刻」「來自高層」「可以幫你止損」這種壓力正是陷阱的訊號。被催促時先緩一拍。涉及匯款或憑證的請求,不要直接回覆郵件,而是透過電話等另一條途徑核實本人後再行動(這是防BEC的要點)。

容易被突破

只有密碼+SMS/驗證器應用程式的驗證碼。一旦在以假亂真的假網站上連驗證碼一起被中繼(AiTM),即便再謹慎也會被奪走憑證。這是建立在『我能識破』前提上的防禦。

能攔得住

與網域繫結的通行金鑰/實體金鑰。在假網域上認證無法成立,所以即使使用者被騙也無法被突破。這是『識不破也安全』的機制側防禦。

本站的觀點:『當心』不是防禦戰略

本站認為,把網路釣魚防護僅僅寄託於「員工培訓」「提醒警示」是危險的。在中間人型(AiTM)已成常態的今天,無論多謹慎的人,都贏不過以假亂真的假網站+驗證碼中繼。注意可以是輔助,但不能當作最後一道防線。關鍵在於機制——從王國的鑰匙開始,依次引入與網域繫結的抗釣魚MFA。與其「培養能識破的人」,不如投資於「識不破也攻不破」的設計,這才是當下的正解。

盲點:「我不會被騙」才是最危險的

網路釣魚防護中最大的陷阱,是**『我能識破』這種過度自信**。中間人型(AiTM)會顯示以假亂真的畫面,把你輸入的密碼和一次性驗證碼當場中繼到真正的網站。也就是說,即便你謹慎地輸入了正確的驗證碼,那個正確的驗證碼也會連同被盜。所以把防禦的重心放在「識破的注意力」上本身就是錯的,正道是轉向**在假網域上無法成立的認證(抗釣魚MFA)**這種機制。不停留在「當心」,才是當代網路釣魚防護的起點。

接下來閱讀

FAQ

Q只要當心就能識破網路釣魚嗎?
A

『我能識破』這種過度自信很危險。如今的網路釣魚會使用以假亂真的假網站,把你輸入的密碼和一次性驗證碼即時中繼到真正的網站,這就是『中間人型(AiTM)』,連謹慎的人也會連同SMS或驗證器應用程式的驗證碼一起被盜。所以真正的防禦不是『識破的注意力』,而是對假網站不起反應的機制——與網域繫結的抗釣魚MFA(通行金鑰/實體金鑰)。

Q網路釣魚有哪些種類?
A

典型的有:向不特定多數人群廣撒網的普通釣魚、專門瞄準特定個人/組織的魚叉式釣魚、冒充高層或合作方下達匯款指令的BEC(商業郵件詐騙)、使用SMS的簡訊釣魚、使用電話的語音釣魚。此外,在假網站上把認證中繼到真網站的中間人型(AiTM),因為能突破普通的MFA而尤其需要警惕。

Q只要設定了MFA就能防住網路釣魚嗎?
A

強烈推薦使用MFA,但要看方式。SMS或驗證器應用程式的一次性驗證碼,一旦被中間人型釣魚連同驗證碼一起中繼,就可能被突破。無法被突破的是像『通行金鑰/實體安全金鑰(FIDO2)』這樣與網域繫結的抗釣魚MFA,在假網域上認證從原理上就無法成立。詳情請參閱兩步驟驗證(MFA)的選擇方法。