以假亂真的邀請信:一場精準釣魚攻擊【給 NGO 的資安提醒】

來自真人真事

某非營利組織的活動開放報名後不久,多位合作專家收到了一封「來自該組織」的邀請信,信中邀請他們前往活動報名頁點擊「出席確認」。點下連結後,頁面彈出視窗,要求登入 Google 帳號進行驗證。

一切看起來都很合理——直到向會內同仁查證,才發現根本沒有人寄出過這封信。

寄件人顯示的,是組織一個久未使用的舊信箱;而那個掛在官方網站域名下、外觀與真實報名頁一模一樣的頁面,其實是假的——它用「登入驗證」的視窗,誘導受害者交出帳號與密碼。

這不是亂槍打鳥的垃圾信,而是一場針對特定對象、細節逼真的精準詐騙,連內部同事都一度信以為真。

這類攻擊,通常是這樣運作的

近年在 AI 工具的協助下,針對組織的釣魚攻擊愈來愈「客製化」,攻擊者能更快速地蒐集資訊、仿寫信件與頁面,讓人難以分辨。拆解這次事件,可以看到四個環節環環相扣:

  • 蒐集公開資訊:活動報名頁上公開的活動主題、對象等資訊,被攻擊者蒐集、重組成詐騙素材。
  • 寄出精準信件:信件參考真實活動內容撰寫,收件名單也與實際合作對象高度吻合,甚至包含許久未聯繫的專家,讓人幾乎不起疑。
  • 仿冒官方網頁:攻擊者將公開活動頁面下載後修改,再上傳到組織自己的官網域名下。頁面外觀與官方頁一模一樣,網址又掛在真實域名底下,防線瞬間瓦解。
  • 誘導輸入帳密:以「登入驗證」「出席確認」為由跳出假登入視窗,一旦填入帳號密碼,資料便被傳送到外部的惡意主機。

這場攻擊真正棘手之處在於:內容、名單、外觀、網址——這四項我們平常用來判斷真偽的線索,同時被攻破。也難怪連組織內部人員都一時辨不清真假。

從三個細節發現偽造痕跡

一、看網址列

CRM活動頁與偽造頁,網址其實不同:
  • 正常的活動報名頁,位於 CRM 系統的網域下,例如 OOO.neticrm.tw/civicrm/event/info?reset=1&id=... ,如果與網站整合建置,則會是 OOO.org.tw/civicrm/event/info?reset=1&id=...
  • 偽造頁雖然掛在官方網站網域 OOO.org.tw下,看似正規,但後面接的卻是一段陌生、與活動無關的路徑(例如 /epaper/...)。
養成點連結前、輸入密碼前先看一眼完整網址的習慣,是最有效的一道防線。

二、看頁面上「多出來」的東西

比對真實的活動頁,偽造頁往往會多出一個真頁面沒有的按鈕或步驟——例如一個額外的「接受邀請」「出席確認」鈕,點下去就觸發假的登入視窗。如果某個動作在你印象中的官方流程裡從沒出現過,就要提高警覺。

三、看「第三方登入視窗」是真是假

這次攻擊在網頁裡「畫」出一個看起來像獨立彈出的 Google 登入視窗,連上方的假網址列都寫著 accounts.google.com。但它其實只是網頁裡的一個圖層,不是真的視窗。要拆穿它,可以試著幾件事:
  • 試著把視窗拖出去:真正的登入視窗可以移動到瀏覽器範圍以外;假的被「困」在網頁裡,拖不出去,超出邊界就會被切掉。
  • 試著點它的網址列:真視窗的網址列可以點選、編輯;假的通常只是一張圖或一段文字,點不動、也沒有真實的鎖頭可互動。
  • 留意「視窗」的外框樣式,和你自己電腦平常的視窗長得不太一樣(例如關閉按鈕的位置怪怪的),也是一個可疑的訊號。

那麼,我們可以做哪些事?

隨著網路攻擊手法推陳出新、越加難以辨識,對於非營利組織資源與人力都吃緊的情況下,更難顧到資安這一塊、或者也不知從何做起。對此,想介紹一些基礎安全措施,不需要專職 IT,簡單動動手指,就能擋掉大部分風險:

  • 盤點並停用閒置信箱:久未使用的舊信箱最容易被冒用或盜用。定期清查、停用不再需要的帳號,離職同仁的帳號也務必第一時間關閉。
  • 權限最小化、開啟兩階段驗證:每人使用獨立帳號、只給必要的權限,不共用公用帳號,不跨帳號共用密碼;管理者帳號務必開啟兩階段驗證。
  • 教育同仁「認網址、不認外觀」:這次事件證明,頁面長得再像都不可靠。真正該檢查的是瀏覽器網址列的完整網址,尤其是域名後的路徑是否正常。凡是要求登入帳號、輸入密碼的頁面,更要提高警覺。

如果很不幸,還是中招了?快速補救這樣做

  • 立即通報與下架:一旦發現釣魚頁面,立刻通知網站維護廠商將其下架,並同步提醒可能收到詐騙信的對象切勿點擊、輸入資料。
  • 保留紀錄、報警存證:下架前先保存相關系統紀錄以利後續鑑識,並向警方報案,提供正確資訊(例如釣魚頁的完整網址)。
  • 釐清責任分界:確認問題出在哪個環節——是官網伺服器遭植入、還是信箱遭冒用。分清系統服務商與網站維護方的權責,才能對症下藥。
  • 通知受影響者更改密碼:若有人可能已在假頁面輸入帳密,應立即請對方更改該組密碼,並檢查是否於其他服務重複使用。

讓專業成為你安心做好事的後盾

一個組織對外的網站與系統,是與支持者之間信任的第一線。當官網或報名頁被冒用,受損的不只是資料,更是組織多年累積的信譽。

回頭看這起事件,最大的破口其實不在使用者,而在網站本身——假頁面之所以能掛上官方網域,是因為有人成功把檔案上傳到了組織的網站伺服器。這代表網站可能存在被入侵、或可被任意上傳檔案的漏洞。要守住這條線,關鍵在於:背後有沒有一個可信任、具備專業的廠商,替你把伺服器安全、權限控管與漏洞修補這些看不見的工作做好。

網絡行動科技長期為非營利組織打造網站與 netiCRM 系統,肩負維繫客戶網站的資訊安全,因為我們知道,多數組織沒有餘力自己扛下這一塊。如果你們正在評估網站建置,或希望換到更安全的系統,歡迎與我們聊聊——讓專業成為你安心投入使命的後盾。

我們的安全規劃:https://neticrm.tw/about/security
 
本篇文章由 AI 輔助撰稿。
文章分類: