NPO小編遇到釣魚詐騙訊息怎麼辦?瞭解各組織如何應對、專家建議的補救措施
文/許程睿
「尊敬的管理員,有人舉報了您的頁面關於冒充個人或企業的行為⋯⋯我們需要驗證您的身份,請點擊以下連結⋯⋯您有24小時的時間來完成這些步驟,以防止您的帳戶被永久禁用。」
你是否也曾在粉專訊息收件匣,見過這類相似的訊息呢?不用懷疑,這就是網路釣魚詐騙。這手法起源於1990年代,雖然年代久遠,卻隨著時代與科技的變化而日新月異,許多NGO、平台或人們都屢屢受騙。本篇文章介紹近期新興的詐騙樣態,以及組織及工作者可才故到,最基本的自我保護措施。
釣魚詐騙變化多 點擊連結須慎思
根據趨勢科技統計臺灣於2023上半年的網路詐騙,網路釣魚的詐騙案件數量高居第一,來自手機惡意連結的數量更高達130萬筆。TWCERT/CC台灣電腦網路危機處理暨協調中心也指出,臉書(Meta)自2021年起,便開始有一波佯裝臉書系統或知名品牌,透過Messenger散布的網路釣魚攻擊活動,向受騙者傳送警告通知,並要求對方點擊所謂「驗證連結」。
這波攻擊不僅針對一般使用者,許多知名的NGO也都曾有收過類似詐騙訊息的情況。長期關注臺南議題、監督市政內容的組織,台南新芽秘書長蘇淋齊表示:「這類網路釣魚詐騙的訊息,我們有觀察到,似乎是從今年(2023)七、八月的時候開始逐漸多了起來。」而關注全球環保議題的組織,綠色和平資深行銷主任戴怡如也說:「我們收到的訊息多是釣魚詐騙內容,它們偽裝成系統通知我們違反平台政策,需在24小時內點擊連結驗證。」
此外,除了這類透過訊息傳送的詐騙連結外,在一般貼文底下,也時常可見疑似並非真人的殭屍帳號,張貼各類詐騙訊息與連結。致力於推展環境保護的組織,地球公民基金會網路編輯李宇恩指出,「我們發現在一般的貼文底下,常常有些看了便覺得應該是詐騙連結的留言。早期這些留言多半是『請對方加好友』等,並附上一個網址;但近年來這些詐騙訊息開始有了不一樣的變化,例如它們會去抓該篇文章或留言的關鍵字,進而組合成具有變化性的文句內容。」
因應詐騙大不同 各個NGO內部這樣應對
這些層出不窮的網路釣魚詐騙問題,有時候多位成員都有權限能看到Messenger內的訊息,很容易會出現警覺性不高的成員誤觸釣魚連結的可能性。各個NGO組織面對這樣的情況也都盡全力應對,前述如綠色和平、地球公民基金會等,都採取於當下刪除相關訊息或留言告知團隊成員事態嚴重性的方式,防止組織內部的其他人員誤觸。
除了從第一線刪除疑似詐騙的訊息外,針對組織內部的訊息告知或教育訓練,台南新芽則強調,其團隊在工作規範上,基於職務上的分工規範,只允許社群編輯點開粉絲專頁訊息,因此不太會有他人不小心點入釣魚連結的情況出現。
戴怡如則說:「我們會在第一時間於群組內分享相關詐騙訊息內容,讓同仁更有警覺性,此外綠色和平全球辦公室一直以來也積極提供其他企業或個人遭遇到的最新詐騙案例給內部成員知悉,並從風險管理流程上持續加強團隊敏感度與警報機制。」
台灣世界展望會亦指出:「我們採取主動預防、滾動式調整,與迅速回應三大方式。針對內部員工,我們會定期提供資訊安全的相關培訓與測試,讓每一位成員能保持對最新威脅的警訊。」
部分NGO組織由於規模不大、經費不足,因此轉而透過外部資源進行資訊安全的教育訓練。蘇淋齊說明:「之前曾有參加過由開放文化基金會與地球公民基金會主辦的『NGO worker 不能不知的數位防禦實戰技能』工作坊,瞭解NGO組織如何全方位去做好數位防禦的內容,另外,如果Civil Society Cyber Shield (CSCS) 社群有在南部舉辦的話,我們也會讓新進人員前去參與,這項計畫也是目前臺灣少數有針對公民團體如何面對資訊安全的種種建議與教育內容。」而李宇恩則表示:「過往我們有請CSCS辦理工作坊,讓全體成員都能補強相關知識,不過這並不局限於網路釣魚的資安詐騙問題,而是從更廣的層面去教育各類數位問題,如使用器材、密碼管理等內容去著手。」
保持警覺、確實查證資訊 誤觸連結後記得挽救措施
除了上述這些從組織面向的處理方式外,是否還有原則性的準則能夠依循呢?國立台灣大學電機工程學系教授林宗男提到,詐騙手法往往掌握人性的得失心、貪婪心與恐懼心,進而讓人容易掉入陷阱之中而不自知。
林宗男建議,小編除了保持警覺,收到可疑的訊息也別太緊張,避免受到情緒干擾,影響判斷;好好查證資訊,確認消息來源是否正確,以及是否有相同案例,才是正確的應對方式,「不要輕易相信任看起來可疑或不合理的訊息,並時時刻刻保持冷靜與理性。」
如果不小心點入詐騙網址,甚至送出相關帳密或金融卡資訊後,也許此時你正焦急得如同熱鍋上的螞蟻,不曉得該如何是好。林宗男提醒,如果真的不幸發生了這樣的狀況,請務必立即更改密碼、撥打反詐騙165專線、聯繫金融機構並且向警方報案,即刻啟動補救措施,才能將當前的損失降到最低。
責任編輯:程士華
