正确网站网址与产业协同验证架构-TWNIC-财团法人台湾网路资讯中心.doc

計畫編號：TWNIC-NS-09-002 正確網站網址與產業協同驗證架構 模式設計及系統雛型實作研究計畫 期末報告 執行單位：中華民國網路消費協會 計畫主持人：郭秋田 博士 中華民國九十四年四月 目錄 摘要 1 第1章 前言 1 1.1 網路釣魚問題與影響 1 1.2 網站驗證概念 2 第2章 相關研究與發展 3 2.1 國內相關研究 3 2.2 國外相關研究 4 第3章 網站驗證機制與應用 6 3.1 系統架構 6 3.2 系統實作說明 7 3.3 運作實驗 14 3.4 申請認證完整流程 18 第4章 問題探討 29 4.1 安全性探討 29 4.2 推廣方式 31 第5章 系統規劃建議 36 5.1 建議設備項目、數量清單 37 5.2 設備需求規格 37 第6章 結論 49 參考文獻 49 摘要 WWW全球資訊網的蓬勃發展，讓網路上的各種服務與應用透過網站的形式呈現。特別是電子商務方面的應用，讓人們可以透過網路進行購物、預訂旅館、車票、機票…等各種原本要外出才能辦妥的工作。這些網路所提供的便利服務與豐沛資訊讓我們達到了「秀才不出門，也能辦天下事」的好處。 然而近年來，網路上的假網站亦愈來愈多藉由各種方式進行詐騙，一般的網路使用者不易辨別網站的真假，造成受害被騙的案例層出不窮。因而也開始讓廣大的使用者產生疑慮而對原本立意良善、功能便利的應用卻步不前，影響了電子商務的發展。究其原因在於網路上的消費者無法辨認網站的真假、網址的正確性、網頁上所呈現的公司、內容與服務是不是真實的。因此，擬出一套具體方案來解決此一問題不但十分有價值且勢在必行。 本研究案之目的即為提出一個能進行網址驗證之機制，並透過產業的協同驗証提供足以信賴的資訊來協助消費者辨認網站的真假與良窳。透過雛型系統之實作可以驗證我們所提出的理論架構之正確性與可行性。 如前述網路上的詐騙行為稱之為「網路釣魚」（Phishing）在本篇報告中，先對網路釣魚的類型進行說明，並探討國內外相關的防制研究。接著描述本研究所提出的方法，，。 前言 透過網路交易是電子商務重要的一環，為保障網路上消費者的安全與權易，一個令人安心的交易環境是必須的。一般的網路消費者並沒有很清楚的網路技術基礎與安全概念，往往無從判斷網站的真偽與所看到的內容之真實性，提供一個防護機制來保護網路上的消費者乃當務之急。以下先就網路詐騙的問題、形式與影響進行說明。 網路釣魚問題與影響 網路詐騙何其多，令人防不勝防。根據反網路釣魚工具小組調查數據（APWG），2004年以來，每一單月已有超過150件網路釣魚事件發生，其中4月份更刷新紀錄，當月回報釣魚事件高達1125件，平均每天37件；其中，475件瞄準網路銀行與網路金流服務。可見金融機構是網路釣魚歹徒的重要目標之一。 茲列舉常見的手法如下： 利用酷似真實知名網站的網域名稱與內容，讓不慎進入的使用者信以為真其為真實的網站，進而在其中進行電子交易而受騙。例如：香港匯豐銀行（ .hk ），就曾發生有人註冊極為類似的網域名稱（），並偽造網站內容企圖騙取用戶銀行帳號與密碼。除此之外，包括花旗銀行、東亞銀行、新加坡發展銀行都曾出現網域名極為類似的假網站事件。 在搜尋引擎登記網址假冒知名企業，讓不慎進入的使用者誤信而進行電子交易而受騙。傳統搜尋引擎結果頁面排序方式以數字先後為邏輯，但現多以與鍵入字關聯性的方式顯示結果頁面。部分搜尋引擎則有專責審核網站的人員，將可信任網站排在結果頁面的前面以避免消費者受騙。 利用垃圾郵件的管道，發送偽裝知名網站的電子郵件，誘使使用者不察進入偽裝的知名網站，藉此騙取使用者帳號、密碼或姓名、地址、電話及信用卡等資料，再利用這些資料獲取不當利益。更嚴重者，為假裝為銀行網站所發的通知，誘騙使用者到假網站更改網路銀行的帳號密碼，再以所騙到的帳號密碼進行轉帳。此一現象迫使財政部取消網路銀行上直接使用帳號密碼即可進行的轉帳功能。 假冒慈善機構名義募款，並透過網路上的付款機制進行付款。本意欲行善的人往往受騙了還不自知。 利用拍賣網站進行詐騙，這種犯罪手法是在合法的網路上拍賣東西，誘使您付款給假中間網站，由於所付款的網站並不是受到拍賣網站認可的網站，因此衍生相關的問題。 在網路上建立虛假的電子交易網站，並於搜尋引擎註冊，它並不假冒任何人，而是以不實的內容引誘消費者誤信而上當，進而達到詐騙錢財的目的。例如：去年新聞報導所稱，消費者因被民宿網站上華麗的房間圖片吸引，上網預訂民宿並支付定金，但住宿時發現該民宿實際上根本不存在的受騙情事。 利用網站或電子郵件為餌，誘使人下載、安裝具有後門、木馬的程式，並利用它進一步入侵受害者的電腦。 用電子郵件散發假消息（如中了網路樂透訊息）誘拐使用者匯出錢財。 網路釣魚，