▲網路交易是盜刷的溫床，民眾需要學會判斷假網站。（圖／取自免費圖庫pixabay）

記者沈君帆／綜合報導

對於網路盜刷，中華民國銀行公會提出「5要3不要」的防範辦法，其中5要是：「要注意消費簡訊、要細閱交易帳單、要遠離可疑網站、要養成良好的密碼命名習慣、要使用或下載最新的防毒軟體與作業系統」；3不要是：「不要讓親友使用您的卡號、不要回應任何向您要求個人資料的不明電子郵件或簡訊、不要使用公用網路進行交易」。

這些都是基本且實用的觀念，但其中「要遠離可疑網站」，對許多民眾知易行難，因為判斷網站有知識的門檻。我們訪問了資安專家趨勢科技協理劉彥伯，整理成以下重點。

如何判斷網站真假？

在信用卡網路盜刷的案件裡，最常發生在釣魚網站受騙，持卡人輸入了信用卡資訊，甚至OTP密碼，導致後續的盜刷。然而，現在的釣魚網站真假難辨，有些甚至山寨成有名且有公信力的網站，做到以假亂真的程度。劉彥伯坦承，如果沒有上鉤前的脈絡，一個山寨的網站直接拿到他面前，一時之間他也很難分辨出真假。

因此，如何分辨網站將是現代人重要技能，他提供了幾個判斷方式。

1.不能盡信搜尋引擎找到的結果
使用搜尋引擎是現在每個人查找資料的第一步，以往搜尋出來的前幾順位都是有代表性的網站，現在已不見得是真的，詐騙集團會去下廣告，讓自己的網站排在搜尋的前幾位，民眾很容易上鉤點進詐騙網站裡。

2.確認網址鎖頭
瀏覽器的網址左方會有圖示，只要有鎖頭，代表該網頁有申請SSL憑證，透過該網站傳送或接收的資訊都有加密處理，輸入的資訊不會外洩。Google對於網站連線安全有更詳細的解說：檢查網站連線是否安全

近來可發現，很多詐騙網站都會申請SSL憑證，鎖頭已經不夠判斷，但劉彥伯強調「有鎖頭不一定真，沒鎖頭一定假，就算不是假的，也是駭客等在旁邊」，所以檢視鎖頭還是重要的依據。

3.確認網址
這個網站與你以為的網站是否同一個網址？網址字小，諸如0與o、c與o之類微小差異，最能騙到眼睛；又或在國外網站網址後面加上-tw，讓人誤以為台灣分公司。光是在網址上動手腳，就有太多招數，民眾睜大眼睛可以看出一些端倪。另外，詐騙型的一頁式購物網站，網址大多與網站名稱無關。正常的網站，網址會以網站名稱的英文或縮寫來命名，如中華電信是cht.com.tw，詐騙網站的網址命名常常沒有這樣的邏輯。

4.查詢網站年齡
原則上，太年輕的網站需要懷疑，使用WHOIS（www.whois365.com/tw），可以查到這個網站註冊多久了，誰註冊的，註冊人相關連絡方式。

5.同一個IP的其它網站
以該網站的IP，再去查找這個IP有沒有其它網站。一般來說，架設網站都會把相關的網站掛在一起，詐騙集團也一樣，所以就有可能「同一個IP掛了很多詐騙網站」，如果一時之間難以判斷一個網站的真假，可以點進去與它同一個IP的其它網站看看，多看就更能察覺是否不懷好意。可使用如yougetsignal.com或whatsmyip.org/whois-dns-lookup/ 之類IP反查工具。

6.別輕易信任網站內的評價，應該多留意網站外的評價
詐騙網站都會在自己網站內留下很多正評，不可以盡信之。民眾可以透過臉書、PTT或Dcard社群的搜尋，在社群平台上面輸入網站的名稱、網址，看看有沒有其他人的交易心得或經驗。

7.照片畫質
詐騙網站或APP所用的照片常常畫素較低，畫質較差，因為大部分都使用截圖的方式盜圖。

8.確認客服聯絡方式
購物網站都會留有客服方式，詐騙網站要取信於人也都會有，卻不一定有功用。因此可以確認每一種客服方式，打電話去詢問，或跟線上客服對答，都可以讓他們露出馬腳。如果客服只留e-mail就更要小心，可以上網搜尋該e-mail帳號，可能就會發現一堆詐騙相關。

9.確認付款方式
購物網站都會提供各式的付款方式，信用卡或電子支付如paypal、linepay，使用這些支付方式都要經過該服務的金流公司資格審查，對消費者會有一定的保護。因此劉彥伯建議，每種支付方式都試點看看，詐騙網站不容易每種支付都能有效串接。當它只能提供部分或單一的支付方式，民眾就該提高警覺。

10.隨意輸入卡號
到了刷卡網頁，要再看網址有沒有鎖頭，並且最好是在常見的金流刷卡平台交易。最後一步要刷卡付錢時，可以先隨意輸入一組卡號測試，因為合規的交易網站通常具備較嚴格的卡號驗證機制，若隨意輸入號碼可通過驗證，代表該網站極有可能是信用卡釣魚網站，務必立即停止交易。

以上每點詐騙集團也許都能破解，比如花錢就可以申請SSL鎖頭、買下經營不善的電商就不會讓網站太年輕、用流量將負評洗成正評、偷更精美的圖或請人拍照，這些都是做得到的，但要每破解一道辨識法就得花更多成本，詐騙集團會在無利可圖之前就縮手了。民眾如果建立了這些判斷知識，一定可以有效防範網路盜刷。