大學生的網路自我效能對反釣魚行為 與表現之影響
游師柔 孫之元
國立交通大學教育研究所
摘 要
本研究採文獻探討法,分析自我效能對網路釣魚行為與表現、反釣魚行 為對表現之影響,與反釣魚行為是否為中介變項。過去的研究鮮少探討人們 掉入網路釣魚陷阱的動機,由於網路釣魚的背景為網路環境,因此選用 「網 路」 自我效能作為本研究的主題。研究結果發現,本研究的研究架構成立,
而 「習慣」 會影響個人行為知識判斷,「反釣魚表現」 則代表反釣魚知識,故 了解大學生的反釣魚行為與表現顯得十分重要。希冀透過本研究了解網路釣 魚的教育現場需求,提供未來反釣魚教學設計之參考,以達到減少網路詐騙 受害者之最終目的。
關鍵字: 網路釣魚、反釣魚行為、反釣魚表現、網路自我效能
壹、前 言
一、研究背景與動機
全球使用網路的人口至 2013 年底將達 27 億人 (International Telecommunication Union, 2013)。由資策會 FIND (2012)「我國家庭寬頻現況與需求調查─家戶篇」 之調查結果發 現,台灣家庭連網率達 83.2%,86.5% 的家庭擁有電腦,中小學方面也有 90% 的教師使用 資訊科技進行教學 (教育部,2008)。由此可見,人們在家中或學校學習期間,皆與網路 密不可分,但也衍生出網路管理的問題。內政部警政署於 2012 年公告詐欺案件概況統計,
網路詐騙為 16.96%,位於詐騙犯罪手法的第三名,有 36.3% 的受害者年齡層為 0~17 歲,
居該年齡層詐騙類型之冠,且與去年相較成長率接近五成 (教育部,2012)。現今使用網
路者年齡層下降,網路使用者是否能夠保護自身資料和人身安全令人擔憂,政府單位也開 始審慎評估網路詐騙的配套措施與因應策略 (台灣大哥大基金會,2012)。
教育部於 1997 年開始加強資訊教育的推動,2003 年起已將資訊教育列為九年一貫課 程六大重大議題之一,但 「重大議題」 和 「學習領域」 定義之差異,使每位學習者的學習教 材、內容、時段或師資皆有落差,影響學習表現。因此 2008 年國家重要發展計畫包含 「教 育部中小學資訊教育白皮書」 的建構,希望可以訂定出適當的核心概念、指標,並推行有 效的政策與行動方案改善現況。其中資訊安全教育為推動策略之一,行動方案為 「辦理資 訊安全推廣活動」 以及 「編纂資訊安全教材」(教育部,2008),「辨識網路詐騙學習手冊」
於 2012 年應運而生,可見政府對資訊安全教育的重視。
「辨識網路詐騙學習手冊」 指出電子郵件、網路交友與求職、網路釣魚、網路交易為 常見的網路詐騙管道及類型。美國反網路釣魚工作小組 (APWG),將網路釣魚定義為:
Phishing is a criminal mechanism employing both social engineering and technical subterfuge to steal consumers’ personal identity data and financial account credentials.
(APWG, 2013b, p.2)
意思是網路釣魚是一種犯罪機制,透過利用社交工程和技術的手法,竊取使用者的個 人身分資料和金融帳戶的憑證。社交工程 (social engineering)一詞,又可稱為 「社會工 程」,美國知名駭客 Kevin Mitnick 將社交工程定義為對人使用操縱、影響和欺騙手法,並 透過可信賴的組織,向人們發送訊息或執行一些對攻擊者有利的行動 (Tanneeru, 2005),
或指利用影響力和說服力欺騙人們 (Mitnick & Simon, 2002),因此社交工程對網路釣魚成 功率有極高的關聯性。
網路釣魚是網路犯罪者的惡意攻擊,在既定觀念中,網路釣魚是透過網路人口,取得 金錢,但網路人口眾多,故難以估計金錢損失 (Herley & Florêncio, 2008)。俄羅斯電腦安 全公司卡巴斯基 (Kaspersky) 也於實驗報告中指出,2012 年全世界共有 3730 萬位使用者 受到網路釣魚的攻擊,和 2011 年相較,整體增長程度高達 87%,其中瀏覽器和電子郵件 是網路釣魚最常使用的兩種媒介 (Kaspersky, 2013)。台灣為網路釣魚高感染國家的第六名
(APWG, 2013b),可見其危害之廣,於 「辨識網路詐騙學習手冊」 中所列出的常見網路詐 騙管道及類型,皆符合 APWG 網路釣魚定義。因此本研究針對常見的網路詐騙手法-「網 路釣魚」 為研究主題,希望藉此提高未來大眾的網路使用安全。
二、研究目的與重要性
APWG (2013b) 的研究指出,網路釣魚攻擊者的目標除了重點攻擊的金融產業外,遊
戲的玩家成為他們接下來的目標。台灣的遊戲玩家平均年齡為 22.8 歲,其中有五成受訪 者 職 業 為 在 學 之 學 生 ( 謝 子 樵,2009)。 大 學 生 對 網 路 釣 魚 的 知 識 較 薄 弱 (Robila &
Ragucci, 2006),Kumaraguru, Cranshaw, Acquisti, Cranor, Hong, Blair 與 Pham (2009) 發現,
18~25 歲之網路使用者是受網路釣魚攻擊的高風險群。總結以上結果,大學階段是網路玩 家產出的高峰期,且缺乏網路釣魚的觀念,面對網路釣魚的防範有加強空間。
透過財團法人台灣網路資訊中心 (2012b) 所做的 「歷次個人及家庭上網行為調查趨勢 分 析 」 顯 示, 台 灣 地 區 一 般 民 眾 常 使 用 的 寬 頻 上 網 行 為 前 五 名 分 別 為 「 搜 尋 資 料
(49.5%)」、「網路社群 (31.44%)」、「看新聞氣象 (28.73%)」、「瀏覽資訊、網頁 (www)
(27.09%)」、「網路遊戲 (線上遊戲)(21.66%)」,皆與釣魚媒介重複性高。其中網路社群是 成長幅度最大者,有調查指出全球超過九成的人口會使用社交媒體 (Internet Society, 2012),學生對社群網站的危機意識偏低 (Robila & Ragucci, 2006),相對提高網路釣魚的 社交工程犯罪之便利性。
現今台灣防範網路釣魚的方法,有事前的教育與宣導,以及事後的詐騙案件受理與調 查 (教育部,2012),本研究與網路釣魚的事前教育相關,防患未然應屬於較積極的預防 方式。過去反釣魚相關研究多為反釣魚的系統設計或反釣魚功能的優劣比較,屬於功能增 強方面的探討,或是受害案件分析的統計數據報告 (Egelman, Cranor, & Hong, 2008;Li, Helenius, & Berki, 2012;Shi, Xu, & Zhang, 2011),但 「人」 才是最重要的因素 (Robila &
Ragucci, 2006)。Internet Society (2012) 對全球網路使用者進行調查,結果發現,超過 80%
的網路使用者在分享個人資訊前,並不會閱讀網站的隱私政策或相關訊息,而且有接近五 成的人口會直接在網路上分享正確的個人資訊,人們的這些決定,是取決於個人動機,不 同的動機所做出的決定對於自身的資訊安全以及釣魚危害息息相關。
本研究從人類 「內在動機」 的概念為出發點,以了解人們對反釣魚活動本質的想法,
其中「自我效能」於內在動機領域中擔任核心角色。Bandura (1977) 指出 「自我效能是人 們對於自我能力的信念,以至於自己的表現是否能夠確實展現在執行任務的過程中」,得 知自我效能與行為、表現有相關性,又由於網路釣魚必須要以網際網路為基礎運作,因此 以網際網路作為研究背景,協助受測者釐清觀念,也讓研究資訊可以更明確聚焦在網路釣 魚活動本身,故探討 「網路」 自我效能與反釣魚行為、表現的關聯,將能夠進一步得知人 們掉入網路釣魚陷阱的個別心理因素與選擇的差異性。
行為回應的知識構面比起人們對釣魚風險的知覺,更能夠提供反釣魚技術的精進方向 與教學設計參考 (Downs, Holbrook, & Cranor, 2007)。行為的執行需要以知識為依歸,但有 正確的知識不一定會有正確的行為,往往行為會被 「習慣」 所操控,在毫無自覺的狀況 下,默默完成某些行為或決策,成為個別行為差異。然而,習慣的養成,是透過經驗累積 的認知策略而建構出的預知模式 (王秀園,2010),不同的情境所造成的結果與預知結果
不盡相同,因此,習慣性的行為可能會造成錯誤的預知,也就是誤判,進而影響知識的正 確性。Tsai、Lin、Chiu 和 Joe (2009) 指出 「表現」 本身是包含知識、信念的概念,所以探 討學生對反釣魚的 「行為」 與反釣魚知識構面的 「表現」 之間的關係,有其研究價值。
有鑑於上述之研究背景、動機與重要性,本研究希冀透過文獻探討,建構出自我效 能、反釣魚行為、反釣魚表現之模型架構,後續再以調查與研究分析,了解不同動機的 人,所遭受網路釣魚迫害的原因、行為、表現,以及教育現場的反釣魚需求。將來可發展 不同類型的教育方針,提供未來反網路釣魚的相關教學設計之參考,以達到減少網路詐騙 受害者之最終目的。
三、研究架構與研究問題
本研究架構以內在動機之一的 「自我效能」 著手,探討其對 「反釣魚行為」 與 「反釣魚 表現」 的影響。在自我效能方面分為 「網路自我效能」 和以反釣魚為主題的 「反釣魚自我效 能」 兩個部分。首先,分別探討兩種自我效能對 「反釣魚行為」 和 「反釣魚表現」 的影響,
以及了解兩種主題自我效能彼此間是否存有關連性;接著探討 「反釣魚行為」 是否影響
「反釣魚表現」,以及 「反釣魚行為」 是否為兩種主題自我效能與 「反釣魚表現」 之間的中介 變項,研究架構如圖 1。本研究之研究問題如下:
(一) 「自我效能」 是否會影響 「反釣魚行為」 與 「反釣魚表現」?
(二) 「網路自我效能」 是否會影響 「反釣魚自我效能」?
(三) 「反釣魚行為」 是否會影響 「反釣魚表現」?
(四) 「反釣魚行為」 是否為 「網路自我效能」 與 「反釣魚自我效能」 對 「反釣魚表現」 之間 的中介變項?
反釣魚表現 Anti-phishing
performance 網路自我效能
Internet self-efficacy
反釣魚自我效能 Self-efficacy for
anti-phishing
反釣魚行為 Anti-phishing behavior 自我效能
圖 1 研究架構
本研究透過文獻探討,了解自我效能影響網路釣魚行為與表現的可能性、反釣魚行為 影響其表現的可能性,以及反釣魚行為是否為研究模型中的中介變項。文獻來源包含書 籍、期刊與線上資料庫。
貳、文獻探討
一、自我效能
(一)自我效能定義
自我效能是指自身表現是否符合預期,對於將要執行的任務是否能夠表現出足夠的能 力和持續力。根據社會認知理論所述,Bandura (1997) 認為環境、個人和行為之間是獨立 的單位,且交互影響、互為因果,但影響程度會依照狀況而有不同,稱為 「三元學習論」
(triadic theory of learning)。其中的個人因素包含人類的認知、動機、情感和生理,具有引 導行為的作用 (郭本禹、姜飛月,2008),為自我效能的發展基礎。
「自我效能」是透過影響認知、情感、動機之間的過程,產生對自我能力的判斷,判 斷自身是否有足夠的把握,成功執行某項行為,以及自己的表現是否能夠如預期般,確實 展現在執行任務的過程中 (Bandura, 1977、1989;Busch, 1995),又指面對挑戰時,對自身 行為的堅持和努力程度的自我評價。自我效能強調的是評價個人對能力的信念,不是評估 能力的好壞 (Eastin & LaRose, 2000)。張春興 (2013) 提出有兩個影響人們是否決定接受挑 戰,以及執行過程中的盡力程度之因素,一是執行工作的內容,二是以過去經驗來評估自 身能力是否足夠應對將會面對的問題,此屬於自我效能的部分,故自我效能扮演著行為的 啟動和維持的重要角色,也帶給行為不同程度的影響。
Bandura (1997) 曾進行不同領域自我效能與行為之間的實證性研究,證明彼此具有 關聯性,因此可作為行為改變的方式之一 (鄭秀月、李茹萍,2009)。Pajares 和 Miller
(1995) 則發現自我效能具有預測表現的功能,故自我效能同樣可預測人們行為、任務表 現和成就 (Bandura, 1982;Nahl, 1996;Tsai et al., 2009;Wolters, 2003)。自我效能的相關 研究在各個領域中皆十分普遍,不同領域自我效能,亦能從中細分該領域中的特定主題自 我效能,以網路為主題的自我效能舉例,特定的軟體、網頁、系統以網路為基礎運作,將 可針對軟體、網頁、系統探討細部自我效能,對人們的細部行為與表現之影響,做出更聚 焦的研究成果 (Agarwal, Sambamurthy, & Stair, 2000;Hasan, 2006;Hsu & Chiu, 2004)。當 我們能夠測量出自我效能的高低程度,並透過技巧提高或降低自我效能,將可進一步改變 人們所執行的行為、表現,以達到理想目標。
(二)網路自我效能
「網路自我效能」 是電腦自我效能的延伸。電腦自我效能是指個人對使用電腦完成某 項深度任務的期望,其中深度任務包含利用軟體分析資料,而不是指開關電腦等簡易的動 作 (Compeau & Higgins, 1995);Torkzadeh 和 Van Dyke (2001) 依據 Compeau 和 Higgins
(1995) 的電腦自我效能概念為基礎,將網路自我效能定義為 「個人判斷自身使用網路的 能力」,Peng、Tsai 與 Wu (2006) 認為網路自我效能是 「個人對使用網路的期待和自信程 度」。本研究以 Eastin 和 LaRose (2000) 與 Kim 和 Glassman (2013) 的網路自我效能定義 為基礎,網路自我效能意指 「一種自我的信念,在有網際網路的環境中,對自身執行網路 相關任務能力的信心程度,並能夠組織和執行適當的動作,獲得個人成就,並將此能力延 伸至未來」。網路自我效能同時為影響使用者對新的訊息科技的能力和意願的直接或間接 潛在因素。
數位學習,透過網路科技為教育帶來新觀點,也給予學習者一個自我導向學習的平 台,能夠更重視學習者的需求 (McVeigh, 2009;Tsai & Tsai, 2003)。近年來漸漸融入各階 段的學習課程中,成為重要的國家競爭力指標。在高等教育方面,根據 Laird (2012) 的圖 文解說文章中,統計數據提到,有 73% 的學生認為沒有科技將使他們無法進行學習;90%
的學生用電子郵件和教授溝通,利用鍵盤作為記錄筆記的工具的學生人數達到 70%,使用 數位器材輔助報告的趨勢也日漸普遍,此文章更預測 2014 年的美國會有 355 萬位大學生 完全使用線上課程進行學習。大學生除了利用網路進行學習外,也會透過網路進行社交溝 通、資訊搜尋、休閒、網路商務等活動 (鄭照順、鄒浮安,2011),因此大學生為頻繁使 用網路的族群。
相關研究顯示,「網路自我效能」 確實可以改善網路相關行為與表現,經探討網路自 我效能的行為與表現改善之研究後發現,不同領域者,皆可透過網路自我效能改善行為與 表現,且具良好成效。例如,教育者可以透過協助學生累積使用網路的經驗提升網路自我 效能 (Liang, Wu, & Tsai, 2011),提升網路自我效能後,將改善學生執行網路相關任務的策 略 (Tsai & Tsai, 2003);網路相關管理單位則可經由網路自我效能程度,了解員工行為基 準的差異,改善訊息技術和實際工作上的鴻溝或其他潛在因素 (Torkzadeh & Van Dyke, 2001);醫療人員擁有高網路自我效能者,將可提高使用網路持續進修的意願,幫助其更 新最新專業知識,以提供更好的專業服務 (Liang et al., 2011)。以上的行為改變皆有深入 探討與研究,予以證明網路自我效能的指標性。
Torkzadeh 和 Van Dyke (2001) 認為自我效能能夠以量化的方式測量,故許多學者逐步 發展適當的量表測量網路自我效能。以下將針對大學生的不同網路自我效能量表做整理與 說明。早期最經典的網路自我效能量表是由 Eastin 和 LaRose (2000) 開發,因他們發現研
究環境中,缺少測量一般整體的網路自我效能量表,因此根據 Compeau 和 Higgins (1995)
設計的電腦自我效能為基礎,並建議未來的研究可以針對 Bandura (1997) 提出的自我效能 來源做深入理解,幫助驗證量表的使用。Torkzadeh 和 Van Dyke (2001) 特別增加 「訊息處 理」的概念,將自身開發的網路自我效能量表分成三個因素,分別為瀏覽、加密與解密和 系統操作,其中皆有提到電子郵件、傳真、檔案傳送與下載等訊息處理工具,因為有針對 特定的領域做設計,可提高測量工具的準確性。Tsai 和 Tsai (2003) 設計以 「資訊蒐集」 為 主題的網路自我效能量表,主要探討網路自我效能和網路課程中所使用到的搜尋策略之 間的影響,並提出教育方面的改善建議,所以在題目設計方面,將 「搜尋」 設定為題目主 軸,包含搜尋的知識、策略、信心。Kim 和 Glassman (2013) 認為網路的任務和活動已經 普及,但是當這些任務和活動日趨複雜,或是無法在短時間內完成,要維持持續進行的動 力則需要加強自我效能,此研究目標是以適應目前最新的技術為主要方向,觀察近年科技 變遷,將社會和經驗的複雜性融入網路自我效能量表中,增加 「網路溝通」 和 「網路搜尋」
兩項因素,針對不同程度的網路參與有較詳細的區分,文中也有說明與先前具指標性的網 路自我效能量表之間的差異。例如,Eastin 和 LaRose (2000) 重技術層面,比較偏重軟硬 體的故障排除,缺乏討論與組織的部分,補充 Torkzadeh 和 Van Dyke (2001) 所發展的量 表中缺乏社會經驗來源的組織訊息因素,以及 Tsai 和 Tsai (2003) 雖然有包含利用網路搜 尋方面的測量,但淺層的概念較多,且缺乏組織概念,較困難建構具有反應力或生產力的 社群,此量表增加較多的人文色彩,更符合目前大學生網路使用狀況,且問題設計的原則 具體明確,可以減少文句曖昧的誤解產生。
網路自我效能和網路釣魚皆是以網路的環境為基礎,而網路自我效能可以用量化的方 式測量,透過分析,找出具體的改善行為方式,有助於有效達到行為或表現的改善期望,
因 此 網 路 自 我 效 能 可 能 是 影 響 網 路 釣 魚 行 為 或 表 現 的 潛 在 因 素 之 一。 其 中 Kim 和 Glassman (2013) 所開發的量表吸收早期的網路自我效能量表開發者的優點與建議,文獻 理論嚴謹,題目內容符合現代使用者與研究對象之狀況,也有針對特定的主題設計,因此 本研究未來將利用此量表,探討網路自我效能與反釣魚行為、表現上的相關性。
(三)反釣魚自我效能
自我效能是針對特定任務或領域,評估自身的能力,是否足夠全力以赴達成目標。網 路自我效能意指在有網際網路的環境中,對自身執行網路相關任務能力的信心程度,並能 夠組織和執行適當的動作,獲得個人成就。而反釣魚自我效能的定義則是 「在網路的環境 中,自己認為本身能夠做出正確的判斷,避免掉入網路釣魚的陷阱,或不會成為網路釣魚 受害者的效能判斷程度」。特定任務則是指與反釣魚有關的判斷與動作,目標則是達成反 釣魚的成果,也就是讓自己保持安全的狀態,不會成為網路釣魚受害者。
Bandura (2006) 指出自我效能量表並不是全面性的測量工具,必須為特定領域量身訂 做,才能獲得準確的測量目的,Marakas、Mun 和 Johnson (1998) 也指出自我效能具有動 態性,要獲得最準確的評估必須要針對特定構面或特定環境做設計。本研究將反釣魚環境 設定為重要研究背景,且 Frye (2007) 指出網路釣魚的成敗會受到自我效能影響,但截至 目前尚未開發反釣魚自我效能量表可供使用,因此以下將透過特定主題量表發展的相關文 獻,了解特定領域自我效能的概念,作為探討反釣魚自我效能定義與量表發展的參考。
早期特定構面自我效能的研究是由 Marakas 等人 (1998) 進行的,成為後期許多研究 參考,是極具代表性的基礎概念。此研究是探索過去電腦自我效能 (computer self-efficacy, CSE),研究目的是建構出特定任務電腦自我效能 (task-specific CSE) 定義,以及一般電腦 自我效能 (general CSE) 與特定任務電腦自我效能之間的研究模型,一般電腦自我效能定 義為 「個人對跨越多層次的電腦應用範圍的自我效能判斷」,特定任務電腦自我效能則是 指 「個人對執行一般電腦領域中,電腦相關任務的效能感」,所以特定任務電腦自我效能 是包含在一般電腦自我效能範圍內。
Agarwal 等人 (2000) 的研究借鑿 Marakas 等人 (1998) 的一般電腦自我效能和特定任 務電腦自我效能的理論,針對不同的電腦任務做設計,進行實證性研究,以了解兩種自我 效能相關的影響因素。此研究中汲取特定任務電腦自我效能概念,發展出特定軟體自我效 能 (software-specific self-efficacy, SSE)。SSE 是指 「個人對特定軟體封包的自我效能感 覺」,相對於廣泛的電腦相關任務,它是一個特定的判斷,可以更聚焦於研究目的,研究 設計再細分為 Window95 自我效能和 Lotus123 自我效能兩種,分別與一般電腦自我效能做 相關分析。Hsu 和 Chiu (2004) 參考 Compeau 和 Higgins (1995) 與 Eastin 和 LaRose (2000)
以及上述兩項研究的概念,將網路自我效能分成了一般的網路自我效能 (general Internet self-efficacy, GISE) 和特定網頁的自我效能 (web-specific self-efficacy, WSE),GISE 的定義 為 「個人對多樣網路應用的效能判斷」;WSE 的定義為 「在一般網路環境範圍內,使用特 定的網路應用或服務的效能」。研究目的為了解使用者對電子商務的接受狀況,GISE 量表 如同常見的網路自我效能量表,包含了與網路相關的超連結、瀏覽網頁、電子郵件使用等 技能構面,電子商務的使用需要應用網路自我效能中提及的技術能力,WSE 的部分則是 更聚焦於電子商務的功能做設計,也就是使用者在特定情境中的網路自我效能狀況。
Hasan (2006) 的研究是探討一般電腦自我效能 (general computer self-efficacy, GCSE) 和特 定系統電腦自我效能 (system-specific computer self-efficacy, SCSE) 對資訊系統 (IS) 的接 受度影響。GCSE 是指 「跨越多個電腦領域的個人判斷效能,無針對特定任務、環境或程 序」;SCSE 定義為 「執行一般電腦領域內,與電腦相關的特定任務的個人自我效能觀點」。
研究中利用 Unix 為基礎的文字編輯系統為特定的電腦應用,在影響力和操作上更為細 膩,區分兩類型的用意是為了更校準自我效能和個人行為的變異,SCSE 可以更準確的解
釋和預測目的行為,同時可有效排除非研究領域內的影響因素。Wang、Chang、Chou 和 Chen (2013) 參考上述的相關研究,發現特定領域的測量工具和一般領域的測量工具相 較,可以提供更可靠和準確的結果,因此回顧 APP 發展現況與市場需求,提出特定行動 自我效能量表 (mobile-specific self-efficacy, MSE),MSE 意指 「個人對特定行動應用程式 的效能感知」,探索其對使用者使用行動應用程式的行為影響,是將特定任務設定於行動 範圍內。
總結以上研究發現,特定主題的自我效能必須包含在較廣泛概念的主題自我效能內,
而特定主題自我效能可以有效去除與研究無關的影響因素,更具體的測量出個人行為和表 現的意向,在解釋力與預測力方面也更具參考價值。由於本研究的反釣魚自我效能是在網 路環境中進行,與系統、軟體方面較無相關性,而隨著科技發展狀況,現今上網工具也不 再侷限於電腦,因此適合歸納於網路自我效能範圍內。此外,網路釣魚的攻擊與網頁的關 聯性較高,本研究未來將以 Hsu 和 Chiu (2004) 研究中的特定網頁自我效能,作為反釣魚 自我效能設計基礎,進一步發展出反釣魚自我效能量表,以了解網路使用者在網路釣魚環 境中的反釣魚自我效能狀況。
1997 年 Bandura 提出 (引自 Hasan, 2006;Hsu & Chiu, 2004) 某個領域的自我效能,
可轉移到同一領域中相似的行為或任務當中。Hsu 和 Chiu (2004) 證明了一般網路自我效 能會影響特定網頁自我效能的呈現。此外,Agarwal 等人 (2000) 亦指出一般電腦自我效 能同樣會影響特定軟體自我效能,Hasan (2006) 也驗證一般電腦自我效能對特定系統電腦 自我效能有正向影響力,所以同一領域中的不同主題自我效能存在彼此影響的可能性,本 研究後續將進行 「網路自我效能」 對 「反釣魚自我效能」 影響之探討。
二、網路釣魚
(一)網路釣魚攻擊類型
本研究以 APWG 的網路釣魚定義為基礎,「在網路的環境中,無論是利用社交工程或 科技技術方式,竊取他人隱私資料或可辨識身分之憑證,造成他人損失的狀況」 皆屬於網 路釣魚的範疇。網路釣魚攻擊的方式繁多,依照攻擊模式可以分成兩種,一種是 「廣度」
攻擊模式,攻擊者進行攻擊是為了得到大量資料,以繼續擴大攻擊目標的數量,屬於以量 致勝的概念;另一種則是 「深度」 攻擊模式,找出特定目標後,攻擊手法是以該目標特色 進行設計,重質,不重量 (Frye, 2007)。依據兩種攻擊模式又可再細分出不同的具體攻擊 手段,統整相關研究後,整理出 「電子郵件」、「即時訊息」、「網站」、「網址嫁接」、「魚叉 式網路釣魚」、「社群網站釣魚」,共六種常見的網路釣魚攻擊類型進行詳細說明。
1. 電子郵件 (E-mail)
近年行動網路發展迅速,人們對電子郵件的使用也日趨增加,Laird (2012) 指出美國 地區有 90% 的學生用電子郵件和教授溝通,財團法人台灣網路資訊中心 (2012a) 調查台 灣地區人口無線上網行為,收發電子郵件為主要行為的第三名。Kumaraguru 等人 (2009)
發現,只要網路釣魚信件未被電子郵箱的黑名單阻擋,基本上收信者幾乎都會開啟信件,
因此電子郵件成為網路釣魚攻擊者的有效工具。攻擊者只要透過殭屍網路,一天可發送超 過 180 億封垃圾郵件,其中不乏網路釣魚郵件,在美國地區防堵垃圾郵件的相關成本,花 費高達百億美元,推估全球,社會成本將難以估計 (Krebs, 2012)。
由於電子郵件的申請審核機制較不嚴謹,就台灣地區而言,使用者可利用工具破解限 制。許多發送網路釣魚信件的主機是架設在境外,或是連通全球網路的魁儡主機,往往難 以查出犯罪來源,具有低風險、廣泛性的特性 (王衛華、王長杰,2007)。根據 Openfind
(2013) 的調查結果,目前網路釣魚信件的主要攻擊手法有:
(1)透過轉址服務網站或其它手法間接轉址
現今轉址服務和短網址服務便利,幫助使用者將冗長網址化簡,網路釣魚攻擊者善用 此特性,於信件內容附上簡短網址,掩蓋具有安全威脅的網址,也努力塑造可信度和引導 使用者點擊該短網址。Klien 和 Strohmaier (2012) 以隨機 5957 個進行轉址的短網址做分 析,發現有 80.24% 的短網址用途是作為垃圾郵件。
(2)透過第三方網站提供的服務或機制寄送廣告信
網路上的各項服務往往需要註冊為會員後才能順利使用,因此網路使用者將會在多 處留下個人資料,以享受不同的網路服務,但是網路釣魚攻擊者會假藉知名服務單位之 名,寄送釣魚信件 (王衛華、王長杰,2007;吳文進,2007;林順傑,2010)。Downs 等 人 (2007)研究發現,電子郵件是來自於有根據或令人信服的單位,確實能夠提高人們依 照信件內容,點擊特定網址的機會。
(3)類社交工程廣告信
釣魚信件內容設計是假冒親友的口吻,以降低收件者警覺心,同時將帶有病毒的檔案 附加於信件中,只要一時不查,就有可能開啟附件而中毒,導致資料被竊取。Frye (2007)
列出了釣魚信件的特徵,作為使用者判斷釣魚信件的依據,其特徵為 「語句、拼寫不通 順」、「在收件人的欄位中沒有顯示電子郵件地址」、「信件內容企圖索取完整的資料」。相 關研究顯示,來自學校的信件,學生們較無法辨別出是否為合法網站 (Robila & Ragucci, 2006),或是郵件內容充滿正確的帳戶資訊或要求收件者到特定網址進行身分驗證,皆有 可能是網路釣魚陷阱。雖然提供電子郵件服務單位的防範措施越來越縝密,但釣魚的技巧 也不斷精進,開始改以圖片作為連結的偽裝,盡可能不落入垃圾信件夾,以增加釣魚成功 機率。
2. 即時訊息 (Instant Messaging, IM)
「即時訊息 (instant messaging, IM)」 被人們廣泛使用,也成為快速傳播攻擊的渠道
(Frye, 2007)。在使用人口方面,截至 2013 年全球共有 34 億 IM 用戶,預計 2017 年會超 過 44 億用戶 (The Radicati Group, 2013)。在廣泛使用之下,再加上 IM 的點對點傳輸特 性,可以越過許多安全網,以及不同 IM 系統所使用的端口 (port) 不統一,使得安全防範 極為困難,使得 IM 成為網路釣魚攻擊者取得聯絡人資訊和散布惡意程式的目標,造成垃 圾郵件更為常見 (Leavitt, 2005)。
IM 跟電子郵件的網路釣魚攻擊手法雷同,基本上皆是透過內容設計,企圖引導使用 者點擊特定網址或是開啟有病毒的附件,再利用惡意程式進行攻擊,竊取電腦中的資料
(Leavitt, 2005)。現今的即時軟體功能越來越豐富,除了木馬程式和破壞程式直達電腦本身 外,還能與假網站結合。此外,在 IM 中的連絡人大多都是熟識的人,即時訊息也使人缺 乏思考時間,誤點擊來自 「友人」 的釣魚網站或收取惡意程式的機率相對增高 (林順傑,
2010)。
3. 網站 (Web)
此手法的方式是引誘使用者,在不知情的情況下進入與真實網頁極為相似的假網頁 中,以達到取得個人隱私資料的目的。網頁介面設計是影響網路釣魚成功的可能因素之 一,吸引網路使用者進入,讓使用者忽略警告,直覺認為假網站是真實的,而設計良好的 網路釣魚網站甚至可以愚弄 90% 的使用者 (Dhamija, Tygar, & Hearst, 2006),此外,假網 站又可與即時訊息和電子郵件做結合,造成更廣泛的危害。假網站設置可細分為 「假冒相 似網址」、「浮動視窗、仿瀏覽器介面」、「真實網站中設置假連結」、「縮址工具、圖片連 結」、「關鍵字」 等手法,將於以下做詳細說明:
(1)假冒相似網址
此為網路釣魚手段的視覺欺騙設計,主要方法是將網址中數字、字母兩者形似者做混 淆,像是英文字母的 「I、o」 和數字的 「1、0」,以及英文的 「I」 和 「l 」、「u」 和 「v」 長得很 相像,或是將字母做組合,例如:「vv」 混淆 「w」。由於網址是大量的字母、數字和符號 組合而成,如果沒有仔細檢查很容易忽略,在相關研究指出,研究受測者高達 90.9% 無法 正確辨別出相似網址的釣魚陷阱 (王衛華、王長杰,2007;劉濱、吳燕、陳琦、曹樹貴、
劉振宇,2008;Dhamija et al., 2006)。
(2)浮動視窗、仿冒瀏覽器介面
浮動視窗是網站設計常用的功能設計之一,大多使用於提供最新訊息、警告或登入帳 號與密碼之用,故浮動視窗對網路使用者而言是普遍存在的,使網路使用者防備力下降。
網路釣魚攻擊者可將浮動視窗製作成與瀏覽器網址列相同的樣貌,將假網址遮蓋住正確的 網址列,誤導使用者的判斷,如圖 2 即為類似的現象。浮動視窗不會顯示網址列,又可設
計成多種造型,在網站的位置也極具彈性,成為網站廣告或網路釣魚工具的選擇之一,以 具網路釣魚目的假冒警告浮動視窗為例,網路使用者可能會習慣性的按下確定鍵,不小心 進入其他假網站 (吳文進,2007;經濟部,2011)。
圖 2 仿瀏覽器介面之網路釣魚示意圖
(3)真實網站中設置假連結
知名網站往往儲存許多資料,資料庫的內容充滿組織機密,因此成為攻擊者目標,利 用真、假網站之間的轉換混淆瀏覽者視聽,簡言之,多數網址是真實的,讓使用者失去戒 心,少部分可蒐集資料的頁面則為釣魚陷阱 (王衛華、王長杰,2007)。攻擊者可以透過 駭客從外部侵入正常網站,竄改或置入釣魚網站的連結,欺騙人們點擊 (劉濱等,2008),
或是在使用者不知情的情形下植入木馬程式,侵入使用者電腦竊取機密資料,為了防堵這 些狀況,電子商務開始使用各種防範措施,例如:安全標章、虛擬鍵盤,嚴格驗證使用者 身分 (吳文進,2007;經濟部,2011)。
(4)縮址工具、圖片連結
此部分是與電子郵件或即時訊息做結合的手法,由於假網址可透過轉址服務轉成新的 網址,使得使用者無法第一時間利用網址列辨認出真假,方便置於電子信件的簽名檔,或 是有限制字數的社群、即時訊息文章、對話中,民眾可能會認為是熟悉的人且並非放置於 信件內容,而失去警戒心 (林順傑,2010)。利用圖片作為連結,同樣是達到遮掩網址之 目的,與短網址一樣無法立即辨識 (Dhamija et al., 2006)。
(5)關鍵字
是 一 種 不 需 要 瞭 解 語 言 結 構 或 詳 細 內 容 的 一 種 發 現 訊 息 的 方 法 (Hristidis &
Papakonstantinou, 2002),此功能大部分應用在著名的入口網,大多作為增加廠商或企業在 網路上的曝光率,與幫助使用者快速找到資料之用。網路釣魚者利用這種排序與點閱率的 相關性,建立釣魚網站後,購買關鍵字或是對搜尋排名下毒,修改搜尋次數數據,甚至可 以技巧性的製作容易被搜尋引擎優先選擇的網站,讓使用者誤入網站 (林順傑,2010;經 濟部,2011)。
4. 網址嫁接 (Pharming)
網址嫁接是利用綁架網域名稱系統 (domain name system, DNS) 的方式進行。DNS 為 一轉換網域名稱的系統,一開始 DN (domain name) 的出現,是希望透過 DNS 將數字組成 的網址轉換成具有意義的句子,幫助記憶網址。它可以將 IP 位址的數字串,轉換成一般 常見的英文、符號相間的網址。當綁架 DNS,就可以竄改連結的目的地 (PChome,
2012)。而網址嫁接的基本概念是 「當電腦使用者鍵入正確的網址,同樣會被導入假冒的 網站中」,網路使用者可能經由下載網路檔案、開啟電子郵件閱讀、透過即時訊息系統聊 天的過程中,都可能遭受到網址嫁接的釣魚攻擊,使得網路使用者必須面對更嚴峻的網路 釣魚問題。
5. 魚叉式網路釣魚 (Spear Phishing)
「魚叉式網路釣魚」 的特色是針對特定對象,大多是較有規模的機構,像是政府、廠 商等,而不再是大量蒐集隨機對象進行詐騙,其中所獲取的利益遠高過其他網路釣魚方法
(Brody, Mulig, & Kimball, 2007)。魚叉式網路釣魚大多使用於金融犯罪、企業或政府間諜 活動、駭客宣傳理想方面 (APWG, 2013a)。每當網路釣魚攻擊者選定攻擊對象後,會先從 公開的資訊中,尋找可利用的內容撰寫電子郵件,引誘收件者開啟並執行內容步驟 (經濟 部,2011;諾頓,2011),以達成資料蒐集的祕密活動。
6. 社群網站釣魚 (Social Network Phishing)
Kaspersky (2010) 調查指出 facebook 已成為釣魚目標的第四名,詐騙者可利用內部功 能散布垃圾郵件,並回收巨大利益。網路釣魚是以社交工程為主,社群網站的社交功能切 合網路釣魚者的需求,而社群網站中也充滿了公開的資訊,光是利用社群網站的使用者名 稱就能夠蒐集 900 萬個不同的電子郵件 (Polakis, Kontaxis, Antonatos, Gessiou, Petsas, &
Markatos, 2010)。近期發展出了許多有關社群網站的釣魚,與其他網路釣魚手法做結合,
網路使用者更難以防範。
根據以上提到的釣魚手法分析,目前以魚叉式網路釣魚的損失最為嚴重,也造成許多 機構信用度下降,耗費的社會成本難以估計。因為釣魚網站的主要成功因素就是社交工 程,所以針對人們的慾望下手,以及提高網頁介面的內容專業度與美學設計,除了增加使 用者感受與信任外,網路釣魚者僅需以低成本,即可獲得廣大利益,逐步精進的手法也提 醒人們必須要有相當的知識和能力,面對網路安全防範問題。
(二)反釣魚教育
目前保護人們不要掉入網路釣魚陷阱的防範策略有三種,分別為悄悄排除威脅、警告 使用者威脅、訓練人們不要掉入網路釣魚陷阱 (Kumaraguru, Rhee, Acquisti, Cranor, Hong,
& Nunge, 2007),反釣魚教育即為其中一種策略。Dhamija 等人 (2006) 指出,造成網路釣
魚受害者眾多,其中 「人」 的因素包含 「缺乏知識」、「缺乏注意力」、「視覺受到混淆」,而 透過網路使用者對網路釣魚回應行為的知識,有助於開發反釣魚技術,同時發現知識與先 前的經驗皆能預測遭遇網路釣魚時的回應行為 (Downs et al., 2007)。在自我效能方面,
Agarwal 等人 (2000) 發現自我效能可以透過一段時間的訓練塑造而成,所以對網路使用 者教導反釣魚的知識,此舉除了有機會提升自我效能外,還可以預測網路使用者對網路釣 魚的回應行為之改變,以及降低缺乏知識方面的影響因素。反釣魚教育種類多元,李冠賢
(2013) 將網路上提供的反釣魚教育歸納出 「文本式訓練 (contextual training)」、「遊戲式訓 練 (Game-based training)」、「嵌入式訓練 (embedded training)」 三種主要的訓練策略,除了 以上網路環境的訓練方式外,反釣魚教育同樣適用於課室中進行 (Robila & Ragucci, 2006)。因此進一步探討網路釣魚教育方面的現況與相關研究,以作為了解目前大學生反 釣魚行為的依據,現行反釣魚教育措施說明如下:
1. 台灣電腦網路危機處理暨協調中心-網路釣魚通報單一窗口 (Anti-Phishing Notification Window, APNOW)
台灣電腦網路危機處理暨協調中心於 2010 年 10 月成立網路釣魚通報單一窗口,如 圖 3。此窗口針對釣魚網站方面的通報與後續追蹤處理而設計。通報者依照個人遭遇之網 路釣魚類型,填寫對應的網路釣魚通報資訊。填寫完成後,將可取得一組工作單號,供未 來進度查詢使用,接著會配發任務給相對應的策略聯盟進行處理,以及分享消除釣魚網頁 的資訊 (林順傑,2011;教育部,2012)。此平台鼓勵人們通報,但網路釣魚網站的辨別,
仍得依賴內部人員判斷,人們較無法從中學習到辨別網路釣魚網頁的方法。
圖 3 網路釣魚通報窗口網頁
2. Anti-Phishing Phill
Phill 是遊戲中小魚的名字,擔任引領遊戲的夥伴。遊戲的重點任務是在有限的時間 內,不要讓 Phill 吃到有毒的蟲子,也就是要選出合法網站,拒絕網路釣魚網站(如圖 4)。
Phill 的爸爸會在遊戲中提供可靠的辨識技巧,讓遊戲者可以參考、判斷。整體介面以卡通 化的方式呈現,此遊戲是依據學習科學理論原則為設計基礎的反釣魚遊戲,透過故事性框 架組織教學活動,教導人們辨識網路釣魚連結,透過網路瀏覽器的線索辨認釣魚網站或非 釣魚網站,以及如何使用搜尋引擎找到合法的網站為目標,在遊戲結束後,提供遊戲者反 思遊戲過程的機會。經由研究發現,參與此遊戲者,正確辨識出是否為釣魚網站的表現,
比起閱讀現有教材和非遊戲式的 Anti-Phishing Phill 教材更好,學習者也認為這樣的學習 方式有趣且具教育價值 (Sheng, Magnien, Kumaraguru, Acquisti, Cranor, Hong, & Nunge, 2007)。
圖 4 Anti-Phishing Phill 遊戲介面
3. PhishGuru
PhishGuru 是一個嵌入式的反釣魚訓練系統,此系統秉持著 「即時回饋」 和 「訓練能夠 有效提高學習效益」、「教材需符合現實情境」 的設計觀點,利用寄送仿冒的釣魚電子郵件 給使用者,當使用者點擊網路釣魚陷阱的連結後,指導使用者不要掉入網路釣魚陷阱的教 材隨即送出,該教材經由研究結果,以連環漫畫方式呈現。相關實驗結果發現,有受過訓 練者和沒受過訓練者相較,有受過訓練者,在面對網路釣魚信件時的表現較好,且可保留 學習效果持續 28 天以上,為可大規模訓練的反釣魚工具之一 (Kumaraguru et al., 2009;
Kumaraguru et al., 2007)。
以上現有的反釣魚教育,雖然資料多元豐富、更新快速,但都需要學習者具備網路使 用技能與主動學習的動機,才能有效的傳達反釣魚相關知識,因此還有不同類型的反釣魚 教育研究在進行著。Robila & Ragucci (2006) 以課室內的教學為設計主軸,該研究以 48 位大學生為對象,創造出結構完整的網路釣魚課程。由後續實證性研究中發現,課程主題 明確,教導網路釣魚特徵的分辨方式,學生幾乎能夠正確辨識出網路釣魚網站和非網路釣 魚網站的差異,且課程獲得學生良好評價,也認同此類課程具有相當程度的實用性。至於 反釣魚教育方面的建議,學者 Downs 等人 (2007) 認為教育的目標應該是努力增加學習者
直觀的了解,而不僅僅是警告有關風險或損失,Kumaraguru 等人 (2009) 則建議學習者在 大學或高中階段接受相關訓練,提早培養良好的知識與解決網路釣魚的技巧。如果教材的 情境能夠更貼近學習者實際面對的狀況,並以簡明扼要的敘述方式,和即時說明學習者遭 受警告的原因,會較容易受到學習者接受 (Kumaraguru et al., 2007),以上的建議提供未來 的反釣魚教育明確且良好的發展方向。
三、反釣魚行為與反釣魚表現
在學術上有針對不同領域執行自我效能的研究,研究結果大都認同自我效能對行為和 表現彼此間確實存在影響 (Bandura, 1982;Pajares & Miller, 1995;Wolters, 2003),假使能 夠了解人們對於反釣魚的行為與表現的意向,依據大眾趨向進行網路釣魚防範設計,可幫 助人們盡快導正個人掉入網路釣魚陷阱的原因,但 「行為」 與 「表現」 有研究認為兩者定義 不同 (Hirvonen, Tolvanen, Aunola, & Nurmi, 2012;Klein, Nir-Gal, & Darom, 2000;Lubbers, Van Der Werf, Kuyper, & Hendriks, 2010;Szilagyi, 1980),也有學者詮釋成 「行為表現
(behavior performance)。Perkins 和 Jenkins (1998) 與 Piercy、Cravens、Lane 和 Vorhies
(2006)兩篇研究,所談及的 「行為表現」 是指 「某種行為活動的表現狀況」,故 「行為表現」
一詞相當於單指 「行為」 之意,不過在教育領域中,將兩者明確劃分者較多 (Hirvonen et
al., 2012;Lubbers et al., 2010)
。經由文獻探討得知,「行為」 會受到社會因素影響 (Chiu &Tsai, 2014),而 「表現」 則是指內化的知識,兩者有明確的區別,且在反釣魚領域中,皆 可代表不同層面的意義,故將 「行為」 與 「表現」 視為兩種不同的涵意並做深入探討。
(一)反釣魚行為
安聖慧 (2011) 對消費者行為的定義是,消費者為了滿足自己的期望和需求所執行出 的行為,而行為是會受到社會文化、自我觀點所影響 (林靈宏、張魁峯,2006),其中包 含解決策略 (Klein et al., 2000) 以及 「總是這麼做」、「習慣這麼做」 的意思 (Öz, Özkan, &
Lajunen, 2013)。總結以上定義,反釣魚行為意指 「在網路環境中,人們面對網路釣魚狀 況,為了不要成為受害者平時所做的選擇或行動」。學者 Downs 等人 (2007) 以 232 位電 腦使用者為對象,針對網路釣魚回應行為進行探究,該研究內容其中一項是希望了解受測 者面臨網路釣魚信件和點擊信件中之連結後,會有哪些行為的反應。研究方法是運用假冒 的電子郵件測試使用者的反應行為,並讓受測者選出最符合自己行為的選項,選項經整理 後,歸納出 「刪除」、「確認動作」 兩種行為構面,除此之外,目前探討反釣魚行為的相關 文獻稍嫌不足,將參考其他行為研究的歸納和發展過程,架構出反釣魚行為的分類與內 容,由於反釣魚行為可歸屬於維護自身安全的行為,故探討與安全行為相關之文獻。
Pousette、Larsson 和 Törner (2008) 融合他人研究量表,加上自行發展的研究工具-
自評安全行為量表中,將安全行為分成 「結構安全行為」、「互動安全行為」、「個人安全行 為」 三個因素,其中 「個人安全行為」 是指引起個人保護與警戒的行為,例如,使用規定 的防護設備、依循安全規定,在反釣魚方面,反釣魚教育可提供反釣魚方法正確的依循來 源,網路使用者安裝防毒軟體或設定相關安全措施等行為皆可歸入此因素。Lawton、
Parker、Manstead 和 Stradling (1997) 利用駕駛者行為問卷 (driver behavior questionnaire, DBQ) 中的違規行為與失誤進行研究,透過因素分析,發現在年輕族群樣本中,違規行為 部分可以再詳細區分成兩種類別,分別為超速、闖紅燈等行為的 「一般公路規則的違反行 為」 和氣憤、追逐、敵視的眼神等較積極、主動的 「具攻擊性行動」,反釣魚行為也可嘗試 以積極主動和消極被動為分類方式。Cooper 和 Phillips (2004) 的安全行為部分,研究方法 是請指導人員觀察後,填寫個別的安全行為清單,其中的安全分數是以公式計算,也有 四點量表、五點量表等計算方式 (Dermitzaki, Leondari, & Goudas, 2009;Hirvonen et al., 2012)。
依照 Downs 等人 (2007) 研究中的 「刪除」 行為可納入接收到網路釣魚攻擊後的消極 處理行為,而 「確認動作」 屬於積極處理行為,主動接受反釣魚教育或尋求各方面的防 護,可歸納至積極處理行為之一,因此推論 「運用或學習防護」 也是其中一種積極的反釣 魚行為。行為會受到個人與社會觀點影響,使得 「行為」 種類複雜且多元,要明確定義反 釣魚行為類別較為困難,Glendon 和 Litherland (2001) 建議行為的類型應透過觀察獲得,
因觀察獲得的行為類型具有敏銳度與準確性,在研究上較能克服研究限制,「刪除」、「確 認動作」、「運用或學習防護」 三種行為構面皆有實證性研究支持 (Dhamija et al., 2006;
Downs et al., 2007;Kumaraguru et al., 2009;Robila & Ragucci, 2006)。人們的反釣魚行為 是影響自身是否會落入網路釣魚陷阱的一項重要因素,希望可以透過本研究提升對反釣魚 行為的理解。
(二)反釣魚表現
「反釣魚表現」 的相關研究較少,針對其他主題與 「表現」 程度有關之研究進行探討後 發現,有些是以考試方式測驗學習表現 (Hirvonen et al., 2012;林碧珍、蔡文煥,2003),
Szilagyi (1980) 則是將績效套入公式計算出表現程度,Öz 等人 (2013) 測量駕駛表現程 度,是利用駕駛技術調查量表做測量,量表的評量項目可以經由訓練或教學加以提升,並 將其定義為 「駕駛可以做的」。許多研究對表現的測量大都是以有正確或具體答案的測驗 為主,Tsai 等人 (2009) 也強調表現本身是包含知識、信念在內,故反釣魚表現是指 「能夠 確實反應出反釣魚方面的知識正確性和充實度,以及是否能夠在面對網路釣魚的狀況下,
做出正確的決定或給予他人適當的判斷依據」。雖然目前已有相關研究針對特定對象開發
網路釣魚測驗題目,但台灣地區尚未有普及大眾的網路釣魚測驗應用,然而,網路釣魚知 識的充分與否確實值得重視。
Robila & Ragucci (2006) 指出,網路使用者錯誤辨別網路釣魚陷阱的原因有:不知道 什麼是網路釣魚、知道需要防範網路釣魚,但不清楚辨別要領,以及相信知名單位不會有 釣魚的企圖,皆屬於知識的層面。此代表可以透過增加網路釣魚知識,有效防範網路釣魚 攻擊,但以自我評估的方式評量表現,往往受到認知機制或缺乏相關的參考值,導致高估 自己表現的狀況 (Öz et al., 2013;Svenson, 1981),因此要有良好評鑑力的工具協助測量,
且透過表現程度了解網路使用者是否有高估自我能力的狀況將十分重要。
目前反釣魚相關測驗的開發較少,Robila 和 Ragucci (2006) 的研究中有開發網路釣魚 測驗- Phishing IQ test,研究對象為大學生,以電子郵件為出題基礎,設計了 12 道題目,
其中合法電子郵件與網路釣魚信件各 6 題,請受測者在圖片出現時,判斷內容是屬於合法 電子郵件還是釣魚郵件,當答題結束,會顯示正確的答案。學者李冠賢 (2013) 針對國中 生為對象,參考各單位的網路釣魚資訊,以網路釣魚形式、概念、方法與技術之構面進行 題目設計,題型包含是非題和選擇題,經鑑別度分析後,總題數為 18 題,也擁有良好信 度。在 Phishing Scams 遊戲中,也提供許多反釣魚測驗的題目。
Bandura (1977) 認為加強行為的 「預期」,在執行任務上,可以幫助達成目標或避免遭 遇困難,是指自我效能的狀況會影響行為的執行情形。另有研究指出,掌控行為的意向,
可幫助網路使用者接受和提升學習複雜網路任務的意願 (Kim & Glassman, 2013),這代表 如果能掌控網路使用者的反釣魚行為,或許能夠提升學習反釣魚知識的意願,在學習反釣 魚知識的過程中,則可能影響反釣魚表現的高低。Szilagyi (1980) 則透過研究發現行為有 提高或降低表現的作用,因此行為可能會成為網路自我效能與反釣魚自我效能和表現之間 的中介變項。
參、結 論
經由以上文獻探討結果發現,自我效能可藉由量化方式測量,而特定主題的自我效能 必須包含在較廣泛概念的主題自我效能中。已有理論與實證研究證明,自我效能確實為一 種行為改變的重要技術之一,影響行為與表現的狀況。為了防止人們被網路釣魚詐騙,期 待網路使用者能夠具有謹慎的判斷力,確實注意個人在網路上進行的任何動作與資料存取 的行為,並透過教育提升自我效能,改善行為與表現。在教學中運用提升自我效能的方 式,協助學習者建立自信與經驗,相信可達到理想的轉變。而提升自我效能的方法可從自 我效能的預期來源:「成就表現」、「替代經驗」、「語言說服」、「生理狀態」,分別思考可行
的方法,並於教學過程與生活情境中加以實行 (Bandura ,1982)。舉例而言,「語言說服」
是教師於反釣魚教學時,透過口頭肯定,以幫助學習者認為自己有足夠的能力面對反釣魚 任務,或是嘗試鼓勵同儕稱讚他人的優點;「成就表現」 則是由簡入難的反釣魚教材設計,
先從基本的網路釣魚概念學起,可增加學習上的成就感。以上方式皆可提高網路自我效能 與反釣魚自我效能的程度。提高自我效能後,預期可使學習者增加反釣魚相關課程的學習 意願和自信心,將反釣魚知識運用到實際的網路使用行為中,例如開啟連結或電子郵件 時,可讓學習者多一道 「思考」 的防線,而搜尋資料時,不會立即進入排列較前面的連結 等。
行為是指 「習慣」,也就是平時使用的經驗,而人們往往因為 「習慣」 而影響個人判斷 能力。正確的判斷就必須有正確的知識為依據,其中「反釣魚表現」反應出網路使用者的 反釣魚知識。雖然大學生學習正確的反釣魚教材,但無法確認遭遇到網路釣魚事件時,是 否會運用所學,還是會被習慣影響判斷,故不同的反釣魚行為就會有不同的反釣魚表現,
也因此 「反釣魚行為」 可能成為自我效能與反釣魚表現之間的中介變項。
總結以上結果,本研究的研究架構成立。後續將開發網路自我效能、反釣魚自我效 能、反釣魚行為量表和反釣魚表現測驗,運用於未來研究。透過統計方法分析,除了驗證 模型外,亦了解此研究模型使用於目前大學生的適切性,以及大學生是否高估自身的反釣 魚行為或表現、反釣魚行為與表現是否一致,最終找出最佳的模型路徑,希冀下階段的研 究結果能取得改善網路釣魚現況的有效教育發展方向。
誌 謝
感謝國科會(NSC 101-2511-S-009-010-MY3),謹此致謝。
參考文獻
PChome (2012)。PChome 買 網 址 入 門 教 學。2013 年 5 月 5 日, 取 自:http://myname.
pchome.com.tw/learn/teach.htm#2
Openfind (2013)。2013 第二季 Openfind 郵件威脅分析報告。2013 年 9 月 29 日,取自:
http://www.openfind.com/taiwan/download/report/2013_Q2_Openfind_Email_Threats_
Report.pdf
王 秀 園 (2010)。 習 慣 這 件 事。2013 年 7 月 24 日, 取 自:http://www.mdnkids.com.tw/
family_edition/detail.asp?sn=511
王衛華、王長杰 (2007)。網路釣魚的危害及防範措施。洛陽工業高等專科學校學報,
17 (2),36-37。
台灣大哥大基金會 (2012)。2012 台灣青少兒網路使用與自我形象調查報告。台北市:台 灣大哥大基金會。
安聖慧 (2011)。消費者行為學。北京市:對外經濟貿易大學出版社。
吳文進 (2007)。網路釣魚騙術之解析與防治。2013 年 7 月 17 日,取自:http://www.mjib.
gov.tw/mojnbi.php?pg=d2/9608/3-3.htm
李冠賢 (2013)。反釣魚教學策略:平板電腦融入概念構圖以提升學習動機之可行性評估
(未出版之碩士論文)。國立交通大學理學院科技與數位學習學程,新竹市。
林順傑 (2010)。漫談網路釣魚問題常見手法與分析。2013 年 7 月 17 日,取自:http://
security.twnic.tw/201009/tech1_1.html
林順傑 (2011)。台灣反網路釣魚通報機制與平台介紹。2013 年 10 月 16 日,取自:http://
security.twnic.tw/201102/images/oct/tech1.pdf
林碧珍、蔡文煥 (2003)。四年級學生在國際教育成就調查試測的數學成就表現。科學教 育月刊,258,2-20。
林靈宏、張魁峯 (2006)。消費者行為學。台北市:五南圖書出版股份有限公司。
財團法人台灣網路資訊中心 (2012a)。2012 台灣無線上網使用狀況調查摘要分析。2013 年 7 月 5 日,取自:http://www.twnic.net.tw/download/200307/20121226c.pdf
財團法人台灣網路資訊中心 (2012b)。歷次個人及家庭上網行為調查趨勢分析。2013 年 7
月 5 日,取自:http://www.twnic.net.tw/download/200307/20120709f.pdf
張春興 (2013)。教育心理學-三化取向的理論與實踐 (重修二版)。台北市:東華書局股 份有限公司。
教育部 (2008)。教育部中小學資訊教育白皮書 2008-2011。2013 年 7 月 5 日,取自:http://
www.edu.tw/userfiles/url/20120920154137/97.08 教育部中小學資訊教育白皮書 .pdf 教育部 (2012)。辨識網路詐騙學習手冊。台北市:教育部。
郭本禹、姜飛月 (2008)。自我效能理論及其應用。上海:上海教育出版社。
經濟部 (2011)。網路交易買家必備的防詐自保寶典。台北市:經濟部商業司。
劉濱、吳燕、陳琦、曹樹貴、劉振宇 (2008)。網路釣魚及其防範技術。河北工業科技,
25 (6),379-381。
鄭秀月、李茹萍 (2009)。戒菸門診個案持續戒菸行為與自我效能之研究。臺灣醫學,
13 (3),223-230。
鄭照順、鄒浮安 (2011)。大學生網路使用行為與網路影響之研究-以高苑科技大學為例。
高苑學報,17 (2),119-134。
謝子樵 (2009)。台灣線上遊戲玩家行為分析。2013 年 7 月 19 日,取自:http://mic.iii.org.
tw/aisp/reports/reportdetail_register.asp?docid=2667
諾頓 (2011)。魚叉式網路釣魚:這是詐騙,無關運動。2013 年 5 月 5 日,取自:http://
tw.norton.com/spear-phishing-scam-not-sport/article
Agarwal, R., Sambamurthy, V., & Stair, R. M. (2000). Research report: The evolving relationship between general and specific computer self-efficacy–an empirical assessment. Information
Systems Research, 11(4), 418-430.
APWG. (2013a). Global phishing survey: Trends and domain name use in 1h2013. Retrieved October 9, 2013, from http://docs.apwg.org/reports/APWG_GlobalPhishingSurvey_
1H2013.pdf
APWG. (2013b). Phishing activity trends report 4th
quarter. Retrieved July 1, 2013, from http://
docs.apwg.org/reports/apwg_trends_report_Q4_2012.pdf
Bandura, A. (1977). Self-efficacy: Toward a unifying theory of behavioral change. Psychological
Review, 84(2), 191-215.
Bandura, A. (1982). Self-efficacy mechanism in human agency. American Psychologist, 37(2), 122-147.
Bandura, A. (1989). Regulation of cognitive processes through perceived self-efficacy.
Developmental of Psychology, 25(5), 729-735.
Bandura, A. (1997). Self-efficacy: The exercise of control. New York: Freeman.
