19. 網路釣魚的常見手法，「不」包含下列何項？
(A) 中間人攻擊(Man-in-the-Middle)
(B) 類似的網域名稱
(C) 吸引人的優惠
(D) 帳號鎖定通知

這題的正確答案是 (A) 中間人攻擊 (Man-in-the-Middle)。

以下是詳細解析：

為什麼選擇 (A)？

• 定義區別：

  • 網路釣魚 (Phishing) 的核心是 「社交工程 (Social Engineering)」，也就是利用人性的弱點（恐懼、貪婪、疏忽）來「欺騙」使用者主動交出資料。

  • 中間人攻擊 (MitM) 則是一種 「技術性攻擊」，攻擊者潛伏在通訊兩端之間（例如透過 ARP Spoofing 或惡意 Wi-Fi），攔截或竊聽傳輸的資料。

• 考試邏輯：雖然進階的釣魚網站（如 AiTM Phishing）後端技術會用到中間人代理來竊取 MFA Token，但在資安概念分類上，選項 (B)、(C)、(D) 都是釣魚郵件中用來**「誘騙」**受害者的具體手法（誘餌），而 (A) 是一個獨立的網路攻擊類別，不屬於誘騙手法本身。

其他選項為何都是常見的釣魚手法？

這三個選項都是利用心理戰術或視覺混淆來達成欺騙目的：

• (B) 類似的網域名稱 (Typosquatting / Homoglyph)：

  • 手法：註冊與正版網站極為相似的網址，例如用 rn 模仿 m (例如 arnazon.com)，或用數字 1 取代字母 l (例如 paypa1.com)。

  • 目的：視覺欺騙，讓使用者以為自己登入了正確的官方網站。

• (C) 吸引人的優惠 (Baiting)：

  • 手法：利用人的「貪婪」心理，例如「恭喜你抽中 iPhone 15」、「填問卷送 500 元禮券」或「限時 1 折優惠」。

  • 目的：誘使使用者在沒有戒心的情況下點擊連結或下載惡意檔案。

• (D) 帳號鎖定通知 (Intimidation / Urgency)：

  • 手法：利用人的「恐懼」與「急迫感」，例如「您的帳號出現異常登入，將於 24 小時內停用，請立即驗證身分」。

  • 目的：讓使用者因為緊張而失去判斷力，急忙點擊連結輸入帳號密碼。

總結

(B)、(C)、(D) 是「釣竿上的誘餌」（心理/視覺層面），而 (A) 是另一種截然不同的攻擊形式（網路層面）。