什么是网络钓鱼?如何避免?

最后的编辑: 2021年9月21日
什么是网络钓鱼?如何避免?

2022年的钓鱼指南

你知道每分钟都有新的钓鱼网站上线吗? 但网络钓鱼攻击者并不只是利用网站来欺骗受害者. 各种各样的方法都被使用,包括短信、电子邮件、社交媒体等等. 没有人是安全的. 即使是高级官员也可能成为受害者. 在下面的文章中, 你会学到什么是网络钓鱼, 它如何伤害你, 以及如何保护你自己和你爱的人免受它的伤害.

什么是钓鱼?

网络钓鱼是一种欺诈,攻击者冒充有信誉的组织或个人.

目的是欺骗受害者 分享密码和信用卡信息等敏感信息,或以虚假借口说服目标汇款或安装含有恶意软件的软件. 网络钓鱼影响着全球成千上万的人和企业,是最常见的网络犯罪形式之一.

类似于钓鱼运动,网络钓鱼犯罪 引诱受害者落入陷阱. 这种类型的攻击 大部分是通过电子邮件进行的, 但众所周知,网络罪犯也会使用短信, 即时消息, 用语音引诱受害者. 事实上, 没有任何操作系统是真正安全的网络钓鱼- Windows, Mac, 安卓, 或iPhone用户可能成为这类欺诈的受害者.

尽管网络钓鱼是一种技术上简单的网络攻击形式, 它仍然是非常有效和危险的; 欺骗某人要比穿透计算机的防御系统容易得多. 攻击者发送 数以百万计的欺诈邮件 每天都希望最终会有人上钩.

APWG - 2020年的钓鱼活动比2019年翻了一番

来源: APWG的网络钓鱼活动趋势报告

网络钓鱼的典型例子 当用户收到一封欺诈邮件,其中包含一个损坏的链接,而这封邮件看起来像是来自熟悉的公司的可信邮件时,情况会怎样呢. 攻击者为用户点击链接提供合理的解释(诱饵). 一旦目标点击了链接, 恶意软件被下载(有时被安装)到用户的设备上. 通常,恶意软件实际上是间谍软件 这是用来窃取用户数据的.

根据 联邦调查局2020年网络犯罪报告, 网络犯罪投诉中心(IC3)收到了791份,2020年美国平民和企业投诉790起,比2019年增长69%. 此外,IC3创下了超过4美元的记录.在2020年损失10亿美元. 这比3美元要高很多.2019年达到40亿美元. 在所有报告的事件中 网络钓鱼和类似的诈骗是最常见的.

美国联邦调查局- 2020年按受害者数量划分的网络犯罪类型

来源: 联邦调查局2020年网络犯罪报告

...网络钓鱼每年影响全球数十万人和企业.

记住,攻击者希望你:

  • 透露个人信息

  • 下载恶意软件

  • 把钱汇到一个账户上

幸运的是,你可以避免 钓鱼式攻击 一旦你知道了这些警告信号.

如何识别网络钓鱼

大多数网络钓鱼攻击都遵循同样的模式, 让那些保持警惕的人更容易发现他们. 以下是识别网络钓鱼骗局的方法:

  • 这是模仿一个知名品牌的. 攻击者经常发送假冒著名品牌的欺诈性邮件,比如苹果, 亚马逊, 或信誉良好的银行服务, 让受害者相信邮件是真的. 你知道吗, 根据检查点, 在2020年初,苹果是被试图进行的网络钓鱼攻击中被模仿最多的品牌? 然而,在第二季度,谷歌和亚马逊钓鱼邮件更加普遍.

    网络钓鱼攻击者复制真实公司的标志和品牌特征,使他们的邮件格外难以被发现. 攻击者还使用一种叫做“欺骗”的技术来诱骗毫无戒心的目标. 欺骗是通过复制实际发件人的显示名称、电子邮件地址和域名来实现的. 虽然黑客可以模仿公司的电子邮件地址,但他们永远不能使用官方地址.

  • 发件人不熟悉. 如果发件人是一个你不认识的人,你应该有所怀疑. 考虑删除邮件, or, 如果你想读的话, 只是不要点击任何链接或附件.

  • 发件人很熟悉,但消息看起来可疑. 其他时候,你可能认识发送者,但他不是你经常交谈的人. 如果是这样的话, 那么这个人的电子邮件或即时通讯帐户可能已经被入侵, 攻击者正在用它给你发送带有恶意软件的信息.

  • 他们使用通用的问候语. 大多数诈骗邮件不会专门针对你. 经常, 它们被发送给成千上万的人, 在这种情况下, 袭击者可能不知道你的名字. 相反,这些邮件将包含诸如“尊敬的先生或女士”或“尊敬的客户”之类的短语。.

  • 它到处都是语法错误. 钓鱼邮件通常包含明显的语法和拼写错误. 格式、设计和图像放置也可能显得笨拙.

  • 有一种紧迫感. 营销人员经常使用一些策略来吸引他们的目标受众迅速采取所需的行动. 网络骗子也使用这些策略,但是以一种恶意的方式. 例如, 他们可能会声称,如果你不立即更改你的银行凭证(使用电子邮件提供的链接),你的帐户将被暂停。. 其他时候,一条消息可能会鼓励你把钱寄给一个正在经历问题的亲戚.

  • 这个提议好得令人难以置信. 有时, 钓鱼者会声称你赢得了非常有吸引力的东西, 比如一台新的笔记本电脑或一次异国旅行——这些都是经典的骗局. 不要被它们欺骗,即使它们看起来不可抗拒.

  • 链接或附件可疑. 几乎所有的钓鱼信息都包含恶意链接、附件或两者都包含. 其中一些链接乍一看可能是真的, 但仔细一看, 他们会怀疑. 只需将鼠标悬停在一个链接上检查它,但无论你做什么,永远不要点击它! 注意细微的拼写错误(比如把“America”写成了“americerica”). 另外,如果你不确定附件是否安全,就不要下载.

攻击者经常发送假冒著名品牌的欺诈性邮件,比如苹果.

网络钓鱼攻击的类型

多年来,网络钓鱼骗局不断发展壮大. 下面介绍的方法非常有效,它们已经持续了几十年.

批量电子邮件诈骗

大多数网络钓鱼邮件发送给全球数百万用户. 虽然他们通常不会针对特定的人, 有时受害者是根据他们使用的服务来选择的. 例如:使用同一银行、社交媒体或其他账户的一群人.

请记住,网络钓鱼邮件中包含的信息是多种多样的. 例如,一封电子邮件可能要求你:

  • 点击一个链接更新你的支付到一个网站

  • 下载一个可以提高电脑速度的程序

  • 给遭遇意外的朋友寄点钱

大多数网络钓鱼邮件发送给全球数百万用户.

克隆钓鱼

克隆网络钓鱼可能是最难检测的骗局. 这是因为攻击者发送受害者熟悉的几乎相同版本的电子邮件. 例如,通知你支付下一个Netflix账单的电子邮件.

骗子使用相同的主体(标题、字体、颜色、设计、语言等).),但将链接改为恶意链接. 发件人的确切电子邮件地址也不会相同. 只有正式发件人才能使用真实地址.

鱼叉式网络钓鱼

这种形式的网络钓鱼与大规模网络钓鱼相反,后者以特定的个人或组织为目标. 通常,消息是为目标受害者明确编写的. 因此, 攻击者首先调查受害者的姓名, 头衔, 的同事们, 以及其他私人细节.

鱼叉式网络钓鱼的一个例子是,攻击者伪装成公司的老板或处理工资单的人. 钓鱼者可能指示雇员使用欺诈链接向供应商汇款. 利用紧急情况和具体信息,骗子欺骗雇员交出他们的钱.

捕鲸

与鱼叉式网络钓鱼类似,捕鲸也针对特定的个人或企业. 不同之处在于捕鲸关注的是大目标例如ceo、富人、名人或政治家. 由于受害者是高价值的目标,他们披露的数据是高度敏感的. 攻击者花费无数小时研究他们的目标,并创建精心设计的电子邮件,以成功欺骗他们的受害者.

尽管捕鲸的目标是重要人物,他们中的许多人还是成为了这些攻击的猎物. 例如, 约翰·波德斯塔, 希拉里·克林顿的竞选主席, 被骗把他的Gmail密码给了骗子, 导致了2016年克林顿的电子邮件丑闻. 捕鲸的另一个著名例子是“偶发”攻击(2014年的名人裸照泄露事件), 多名名人被骗分享了他们的iCloud账户.

...捕鲸主要针对大目标,如首席执行官、富人、名人或政治家.

短信诈骗

Smishing是短信钓鱼的缩写. 正如你所想象的,这是 和电子邮件钓鱼一样,但通过短信进行. 这些文本还可能包含恶意链接,在点击时安装恶意软件或说服你提供敏感信息.

Vishing

Vishing的意思是语音网络钓鱼. 顾名思义, 钓鱼者不是发送欺骗性的电子邮件或短信,而是给受害者打电话,声称代表银行或其他当局. 从这里, 欺诈者使用恐吓策略让受害者相信,如果不交换个人数据或金钱, 他们面临着严重的惩罚.

如果你是网络钓鱼攻击的受害者该怎么办

如果你是网络钓鱼攻击的受害者(或接近受害者), 下面的步骤将帮助您减轻损害.

扫描你的设备

如果你从可疑邮件中下载了什么到你的设备上, 它可能被恶意软件感染了. 如果杀毒软件没有发出任何警告,那就彻底扫描你的设备. 如果你目前没有一个可靠的防病毒程序, 那一定要买功能齐全的, 比如Bitdefender或McAfee.

报告攻击

下一步是 向您的电子邮件提供商报告攻击, 模拟实体(如银行), 还有你们国家的反欺诈委员会 (如果你住在美国,就叫联邦贸易委员会). 报告骗局有助于防止未来的攻击.

冻结你的信用

如果你泄露了银行和信用卡信息, 提醒你的银行 尽快. 告诉他们你是一个网络钓鱼骗局的受害者,想要冻结你的账户,以防止未经授权的付款. 之后,检查你的信用报告,看看是否有任何不熟悉的活动.

改变你的密码

如果您怀疑恶意软件已安装在您的设备上, then be sure to take the following precaution: change the passwords of all of your accounts; create new, 包含符号的复杂密码, 数字, and letters; and finally, 别忘了 实现多因素身份验证 为了增加一层安全保障.

...创建包含符号、数字和字母的复杂新密码.

如何远离网络钓鱼

遵循以下步骤可以防止骗子接近你的个人信息, 包括你的银行账户.

忽略可疑的电子邮件

避免成为网络钓鱼骗局的受害者的最好方法是忽略看起来可疑的邮件. 打开钓鱼邮件是安全的, 但要确保你没有下载附件或点击任何链接——这就是你被恶意软件感染的原因. 一旦你学会了识别骗局(通过遵循上面的警告信号), 你离保护你的账户和设备安全又近了一大步.

如果你碰巧打开了一封诈骗邮件, 在点击任何链接或下载附件时一定要保持警惕. 如果邮件中包含银行或其他公司要求你做的紧急任务, 不要点击链接. 这些软件通常会把你带到一些网页,这些网页会下载并安装恶意软件到你的设备上,或者说服你输入个人信息.

...在打开链接或下载附件时始终保持警惕.

永远不要通过电子邮件发送财务数据

银行和在线支付网站永远不会要求你提供个人账户信息, 信用卡号码, 或通过电子邮件输入密码. 如果您遇到这样的要求,忽略它,并直接云顶集团用户登录银行澄清.

一封看似来自贝宝的钓鱼邮件

来源:伪

选择有信誉的电子邮件服务

Gmail是全球最受欢迎的电子邮件提供商,拥有超过10亿的用户基数. We recommend it for personal and professional use; still, 如果您想使用其他电子邮件服务, 然后选择信誉良好的网站,如Outlook或Yahoo!. 有许多电子邮件供应商可能不像这些服务那样安全可靠.

此外,你可以尝试一个专注于安全的电子邮件服务,比如 ProtonMail这是受瑞士隐私法保护的.

在2020年第二季度BEC(商务邮件妥协)攻击中使用的免费web邮件提供商

来源: APWG网络钓鱼活动趋势报告,2020年第二季度

定期更改密码

另一种保护账户的方法是定期更换密码. 有些银行服务有时会强迫你这么做,而有些则不会. 为了达到最好的效果,把修改密码变成一种习惯. 使用强大的密码生成器,并确保使用字母、数字和符号.

使用信誉良好的防病毒解决方案

几乎所有受人尊敬的防病毒解决方案都配备了电子邮件保护功能. 然而,这个选项通常只包含在高级版本中. 看看云顶集团用户登录 云顶集团指南 帮助您找到适合您所有需求的最佳防病毒解决方案. 云顶集团用户登录强烈推荐顶级防病毒解决方案,如Bitdefender或卡巴斯基.

常见问题关于钓鱼

有哪些网络钓鱼的例子?

网络钓鱼攻击可以来自电子邮件, 短信, 即时消息, 或者是语音通话——你收到的信息可能会有所不同. 攻击者通常会伪装成你的银行、老板、同事或朋友. 有时他们甚至会装扮成名人或知名品牌等. 

他们可能会问你一些紧急的事情,并向你提供恶意链接或附件. 你应该点击这些链接和附件吗, 恶意软件可能安装在您的设备上, 或者你可能会发现自己在一个网页上,你会被要求提供敏感信息.

一个受信任的反网络钓鱼程序(诺顿是一个很好的例子)将帮助您远离网络钓鱼骗局.

为什么叫网络钓鱼?

“网络钓鱼”一词最早出现在1996年. 它和“钓鱼”这个词很相似,因为从技术上讲,它们是类似的活动. 黑客将诱饵投放到互联网上,等待毫无防备的猎物(互联网用户)上钩。. 加上“ph”是对一种被称为“电话窃听”(Phone Phreaking)的早期黑客行为的认可.

保持警惕,有一个 固体防病毒解决方案 能帮你避开钓鱼者的网吗.

网络钓鱼是一种恶意软件吗?

No. 网络钓鱼不是恶意软件的一种形式. 网络钓鱼指的是攻击者所采用的传播恶意软件的方法. 它指的是受害者被骗去做一些事情,比如泄露敏感信息, 点击恶意链接, 或下载恶意软件.

如果你想阻止恶意软件通过网络钓鱼感染,安装一个有信誉的反网络钓鱼解决方案.

你能阻止网络钓鱼邮件被发送到你的设备吗?

是的. 你可以通过使用有信誉的电子邮件供应商或购买一个 可靠的防病毒程序. 云顶集团用户登录强烈推荐诺顿的反网络钓鱼功能.

如果我点击钓鱼邮件会发生什么?

如果你点击了钓鱼邮件,不要担心. 简单地打开电子邮件不会下载或安装恶意软件到你的设备上. 话虽这么说, 它确实增加了意外点击恶意链接或下载受感染附件的可能性. 为了避免这种情况,最好完全避免打开钓鱼邮件. 

从你的收件箱中过滤掉任何潜在的诈骗邮件, 使用防病毒程序专门阻止网络钓鱼威胁. 这些应用程序的工作,以增强您的电子邮件提供商的默认电子邮件过滤器,为伟大的反钓鱼结果.

Octav费 (网络编辑)

Octav是AntivirusGuide的网络安全研究员和作者. 当他不在网上发表他对安全软件的真实看法时, 他喜欢学习编程, 看天文学纪录片, 并参加通识竞赛.