什么是网络钓鱼,如何防止它?
当我们常收到这类邮件《您的密码已过期。请点击此处立即更改。》提醒密码变更。多数人会毫不犹豫按下邮件上的链接,几乎信任并听从邮件内容的指示。这就是网络钓鱼攻击如此有效和危险的原因。网络钓鱼攻击尝试使用电子邮件、消息等形式来与受害者联系。这些消息看起来像是正常的通信内容,但其中包含伪造信息,黑客得以借此窃取受害者的敏感性数据。
什么是网络钓鱼?
网络钓鱼是一种影响网络安全的网络诈骗手法,攻击者试图假冒值得信赖的人或组织,诱骗受害者向他们提供个人信息,如密码、财务信息或个人身份识别。他们可能会发送一封看似合法但实际上是伪造的电子邮件、短信或社交媒体消息。
这种类型的诈骗通常会利用人们的情绪,从而影响其判断能力。网络钓鱼骗局从互联网诞生初期就已存在,目前仍是最普遍的网络攻击形式之一:仅在 2022 年就有超过 2.25 亿次电子邮件的网络钓鱼攻击。
攻击者通常会使用网络钓鱼手法来骗取金钱。就如同诱骗某人进行银行转帐一样简单。而有些网络罪犯会利用恶意软件获取更多个人或公司的相关信息,这些信息可能会在网上贩售。电子邮件是最普遍的网络钓鱼形式。有些邮件经过彻底研究和伪装,受害者难以察觉他们上当。
如何识别网络钓鱼攻击?
网络钓鱼攻击者经常会欺骗受害者点击链接或下载恶意文件。但如果保持警惕,就能避免网络罪犯。以下方法可以识别网络钓鱼攻击:
- 催促做某件事。多数网络钓鱼攻击都依赖于人们对错过机会的恐惧,迫使他们做出有问题的决定。例如一个只在短时间提供的诱人优惠,会让某个品牌的铁粉想尽快点击电子邮件或简讯中的链接,而不会事先查看是否有问题。
- 检查错字和语法错误。内容是否存在语法错误或错字?这条消息的整体基调是否不协调?这些都代表可能是网络钓鱼骗局。合法的公司和组织在发送消息之前都会检查内容是否正确无误。
- 注意附件或链接。企业不太可能发送时事通讯、提醒电子邮件或其他带有附件的邮件。请小心邮件中的恶意链接和附件,尤其是在无意间收到电子邮件的情况下。
- 对于通用问候语保持怀疑态度。恶意电子邮件通常发送给一群人,可能会使用“尊敬的客户”之类的通用问候语,而不是您的名字。
- 检查寄件人的真实性。如果某个特定服务以前从未与您联系过,向您发送密码更改的提醒,或者发送看似很棒而不真实的特殊优惠,那么很可能是伪造寄件人发送的邮件。
请注意,诈骗者的手法越来越精明,这些识别方法不一定有效。当您收到未经请求的电子邮件、消息或电话时,无论听起来多么吸引人,始终都要保持怀疑态度。
不同类型的网络钓鱼
攻击者会使用许多网络钓鱼技术诱骗受害者提供个人信息。以下是网络钓鱼的主要类型:
电子邮件网络钓鱼(Email phishing)
电子邮件网络钓鱼(也称为钓鱼邮件攻击)是一种使用电子邮件作为主要欺骗手段的网络攻击。钓鱼邮件攻击旨在欺骗收件人采取行动,如点击链接、下载附件或提供个人信息。
鱼叉式网络钓鱼(Spear phishing)
针对特定个人的网络钓鱼攻击称为“鱼叉式网络钓鱼攻击”。攻击者在发送钓鱼邮件之前会先研究目标。这些目标通常来自公共帐户的信息、他们曾参与的数据泄露,以及黑客能找到的关于受害者个人或公司的任何相关信息。有了这些信息,网络罪犯可以假装是可信任的人,例如假扮同事、老友或受害者常用服务的客服人员。
网络捕鲸(Whaling)
网络捕鲸袭击是鱼叉式网络钓鱼的另一种形式,攻击者会伪装成公司主管(例如首席执行官、董事会成员、主要股东等)。这些人难以模仿,因此网络罪犯必须投入更多的心力来增加可信度。然而,由于高阶主管在公司中有较大的影响力,因此受害者受骗后通常能得到较高的收益。而且员工在转帐或提供机密信息时不会怀疑。
复制型网络钓鱼(Clone phishing)
攻击者需要使用某种方法来密切监控受害者的收件匣,以便进行这种类型的网络钓鱼攻击。攻击者会接收受害者最近收到的电子邮件(最好带有链接或附件)并进行复制。大部分内容保持不变,但附件中会带有恶意软件或链接以重定向到假网站。
短信网络钓鱼(Smishing)
短信钓鱼是一种网络钓鱼手法。攻击者会发送一则伪造短信,要求收件人点击链接以提供个人信息或帐户详情。邮件中的链接则会指向一个看似合法但实际上会窃取数据的网络钓鱼网站。
语音网络钓鱼(Vishing)
语音网络钓鱼在很大程度上依赖于社会工程,迫使人们不假思索地行动。攻击者经常声称有人试图盗用受害者的信用卡、受害者忘记支付罚款等来恐吓他们。不幸的是,这种手法很容易成功。当人们被情绪影响判断时,就会不假思索地泄露网上银行的详细信息和其他数据。
垂钓者网络钓鱼(Angler phishing)
垂钓者网络钓鱼是一种用于社交网络的新型钓鱼技术。攻击者在社交网络上伪装成客户支持代理,骗取受害者的个人数据或账户信息。
如何保护自己免受网络钓鱼威胁?
- 使用垃圾邮件筛选器。预防钓鱼电子邮件的最佳方法是防止它们进入您的收件箱。这能避免意外打开带有恶意链接和附件的电子邮件。
- 使用 VPN。连接互联网时请务必使用 VPN,NordVPN 能隐藏您的 IP 地址,保护您免于网络钓鱼的威胁,同时也能保护在线数据安全。
- 使用附件筛选器。NordVPN 的威胁防护 Pro 工具是一个安全功能,能确保浏览时的安全,并保护您免受恶意软件的攻击。它会在下载过程中扫描文件,并在恶意软件感染设备之前加以封锁。
- 学会识别。只要稍加留意,就能轻易发现网路钓鱼邮件。即使是小的改变也必须怀疑:如果经理总是在邮件上写“谢谢”,某封邮件上却写了正式的问候语,最好再与他们确认。当涉及到公司机密和巨额资金时,务必格外谨慎。
- 保持软件更新。保持软件和操作系统的最新状态,对于保护自己免受安全性漏洞和网络攻击至关重要。软件更新通常会包括针对最新威胁因素的保护。
- 使用密码管理器。为每个在线帐户创建并存储复杂且唯一的密码,并使用密码管理器加以管理。
- 保持警觉。要持怀疑态度,并验证任何电子邮件或网站的真实性。通过其他管道联系公司或电子邮件的寄件人以进行验证。