官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
网络钓鱼(Phishing,与钓鱼的英语fishing发音相近,又名钓鱼式攻击),通过冒充银行或其他知名机构向受害者发送欺骗性邮件,引诱收信人提供自己的敏感信息(如用户名、口令、ATM交易密码或信用卡详细信息),从而套取非法收益。网络钓鱼是网络诈骗中最古老的伎俩之一,据悉,网络钓鱼占总数据泄露事件的90%。当诈骗者发现凭一封精心设计的电子邮件就可以冒充可信实体,来实现不菲的非法收入时,他们便会无所不用其极。
在本文中,我们将从各个角度探讨网络钓鱼问题,并提供对抗网络钓鱼的最佳方法:安装S/MIME邮件安全证书。
钓鱼活动无处不在
据统计,如今每20秒就会有一个新的网络钓鱼站点出现,而86%的电子邮件攻击并不包含恶意软件,如此更难以让人识别。据Google表示,仅在一周内,他们每天阻止COVID-19 网络钓鱼邮件超过1800万封。而70%的企业面临网络钓鱼邮件增加的风险。按攻击对象来看,任何人都可能成为其受害者。
如你所见,网络钓鱼已经演变成一种无法完全消除的严重威胁。只要互联网存在,网络钓鱼者就会找到各种方法来操纵用户和企业。这就是为什么你在打开和管理电子邮件时应该始终保持警惕的原因。
虽然在现实生活中伪装成其他人要困难得多,但在网络世界中可轻而易举假冒他人。从早期的”一名立陶宛男子冒充台湾广达电脑公司高层,以钓鱼电邮的方式在两年内诈骗谷歌和脸书超过1.2亿美元“;到去年8月,攻击者在钓鱼邮件中冒充著名制药公司辉瑞进行具有高度针对性的钓鱼活动,以窃取受害者的商业及财务信息......我们可以看到,相比虚构的实体,钓鱼攻击者更擅长冒充那些已经广为人知的公司,受害者看到知名的品牌,则会更容易放松警惕。
如何识别钓鱼邮件
奇怪的语气或陌生的问候
如果突然发现你长期合作的商业伙伴的写作风格发生了变化,应该立即敲响警钟。如果在打完招呼后,随之而来的就是行动号召,你有理由怀疑对方的真实性。
可疑的电子邮件地址和虚假链接
你应该检查发件人的真实URL 和邮件中的链接。这通常是判断电子邮件账户真假的最快方法。不要单击链接,而是将鼠标悬停在它们上面,并注意任何可疑的字词或域名扩展名。如果电子邮件据称来自Paypal.com,但链接不是Paypal.com,请将电子邮件标记为垃圾邮件并将其删除。
语法错误
大多数合法的企业在发送电子邮件之前都会认真校对。如果邮件中出现较多的拼写错误和语法错误,你需要引起重视,这也可能是属于钓鱼邮件。
索取凭证和付款信息
一封看似官方的电子邮件要求你访问一个虚假的登录页面并提交你的个人数据甚至要求付款以解决邮件中的问题。为避免这种复杂的骗局,请通过输入URL 而不是单击链接来访问邮件中提及的站点。
没有数字签名
数字签名将验证发送者的真实信息。与SSL证书类似,邮件安全证书支持对邮件通信进行端到端加密。你可以在客户端检查传入电子邮件的状态,点击邮件右侧的红色勋章图标,显示的绿色对勾表明该邮件已由受信任的证书颁发机构进行数字签名。如果显示红色警告,则表示邮件可能经过篡改或证书已失效。如果找不到图标,也需要警惕发件人身份的真实性。
预防钓鱼邮件,你能做什么
为了保护你的个人或企业身份不被网络钓鱼者冒用,最好的方法是使用S/MIME邮件安全证书对你的电子邮件进行数字签名。S/MIME证书将加密你所有传出的电子邮件和文档,并验证作为发件人的真实性。