【51CTO.com快译】面对钓鱼邮件这一话题,很多自认经验丰富的朋友可能只会不屑地一笑。然而根据Verizon发布的《2016年数据泄露调查报告》,30%的钓鱼邮件被用户打开。是的,30%。令人难以置信的成功率也解释了,为什么此类鲜有技术含量可言的攻击手段仍有极高人气。
虽然网络犯罪分子想尽办法将其“诱饵”伪装成合法邮件并希望引导目标输入密码信息并/或下载恶意软件,但我们仍有多种办法能够顺利发现这些钓鱼行为。
1. 对预期内邮件同样保持警惕
在Wombat Security公司发布的2016年调查报告中,其发现大多数成功的钓鱼攻击发布的是员工预期内的内容,例如HR文件、物流确认或者来自IT部门的密码修改要求。在下载附件或者点击任何链接前,请大家利用常识判断其内容。您真的订购了该货品吗?这一邮件是否来自您从未听说过的耗材商店?如果答案是肯定的,那么其往往正属于钓鱼攻击。
在这种情况下,不要犹豫,马上与企业客服热线联系,与HR或者IT部门确认邮件内容是否合法——毕竟小心一点总不为过。
2. 名称检查
如果大家从陌生来源处收到邮件,要求您登录某网站,请千万小心。特别是对于那些要求您提供密码或者社保号码的邮件,更得谨慎应对。合法企业绝不会通过即时消息或者邮件要求您提供这些信息——银行已经掌握了您的账号,所以不会要求您再次提供。信用卡号与安全问题的答案也遵循此理。
另外,大家还应检查发件人地址,特别是那些与知名公司官方邮件地址相似但又略有不同的来源。
3. 不要点击无法识别的链接
钓鱼邮件往往要求您提供用户名及密码以访问自己的现有在线帐户。通过这种方式,其将有机会窃取银行资金、盗刷信用卡、窃取数据、读取邮件及锁定帐户。
一般来讲,邮件中会包含指向其它网站的URL。但请注意,将鼠标悬停在其上时,其实际内容往往与显示内容不符。如果出现这种情况,千万不要点击。
另外,很多犯罪分子会使用欺诈性域名。大多数用户不熟悉DNS命名结构,因为其在URL中看到类似于合法企业的名称时,很容易上当。标准DNS命名约定应为子域名.完整域名.com的形式; 例如info.LegitExampleCorp.com,其指向Legitimate Example Corporation网站的“信息”页面。
当然,也有一些钓鱼邮件会显示部分合法的域名,但实际指向的却是恶意域名。例如,合法域名.实际恶意域名.com。
因此对普通用户来说,千万不要一看到合法企业的名称就贸然点击。
4.糟糕的拼写与语法
企业通信部门在发送内容前,肯定会对其拼写、语法进行检查与校对。如果您收到的邮件中包含此类错误,则很可能代表其属于钓鱼行为。
另外,大家还应对“尊敬的客户”或者“尊敬的会员”等通用性问候语抱有怀疑,因为大多数企业会在邮件问候中使用您的真实姓名。
5. 施以威胁
“需要马上行动!”“你的帐户即将被关闭!”“您的帐户已被入侵!”这些恐吓性战术正变得越来越常见,旨在利用用户的焦虑与关注获取个人信息。不要犹豫,请马上联系银行或金融机构核实情况,而非轻信邮件内容。
除了冒用银行名号外,很多犯罪分子也会伪装成政府机构,例如国税局及国安局等机构对用户施以威胁。这里向大家澄清一点,您被查水表的可能性都比通过邮件收到警告的机率更大。
钓鱼类欺诈活动正不断发展
必须承认,如今网络钓鱼活动亦在不断发展,其实际手段愈发狡猾且难以追踪。面对这一切,请相信您自己的直觉。如果内容好到难以置信,那么其基本上就是假的。因此,请及时向这些可疑的内容说不——包括不打开邮件或者点击其中的任何链接。
原文标题:5 ways to spot a phishing email
原文作者:Sharon Florentine
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】