如现实世界的诈骗一般,网络钓鱼虽然被提及最多却一直会有人上当,轻则个人信息泄露、财产受损,重则导致企业甚至国家机密信息被窃取。利用各种各样推陈出新的社会工程学手段,真正上当的人往往无法及时察觉是个陷阱,这就对普通用户的防范意识有了较高的要求。
谷歌的子公司 Jigsaw 推出了一个免费的在线网络钓鱼测试,利用一些比较常见的网络钓鱼手段来测试用户的发现恶意电子邮件的能力。笔者也进行了一轮测试发现,确实有一定的学习意义,因为往往当我们怀疑一封邮件的安全性时,却没办法给出足够的依据。
网络钓鱼在线测试地址:https://phishingquiz.withgoogle.com/
提示:由于接下来的内容存在剧透,建议各位先不要继续浏览,直接进入测试环节,之后再回来看文章剩余内容。
进入测试之后,首先会要求你填写昵称以及邮箱,这些信息可以是虚构的,而且只作为本次测试使用,不会传播到其他地方。
笔者以 FreeBuf 填写了昵称以及虚构的邮箱地址,这样以便可以进入测试环节。
这项网络钓鱼测试总共设置了 8 道题目,基本是现实中遇到较多的网络钓鱼类型。用户需要自己去识别每一道题中的案例是否为钓鱼邮件,每道题目之后系统会自动标示出那些特征可以去判断是否为恶意邮件,当然这 8 道题目中并非所有的都是钓鱼邮件。
第一道题给出的场景时,收到一封邮件,包含一个 word 文档,并附上一句话“嘿,这是你要的文件,如果有其他需要请再联系我”。看起来很正常,的确是工作中经常遇到的情形。但当你把鼠标指针放在文档超链接处的时候(不要点击),其实在浏览器界面的左下角会出现具体的超链接地址如下:
http://drive–google.com/luke.johnson
显然,这是一个试图伪装成谷歌云盘的钓鱼链接,而真正谷歌云盘的链接为“google.com”的子域名“https://drive.google.com/***”。
这道题目之后,系统给出的提示也是这个伪装的链接。
还有一道冒充熟人发来一张图片的钓鱼邮件,附带的超链接为:https://drive.google.com.download-photo.sytez.net/AONh1e0hVP。咋一看地址的前面,似乎真的是 Google 云盘的安全地址,但其实它只是“sytez.net”的子域名而已,显然可以判定为钓鱼邮件。
另外,还有一个判断一句就是根据发件人的邮件地址。测试中给出的例子为一个冒充 Google 服务支持的地址,但其实“google.support”Google 官方并没有使用,所以这也要求用户对于一些知名度较高、诈骗者喜欢冒充的品牌域名有一定的熟悉程度,如果实在不知道就可以借助搜索引擎去验证。
8 道题目测试结束后,系统会给出测试结果,只要一道题判断错误便是“你被钓鱼成功了”。不知道各位安全圈的朋友们是否满分过关呢?
其实这一项测试还是比较基础,但也存在比较高的实用性。防止被钓鱼邮件欺骗,无非从几个特征去辨别,即发件人地址、超链接地址以及邮件内容是否为通用型的模版,此外如果附件包含有文件型内容要特别小心,PDF 文件以及压缩包等内容极有可能包含病毒,如果是陌生人发过来的邮件谨慎直接打开附件。
Jigsaw 推出的这项测试适用于所有普通用户,能够有效提升辨别钓鱼邮件的能力,虽然国内的情况有些许不同,但辨别手段基本都是一致的。而这项测试的目的也是鼓励企业、政府机构对员工进行有效的、针对性的安全培训,能够抵御一些常见的网络入侵行为。