CyberSecurity101基本概念之什么是网络钓鱼？

在网络安全的复杂版图中，网络钓鱼犹如隐藏在暗处的狡黠猎手，时刻觊觎着用户的敏感信息与数字资产。它是一种广泛存在且极具欺骗性的网络攻击手段，给个人、企业乃至整个社会的网络安全防线带来巨大挑战。

• 网络钓鱼的定义与核心本质

网络钓鱼，简单来说，是攻击者通过伪装成可信实体，诱使用户提供敏感信息或执行有害操作的欺诈行为。这些 “可信实体” 涵盖了常见的各类机构，如银行、电商平台、社交媒体网站，甚至是政府部门等。攻击者利用人们对这些正规组织的信任，精心布局，撒下一张张看似诱人实则暗藏危机的 “渔网”。

垃圾邮件与网络钓鱼有什么区别？

垃圾邮件是未经请求的带有无关或商业内容的垃圾邮件。它们可能会宣传赚快钱计划、非法优惠或虚假折扣。

网络钓鱼是一种更有针对性（通常是伪装得更好）的尝试，通过诱骗受害者自愿泄露帐户信息和凭据来获取敏感数据。

• 网络钓鱼的常见形式

1. 电子邮件钓鱼：这是最为典型的形式，与之前提到的企业电子邮件攻击（BEC）有相似之处，但范围更广。攻击者向大量用户发送伪装成正规邮件的钓鱼邮件，邮件主题常紧扣热门话题、紧急事务或诱人优惠。例如，以 “您的银行账户存在异常，需立即核实” 为主题，正文模仿银行官方口吻，附上看似官方的链接，引导用户点击登录并输入银行卡号、密码、验证码等信息，一旦用户照做，账户资金便岌岌可危。
2. 网站钓鱼：攻击者仿冒知名网站，搭建外观几乎一模一样的虚假页面。用户在搜索目标网站时，可能因误点搜索引擎中的恶意链接，进入这些虚假网站。比如仿冒的电商购物页面，商品展示、购物流程都与正版无异，用户下单付款时，输入的支付信息就会被攻击者窃取，造成财产损失。
3. 恶意软件网络钓鱼：另一种流行的网络钓鱼方式，此类型的攻击包括在电子邮件中植入伪装成可信附件（如简历或银行对账单）的恶意软件。在某些情况下，打开恶意软件附件可能会使整个 IT 系统瘫痪。
4. 鱼叉式网络钓鱼：多数网络钓鱼攻击都会广泛撒网，而鱼叉式网络钓鱼则会利用通过研究特定个人的工作和社会生活而收集的信息来针对该个人。这些攻击是高度定制的，使其在绕过基本的网络安全方面特别有效。
5. 网络捕鲸：当恶意操作者把目标对准企业高管或名人这样的“大鱼”时，这就叫做网络捕鲸。这些诈骗者通常会对其目标进行大量研究，以找到一个恰当的时机来窃取登录凭据或其他敏感信息。如果你有很多重要信息，网络捕鲸攻击者就会有很多收获。
6. 短信钓鱼：短信钓鱼是“短信”和“网络钓鱼”这两个词的合成词，包括发送伪装成来自 Amazon 或 FedEx 等企业的可信通信的短信。人们特别容易受到短信诈骗的影响，因为短信是以纯文本形式发送的，给人的印象更加个人化。
7. 语音钓鱼：在语音钓鱼活动中，攻击者会从仿冒的呼叫中心拨打电话，试图诱骗人们在通话中提供敏感信息。在许多情况下，这些骗局利用社会工程诱骗受害者以应用的形式将恶意软件安装到其设备上

• 网络钓鱼的运作流程剖析

1. 诱饵设计：根据攻击目标群体，选定合适的诱饵主题。若是针对上班族，可能以 “职场晋升秘籍资料下载” 为饵；针对网购爱好者，则以 “电商平台巨额优惠券领取” 为幌子。诱饵既要契合目标群体需求，又要制造紧迫感或诱惑感，促使用户不假思索地采取行动。
2. 伪装身份：如同专业演员，攻击者全方位伪装。在邮件中伪造发件人地址、邮件头部信息，让其看起来来自正规源头；网站钓鱼时，精准复刻正版网站的域名、页面布局、logo，甚至 SSL 证书图标，迷惑用户的视觉与信任判断；社交网络里，盗用真实账号头像、昵称，模仿日常交流口吻，融入社交语境。
3. 信息收集：一旦用户咬钩，点击链接或回复信息，攻击者便开始收集数据。通过在虚假页面预设的代码，捕获用户输入的账号密码、身份证号、信用卡信息等，或是利用恶意软件在用户设备后台悄然运行，窃取文件、浏览记录，为进一步的诈骗或攻击储备弹药。
4. 后续攻击：凭借收集到的信息，攻击者可能直接盗刷资金、冒用身份进行非法交易，也可能将数据在暗网售卖，流入其他犯罪团伙手中，引发连锁的诈骗、勒索等次生危害，给用户带来持续不断的麻烦。

• 网络钓鱼的危害严重性

1. 个人层面：财务损失首当其冲，辛苦积攒的积蓄可能瞬间蒸发；隐私泄露让个人生活暴露无遗，可能遭遇骚扰电话、精准诈骗，甚至人身安全受威胁；社交账号被盗用，还会连累亲朋好友陷入骗局，损害人际关系。
2. 企业角度：员工因网络钓鱼导致企业敏感数据泄露，如商业机密、客户名单，会使企业在市场竞争中处于劣势，面临巨额赔偿风险；若企业财务账号被攻破，资金链断裂危机随时降临，严重影响运营根基。
3. 社会层面：大规模网络钓鱼事件频发，会削弱公众对网络环境的信任，阻碍数字经济健康发展，增加社会治理成本，如警方、金融机构需投入大量精力应对诈骗潮，追赃挽损。

• 防范网络钓鱼的关键策略

1. 用户教育：开展常态化网络安全普及教育，让用户了解网络钓鱼的常见套路，培养谨慎上网习惯。如不随意点击陌生链接、不轻易回复索要敏感信息的邮件或消息，定期查看账户活动记录，发现异常及时挂失冻结。
2. 技术防范：浏览器安装安全插件，实时预警访问的可疑网站；邮件客户端启用强大的反钓鱼过滤功能，自动识别并隔离可疑邮件；企业网络部署入侵检测系统、数据加密工具，在网络边界与数据存储环节双重把关，阻止钓鱼攻击渗透。
3. 多因素验证：广泛推广多因素身份验证机制，在密码基础上，增加短信验证码、指纹识别、硬件令牌等额外验证层。即使攻击者窃取密码，也难以突破多道验证关卡，保障账户安全。
4. 避免遭受网络钓鱼的快速提示：

任何网络钓鱼式骗局的主要目标都是窃取敏感信息和凭据。警惕任何要求提供敏感数据或要求你证明身份的消息（通过电话、电子邮件或短信）。

攻击者会努力模仿熟悉的实体，并将使用与你熟悉的品牌或个人相同的徽标、设计和界面。保持警惕，除非你确定邮件是合法的，否则不要点击链接或打开附件。

以下是识别网络钓鱼电子邮件的一些提示：

• 急切威胁或要求采取行动（例如：“立即打开”）。
• 新发件人或不常见的发件人 – 任何第一次给你发送电子邮件的人。
• 糟糕的拼写和语法（通常是因为蹩脚的外文翻译）。
• 可疑链接或附件 – 显示来自不同 IP 地址或域的链接的超链接文本。

细微的拼写错误（例如“365vCl0ud.net”或“365vCIoud.net”）

 

如果你是网络钓鱼的受害者，你应该怎么做？

1. 尽可能多地写下你能回忆起的攻击的细节。记下你可能已分享的任何信息，例如用户名、帐号或密码。
2. 立即更改受影响帐户以及可能使用相同密码的任何其他位置的密码。
3. 确认你正在为使用的每个帐户使用多重（或双重）身份验证。
4. 通知所有相关方你的信息已泄露。
5. 如果你丢失了金钱或成为身份盗窃的受害者，第一时间联系公司安全与IT部门进行相关处理。并提供你在步骤 1 中捕获的详细信息。

请记住，你将信息发送给攻击者后，这些信息可能会很快就会被披露给其他恶意操作者。会有新的网络钓鱼电子邮件、短信和电话向你袭来。请进一步做好识别

如果在 Microsoft Outlook 收件箱中收到可疑邮件，请从功能区中选择“报告邮件”，然后选择“网络钓鱼”。这是从收件箱中删除该邮件最快的方法。在 Outlook.com 中，选中收件箱中可疑邮件旁边的复选框，选择“标记垃圾邮件”旁边的箭头，然后选择“网络钓鱼”。

网络钓鱼作为网络安全领域经久不衰的 “顽疾”，需要我们时刻保持警惕，从知识武装、技术加固到行为规范，全方位构建抵御防线。唯有如此，方能在数字化浪潮中安全畅游，守护好个人、企业与社会的网络净土。

网络安全无小事，防范网络钓鱼，从现在开始！