100%的几率你会点击网络钓鱼邮件!
令人震惊不是吗!我相信你会质疑这个统计数字的大胆程度。我可以自信地告诉你,即使是安全专家也无法免于成为网络钓鱼邮件的受害者。这就是为什么即使是最成熟的安全公司也会被黑客攻击的原因。
任何人都会点击内容能引起强烈情感共鸣的电子邮件。每个人都有一封写着自己名字的网络钓鱼子弹。为了说明这一点,让我们研究两个例子。
第一个例子与COVID疫情相关。你接到一个陌生来电。来电者要求你提供个人详细信息和电话号码,以便为你注册免疫计划。需要支付费用,会通过短信发送支付链接。现在问问自己,你会向来电者提供个人信息吗?很可能不会,当然在核实计划和来电者或机构身份之前肯定不会。
但是,如果同样的信息是通过电子邮件请求的,你会怎么做?大多数渴望接种疫苗的人会填写信息并等待进一步指示。如果诈骗者意图骗取你的钱财,这将是第二步。在某些情况下,诈骗者仅获取你的个人信息就会满足。
第二个例子被称为商务邮件欺诈。网络犯罪分子在过去四年中通过此类欺诈赚取了260亿美元。虽然有很多不同的变体,但第一步是找到一个愿意回应来自高层的特定指令的员工。
如果你在公司工作,你的CEO或CFO给你发了一封电子邮件,你会如何反应?我猜会立即行动。这里的关键在于,虽然邮件别名是正确的,但地址却是另一个用户在Hotmail或Google等公共电子邮件账户上的地址。因此,如果你的CEO是Lucius Lobo,那么地址看起来会像Lucius Lobo jynx234@hotmail.com。快速回应CEO或任何高级管理人员的压力可能会让员工跳过通常进行的基本验证。在这种情况下,就是理解实际的电子邮件ID不是公司ID,或者如示例所示,甚至与别名毫无关联。
如果人类情感迫使我们放弃了通常进行的额外验证,那么在回复电子邮件时尝试恢复这种习惯将能保证我们的安全。
如果你希望回复未经请求的电子邮件,请尝试质疑电子邮件内容的真实性,就像你在接到同样内容的电话请求时会做的那样。请记住,任何未经请求的电子邮件都是高风险。
以下是针对常见诈骗的四条快速提示:
- 如果未经请求的电子邮件承诺免费抽奖、工作或任何回报,那很可能是假的。生活中没有免费的东西。
- 如果未经请求的电子邮件承诺非凡的事情,如高回报率或收益,请避免它。那是假的或是骗局。
- 如果未经请求的电子邮件要求提供个人信息,那很可能是一个骗局。可能不会让你损失金钱,但通常会让你收件箱充满垃圾邮件。
- 如果电子邮件的别名是你认识的人,但电子邮件ID不同,那么这是一封专门设计用来避开垃圾邮件过滤器的诈骗邮件。
在阅读下一封未经请求的电子邮件时,请记住这些提示。在我的下一篇博客中,我们将探讨如何避免被来自真实但被黑客入侵的电子邮件ID所诈骗。