钓鱼邮件：100%点击率的网络安全警示

令人震惊不是吗！你肯定会质疑这个统计数字的大胆程度。但我可以自信地告诉你，即使是安全专家也难免成为钓鱼邮件的受害者。这就是为什么即使是最成熟的安全公司也会被黑客入侵的原因。

任何人都会点击那些内容触动了强烈人类情感的邮件。每颗钓鱼子弹上都写着某个人的名字。为了说明这一点，让我们研究两个例子。

第一个例子与COVID疫情相关。你接到一个陌生来电，对方要求你提供个人信息和电话号码来注册免疫计划，还需要支付费用，会通过短信发送支付链接。现在问问自己：你会把个人信息告诉来电者吗？很可能不会，至少在询问多个核实问题确认计划和来电者身份之前不会。

但如果同样的要求是通过电子邮件发送的呢？大多数渴望接种疫苗的人会填写信息并等待进一步指示。如果诈骗者意图骗取钱财，这将是第二步。在某些情况下，诈骗者仅获取你的个人信息就满足了。

第二个例子叫做商业邮件欺诈。网络犯罪分子在过去四年中通过这种欺诈手段赚取了260亿美元。虽然有很多变种，但第一步都是识别一个愿意回应来自高层的特定指令的员工。

如果你在公司工作，收到CEO或CFO的邮件，你会如何反应？我猜是立即反应。这里的陷阱在于：虽然邮件别名正确，但地址却是来自Hotmail或Google等公共邮箱的另一个用户。因此，如果你的CEO是Lucius Lobo，地址可能看起来像Lucius Lobo jynx234@hotmail.com。

快速回应CEO或任何高管压力可能会短路员工通常进行的基本验证，在这种情况下就是没有意识到实际邮件ID不是公司ID，或者如示例所示，甚至与别名毫无关联。

如果人类情感迫使我们放弃了通常进行的额外验证，那么在回复邮件时尝试恢复这种习惯将使我们保持安全。

如果你想回复未经请求的邮件，请尝试质疑邮件内容的真实性，就像你在电话中收到同样请求时会做的那样。请记住，任何未经请求的邮件都是高风险。

以下是针对常见诈骗的四个快速提示：

1. 如果未经请求的邮件承诺免费彩票、工作或任何回报，很可能是假的。生活中没有免费的东西
2. 如果未经请求的邮件承诺异常高的回报率或收益，请避免。这是假的或骗局
3. 如果未经请求的邮件要求个人信息，很可能是个骗局。可能不会让你损失金钱，但往往会用垃圾邮件填满你的收件箱
4. 如果邮件别名是你认识的人，但邮件ID不同，这是专门设计来避开垃圾邮件过滤器的诈骗邮件

在阅读下一封未经请求的邮件时，请记住这些提示。在我的下一篇博客中，我们将探讨如何避免被来自真实但被黑客入侵的邮件ID诈骗。