钓鱼邮件:100%点击率的网络安全陷阱
惊人的统计数据!你肯定会质疑这个数字的大胆程度。但我可以自信地告诉你,即使是安全专家也无法完全免疫钓鱼邮件的陷阱。这正是为什么连最成熟的安全公司也会被黑客攻破的原因。
任何人都会点击那些强烈触动人类情感的邮件内容。每颗钓鱼子弹上都刻着某个人的名字。为说明这一点,让我们研究两个典型案例。
疫情相关诈骗
你接到陌生来电,对方声称需要你的个人信息和电话号码来注册疫苗接种计划,并要求通过短信链接支付费用。此时你可能会自问:是否会向来电者提供个人信息?大概率不会,至少会在核实项目和对方身份前保持警惕。
但如果是通过电子邮件提出相同请求呢?大多数渴望接种疫苗的人会直接填写信息等待后续指示。如果诈骗者的目标是钱财,这将是第二步操作;有时仅获取个人信息就能让诈骗者满意。
商业邮件欺诈
网络犯罪分子在过去四年通过这种欺诈手段获利260亿美元。虽然形式多样,但第一步总是锁定愿意响应"高管指令"的员工。当公司CEO或CFO发来邮件时,你的反应是什么?大概率是立即响应。
关键陷阱在于:虽然发件人别名正确,但邮箱地址却是Hotmail或Google等公共邮箱。例如你的CEO是Lucius Lobo,发件地址却显示为Lucius Lobo jynx234@hotmail.com。快速响应高管压力的冲动,会让员工跳过本应进行的基本验证。
防御策略
如果人类情感会让我们放弃常规的额外验证,那么在处理邮件时恢复这种习惯就能保障安全。回复未经请求的邮件时,应像接听电话时那样质疑内容的真实性。记住:任何未经请求的邮件都是高风险。
四大快速识别技巧:
- 承诺免费彩票、工作或回报的邮件很可能是假的——天下没有免费的午餐
- 承诺异常高回报的邮件应当避开——不是骗局就是欺诈
- 索要个人信息的邮件大概率是骗局——即使不造成金钱损失,也会用垃圾邮件填满收件箱
- 发件人别名熟悉但邮箱地址陌生的邮件——这是专门规避垃圾邮件过滤器的诈骗邮件
牢记这些技巧,当你阅读下一封未经请求的邮件时就能保持警惕。在下一篇博客中,我们将探讨如何避免被真实但被黑客入侵的邮箱地址诈骗。