网络钓鱼是一种网络犯罪,指的是通过发送伪装成合法机构或个人的电子邮件、电话或短信,诱骗目标用户提供敏感信息,如个人身份信息、银行账户和信用卡详情、密码等。这些信息被用来非法访问重要账户,造成身份盗用和财务损失。

网络钓鱼的术语最早出现在1995年的黑客工具包AOHell中,但可能更早就已经在黑客杂志2600中使用。它是fishing(钓鱼)的变体,意指使用诱饵来“钓取”敏感信息。

防止或减少网络钓鱼攻击的措施包括立法、用户教育、公众意识和技术安全措施。网络钓鱼意识的重要性已经在个人和专业领域都有所提高,因为网络钓鱼攻击在企业中从2017年到2020年增长了从72%到86%。

网络钓鱼的常见形式

网络钓鱼的常见形式有以下几种:

电子邮件钓鱼

这是最常见的网络钓鱼攻击方式,即通过发送假冒的电子邮件,试图让你相信他们是你信任的人或组织,并诱导你采取某些行动,比如打开附件、点击链接、填写表单或回复个人信息。例如,一个电子邮件钓鱼诈骗可能是这样的:你收到一封来自你的银行的警告邮件。当你点击邮件中的链接时,你被带到一个看起来像你的银行的网页。但实际上,这个网站是专门设计用来窃取你的信息的。警告会说你的账户有问题,并要求你确认你的登录名和密码。在你在出现的页面上输入你的凭证后,你通常会被发送到真正的机构,让你再次输入你的信息。通过将你引导到合法的机构,你不会立即意识到你的信息被盗了。

HTTPS钓鱼

这是一种利用恶意网站窃取你的个人信息的方式。为了让你访问这些网站,网络钓鱼者会在电子邮件中隐藏恶意链接,通常伪装成一个合法网站的链接。例如,一个HTTPS钓鱼诈骗可能是这样的:一封电子邮件要求你登录Instagram来保护你的账户。在电子邮件中,它看起来像你在跟Instagram支持人员交谈,但实际上这都是一个骗局。当你点击链接时,你会被带到一个假网站,该网站旨在窃取你的登录凭证。

网络电话钓鱼(vishing)

这是一种利用电话或语音消息欺骗目标用户提供敏感信息或执行某些操作的方式。例如,一个网络电话钓鱼诈骗可能是这样的:你收到一通来自“税务局”的电话,声称你欠了一笔税款,并威胁说如果不立即支付,就会采取法律行动。电话会要求你提供你的银行账户或信用卡信息,并指示你拨打一个特定号码进行支付。

网站仿冒(pharming)

这是一种通过修改域名系统(DNS)或本地主机文件,将用户从合法网站重定向到恶意网站的方式。例如,一个网站仿冒诈骗可能是这样的:你在浏览器中输入你的银行网站的地址,但由于你的电脑或网络被篡改了,你被引导到一个看起来与你的银行相似的假网站。在那里,你被要求输入你的登录名和密码,从而暴露了你的信息。

鱼叉式钓鱼(spear phishing)

这是一种针对特定个人或组织的网络钓鱼攻击方式,通过伪装成可信任的来源,获取目标用户的信息或访问权限。与普通的网络钓鱼不同,鱼叉式钓鱼更加精准和个性化,通常利用目标用户的个人信息、工作职责、社交关系等来增加可信度。例如,一个鱼叉式钓鱼诈骗可能是这样的:你收到一封来自你的老板或同事的电子邮件,要求你查看一个重要的文件或项目,并附上一个链接或附件。当你点击链接或打开附件时,你可能会下载了恶意软件,或者被带到一个要求你输入你的工作账户和密码的假网站。

如何识别网络钓鱼攻击

如何识别网络钓鱼攻击有以下几种方法:

怀疑语法和拼写错误

网络钓鱼邮件通常存在一些语法和拼写错误,这可能是因为网络钓鱼者使用了自动翻译工具或者没有仔细检查他们的邮件。如果你发现一封邮件中有很多奇怪或不自然的用词或表达,那么它很可能是一封网络钓鱼邮件。

质疑索要个人信息

正规的机构或个人通常不会通过电子邮件、电话或短信来要求你提供敏感信息,如密码、银行账户、信用卡号、社会保障号等。如果你收到这样的请求,不要轻易回复或点击任何链接。最好直接联系该机构或个人,确认他们是否真的向你发送了这样的请求。

警惕警告和潜在后果

网络钓鱼邮件通常包含一些警告或威胁性的内容,比如说你的账户有问题、你有未付款项、你有法律纠纷等。这些内容旨在制造恐慌和紧迫感,让你不加思考地采取行动。如果你收到这样的邮件,不要轻信或恐慌。最好先核实邮件中提供的信息是否真实有效。

注意紧急截止日期

网络钓鱼邮件通常会给你一个紧急的截止日期,比如说你必须在24小时内回复或点击链接,否则就会失去某些机会或面临某些后果。这些截止日期也是为了让你感到压力和焦虑,让你不去验证邮件中提供的信息是否正确。如果你收到这样的邮件,不要轻易屈服于压力。最好先检查邮件中提供的联系方式是否真实可靠。

拒绝巨大财务回报

网络钓鱼邮件通常会给你一个巨大的财务回报,比如说你中了彩票、你继承了一笔遗产、你被选中参加一个抽奖活动等。这些回报也是为了吸引你的注意力和贪婪,让你不去怀疑邮件中提供的信息是否合法。如果你收到这样的邮件,不要轻易相信或回复。最好先查看邮件中提供的来源是否真实可信。

总之,网络钓鱼是一种严重的网络犯罪,它利用人们的信任、恐惧、焦虑和贪婪来窃取他们的敏感信息和财产。为了保护自己免受网络钓鱼攻击,我们需要提高我们的网络安全意识和技能,学会识别和防范网络钓鱼邮件和网站,并及时报告任何可疑的活动。只有这样,我们才能在网络空间享受安全和自由。