返回指南

如何保护自己免受钓鱼邮件和虚假网站的侵害

网络钓鱼是骗子窃取凭据、掏空银行账户并获取敏感信息的最常见方式之一。好消息是:您可以学会识别并避开钓鱼攻击。

什么是网络钓鱼?

网络钓鱼是一种骗局,攻击者冒充合法机构(银行、PayPal、Microsoft、Apple 等)来诱骗您透露密码、信用卡号或其他敏感信息。大多数钓鱼通过电子邮件进行,但也会通过短信(短信钓鱼)、电话(语音钓鱼)和虚假网站进行。

为什么网络钓鱼如此有效

  • 虚假邮件看起来与真实邮件几乎一模一样
  • 攻击者制造人为的紧迫感("您的账户将被关闭"、"检测到可疑活动")
  • 人们往往不会仔细检查网址
  • 大多数人会收到成千上万封合法邮件,使得虚假邮件更容易被忽略
  • 合法公司偶尔会发送类似的邮件,这会让人困惑

如何识别钓鱼邮件

检查发件人的电子邮件地址

这是最重要的检查之一。合法公司会从其官方域名发送邮件。来自 "paypa1.com"(用数字 1 代替字母 l)或 "secure-verification@banking.service" 的邮件不是真的。

专业提示:

将鼠标悬停在邮件中的发件人姓名上,以显示实际的电子邮件地址。有些邮件客户端默认会隐藏真实地址。

可疑的称呼

钓鱼邮件常使用泛泛的称呼,比如"尊敬的客户"、"尊敬的用户"或"尊敬的贵宾会员",而不是您的真实姓名。合法公司知道您的姓名,因为他们拥有您的账户信息。

人为的紧迫感或威胁

"您的账户将在 24 小时内被关闭"、"检测到异常活动"、"立即确认您的信息"、"您的卡已被盗用"。这些话会制造恐慌,妨碍您仔细思考。

索取敏感信息

合法公司绝不会要求您通过电子邮件核实密码、信用卡号、社会安全号码或其他敏感信息。就这么简单。如果一封邮件索取这些信息,那就是钓鱼企图。

与文字不符的链接

将鼠标悬停在邮件中的任意链接上(不要点击)。查看屏幕底部的网址。如果链接文字写着"点击此处验证您的账户",但实际网址是 "malicious-site.com",那就是钓鱼。

拼写、语法或格式错误

专业公司会校对他们的通信内容。带有拼写错误、别扭措辞或糟糕格式的邮件往往是钓鱼企图。不过,有些钓鱼邮件写得很好,所以不要仅凭这一点来判断。

意料之外的附件

合法公司通常不会发送未经请求的附件。要特别警惕您没有索取的 Excel 文件、PDF 或软件下载。这些往往含有恶意软件。

危险信号:"点击此处确认"或"立即验证"

任何要求您点击链接以"确认"、"验证"、"更新"或"验证"您账户的邮件很可能是钓鱼。合法公司可能会要求您登录,但他们会引导您前往其官方网站,而不是通过邮件链接。

如何核实网址

网址很容易伪造。以下是检查网站是否合法的方法:

检查域名(网址的主要部分)

Coinbase 的真实网址是 coinbase.com。虚假网站可能会使用:

  • coibase.com(缺少或替换了 i)
  • coinbase-secure.com(添加了词语)
  • coinbase.net 或 coinbase.co(不同的后缀)
  • mycoinbase.com(添加了前缀)

凭记忆或从可信来源将网址直接输入浏览器。切勿点击邮件或消息中的链接。

查找挂锁标志(HTTPS)

合法网站使用 HTTPS(安全连接)。在浏览器的地址栏中查找挂锁图标。虽然 HTTPS 是标准配置,但有些钓鱼网站也会使用它,所以这有帮助但仅凭这一点还不够。

核实 SSL 证书

点击挂锁查看 SSL 证书。它应当显示合法公司的名称。如果显示的是不同的名称或一个通用的证书提供商,那很可能是假的。

直接前往官方网站

不要点击邮件链接。相反,请在浏览器中输入公司的网站或使用书签。这能确保您访问的是真实网站。如果您的账户有问题,直接登录时就会看到。

使用浏览器的安全工具

现代浏览器(Chrome、Firefox、Safari、Edge)内置钓鱼检测功能。当您即将访问已知的钓鱼网站时,它们可能会向您发出警告。请留意这些警告。

保护您的账户

启用双因素认证(2FA)

即使骗子通过钓鱼获取了您的密码,没有第二重验证因素(通常是来自您手机的验证码)他们也无法登录。请在以下账户上启用 2FA:

  • 电子邮件账户
  • 银行和金融账户
  • 社交媒体账户
  • 密码管理器
  • 任何含有敏感信息的账户

尽可能使用身份验证应用(Google Authenticator、Authy)而非短信,因为短信可能被拦截。

使用独特、强健的密码

使用密码管理器(1Password、Bitwarden、LastPass)为每个账户生成并存储独特的密码。如果一个密码因钓鱼被泄露,其他密码仍然安全。

切勿在邮件链接上输入密码

即使一封邮件看起来合法并要求您"确认您的密码",也不要点击链接。直接登录网站(自己输入网址)以检查是否有问题。

定期检查您的账户

留意您的银行、信用卡和电子邮件账户是否有可疑活动。许多泄露事件数月都未被察觉。及早发现可以防止重大损失。

如果您点击了钓鱼链接该怎么办

您点击了链接但没有输入信息

您很可能没事。只需立即关闭页面。不要停留在虚假网站上。留意您的邮件和账户是否有异常活动,但没有敏感信息被泄露。

您输入了密码

立即在真实网站上更改您的密码(不要通过点击邮件链接)。使用强健、独特的密码。如果尚未启用 2FA,请启用它。留意您的账户是否有未经授权的活动。

您输入了信用卡、银行或个人信息

立即联系您的银行和信用卡公司。报告欺诈。他们可以:

  • 监控您的账户是否有可疑交易
  • 对欺诈性收费提出异议
  • 必要时补发新卡

同时冻结您的信用以防止身份盗窃。联系三家信用机构(Equifax、Experian、TransUnion)。

举报网络钓鱼

向被冒充的公司举报

大多数公司都有一个举报钓鱼的邮箱(通常是 phishing@companyname.com)。将钓鱼邮件转发给他们(如果可能,请包含完整的邮件头)。他们可以关闭虚假网站并警告其他客户。

向您的邮件服务商举报

Gmail、Outlook 和其他邮件服务都有举报按钮。将钓鱼邮件标记为"钓鱼"有助于改进它们的检测系统。

向 FTC 举报

在 reportfraud.ftc.gov 举报网络钓鱼和凭据盗窃。这会创建一份官方记录,并帮助执法部门识别模式。

举报钓鱼网址

将钓鱼网站提交到像 PhishTank.com 这样的滥用数据库。这有助于浏览器和安全提供商封锁这些网站。

记住:合法公司绝不会通过电子邮件索取密码

这是黄金法则。您的银行、邮件服务商、PayPal、Amazon 或任何合法机构绝不会要求您通过电子邮件核实您的密码、社会安全号码或信用卡。如果他们需要就您的账户与您联系,会引导您直接在其安全网站上登录,而不是通过邮件链接。

如何保护自己免受钓鱼邮件和虚假网站的侵害 | AVASC