钓鱼

什么是网络钓鱼

网络钓鱼 (Phishing) 是一种冒充可信组织或个人，骗取密码、信用卡号、个人信息等敏感数据的网络攻击。该词被认为是"fishing (钓鱼)"和"sophisticated (精密的)"的组合词。

据安全机构报告，网络钓鱼每年都位列十大安全威胁之中，损失持续增长。生成式 AI 的兴起使钓鱼邮件和假冒网站越来越精密，越来越难以与合法通信区分。

常见手法

• 邮件钓鱼：最常见的手法 - - 冒充银行或服务商的邮件将受害者引导至假冒网站。通常使用"您的账户已被冻结""检测到未授权访问"等制造紧迫感的措辞。
• 短信钓鱼 (Smishing)：通过短信进行的钓鱼。冒充快递通知或欠费通知的案例激增。智能手机用户因小屏幕难以验证 URL 而特别容易受害。
• 鱼叉式钓鱼：针对特定个人或组织的定向攻击。攻击者调查目标的职位、项目和人际关系，制作高度个性化的消息。用于商业邮件诈骗 (BEC) 攻击。
• 语音钓鱼 (Vishing)：冒充银行职员或技术支持的电话钓鱼。来电者制造紧迫感以套取密码或一次性验证码。深度伪造语音合成使这种手法更具说服力。
• 克隆钓鱼：复制受害者之前收到的合法邮件，将附件或链接替换为恶意内容后重新发送。由于内容看起来很熟悉，极难识别。

如何识别假冒网站

检查以下几点可以帮助您识别钓鱼网站。

• 检查 URL：注意与真实域名仅差一个字符的域名 (如 amaz0n.com) 或将真实名称作为子域名的假域名 (如 amazon.security-check.com)。
• 仅有 HTTPS 不够：大多数钓鱼网站现在都使用 HTTPS。锁形图标仅表示连接已加密，不保证网站的合法性。
• 检查设计：寻找与真实网站的细微差异 - - logo 错位、字体不自然、链接失效或页面缺失。
• 验证发件人：检查邮件发件人的实际地址 (不仅是显示名称)。钓鱼邮件常使用与真实域名相似但不同的地址。
• 悬停后再点击：将鼠标悬停在链接上预览目标 URL。如果与文字显示的不同，不要点击。

遭受攻击后的应对

如果您在钓鱼网站上输入了信息，请立即采取以下措施。

1. 立即更改受影响服务的密码
2. 更改使用相同密码的其他所有服务的密码
3. 如果输入了信用卡信息，联系发卡机构请求冻结
4. 在所有重要账户上启用双因素认证
5. 监控账户是否有未授权的交易或变更
6. 举报钓鱼网站 (向 Google Safe Browsing、反钓鱼工作组或国家网络安全机构)

最新钓鱼技术

钓鱼攻击每年都在变得更加精密，仅仅"注意可疑邮件"已经不够了。

二维码钓鱼 (Quishing) 使用嵌入邮件或印刷品中的二维码将受害者重定向到假冒网站。由于二维码在视觉上隐藏了 URL，受害者在智能手机上扫描的瞬间就会访问钓鱼网站。

中间人钓鱼 (AiTM) 使用反向代理实时中继受害者与真实网站之间的通信。即使启用了双因素认证也能窃取会话 Cookie，绕过 MFA 保护。这种技术已在针对 Microsoft 365 和 Google Workspace 的大规模攻击中被观察到。

浏览器中的浏览器 (BitB) 在页面内创建假的浏览器弹出窗口，显示伪造的登录界面。假窗口模拟了 URL 栏，几乎无法与真实的认证弹窗区分。

常见误解

钓鱼邮件一看就能识别

现代钓鱼邮件非常精密，往往与合法邮件几乎无法区分。特别是鱼叉式钓鱼使用真实的商业伙伴或同事姓名，即使安全专家也可能被骗。

有 HTTPS (锁形图标) 就安全

随着 Let's Encrypt 等免费 SSL 证书的普及，绝大多数钓鱼网站都支持 HTTPS。锁形图标仅表示连接已加密，不保证网站的合法性。

相关术语