没有人愿意相信他们可能会成为网络钓鱼攻击的受害者。但是,网络钓鱼攻击正在不断增加,并且比以往更加复杂多变。

网络钓鱼攻击被认定为是公司和个人面临的最常见的安全威胁之一,这绝不是空穴来风,因为网络钓鱼攻击会使网络犯罪分子有足够的机会来获得最大化利润。据统计,公司每年因电子邮件诈骗所承受数十亿美元的损失,去年损失高达27亿美元。

对于组织而言,利用先进的安全技术(如用户身份验证、安全电子邮件网关和电子邮件身份验证防御)至关重要。

Verizon透露,不幸的是,网络钓鱼诈骗不断的进入电子邮件收件箱,并且将近30%的目标收件人打开了网络钓鱼电子邮件。令人难以置信的点击率说明了这些骗局对于普通用户来说非常吸引,而且成功率很高。虽然黑客在邮件中发布伪装或诱惑内容,但仍有一些方法可以识别网络钓鱼电子邮件。这里有10条安全指南可共我们参考。

防止电子邮件网络钓鱼攻击的10种方法

1. 点击之前请三思

为了看起来更真实,相对以前,网络钓鱼电子邮件的复杂程度将越来越高,其中甚至可能包含一些链接,这些链接可能会将您定向到与原始网站完全相同的伪造网站,所以不假思索的单击链接不是明智之举。将鼠标悬停在它上面,看看它是否将您引向正确的网站。更好的方法是,完全避免点击链接,从有安全防御措施的浏览器中访问网站。

在某些情况下,网络犯罪分子可能冒充工作人员,要求您通过点击链接来更改或确认您的详细信息。这是电子邮件骗局的典型示例。

2. 留意那些自己感兴趣的电子邮件

网络钓鱼攻击经常被伪装成人们感兴趣的文档或电子邮件,比如:银行记录、密码更改请求、用户订阅的电子邮件、甚至是公司IT部门发出的电子邮件。

在下载任何附件(尤其是未经请求的电子邮件)之前,请确保已进行检查,保险起见,多次检查发件人的电子邮件地址,并注意高风险的附件文件。

有时,发件人的电子邮件地址可能看起来与公司的官方电子邮件地址很相似,并且用户可能无法捕获该电子邮件地址。VirusTotal是一个免费的便捷工具,可用于扫描附件中的病毒。

3. 了解网络钓鱼技术

网络犯罪分子会不断的进步,以各种方法使自己的钓鱼邮件更加真实。如果不紧跟最新技术,您可能会陷入威胁中。所以通过随时了解目前网络钓鱼的情况,您可能会尽早识破这些骗局。

网络专家强调,鱼叉式网络钓鱼攻击正在上升。网络钓鱼诈骗通常针对大量人群,大面积撒网,从而期盼其中少数成为受害者,而鱼叉式网络钓鱼的目标特定的个人或小团体,而且复杂得多,经常进行假冒攻击。

这些电子邮件可能看起来像来自受信任的公司平台,并且还包含高度个性化的上下文来欺骗收件人。

鱼叉式网络钓鱼通常以具有访问有价值数据权限的人为目标。最常见的情况是,没有发件人策略框架(SPF)的公司会成为此攻击的受害者。SPF是一种电子邮件身份验证系统,可检测并阻止垃圾邮件发送者从伪造的电子邮件地址发送电子邮件。

通过利用这一盲点,黑客们制造了上下文驱动的电子邮件,这些数据是从在线文档中获取的,可以追踪接收者的详细信息。这可能包括此人所从事的最新项目、参与该项目的团队成员以及用于创建文档的软件版本的任何内容。

如果黑客获得了这些详细信息,则可以将包含此上下文的电子邮件发送给收件人。例如它可以是,“嗨,Andres,你能看看Jane写的报告吗?她说你会给我们一些反馈”——来自一个合法的电子邮件账户。

一旦计算机受到威胁,攻击者就可以访问公司网络以扩大网络钓鱼攻击。网上搜索你会发现,像白宫和美国国防部这样的组织也因为类似的攻击而受到损害。

资料来源:CNN

4. 合法的公司从不要求通过电子邮件提供敏感信息

千万不要通过电子邮件提供敏感信息,如果你收到一封要求你提供信用卡详细信息、税号、社会保险信息或任何其他敏感信息的电子邮件,那就它肯定是一个骗局。

如果需要提供敏感数据,请确保您直接通过安全网络登录到网站并提交信息。

5. 注意电子邮件域名

注意发件人的电子邮件地址,如果电子邮件地址似乎不是来自真实的公司提供的帐户,或似乎与您以前从公司收到的电子邮件不一致,那么这很可能是一个潜在的危险信号。这可能是一封非常有说服力的电子邮件,但是如果你仔细观察,电子邮件域可能不是合法的。

6. 注意语法错误

识别诈骗邮件最简单的方法之一就是通过错误的语法。黑客并不愚蠢——他们的目标是瞄准那些不太善于观察、或没有受过教育的人,因为他们更容易成为受害者。

7. 合法公司不会强迫您下载垃圾邮件

您可能会注意到,有些电子邮件会在您单击时将您重定向到恶意网站或伪造的网页。您收到的整个电子邮件可能是个巨大的超链接,如果您单击电子邮件中的任意位置,它将自动下载垃圾邮件附件或打开不安全的网站。

8. 检查链接的文本是否与合法的URL匹配

仔细检查链接到文本的URL。如果它与显示的URL不一致,则表明你可能被重定向到了一个你不想访问的网站。如果链接与电子邮件的上下文不匹配,请不要信任它。

SSL的存在并不能告诉您有关网站合法性的任何信息,SSL / TLS证书是用于加密浏览器和服务器之间的连接,从而避免了黑客入侵。

为了检查该网站是否安全, 我们需要弄清楚该URL是否是从未知来源收到的,我们建议您在单击该URL之前先对其进行交叉检查。

9. 当心恐吓战术

“告诉您获得了一笔巨款或中了上亿彩票”是大多数攻击者常用的策略。一些黑客还试图通过您的敏感时间截点的事件(比如:您的信用卡逾期),来令您产生焦虑和担忧情绪,从而最后促使您提供敏感信息。

诈骗者不仅使用银行或信用卡提供商作为网络钓鱼电子邮件的掩护。他们还通过发送看似来自国税局或其他政府机构的通知来吓唬他们的目标,让他们中圈套。

10. 安装反网络钓鱼工具栏

如今,大多数浏览器都支持反网络钓鱼工具栏,这些工具可以在您访问的网站上进行快速检查,并将数据与已知网络钓鱼网页列表进行比较。如果您点击打开恶意网站的链接,工具栏将能够向您发出警报。

防病毒软件也是检测有害文件的好工具。这些软件会扫描通过Internet传输到设备上的所有文件。反间谍软件和防火墙设置还可以提供附加的安全防护。

但是,没有一种万无一失的方法来避免网络钓鱼诈骗或恶意攻击。网络诈骗将不断演变,故此,确保使用强大的安全解决方案,以减少遭受网络钓鱼电子邮件攻击的风险。