如何避免网络钓鱼攻击

在提高数字安全的过程中，您可能会遇到试图破坏您的安全目标的坏人。我们将这些坏人称为攻击者。攻击者发送看似无害但实际上恶意的电子邮件（或短信或通过应用程序发消息）或者链接，这就是“网络钓鱼”。

网络钓鱼攻击通常以信息的形式出现，目的是诓骗您：

• 点击链接
• 打开文档
• 在设备上安装软件
• 在伪装成合法的网站上输入用户名和密码

网络钓鱼攻击通常是为了骗取您的密码或者诱骗您在设备上安装恶意软件。然后，攻击者就能使用恶意软件远程控制您的设备、窃取信息或监视您。

本指南将帮助您在遭遇网络钓鱼攻击将其识别出来，并概述了一些有助于抵御网络钓鱼攻击的实用方法。

虽然我们在本指南中主要讨论的是电子邮件网络钓鱼，但这些技术并不只针对电子邮件；它们可以通过电话、短信或具有聊天功能的应用程序来实施。

网络钓鱼攻击的类型 #

骗取密码的网络钓鱼（即凭证窃取） #

网络钓鱼者给您发送欺骗性链接，企图骗取您的密码。信息中的网址可能看起来是某个目的地，但实际指向另一个目的地。在电脑上，将鼠标悬停在链接上通常可以看到目的地 URL。但是，链接可以通过“相似字母”或使用与合法域名相差一个字母的域名来进一步伪装，可能将您导向一个看似指向您使用的服务（如 Gmail 或 Dropbox）的网页。这些假冒的盗版登录屏幕往往看起来毫无破绽，很容易让人输入用户名和密码。一旦输入，您就会将自己的登录凭证发给攻击者。

因此输入任何密码之前，都要先看看网络浏览器的地址栏。它将显示网页的真实域名。如果与您认为要登录的网站不符，请不要继续！在网页上看到公司标识并不能证实它是真实的。任何人都能将标识或设计复制到他们自己的网页上，试图欺骗你。

有些网络钓鱼者使用与常用网址相似的网站来欺骗您：https://wwwpaypal.com/ 和 https://www.paypal.com/ 不一样。同样，https://www.paypaI.com/（这里是大写的“i”，而不是小写的“L”）和 https://www.paypal.com/ 也不一样。 许多人使用 URL 缩短器来简化长 URL，以方便阅读或输入，但这些 URL 缩短器可能被用来隐藏恶意目的地。如果收到缩短的 URL，例如 Twitter 的 t.co 链接，最好将其复制到 https://www.checkshorturl.com/中，看看它实际指向哪里。

电子邮件的发件人也不能相信。电子邮件很容易伪造，以显示虚假的回信地址。也就是说，检查发件人表面上的电子邮件地址并不足以确认电子邮件确实是由其显示的发件人发出的。

鱼叉式网络钓鱼（语音、短信等方式的网络钓鱼） #

大多数网络钓鱼攻击都是广泛撒网。攻击者可能发送电子邮件给好几千人，声称有精彩视频、重要文件、发货通知或账单纠纷。

不过，有时攻击者会知道一些个人细节，导致网络钓鱼攻击具有针对性。这就是“鱼叉式网络钓鱼”。假设您收到一封来自 Boris 叔叔的电子邮件，说里面有他孩子的照片。由于 Boris 真的有孩子，而且邮件看起来是他的邮箱发来的，于是您打开了邮件。当您打开电子邮件，附件里有一个 PDF 文档。当您打开 PDF，它甚至真的显示了 Boris 孩子的照片，但它还悄悄地在您的设备上安装了可以监视您的恶意软件。Boris 叔叔没有发送这封电子邮件，做这件事的是一个知道您有个叔叔叫 Boris（而且他有孩子）的人。您点击的 PDF 文档启动了您的 PDF 阅读器，但利用该软件的一个漏洞来运行自己的代码。除了显示 PDF 之外，它还下载了一个恶意软件到您的电脑上。该恶意软件可以检索您的通讯录，还可以将设备摄像头和麦克风捕捉到的内容录下来。

鱼叉式网络钓鱼的另一种形式是语音网络钓鱼，即攻击者冒充特定目标，甚至会对其声音进行 AI 克隆。如果声音听起来不对劲或向您索要钱财等不寻常的东西，请要求他们用其他方式验证身份（例如说出一些只有你们俩知道的事情或用另一个账户发送信息）。

保护自己不受网络钓鱼攻击的最好方法是绝不点击任何链接或打开任何附件。但对于大多数人而言，这不现实。因此，以下提供一些防御网络钓鱼的实用方法。

如何防御网络钓鱼攻击 #

及时更新软件 #

使用恶意软件的网络钓鱼攻击通常依靠软件漏洞来将恶意软件安置到您的设备上。通常，一旦有漏洞被发现，软件制造商就会发布更新来进行修复。这意味着，旧版软件存在更多公开的漏洞，可以被利用来安装恶意软件。及时更新软件可降低恶意软件风险。

使用带自动填充功能的密码管理器 #

可以自动填充密码的密码管理器会记录这些密码分别属于哪个网站。人类容易被假冒的登录页面欺骗，但密码管理器不会。如果您使用密码管理器（包括浏览器内置的密码管理器），而它拒绝自动填充密码，您应该停下来仔细检查您正在访问的网站。更好的办法是，使用随机生成的密码，这样您就不得不依赖自动填充，也不太可能在假冒的登录页面上输入密码。不过请注意，网站可以（也确实会）更改其登录页面，有时这会使自动填充功能失效，即使是在合法网站上。如果不确定，应直接使用浏览器打开网站的登录页面，而不是点击消息中附带的链接。

向发件人核实电子邮件和短信 #

要确定电子邮件或短信是不是网络钓鱼工具，可以换一种渠道向所谓的发送者确认。如果电子邮件或短信自称是银行发送的，不要点击链接。直接致电银行，或者打开浏览器，输入银行网站的 URL。同样，如果您的叔叔 Boris 发来一个奇怪的电子邮件附件，在打开之前，先发短信问问他有没有给您发他孩子的照片。

在 Google 云盘中打开可疑文档 #

有些人期待收到陌生人发来的附件。例如，记者通常会收到消息来源提供的文件。但要验证 Word 文档、Excel 电子表格或 PDF 文件是否为恶意文件却很困难。

在这种情况下，不要双击已下载下的文件。而是将其上传到 Google Drive 或者其他在线文档阅读器。这会将文档转换成图像或者 HTML，基本上能防止文档在设备上安装恶意软件。

如果您善于学习使用新软件，愿意花时间为阅读邮件或外语文档设置新环境，并且收到的此类邮件数量值得您花额外的时间，那么可以考虑使用专门为限制恶意软件的影响而设计的操作系统。Tails 是基于 Linux 的操作系统，使用后会自动删除。Qubes 也是基于 Linux 的操作系统，会将应用程序严格分开，使它们不能相互干扰，从而限制恶意软件的影响。这两个操作系统都能在笔记本电脑和台式电脑上使用。

不信任的链接和文件也可以提交到 VirusTotal，这是一个在线服务，可以根据多个不同的杀毒引擎检查文件和链接并报告结果。这并非万无一失——杀毒软件经常检测不到新的恶意软件或有针对性的攻击，但有总比没有好。不过请注意，上传到 VirusTotal 或 Google Drive 等公共网站的任何文件或链接都可能被该公司的任何员工查看，（如果是 VirusTotal）还可能被可以访问该网站的任何人查看。如果文件包含敏感信息或保密信息，最好换一种方式。

在登录时使用通用第二因素 (U2F) 密钥 #

有些网站允许使用具有高级功能的特殊硬件令牌来防止网络钓鱼。这些令牌（即“密钥”）与浏览器通信，以建立每个网站的登录凭证。这被称为通用第二因素（简称“U2F”），因为它是要求登录时除密码外提供第二种身份验证方法的标准方式。您只需要正常登录，（根据提示）将密钥插入电脑或者智能手机，按一个按钮即可登录。如果您访问的是网络钓鱼网站，浏览器就会知道不能使用在合法网站上建立的凭据登录。这意味着即使网络钓鱼者骗走了您的密码，仍然无法入侵您的账户。Yubico（此类密钥的制造商之一）提供有关 U2F 的更多信息。

不要将这个和双因素验证弄混了，后者可能提供也可能不提供网络钓鱼保护。通行密钥是一种较新的登录选项，可以提供网络钓鱼保护，应该尽量使用（如有）。使用通行密钥时，您的浏览器确切地知道哪个网站使用哪个通行密钥，并且不会被冒牌网站欺骗。

警惕电子邮件里发来的指令 #

有些网络钓鱼邮件声称来自计算机支持部门或技术公司，要求您回复密码，允许“计算机维修人员”远程访问您的计算机，或禁用设备上的某些安全功能。这些邮件通常语气强硬，试图利用恐惧来欺骗您。

例如，可能有一封电子邮件声称您的电子邮箱已满或您的电脑被黑客入侵了，所以有必要这样做。但如果真的听从这些诈骗指令，您的安全就会出现问题。在向任何人提供技术数据或遵循技术指示之前要特别小心，除非能绝对确定请求的来源是真实的。大多数公司不会主动联系您来为您修复故障。他们至多通知您即将发生的变更或数据流量超额，并附上一个公共文档链接。

如果收到可疑电子邮件或者链接，不要打开邮件或点击链接，请先根据上述提示降低风险，并确信没有恶意。

在电子邮件软件中禁用外部图片 #

电子邮件中的图片可用于跟踪谁在何时打开了电子邮件。市场营销的电子邮件中可能含有很多这种图片，但它们也会被用于网络钓鱼。因此，不要一直允许在每封邮件中加载每张图片，而是最好将电子邮件客户端（无论是应用程序（如 Outlook）还是服务（如 Gmail））设置为“Ask before displaying external images”（在显示外部图片前询问）。设置此选项后，每封邮件都要点击一个选项才能加载图片。有些电子邮件应用程序还提供其他隐私保护措施，如苹果公司的“邮件”应用程序默认情况下会远程加载所有图片。