网络钓鱼攻击被描述为企业和个人面临的最常见的安全挑战之一,这是有充分理由的——网络犯罪分子有充分的机会实现利润最大化。企业每年因电子邮件诈骗而损失数十亿美元,去年损失的数字攀升至27亿美元。
对于企业而言,利用先进的安全技术(例如用户身份验证、安全电子邮件网关和电子邮件身份验证防御)至关重要。不幸的是,网络钓鱼诈骗仍在继续进入电子邮件收件箱——Verizon透露,近30%的目标收件人打开了网络钓鱼电子邮件。
这个高得令人难以置信的点击率说明了为什么这些骗局仍然很受欢迎——它很有效,而且通常会带来巨大的收益。尽管黑客伪装了他们的诱饵,但仍有一些方法可以识别网络钓鱼电子邮件。这里有10条安全准则,以确保用户个人的安全。
防止电子邮件网络钓鱼攻击的10种方法
1.三思而后行
网络钓鱼电子邮件以“来自被废黜的赞比亚王子之子的问候”这种很低级的开头的日子已经一去不复返了。为了看起来合法,如今的网络钓鱼电子邮件变得更加复杂,甚至可能包含将您引导至与原始网站完全相同的网站的链接。单击随机链接并不是明智之举。您可以将鼠标悬停在它上面以查看它们是否会将您引导至正确的网站。更好的选择是完全避免链接,直接从安全浏览器访问网站。
在某些情况下,网络犯罪分子可能会冒充员工,要求您通过单击链接更改或确认您的详细信息。
2.期待意料之外的
通常,网络钓鱼攻击伪装成来自某人或公司的文档或电子邮件——包括银行记录、密码更改请求、用户订阅的电子邮件,或者来自您公司IT部门的电子邮件。
确保在下载任何附件之前进行检查,尤其是未经请求的电子邮件。更好的做法是,仔细检查发件人的电子邮件地址并留意高风险附件文件。VirusTotal是一款免费、方便的工具,可用于扫描附件中的病毒。有时,发件人的电子邮件地址可能与公司的官方电子邮件地址相似,用户可能无法识别。
3.掌握网络钓鱼技术
网络犯罪分子一直在寻找尽可能真实和合法的骗局。如果不掌握最新的钓鱼技术,您可能会成为其中的牺牲品。通过让自己了解情况,您可能会尽早发现这些骗局。
网络专家强调,鱼叉式网络钓鱼攻击呈上升趋势。虽然网络钓鱼诈骗通常针对大量受众,希望其中一个人成为受害者,但鱼叉式网络钓鱼针对特定个人或一小群人。他们比其他人复杂得多,并且经常进行模拟攻击。
这些电子邮件可能看起来像是来自受信任的公司平台,并且还包含高度个性化的上下文以欺骗收件人。
这是怎么做的?鱼叉式网络钓鱼通常针对具有访问有价值数据权限的人。大多数情况下,没有发件人策略框架(SPF)——一种电子邮件身份验证系统,可检测并防止垃圾邮件发送者从伪造的电子邮件地址发送电子邮件——的公司会成为这种攻击的受害者。
通过利用这个盲点,黑客们制作了上下文驱动的电子邮件——这些数据是从追踪接受者详细信息的在线文档中获取的,可能包括此人参与的最新项目、参与此项目的团队成员以及用于创建文档的软件版本。
如果黑客获得了这些详细信息,则可以向接收者发送一封涵盖此上下文的电子邮件。例如,它可以写成“嗨安德烈斯,你能看看简正在处理的报告吗?她提到你会给我们一些反馈”,并从一个看起来合法的电子邮件帐户发送。
一旦他们的计算机遭到入侵,攻击者就可以访问公司网络以扩展网络钓鱼攻击。快速搜索显示,白宫和美国国防部等组织也因类似攻击而受到损害。
4.合法公司从不通过电子邮件询问敏感信息
切勿通过电子邮件提供敏感信息,如果您收到一封电子邮件,要求您提供信用卡详细信息、税号、社会保障信息或任何其他敏感详细信息,这很可能是骗局。
如果需要数据,请确保您直接通过安全网络登录网站并提交信息。
5.留意电子邮件域
注意发件人的电子邮件地址——如果电子邮件地址似乎不是来自真实的公司提供的帐户,或者似乎与您之前从公司收到的电子邮件不一致,这可能意味着一个危险的信号。尽管这是一封看起来很真实的电子邮件,但如果您仔细观察,电子邮件域不是合法的。
6.注意错误的语法
识别诈骗电子邮件的最简单方法之一是通过错误的语法。黑客并不愚蠢——他们的目标是针对不那么细心、通常没有受过教育的人,因为他们更容易成为受害者。
7.合法公司不会强迫您下载垃圾邮件
您可能会注意到,无论您点击何处,某些电子邮件都会将您重定向到流氓网站或虚假网页——整个电子邮件将是一个巨大的超链接,如果您点击电子邮件中的任何地方,它会自动下载垃圾邮件附件或打开一个不安全的网站。
8.检查链接的文本是否与合法的URL匹配
仔细检查链接到文本的URL。如果它与显示的URL不同,则表明您可能会被定向到不想访问的网站。如果链接与电子邮件的上下文不匹配,请不要相信它。
SSL的存在并不能告诉您有关站点合法性的任何信息,SSL/TLS证书用于加密浏览器和服务器之间的连接,从而避免黑客入侵。
为了确认这个网站是否安全,我们需要弄清楚URL是否来自未知来源,我们建议在点击它之前交叉检查URL。
9.注意恐吓策略
承诺立即致富或赢得数亿彩票是黑客们的常见策略。黑客试图通过提示您这个页面的时效性,从而利用您的焦虑或担忧,以此来让您提供敏感信息。
诈骗者不仅将银行或信用卡提供商用作其网络钓鱼电子邮件的掩护,他们还通过发送似乎来自IRS或其他政府机构的通知来吓唬他们的目标,让他们放弃敏感信息。
10.安装反钓鱼工具栏
今天,大多数浏览器都支持反网络钓鱼工具栏,可以对您访问的网站进行快速检查,并将数据与已知网络钓鱼网页列表进行比较。如果您意外地点击打开恶意网站的链接,工具栏将能够提醒您。
防病毒软件也是检测有害文件的绝佳工具。这些软件会扫描通过互联网传输到您设备上的所有文件。反间谍软件和防火墙设置还可以提供额外的安全层。
但是,没有万无一失的方法可以避免网络钓鱼诈骗或恶意攻击。网络诈骗不断发展。请确保您使用了强大的安全解决方案,以降低您成为网络钓鱼电子邮件牺牲品的风险。