作者：趋势科技 Vic Hargrave

如果你没时间看完全文，不妨花几秒钟将你的鼠标移到下面三个看似“Google”的链接，再看看浏览器左下角显示的真实链接：

（1）http://www.google.com

（2）http://www.google.com

（3）点击这里访问 Google

这就是一般网络钓鱼常用的陷阱，如果你没有使用可以阻挡恶意链接的防病毒软件，又常常管不住自己的好奇心而随便点击类似这样的链接，这个简单的小动作足以让你成为网络钓鱼的受害者。

根据 Dark Reading 的文章 – 「Study: Phishing Messages Elude Filters, Frequently Hit Untrained Users（研究：网络钓鱼邮件避开过滤软件，经常命中未经训练的用户）」，目前依然有很多人被网络钓鱼邮件所骗。

该文章总结了在 2012 年 7 月举行的 Black Hat USA 安全大会上所做的调查。有 250 个与会者进行了投票，69％ 的人表示每周都会有网络钓鱼邮件进入到自己的的邮箱，超过 25％ 的人表示自己公司有高级主管和其他高权限员工被网络钓鱼攻击成功。

许多网络钓鱼邮件并不难以察觉，但如果你不知道该注意什么，很可能会轻易被骗。

简单来说，网络钓鱼就是想要通过电子邮件或社交媒体获取个人资料的诈骗。有了你的信用卡号码、银行帐户数据或社交媒体账号等数据，坏人就可以偷走你的钱，并且将网继续撒向你网络上的其他朋友。

http://www.google.com居然连到 Yahoo!? 防止网络钓鱼找上你四步骤

以下是我检查是否为网络钓鱼诈骗的清单，以及总结的所有必须做和绝对不能做的事情。其中一些建议来自 Jason Hong （卡内基美隆资工系的助理教授）的文章 – 「The State of Phishing Attacks」，和微软Security and Safety Center网站上的「How to Recognize Phishing Email Messages, Links or Phone Calls（如何识别钓鱼邮件、链接或电话）」。

1.      点击链接前，先移动鼠标检查真实来源

大部分网络钓鱼信息都希望让人访问会收集个人资料的恶意网站。现在这些电子邮件或其他形式的信息都用了 HTML 格式，所以可能会让你在不知不觉地情况下访问恶意网站。因为每个链接都有可能出现和实际网址不符的文字。

例如，以下连结似乎都指向Google：

（1）http://www.google.com

（2）http://www.google.com

（3）点击这里访问 Google

上述网址只有第一个链接会将你带到 Google，另外两个都会将你带到 Yahoo。将鼠标指针停在这些链接上，你可以在左下方的浏览器状态栏上看到实际网址（通常在浏览器或电子邮件软件窗口的底部）。

你可以用同样的方法在大多数支持 HTML 的电子邮件软件内来检查网址链接。有了这个方法，你可以检查要访问的是不是可信赖或熟悉的网站。如果不认得这网站，或网站使用了类似 bit.ly 这样的短网址，或发送来的链接对你是完全陌生的，那么最好不要点。

2.       收到要求提供个人资料的电子邮件要小心，即使信中有该公司的商标

如果收到一封要求提供任何个人资料的邮件，即使里面有正常公司的图示和标识，也有很大可能这是封诈骗邮件。大多数公司会要求你直接到他们的网站登录并进行交易。如果收到这样一封电子邮件，那最好直接联系该公司以确认真伪。而且不要使用电子邮件内的联系方式，请直接通过公司官方网站与他们联系。

3.      小心那些威胁要钱的电子邮件或其他信息

不要被那些威胁说除你付钱，否则就要采取法律行动的邮件所骗，另外还要小心那些试图说服你捐钱给从未听过的可疑慈善事业的邮件。如果你确实担心这威胁是否真实，或这慈善机构是否合法，请联系相关单位验证其合法性，并直接和他们交易。不要因为紧张就忘记小心谨慎了。

4.       检查邮件内是否有拼写错误和语法错误。

有信誉的公司不会希望给人造成不专业的感觉，所以当你收到写得错字连篇或是不通顺的邮件时，很有可能是假的。

网络钓鱼邮件案例

网络钓鱼攻击不断地发展，变得更复杂更容易上钩。在我们的博客文章 – 「Blackhole Exploit Kit Transforms Phishing（Blackhole漏洞攻击包将网络钓鱼变不同了）」中，趋势科技在 2012 年所收集到的网络钓鱼邮件看起来就像是真实公司所寄出的正常电子邮件。下面有一个例子：

网络钓鱼:假苹果通知信

小编注：网络钓鱼是社会工程学陷阱最典型的体现，例如这个有人从不明位置访问我的 Facebook，要验证账号解除锁定却被钓鱼 的攻击更是让不少人上当！

对大部分人来说，几乎不大可能只看一眼就可以弄清楚这邮件的真假，因为里面没有任何前面所提到的明显钓鱼内容。许多这类钓鱼邮件包含的链接会将没有丝毫怀疑的用户诱导到包含恶意软件的网站链接，随后网络犯罪份子就可以控制受害者的计算机。在大多数情况下，这种新型网络钓鱼邮件和正常版本邮件的唯一分别就是它们所包含的链接。

处理这类邮件的方法之一，就是不要点任何链接，而是直接访问这邮件声称来源的公司网站。这时候你就可以查证是否有这封伪造电子邮件所声称的问题了。

更多关于网络钓鱼的信息

如果想了解更多关于网络钓鱼的数据，可以参考PhishTank，这里提供了关于网络钓鱼的数据和统计信息。他们的网站上提供有查询服务，可以让你在数据库内搜寻你认为可能是钓鱼网站的网址。如果没有找到，你也可以提交网址让 PhishTank 进行评估。当你发现钓鱼网站后，可以将其添加到 PhishTank 的数据库，帮助别人避免被骗。PhishTank 还有一个很棒的常见问题网页，可以回答许多关于网络钓鱼的问题。

不要落入网络钓鱼的陷阱内。要小心谨慎来保护自己免受网络钓鱼的威胁。

＠原文出处：Dealing with Phishy Messages

此内容来自爱趋势博客http://blog.iqushi.com/

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！