你收到一封"银行安全通知",要求你在 24 小时内点击链接更新账户信息,否则账户将被冻结。这是典型的网络钓鱼(Phishing)攻击。根据 2025 年 FBI 网络犯罪报告,钓鱼攻击连续多年是网络犯罪中损失最大的类别,全球每年造成超过 35 亿美元的损失。本文带你全面了解钓鱼攻击的手法、识别技巧和防护策略。
一、什么是网络钓鱼?
网络钓鱼(Phishing)指攻击者伪装成可信任的机构或个人,通过各种渠道诱骗目标提供敏感信息(账号密码、信用卡、身份证号码)或执行恶意操作(汇款、安装恶意软件)。
| 类型 | 说明 | 常见伪装对象 |
|---|---|---|
| Email 钓鱼 | 大量发送伪造电子邮件 | 银行、PayPal、政府机关 |
| 鱼叉攻击 | 针对特定个人或企业的精准定制攻击 | 企业高管、特定机构员工 |
| 短信钓鱼 | 通过 SMS 发送假冒链接 | 快递公司、银行、政府通知 |
| 语音钓鱼 | 电话冒充客服或机关人员 | 银行客服、社保、公安局 |
| 二维码钓鱼 | 伪造二维码导向钓鱼网站 | 停车缴费、餐厅菜单、广告海报 |
二、如何识别假冒 URL
同形文字攻击
用外观相似的字符替换字母:paypa1.com(数字1替代字母l)、g00gle.com(数字00替代oo)等。
子域名误导
域名的关键部分在最后一个 . 之前:
bank.com.cn.secure-login.net→ 真实域名是secure-login.net(钓鱼!)secure.bank.com.cn→ 真实域名是bank.com.cn(安全)
URL 编码混淆
攻击者有时用百分比编码混淆域名,让 URL 看起来像乱码而难以辨认。
URL 解码工具:URL 编码工具可快速解码可疑的百分比编码 URL,让真实域名一目了然。
三、社会工程的心理操控手法
| 手法 | 说明 | 识别关键 |
|---|---|---|
| 紧迫感 | 「您的账户将在 2 小时后冻结」 | 真正的银行不会用极端时限施压 |
| 恐惧 | 「您涉嫌洗钱,请配合调查」 | 政府机关不通过电话要求转账 |
| 权威感 | 冒充银行、税务局、公安局 | 用官方渠道(官网、官方 App)确认 |
| 贪心 | 「您中奖了」「有未领取的退税」 | 天下没有白吃的午餐 |
四、验证可疑邮件
检查发件人域名
发件人显示名称可以伪造,关键是 @ 后面的域名:
[email protected]→ 真实(@ 后是官方域名)[email protected]→ 钓鱼(域名不是 paypal.com)
不点击,直接去官网
不要点邮件中的链接,直接在浏览器输入官方网址或从书签进入。所有真正紧急的账户问题在官方 App 或官网登录后都能查到。
五、账户安全技术防护
- 启用双因素验证(2FA):即使密码泄露,攻击者仍需第二个验证因素。优先选择 TOTP 验证器 App
- 使用密码管理器:密码管理器只会在正确的域名上自动填入密码,进了钓鱼网站它不会填入你的账密
- 每个账号使用不同密码:防止一个账号泄露导致连锁攻击
密码安全:密码生成器可在浏览器本地生成高强度随机密码,密码不会传送到任何服务器。
六、已点击可疑链接怎么办?
- 不要输入任何数据:只是点了链接不一定会被盗——真正的损失在于你输入了什么
- 立即关闭页面:如果要求安装插件或下载文件,直接关闭
- 扫描恶意软件:如果已下载任何文件,用杀毒软件扫描
- 更改相关账号密码:立即更改,并检查其他使用相同密码的账号
- 通知相关机构:银行相关请立即致电客服冻结账户
总结
- 钓鱼攻击结合假冒 URL、紧迫感操控和可信外观,是损失最大的网络犯罪类型
- 识别 URL:注意真实域名位置、同形文字替换、短网址掩护
- 验证邮件:看 @ 后的域名,不点链接,直接去官网
- 技术防护:启用 2FA、使用密码管理器、每个账号不同密码