一、“钓鱼邮件”的基本概念
“钓鱼邮件”是一种特殊的垃圾邮件,一般是攻击者伪装成系统管理员、单位领导、合作伙伴、银行、政府部门等权威或用户信任的发件人,给用户邮箱发送电子邮件,诱导用户通过邮件中的链接、二维码、附件打开钓鱼网站,诱使用户输入邮箱或银行卡密码,进而窃取用户敏感数据、邮箱密码、银行密码等信息,或诱导用户直接给对方银行账号转账。
二、钓鱼邮件分类
1.链接钓鱼
这类邮件的风险在于邮件中的网页链接,此链接往往是攻击者伪造的邮箱登录页面,诱导用户输入邮箱账号密码以盗用用户的邮箱;也可能是伪造的政府或银行等机构的网站,要求用户输入姓名、身份证号、银行卡号、银行卡密码等信息,从而盗取用户的银行账号;另一种链接指向网页暗藏木马程序,如果用户浏览器存在未修复的漏洞,那么点开即中招。
2.二维码钓鱼
邮件中不直接放过于明显、容易识别的网页链接,而是通过内含的二维码,引导用户扫描进入钓鱼网站。类似链接钓鱼网站,用户扫描二维码打开的网站往往会要求用户输入邮箱密码或银行卡密码以获取用户敏感信息。二维码也可能指向植入了病毒的App或者附件,并要求用户下载。
3.附件钓鱼
这类邮件的风险在于邮件附件,附件类型主要是shtml、html网页、带有木马病毒的可执行文件、压缩包,也可能是Office文件、PDF等。用户双击附件文件时,附件文件中的脚本、宏或者客户端软件CVE漏洞会自动执行,从而打开钓鱼网站或者给用户的电脑注入木马或病毒。
4.欺诈邮件
通过虚构的邮件内容欺诈用户,诱导用户给指定账号转账。常见的情况有:
(1)邮件发送者声称自己是黑客,入侵了用户的电脑,要求用户使用比特币转账,否则将对用户电脑和隐私进行侵害;
(2)冒充政府部门,要求用户加QQ群或微信群,以进一步进行欺诈;
(3)发送者声称自己有遗产继承资格或资金获取渠道,但需找人付手续费等,答应与用户分享这笔遗产或资金;
(4)声称用户可参加培训或会议,要求用户汇款培训费、会议费。
三、钓鱼邮件识别方法
1. 查看完整的发件人邮箱地址
邮件的发件人地址中往往包含发件人的姓名或身份,此处的姓名和身份一般是发件人自己声明的,不能完全相信。对于可疑邮件(含网页链接、二维码、附件,涉及财务的)需查看完整的发件人邮箱地址。如果发件人邮箱地址是陌生的,或者邮箱地址与发件人声明的身份不一致,则是钓鱼邮件。
2. 查看完整的链接URL地址
如果邮件中的链接URL地址不常见,比如过长、无含义的随机字符串、大量的数字、不常见的域名(.top\.cool\.website)、带有收件人的邮件地址等,则很可能是钓鱼邮件。
3. 查看完整的文件名,尤其注意文件的后缀
对于附件文件不仅要看文件名,还要注意文件后缀。如有的钓鱼邮件,地址部分声明的身份是“51云发票平台”,但邮箱地址却是http://outlook.com,http://outlook.com是微软面向个人邮件服务,一般情况下,正规平台不会用个人邮箱来发信。此外,文中链接是一个压缩包,而压缩包里是.exe文件,后缀名为“exe”的文件为可执行文件,很可能是木马或病毒。
4.异常特征:发件人邮箱地址和声明的身份不一致
发件人中的姓名字段声明是管理员或同事等,但实际邮件地址为外部地址,一般都是钓鱼邮件。
5.异常特征:主题、正文措辞泛化或生硬
对使用“亲爱的用户”、“亲爱的同事”等一些泛化问候的邮件应保持警惕。同时也要对任何制造紧急气氛的邮件提高警惕,如要求“请务必今日下班前完成”,这是令人慌忙中犯错的手段之一。
6. 异常特征:打开附件后要求输入邮箱密码
7. 异常特征:主题或正文中繁体字和简体字混合
钓鱼邮件的发件人地址经常会进行伪造,比如伪造成本单位域名的邮箱账号或者系统管理员账号。对于发件人显示的是本单位域名的邮箱账号,要注意声明的身份,以及邮件的其他内容。
四、重要系统域名辨识
警惕邮件中的网站链接,钓鱼邮件中的链接往往是攻击者伪造的登录页面(如下图),注意辨别跳转的网址与官方域名是否一致,如果不一致,则是假网站,拒绝输入账号密码!
划重点:我校重要业务系统域名
1.工大官网:wit.edu.cn
2.网上事务中心:ehall.wit.edu.cn
3.统一身份认证平台: iam.wit.edu.cn (切记:不法分子最常伪装页面,输入账号前,核对左上角地址栏目域名是否正确)
4.融合门户-业务直通车,登陆各个业务系统:
五、如何防范钓鱼邮件
只要安全防护措施到位,即使遭遇钓鱼邮件也可泰然处之。如果打开的附件带有病毒,只要系统安装了防病毒工具,并且保持更新到最新版本,系统会自动隔离该附件避免遭受恶意利用。
1. 杀毒软件要安装
安装杀毒软件并定期更新病毒库,开启杀毒软件对邮件附件的扫描功能。同时定期下载和安装系统和软件的最新版本。
2. 登录口令要保密
确保不向任何人主动或轻易泄露邮箱的密码信息,不将登录口令贴在办公桌或者易于被发现的记事本上。办公邮箱的密码要足够复杂,并定期更换。
3. 邮箱账号要绑定手机
将邮箱帐号与个人手机号码绑定,不仅可以找回密码,也可接收“异地登录提醒”信息。
4. 登录邮箱尽量使用多因素认证
多因素认证是防范邮箱账号被盗用的最有效技术手段,攻击者即使通过猜测、暴力破解等手段获取了用户的邮箱密码,没有其他的身份认证信息,仍然无法盗用用户邮箱。
5. 不要对陌生人的邮件进行响应
陌生人发来的邮件,不要进行回复,不要点击邮件中的链接(包括“退订”等),不要加QQ群,也不要拨打邮件中的电话或手机号码,这些操作会告诉发件人当前邮箱地址是有效的,容易遭到发件人进一步的攻击。很多垃圾邮件正文中的“退订”按钮都是虚假的,点击后只会收到更多的垃圾邮件。
6. 重要邮件及时归档
及时清空邮箱内不再使用的重要邮件;归档备份重要邮件,防止被攻击后邮件丢失。
六、“五个凡是、一个确认”
(1) 凡是要求点击链接或者扫描二维码的,都需要警惕。
(2) 凡是点击链接或者扫码后,打开的网页要求输入邮箱密码或银行账号交易密码的基本都是钓鱼邮件。切记不要输入银行密码、不要输入邮箱密码。
(3) 凡是陌生人要求转账的一律不转。
(4) 凡是陌生人发来的邮件中带有附件的,不要双击打开邮件附件;如需打开附件要先杀毒,然后从相应的软件中找到文件打开。
(5) 凡是打开附件后,自动弹出页面的都是钓鱼邮件,不要输入密码。
(6) 熟人要求转账汇款或者是与银行联系等必须填写个人信息时,一定要通过其他消息途径联系对方确认。
