想象一下:你打开收件箱,看到一条来自银行的紧急信息。他们声称您的账户已被入侵,您需要立即验证您的信息。当你点击链接,准备保护自己的血汗钱时,你的心怦怦直跳。但是,等等,你是不是中了最古老的骗术之一?
我最近一直在研究这个问题,我对诈骗电子邮件变得如此复杂感到惊讶!拼写错误或明显的尼日利亚王子骗局容易被识破的时代已经一去不复返了。如今,假冒的电子邮件地址几乎与真实的电子邮件地址毫无区别。
那么,如何检测假冒电子邮件地址呢?有几种方法,但没有一种是万无一失的。你必须综合使用各种技术,即便如此,你也不能百分之百确定。但你可以做到相当接近。从剖析电子邮件标题到了解这些网络钓鱼攻击背后的心理,我们将为您介绍保持收件箱和身份安全所需的一切知识。
要抓住骗子,你需要像骗子一样思考。大多数骗子的出发点都很简单:诱骗你采取某些行动,无论是点击链接、下载附件,还是共享你的个人和财务信息。但他们是如何让你达到这个目的的呢?答案是心理和技术手段的结合。
让我们从最简单的技术开始:查看电子邮件地址本身。
首先,检查电子邮件的域名。如果您收到的是来自知名公司的电子邮件,域名应与该公司的官方网站相匹配。例如,来自亚马逊的电子邮件应该来自 @amazon.com,而不是 @amaz0n.com。
垃圾邮件发送者使用 错别字抢注等技术,注册与合法域名非常相似的域名。例如,他们可能会注册 gooogle.com(有三个 o),然后用它来发送钓鱼电子邮件,看起来就像来自 Google。
另一个常见的伎俩是使用子域使虚假地址看起来合法。例如,"paypal.secure-login.com"乍一看可能是 PayPal 发送的,但 "secure-login.com"才是真正的域名。请务必查看根域名(.com、.org 等之前的部分),以确定真正的发件人。
骗子可以篡改网络钓鱼电子邮件中的显示名称,使电子邮件看起来像是来自您认识的某个人。
例如:一封电子邮件看似来自 "亚马逊客户支持",但实际电子邮件地址可能是 support@amazonscammer.com。
如何检查: 悬停或点击显示名称,显示实际电子邮件地址。这通常会显示电子邮件的真实来源,并能快速显示其是否合法。
这种巧妙的伎俩是使用非拉丁字母中看起来与标准字母完全相同的字符。例如, 西里尔字母 "а"(U+0430)看起来与 拉丁字母"a "一模一样,但却能让骗子注册不同的域名。
举例说明: 合法电子邮件地址:apple.com 仿冒的诈骗电子邮件:аpple.com(注意到区别了吗? 在视觉上没有区别!)。
如果怀疑,可以将地址复制并粘贴到 Unicode 检查工具中,检查是否有任何非标准字符。它将显示任何非标准字符。
在伪造的电子邮件地址中要注意的另一点是随机的数字或字母串。真实的电子邮件地址很少有这样的字符串,除非它们是为特定目的自动生成的地址。如果你看到一封来自 john.smith.8372@gmail.com 的电子邮件,它比来自 john.smith@gmail.com 的电子邮件更有可能是假的。
但这也不是硬性规定。有些人确实会在电子邮件地址中使用随机数字,特别是如果他们有一个共同的名字,并且需要将自己的地址与其他人的地址区分开来。
接下来要检查的是 "回复到 "地址。这将告诉您的电子邮件客户端向何处发送回复。
合法的电子邮件通常会将回复地址设置为与发件人相同的域。如果不一样,尤其是免费电子邮件服务,那就是一个警告信号。骗子通常不得不使用不同的回复到地址,因为他们实际上无法控制 他们欺骗的域名。
例如一封电子邮件可能看起来来自 info@company.com,但 "回复-收件人 "地址可能设置为 scammer@gmail.com。
在 Gmail 中,点击发件人姓名旁边的下拉箭头即可查看回复地址。其他电子邮件客户端可能需要您开始撰写回复才能看到。如果回信到地址与发件人不匹配,请务必谨慎。
有时,骗子甚至懒得更改 "回复至 "字段。相反,他们会在邮件正文中加入文字,要求您回复到一个不同的地址。这同样可疑。
现在,我们开始进入技术层面。如果一开始看起来很复杂,也不用担心,只要你知道要注意什么,这并不难。
这些检查可验证电子邮件确实来自其声称的域名。
认证指标主要有三类:
遗憾的是,大多数电子邮件客户端都没有在显著位置显示重要的验证信息,使用户难以快速验证电子邮件的合法性。
有些邮件(如 Gmail)会直接在邮件视图中显示 "邮寄者 "和 "签名者 "信息,让您快速了解邮件的真实性。要进行更彻底的检查,可以访问完整的邮件标题。
在 Gmail 中,单击回复按钮旁边的三个点,然后选择 "显示原文",以显示详细的 SPF 和 DKIM 检查结果
对于 Google、Apple、Microsoft 等声誉卓著的大型机构,您应该看到所有三项(SPF、DKIM、DMARC)都通过了。对于规模较小的公司,至少应通过 SPF 和 DKIM。
对于假定来自大型组织的电子邮件来说,任何失误都是非常可疑的。也就是说,通过这些检查并不能保证电子邮件是安全的。这只意味着它确实来自其声称的域名。骗子可以通过适当的身份验证设置一个假域名。因此,您仍然需要验证它是否是您所期望的正确域。
但阅读电子邮件标题并不容易。它们充满了大多数人不了解的技术信息。垃圾邮件发送者知道这一点,所以他们更善于伪造看起来合法的标题。
当你收到电子邮件时,通常会在顶部看到发件人的电子邮件地址。有时,您可能还会在发件人地址旁边看到 "via"(通过)字样,后面跟着另一个域名。当实际发送邮件的服务器与显示的邮件地址不一致时,就会出现这种情况。
举例说明: 比方说,您收到了这样一封邮件:
来自: via xyz.comSupport@PowerDMARC.com via xyz.com
在这种情况下,电子邮件声称来自 PowerDMARC,但实际上是通过 xyz 发送的,而 xyz 是一种电子邮件营销服务。
这是有正当理由的。许多公司使用电子邮件服务发送新闻简报或促销电子邮件。不过,骗子也可以利用这种伎俩让他们的电子邮件账户看起来更正式。
技术检查固然重要,但有时网络钓鱼邮件的内容本身也可能是最大的陷阱。骗子善于操纵情绪,制造情景,促使人们立即采取行动。这种策略被称为 "社交工程"。他们希望通过制造紧迫感或迎合你对经济利益的渴望,诱骗你泄露个人信息或点击恶意链接。
典型的网络钓鱼欺诈电子邮件可能会这样声称:
这些网络钓鱼电子邮件的设计看起来很合法,甚至可能使用熟悉的徽标、字体和布局。其目的是让您迅速做出反应,而不去认真思考电子邮件的真实性。
网络犯罪分子知道,恐惧和紧迫感会促使他们迅速采取行动。虚假电子邮件可能会试图吓唬你,让你产生紧迫感:如 "如果您不立即更新付款信息,您的账户将被关闭";让您兴奋,如 "恭喜您!您赢得了 100,000 美元!单击此处领奖";或制造一种自然的好奇感("看看谁浏览了您的个人资料")。这种网络钓鱼攻击旨在绕过你的理性思维。
如果您收到类似的网络钓鱼电子邮件,请停下来想一想。合法公司通过电子邮件威胁你,这合理吗?大多数真正的组织都不会使用这些手段。另外,如果您没有参加过任何竞赛或抽奖,您也不太可能中奖。请记住,合法组织不会通过未经请求的电子邮件赠送大笔资金。
如果收到此类网络钓鱼电子邮件,请使用经过验证的联系方式直接联系该公司,检查电子邮件是否合法。
合法公司一般不会通过电子邮件索取敏感信息。如果一封电子邮件要求您回复您的个人资料、账户凭证、社会保险号或信用卡信息,那几乎肯定是假的。
许多骗子经常利用 恶意附件来发送 恶意软件或病毒,从而感染您的电脑并窃取您的个人信息。如果您收到意外的附件,尤其是 .zip 文件或 .exe、.scr 或 .vbs 等不常见的文件类型,一定要非常谨慎。即使是 PDF 或 Word 文档等看似无害的文件类型也可能携带有害的宏。
如何处理可疑附件:
语法错误和多处错误虽然不是绝对的(因为有些合法的电子邮件也有错误),但也可能是一个警示。诈骗者可能并不总是能牢牢掌握他们所使用的语言,或者他们可能故意使用语法错误作为过滤器,以剔除更有辨别力的收件人(注意到语法错误并对其产生反感的人不太容易上当受骗)。这就是为什么识别虚假电子邮件地址的最简单方法之一就是检查语法、拼写和语法错误。
正规公司都有专门的团队来确保他们的通信专业且没有错误。它们通常有一致的、专业外观的电子邮件模板。如果一封自称来自大公司的电子邮件看起来很业余或格式不一致,就可能是假冒的。
"亲爱的客户 "或 "用户您好 "也可能是致命的陷阱。正规公司通常会称呼你的名字,因为他们有你的详细资料。假冒电子邮件通常使用通用问候语,因为它们是集体发送的。
骗子最常用的伎俩之一就是在电子邮件中嵌入恶意链接。这些可疑链接通常会指向意想不到的虚假网站,旨在窃取您的登录凭据或使您的设备感染恶意软件。
举例来说:电子邮件中恶意链接的文本可能写着"www.yourbank.com",但当你将鼠标悬停在它上面时,实际 URL 却完全不同,如"www.scamsite.com/login"。这就是所谓的屏蔽或隐藏 URL。
你可以
将光标放在链接上,但不要点击。这将显示实际的 URL 目的地。如果看起来可疑或与官方网站不符,请不要点击。与其点击链接,不如在搜索引擎中输入公司名称来查找其官方网站。不过要小心,垃圾邮件发送者可能会使用 URL 缩短器或其他技术来隐藏链接的真实目的地。有些电子邮件客户端不允许您将鼠标悬停在嵌入链接上查看链接的去向。
合法网站通常会有一个以`https://`开头的 URL 和一个挂锁图标。不过,这并非万无一失,因为骗子也可以确保其恶意网站的安全。
随着网上购物的增多,骗子们转而利用虚假的包裹送达通知来诱骗人们点击恶意链接。
例如 "您的包裹递送尝试失败。请单击此处重新安排时间。
该怎么做
让我们来看几个例子,看看这些原则在实践中是如何应用的。
发件人:service@paypal.com.secure-account.com 主题:您的帐户已被限制!正文: 尊敬的客户尊敬的客户,我们注意到您的账户有异常活动。请单击下面的链接验证您的信息,并恢复对您账户的完全访问权限。链接
红旗
发件人:ceo@company.com 主题: 急需电汇需要紧急电汇 正文: [员工姓名],我需要你为一项新的收购办理紧急电汇。此事具有时间敏感性和保密性。请立即向以下账户转账 50,000 美元:[账户详细信息]
完成后告诉我一声。
[首席执行官姓名]
红旗
这种类型的骗局被称为 " 商业电子邮件失密"(BEC),已 导致公司损失数十亿美元。它通常涉及入侵或伪造高管的电子邮件账户,要求进行欺诈性转账。
您收到一封电子邮件,发件人是一家您以前打过交道的小企业。验证检查没有通过,邮件中还有一些错别字。您的第一反应可能是将其标记为 垃圾邮件。
但是,您注意到发件人的地址与您以前与这家公司的通信地址一致。电子邮件的内容提到了您上次与他们互动的具体细节。在这种情况下,尽管检查失败,但这封电子邮件可能是合法的--这家小企业可能只是没有设置适当的电子邮件验证。这个例子说明了为什么要考虑多种因素,包括上下文和您与发件人的关系,而不仅仅是技术检查。
值得注意的是,即使电子邮件通过了所有这些检查,如果发件人的账户被黑客攻击,理论上它仍然可能是恶意的。因此,请务必认真思考邮件内容,以及发件人发出的邮件是否合理。
此外,请记住,这些检查主要是帮助您核实电子邮件是否是由其声称的发件人发出的。它们并不一定能告诉你发件人本身是否可信。骗子可能会设置一个通过所有这些检查的正确验证域名,但仍被用于恶意目的。
意识到虚假地址的迹象只是成功的一半。采取积极措施保护自己和组织同样重要。
伪造电子邮件的手段在不断演变。随时了解当前的网络钓鱼骗局可以帮助您识别新型的虚假电子邮件。许多组织会定期发布有关新电子邮件骗局的最新信息。例如,联邦调查局的互联网犯罪投诉中心(IC3)会发布有关当前网络威胁和骗局的警报。同样, 美国联邦贸易委员会(FTC)也会就最新的欺诈活动提供有价值的见解。如果你想深入了解,还有 反网络 钓鱼工作组(APWG),它专门关注网络钓鱼骗局。
此外,还要警惕人工智能生成的诈骗和语音网络钓鱼(vishing)。人工智能使骗子更容易大规模地创建令人信服的个性化网络钓鱼信息。与此同时,一些骗子正在将这些电子邮件策略与语音和电话相结合,通常使用人工智能来克隆声音,从而制造出更加复杂和可能可信的骗局。这种技术被称为 "网络钓鱼"(vishing),为传统的网络钓鱼攻击增添了听觉元素,使潜在受害者更难辨别真伪。
高级垃圾邮件过滤器可以在虚假邮件到达您的主收件箱之前,帮助检测和拦截它们。这些解决方案使用机器学习和人工智能分析电子邮件内容、发件人信息和其他元数据,以识别潜在的恶意电子邮件。
使用 Have I Been Pwned, Avast Hack Check 等合法服务,查看您的电子邮件地址是否涉及 数据泄露。
使用 SPF(发件人策略框架)、DKIM(域密钥识别邮件)和 DMARC(基于域的邮件验证、报告和一致性)等电子邮件验证协议,有助于保护您的域不被欺骗。
遗憾的是,电子邮件验证并不像您希望的那样普及。据估计,超过 80% 的域名根本 没有 SPF 记录。而在那些有 SPF 记录的域名中,很多都没有执行严格的策略。DMARC 被认为是最全面的电子邮件验证方法,但使用这种方法的域名就更少了。即使有这些保护措施,也不一定配置正确。
对于希望实施强大电子邮件验证的企业,PowerDMARC 提供了全面的解决方案。他们的平台简化了 DMARC、SPF 和 DKIM 记录的设置和管理过程。
主要功能
骗子们的手法不断翻新。但是,只要仔细检查发件人地址、回复字段和验证结果,就能识破大多数假冒电子邮件。把这些方法看作是放大你天生的怀疑精神的辅助工具,而不是它的替代品。它们就像汽车的安全装置,可以帮助防止事故,但你仍然需要小心驾驶。归根结底,如果一封电子邮件看起来有任何可疑之处,就把它当作可疑邮件处理。偶尔忽略真实的电子邮件总比上当受骗要好。
请记住,没有人能幸免于这些网络钓鱼骗局。即使是精通技术的人也会被足够高明的假冒者所蒙骗。