一、什么是网络钓鱼（Phishing）

“网络钓鱼 （Phishing）攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息。”以上是百度百科提供的定义，然而网络钓鱼这种“古老”的网络骗术，目前已经发展的不再是如此简单。

随着移动互联网的发展，钓鱼攻击的形式已经发展出了多种多样的形式。短信、QQ、微信、脉脉、微博、短视频平台等等，甚至是你在街上收到的传单上的二维码，都可能是钓鱼攻击的载体。目的也绝不仅仅是私人信息或者私人资料，公司内部信息、甚至是你或者公司的资产，更甚至你的腰子，都可能是攻击者的目标。

看问题要看本质，网络钓鱼的根本就是一种网络诈骗，或者说得更简单一些，就是“骗”。（划重点，后面要考）

二、揭开网络钓鱼的伪装

如上文所说，网络钓鱼目前有着各种各样的面孔，形式的复杂性，也使得钓鱼越来越难以被分辨。以常见的邮件钓鱼为例，目前就大致分为“网络钓鱼（Phishing）”、“鱼叉式钓鱼（Spear Phishing）”和“鲸钓（Whaling）”三种，其中Phishing是广撒网的一种邮件钓鱼方式，而Spear Phishing和Whaling都是一种更有针对性的，含有社会工程学技术的钓鱼方式。

1.首先我们要分辨的是“收件人”，也就是你是否是从正常渠道收到的信息，从公司业务来讲，只有你的公司邮箱和京ME是可信的正规渠道，微信、QQ等其他通信方式都不应被信任。

2.其次我们要分辨的是“发件人”，不管发件人的邮箱名称和地址看起来有多正规，有多少迷惑性，都要记得，只要不是内部邮件，就要提高警惕。

3.然后我们还有学会分辨的是“外链”，大部分的钓鱼都是通过一个链接地址或者是一个二维码，邀请或命令你跳转到一个攻击者事先设计好的假冒网站上去，然后骗取你的信息，所以在打开外链之后，要注意外链的域名，是否是真实的。其中二维码要先使用工具（可以使用草料二维码解码器）进行解码，获取到真实网址。再使用工业和信息化部政务服务平台ICP/IP地址/域名信息备案管理系统对域名的真实性进行验证。





如果是外网域名，可以使用微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区 (threatbook.com)进行搜索。





4.接下来需要分辨的是“附件”，也有很多钓鱼邮件会通过附件骗你来下载病毒。最简单的是.exe这种可执行文件，100%不可以下载安装！其次是.docx、.html 或.pdf 一类文件，打开后不用执行宏命令！

5.最后，也是非常重要的，是分辨“内容”，邮件如果表述的很急切，很重要，又或者需要你通过非常规渠道提供信息，或是要你给某人转账之类的操作，要想办法通过邮件外的方式与发件人进行二次确认。

三、一招避免上钩

上面的方法和招数，很有可能会在新的钓鱼技术产生之后失效，比如攻击者可以通过收购企业弃用的域名来发送“内部邮件”，也就是说技术手段永远不能100%的防控钓鱼。所以说我们还是要回归本质--网络钓鱼就是“骗”，其目的就是想通过威逼利诱的文字，试图让你在心情急迫的情况下，做出非常规的操作，从而达到骗你的目的。所以，只要一切都按照公司规定的途径和方法处理信息，就可以避免上钩！