钓鱼邮件识别与防范办法

发布者:发布时间:2024-06-14浏览次数:247

一 什么是钓鱼邮件?

 “钓鱼邮件”是一种特殊的垃圾邮件,一般是攻击者伪装成系统管理员、单位领导、合作伙伴、银行、政府部门等权威或用户信任的发件人,给用户邮箱发送电子邮件,诱导用户通过邮件中的链接、二维码、附件打开钓鱼网站,诱使用户输入邮箱或银行卡密码,进而窃取用户敏感数据、邮箱密码、银行密码等信息,或诱导用户直接给对方银行账号转账。

二 如何识别钓鱼邮件?

1 查看完整的发件人邮箱地址

邮件的发件人地址中包含发件人的姓名或身份,此处的姓名和身份一般是发件人自己声明的,并不唯一。对于可疑邮件(含网页链接、二维码、附件,涉及财务的)需查看完整的发件人邮箱地址。如果发件人邮箱地址是陌生的,或者邮箱地址与发件人声明的身份不一致,很有可能是钓鱼邮件。例如下面这封钓鱼邮件,地址部分声明的身份是“公司财务部”,但邮箱地址是外部地址:

2 查看完整的链接URL地址

如果邮件中的链接URL地址不常见,比如过长、无含义的随机字符串、大量的数字、不常见的域名(.top\.cool\.website)、带有收件人的邮件地址等,则很可能是钓鱼邮件。

如下面的钓鱼邮件,URL地址明显异常,正文显示链接图片是订单信息,打开后却要求输入邮箱密码:

3 查看完整的文件名,尤其注意文件的后缀

对于附件文件不仅要看文件名,还应注意文件后缀。如下这封钓鱼邮件,地址部分声明的身份是“51云发票平台”,但邮箱地址却是http://outlook.comhttp://outlook.com是微软面向个人的邮件服务,一般情况下,正规平台不会用个人邮箱发送工作邮件。此外,文中链接是一个压缩包,而压缩包里是.exe文件,后缀名为“exe”的文件是可执行文件,应警惕木马或病毒。

4 异常特征:发件人邮箱地址和声明的身份不一致

发件人中的姓名字段声明是管理员或同事等,但实际邮件地址为外部地址,须警惕钓鱼邮件。

5 异常特征:发件人邮箱地址域名和链接地址域名不一致

对于带有链接的邮件,发件人邮箱地址的域名和链接URL地址的域名不一致的,一般都是钓鱼邮件。尤其是打开链接页面后要求输入邮箱密码的,更应格外警惕。

如下面的钓鱼邮件,发件人声明是“系统管理员”,但邮箱真实地址为外部地址,且发件人地址的域名和邮件中链接的域名不一致。

6 异常特征:号称是政府部门的邮件,但邮箱地址为国外个人邮箱

政府部门发来的正式邮件不会使用outlook等个人邮箱,且一般不会通过QQ群的方式来向企业传达比较重要事情,更不会像下面的第二封邮件,只通过邮件下达最后通牒(“逾期视为送达”)。

7 异常特征:号称是政府部门的邮件,但邮箱地址为随机编造

8 异常特征:邮箱地址为中国.cn域名,邮件文字为外文

例如下面这封钓鱼邮件,发件人邮箱地址是.cn表示中国域名,邮件文字却是日文。


9 异常特征:来自.tw.hk.jp域名的陌生地址邮件

邮箱地址中的最后一个字段为域名,.tw代表台湾,.hk代表香港,.jp代表日本。如果没有台湾、香港、日本等地的业务,收到邮件的邮箱地址域名为.tw.hk.jp等,且为陌生地址,则基本能判定为钓鱼邮件。


10 异常特征:.top\.xyz \.cool\.website \.one等不常见域名

钓鱼邮件的发件地址往往是来自.top.xyz.one等不常见域名。如果是不常见域的陌生地址发来的邮件一般是垃圾邮件或钓鱼邮件。

11 异常特征:主题、正文措辞泛化或生硬

对使用“亲爱的用户”、“亲爱的同事”等一些泛化问候的邮件应保持警惕。同时也要对任何制造紧急气氛的邮件提高警惕,如要求“请务必今日下班前完成”,这是令人慌忙中犯错的手段之一。

12 异常特征:打开附件后要求输入邮箱密码

13 异常特征:主题或正文中繁体字和简体字混合

钓鱼邮件的发件人地址可被伪造,比如伪造成本单位域名的邮箱账号或者系统管理员账号。对于发件人显示的是本单位域名的邮箱账号,须注意声明的身份,以及邮件的其他内容。例如下面的钓鱼邮件,伪造了内部发件人地址,但有以下5点破绽:

 ①主题中为繁体字;

 ②发件人字段声明的身份是“升级通知!”,不是真实的人员姓名;

 ③收件人字段没有使用用户的真实姓名;

 ④链接URL地址为外部地址;

 ⑤邮件行文语气生硬。

14 异常特征:发件人地址的姓名字段不是发件人的身份

单位内部发出的邮件,发件人地址中的姓名字段一般会是真实的人名,少数情况是部门名称,不会将“通知”、“警告”等表示邮件主题的词放到姓名字段。管理员不会以用户无法确定的邮箱地址给用户发送重要通知邮件。如果邮件中有链接,一般不会是外部地址,更不会要求输入邮箱密码。

三 如何防范钓鱼邮件

1 登录口令要保密确保不向任何人主动或轻易泄露邮箱的密码信息,不将登录口令贴在办公桌或者易于被发现的记事本上。办公邮箱的密码要足够复杂,并定期更换,保障邮箱账号安全。

2 邮箱账号要绑定手机将邮箱帐号与个人手机号码绑定,不仅可以找回密码,也可接收“异地登录提醒”信息。

3 登录邮箱尽量使用多因素认证多因素认证是防范邮箱账号被盗用的最有效技术手段,攻击者即使通过猜测、暴力破解等手段获取了用户的邮箱密码,没有其他的身份认证信息,仍然无法盗用用户邮箱。

4 不要对陌生人的邮件进行响应陌生人发来的邮件,切勿盲目回复,切勿点击邮件中的链接(包括“退订”等),不加陌生QQ群,也不拨打邮件中的电话或手机号码,这些操作会告诉发件人当前邮箱地址是有效的,容易遭到发件人进一步的攻击。很多垃圾邮件正文中的“退订”按钮都是虚假的,点击后只会收到更多的垃圾邮件。

5 重要邮件及时归档及时清空邮箱内不再使用的重要邮件;归档备份重要邮件,防止被攻击后邮件丢失。