這樣的釣魚郵件，你會中招嗎？

在一個風和日麗的工作日下午，你收到了一封由公司人力資源部門發來的工資單郵件，正疑惑今天並不是發薪日，但激動的小手已經在不經意間按下了滑鼠，發現上面所寫的工資跟預期少了許多，一封附件表格提醒你檢視本月需要扣除的額外款項，你滿懷疑惑，迫不及待地下載開啟，殊不知，這個暗含惡意程式碼的附件已經悄悄植入到你的電腦中。

像這樣的釣魚郵件場景在近來已經屢次出現，根據CAC郵件安全大資料中心所做的一項調查，2021年第4季度，釣魚郵件總量同比去年同期增長95.43%，郵件安全威脅的形勢不容樂觀。隨著新冠疫情的持續，無論是個人網路行為還是企業辦公，都越發依賴於網路，大量的網路資料流量對於一些網路犯罪分子而言無疑是隱形的提款機，無論是一目瞭然，還是真假難辨的釣魚郵件紛至沓來。由於它們自身段位不同，有的是廣撒網碰運氣，有的則是精心炮製，定向攻破，無論哪種，都讓我們深感危機四伏，稍有不慎便會落入圈套之中。

本文根據釣魚郵件的偽裝程度，分了三個“段位”。

段位一：就這你還想騙我？

這類釣魚郵件，往往一看就很假，常見於：

恭喜，你的QQ號在XXX活動中喜獲一等獎，請點選下方連結領取

或者：你的XXX賬戶存在安全風險，請點選XXX完善相關資訊

這些廣撒網的釣魚郵件在前些年曾大量出現，由於沒有特定的目標群體，內容空洞誇張，加之近來網路安全的逐漸普及，中招率極低，大多數人看到這樣的郵件，心中都會冒出三個問號：這是啥？我有嗎？就這還想騙我？

段位二：還好我多看了一眼，不然就中招了

清華大學曾做過一次釣魚測驗，向不少師生髮送了一封《異常行為登入警告》的郵件，提醒收件人賬號存在異常，個人資訊可能被洩露，並在其中附了一個連結。

這封郵件乍一看有模有樣，落款還是IT技術部門，但稍微多留意一下發件人地址，就會看到其中的端倪：“清華“的正確英文名為tsinghua，而該郵件為了逼真，對其進行了模仿，將i和n調換順序，變成tsnighua。不少清華學子表示，自己差點就信了。

如果不幸點開其中的釣魚連結，則會跳轉到學校使用者身份系統登入介面，在輸入賬號密碼後會來到一個《開“獎”說明》頁面，提醒這位受騙上當的同學未能識別出釣魚郵件。

如果發生在現實釣魚場景中，當受害者點選連結時，往往會被帶往一個仿冒的相關賬號登陸頁面，使用者一旦提交賬號密碼，便會將這些資訊自動傳送到攻擊者伺服器。這時，偽裝的頁面往往還會跳轉至真實的登入頁面，使用者以為是自己剛剛輸錯了賬號密碼，其實這些資訊已被攻擊者成功盜走。

讓我們再看一個案例。近期，國內某公司內部曾曝出如圖所示的釣魚郵件，該郵件以財務部發放年終工資補貼的名義，誘導員工掃描二維碼，騙取起銀行賬戶資訊。

如果有人不慎上當，掃碼後就會跳轉到攻擊者設計的釣魚頁面中，誘導填寫銀行卡號、身份證號、手機號等敏感資訊，攻擊者在收到這些資訊後便會發起轉賬請求，受害則也會收到銀行發來的驗證碼，輸入後，攻擊者就可以完成相關的轉賬操作，成功實施詐騙。

由於當時正值春節前夕，再加上看似官方的措辭，一些員工信以為真，結果造成了數額不菲的財產損失。

要識別這封釣魚郵件，方法也很多，首先，簡體、繁體中文混用的行文格式本身就很可疑，其次，國家單位也不會以任何二維碼或連結的形式，要求登記個人資訊發放補貼。此外，如果此類釣魚郵件出現在公司內部郵箱中，很可能是由於已有公司員工中招，攻擊者利用該員工賬號在公司內部傳送釣魚郵件，如果發件人不屬於公司人力資源或財務部門，也基本可以判斷為釣魚郵件。

段位三：我什麼時候中的招？

正如本文開頭所設想的場景，這一類釣魚郵件由於偽裝度較高，一般人在第一時間往往難以辨別。攻擊者可竊取合法或者有較高許可權的電子郵件賬戶，向目標傳送釣魚郵件，比如竊取公司內部人力資源管理者郵箱，向員工傳送虛假工資單郵件，以騙取員工銀行賬戶。

為了增加中招率，攻擊者可謂是精通社會工程學的各種套路，除了以和個人息息相關的財產等為誘餌，隨著新冠疫情的持續，利用人們對病毒的擔憂所炮製的釣魚郵件在近兩年時有發生。

在如圖所示的釣魚郵件中，攻擊者冒充當地醫院，告知收件人的一位家人、朋友或同事病毒檢測呈陽性，並敦促他們列印附件中的“緊急聯絡人”檔案前往就近的檢測中心。當使用者下載並檢視附件，惡意程式就會悄然下載並在計算機中自動執行。

此外攻擊者還往往會對有價值的目標下手，比如希拉蕊的競選團隊曾收到過偽裝成谷歌官方的釣魚郵件，提醒密碼可能已被盜用，建議按照內容提示修改密碼，結果競選團隊主席約翰·波德斯塔輕信了郵件內容，點選了其中的惡意連結，其郵箱密碼就成了攻擊者的囊中之物。

如何識別釣魚郵件？可從“5看”做起

我們以一封釣魚郵件樣本看起，從5個部分解構它的釣魚把戲。

1.看發件人地址。如果是公司內的通知或工作郵件，發件人大多會使用公司專門的工作郵箱，如果是個人郵箱賬號，或者是一些拼寫很奇怪的郵箱地址，則需要提高警惕。此外，正如本文所列舉的清華大學釣魚郵件測試，要注意對正規郵箱賬號的仿冒，尤其是對個別字母的移花接木。

2.看發件日期。無論是公司郵件，或是其它重要的通知類郵件，發件時間大多會在工作時間內，如果是在非工作時間，比如凌晨一兩點，則需要提高警惕。

3.看正文措辭，對使用“親愛的使用者”、“親愛的同事”等一些過於泛化，無法點名道姓的郵件保持警惕，對於一些製造緊張氣氛、營造緊張氣氛的措辭也要持懷疑態度，如要求“務必今日下班前完成”、“請立即單擊此處”等，企圖讓人在慌亂中麻痺大意。

4.看正文中是否附帶連結或二維碼，切忌直接開啟。釣魚郵件使用短連結（例如）或帶連結的文字來迷惑使用者。如果接到的郵件是郵箱升級、郵箱停用等辦公資訊通知類郵件，在點開連結時，還應認真比對連結中的網址是否為單位網址，如果不是，則可能為釣魚郵件。此外，對於同事或朋友郵箱發來的郵件，若對內容有任何存疑，也儘量事先向對方核實，以防攻擊者通過利用“熟人”的郵箱傳播釣魚郵件。

5.看附件。不要隨意點選下載郵件中的附件，word、pdf、excel、PPT、rar等檔案都可能植入可自動執行的惡意程式碼或程式，尤其是附件中直接帶有字尾為.exe、.bat的可執行檔案。

由於釣魚郵件是一種高度利用社會工程學的攻擊方式，讓它自20世紀90年代出現以來一直伴隨著時代的發展和網際網路技術的變革，而且愈演愈烈，成為當下主要的攻擊方式之一。只要有網路，釣魚郵件就會趁機而入，只要人們喜歡什麼、在意什麼、擔心什麼，釣魚郵件總會以相應的形式出現，只要有什麼大事和我們息息相關，釣魚郵件也總能在第一時間捕風捉影、如法炮製。可見，最根本的防線還是在於人本身，如何根據實際情況和所處環境，加強分辨能力、提高自身抵禦誘惑的能力，冷靜分析，才是真正避免被釣魚的關鍵。