作者：Matt Gleason

编译：深潮TechFlow

大多数人对常见的电话或电子邮件诈骗已经有所了解。（就我个人而言现在很少接电话了，因为几乎每个接到的电话都是诈骗。）然而，还有许多更复杂的网络钓鱼攻击，这些攻击通过冒充他人以窃取你的个人信息（财务信息、密码等）。此外，还有鱼叉式网络钓鱼攻击，黑客利用社交工程（例如你在网上发布的个人信息）来定向攻击你，这些攻击需要格外小心才能发现。

网络钓鱼是报告中最常见的网络攻击类型。本篇文章旨在帮助你做好防范，避免成为下一次钓鱼攻击的受害者。我们将逐一解析近期遇到的 6 种有效钓鱼骗局，分享如何识别这些攻击以及面对攻击时的防御策略。

通过学习这些案例，你可以更好地保护自己及敏感信息的安全。

1.“问题通知”骗局

我们每个人都信任某些服务，并期望它们不会欺骗我们。然而，不法分子总会想方设法利用这种信任，让你措手不及。例如，最近的一次 Google 警报钓鱼攻击就是一个典型案例。如果你不幸成为目标群体之一，可能会收到一封类似这样的邮件：

你可能会认为，既然邮件是由 Google 发送的，那或许是真的？尤其是邮件地址显示为 no-reply@accounts.google.com，看起来十分可信。

邮件内容告诉你，你正被调查。这听起来很可怕！或许你会抛开所有疑虑，赶紧去查看问题所在？我亲身收到过一次谷歌警报，内容也和你的一样吓人，我可以保证，这种情况下的紧迫感几乎难以抗拒，尤其当你的在线身份依赖于谷歌的电子邮件服务时。

于是，你选择访问邮件中的链接。在该网站上，你看到的可能是你预期的内容：一页包含一些所谓的调查文件。

它看起来像一个 Google 页面 — — 检查确认。

它托管在 Google 子域名上 — — 检查确认。

你有什么理由相信它是非法的？如果你感到恐慌（说实话，我也会），你可能会立即点击查看案例。这时，你会看到一个你之前见过千百遍的东西：一个登录页面。

没什么大不了的，对吧？你只要登录就能解决这个问题……但到最后，你却将自己的密码拱手送给了网络钓鱼诈骗者。

等等，什么！？

是的，没错。

现在让我们冷静下来，重新审视这个情况中的问题。首先要注意，你收到的原始页面甚至不是一个超链接，它其实只是纯文本。#p#分页标题#e#

这可能是最容易察觉到异常的地方，但让我们再仔细分析几次。当查看这封邮件时，你可能会期望在“收件人”字段看到“你”——也就是你的电子邮件地址。然而，意想不到的是，“你”实际上显示为：

me@google-mail-smtp-out-198-142-125-38-prod.net。

这是你第二次可以察觉到异常的地方，但假设你没有注意到这些蛛丝马迹。

接下来，我们来看域名——sites.google.com，它有一些特殊的规则。

事实证明，sites.google.com 并非 Google 网站的托管网站，而是用户生成内容的托管网站。因此，仅仅因为该网站位于 google.com 顶级域名下，并不意味着你可以信任这个页面。这相当令人惊讶，而且可能只有最专业的用户才会对此有所察觉。

最后一个危险信号也是如此：登录表单。如果你在登录时仔细查看 URL，会发现显示的是 sites.google.com，而不是你登录谷歌账户时通常看到的 URL—— accounts.google.com。

再次强调，识别这个危险信号需要对 Google 的登录系统有深入的了解——大多数人可能根本