前言

網絡釣魚是一種常見的網絡攻擊形式。我們經常會接收到自稱是銀行員工的電子郵件、短信和電話等，他們一般會先說出你的一些重要的個人信息來讓你相信他們的身份，但是他們的目標卻是從我們這裏得到足以訪問我們銀行賬戶的敏感信息。如果被這種詐騙方式欺騙，您將成為萬千網絡釣魚攻擊受害者中的一員。在本文中，我們將了解網絡釣魚及其不衕的形式，以及最重要的，如何避免成為網絡犯罪的受害者。

什幺是網絡釣魚？

網絡釣魚是一種網絡攻擊形式。黑客會聲稱自己是某個受信任實體，再發送欺詐性消息給詐騙目標。他們的目的是誘騙詐騙目標泄露賬戶密碼或信用卡密碼等敏感信息。“網絡釣魚”一般有一個誘餌，如果受害者抓住了誘餌，那幺攻擊就成功了。網絡釣魚(Phishing)一詞來自於“Fishing”（釣魚）一詞，也就是散布誘餌，如果目標咬上了誘餌，釣魚也就成功了。

網絡釣魚攻擊一般是以短信和電子郵件的形式，要求用戶驗證帳戶或更改密碼。一旦用戶點擊了釣魚消息所附的鏈接，他/她就會被跳轉到一個由黑客設計的假網站，目標在該網站進行操作時就把自己的敏感賬戶信息拱手交給了黑客。

網絡釣魚的原理

網絡釣魚最開始是發送附有虛假鏈接的電子郵件或短信。如果受害者在這些鏈接所通曏的網站上進行登陸等操作，他們泄漏的個人賬戶信息會被立即發送給設計該網站的黑客。這些網站的界麵一般都與官方網站高度相似，很難甄別。

在某些情況下，首先受到攻擊的是受害者的設備，一般是以安裝惡意軟件的形式。受害者一旦使用這些惡意軟件就會使設備遭受勒索軟件攻擊。勒索軟件會引導受害者去進行一定金額的支付，然後就能獲得對其設備的完全訪問權限。

網絡釣魚的類型

網絡釣魚攻擊的主要類型包括
欺騙性網絡釣魚：黑客曏許多人發送消息，沒有特定的目標，寄希望於收到消息的一部分人會掉入陷阱。
魚叉式網絡釣魚：也被稱為自定義網絡釣魚，這種釣魚類型的目標是特定的人群，如某加密貨幣交易所的用戶群體。目標群體可能會收到偽裝成交易所工作人員的電子郵件，要求他們更改密碼以避免損失資金。
域欺騙（Pharming）：黑客使用與原始網站相似的虛假網站，比如使用www.facebok.com和www.youtube.com等域名。但是衹要認真觀察，我們就能夠發現這些鏈接是假的。
鯨釣：鯨釣比魚叉式網絡釣魚的攻擊對象更具體，主要是大公司的CEO。此類電子郵件經過專業製作，具有扎實的寫作功底和對業務的理解。由於大公司一般有許多合作伙伴，因此受害人很難察覺到異樣，就曏黑客透露了敏感信息，或者下載了惡意附件。

如何保護自己免受網絡釣魚攻擊

掉入網絡釣魚陷阱有可能會造成非常嚴重的後果，所以培養網絡安全意識尤為重要。

我們應該儘量做到
點擊任何鏈接前先驗證其真實性。
不在陌生網站或彈窗中輸入敏感信息。
不回應任何可疑信息。
不下載可疑附件。
使用反網絡釣魚的瀏覽器擴展程序，例如Cloudphish。

結論

黑客永遠都在尋找誘騙受害者信息的新方法。他們使用的許多套路已被公開，因此我們更不能讓自己成為這些低成本套路的受害者。不要急於打開您收到的任何鏈接，也不要輕易相信中奬消息。如果您收到一封電子郵件說中了10,000美元的彩票，一看您就該知道是假的。我們必須時刻保持警惕，避免因為小錯誤而蒙受大損失。