ZH
简而言之
2025 年,联邦调查局互联网犯罪投诉中心(IC3)报告称,网络钓鱼仍然是最普遍的网络威胁,仅在美国每年的投诉量就超过 193,000 起。虽然投诉量已趋于稳定,但经济影响却急剧上升,去年报告的网络犯罪损失总额达到创纪录的 166 亿美元。
您是主要目标,因为在服务器硬化的时代,人类仍然是 "最软 "的切入点。网络钓鱼已从简单的电子邮件演变为多渠道攻击:
骗子隐藏在 "显示名称 "后面,而实际地址是一个随机字符串。他们使用 "外观相似 "的域名,如 @support-paypal.com 而不是 @paypal.com。
现在:攻击者现在使用 "子域劫持",即从合法但已被破解的知名品牌子域发送电子邮件,以绕过 "安全发件人 "列表。
一个按钮上可能写着 "验证账户",但其底层代码却会将您导向一个凭证收集网站。
在电脑上,将鼠标悬停在链接上,即可在浏览器下角看到目的地。在手机上,长按链接预览 URL。如果与公司的官方域名不符,则是一个骗局。
网络钓鱼依赖于人为期限造成的 "被迫错误"。骗子会使用 "检测到未经授权的登录 "或 "要求在 4 小时内采取行动 "等短语。
现在:骗子现在利用多因素身份验证疲劳攻击,用几十个多因素身份验证提示轰炸你的手机,希望你点击 "批准 "来停止通知。切勿批准并非由你发起的多因素身份验证提示。
以前的建议是寻找 "蹩脚的英语"。这已经过时了。随着生成式人工智能的兴起,骗子现在可以用任何语言编写无错别字、专业且品牌一致的通信。与其寻找拼写错误,不如寻找上下文错误:这是您实际使用的服务吗?请求提供的信息是否不同寻常?
附件仍然是恶意软件的主要传播工具。然而,Quishing(QR 钓鱼)是新的前沿。由于许多安全过滤器无法 "读取 "图像中的链接,因此骗子会在电子邮件中嵌入 QR 码。如果一封电子邮件要求您 "扫描此代码以保护您的账户安全",这几乎肯定是一个陷阱。
合法的公司绝不会通过电子邮件或短信要求您提供密码、社会保险号或信用卡的全部详细信息。如果有信息引导您进入登录页面,请关闭该信息,并在浏览器中输入地址手动导航到该网站。
如果觉得某个链接稍有可疑,请勿点击--先在 ScamAdviser 上核实该网站的信誉。
Adam Collins 是 ScamAdviser 的网络安全研究员,为了隐私和安全起见,他使用化名。他在数字前线工作了四年多,花了 1500 多天解构了数以千计的欺诈计划,擅长将复杂的威胁转化为可操作的建议。他的使命是:揭露红旗,让您放心浏览网络。
