如何识别钓鱼邮件：网络安全专家给出建议 - 《华尔街日报》

Rick Wash

2022-12-07

许多人之所以成为网络钓鱼的受害者，是因为他们没有注意到那些让可疑邮件显得突出的异常之处。插图：乔恩·克劳斯网络钓鱼对企业网络安全构成了令人抓狂的有效威胁。尽管员工们经常被警告这种危险，但这一手段却屡试不爽。2018年，企业网络安全漏洞中有三分之一是由网络钓鱼造成的。

为什么网络钓鱼如此有效？很大程度上是因为大多数人很难察觉收到的邮件并非其所声称的那样。即使我们知道网络钓鱼是个大问题，我们也不会以让可疑邮件显得突出的方式去思考邮件。

为了帮助人们识别黑客发来的邮件，我采访了网络安全专家，了解他们在阅读收到的邮件时脑海中闪过的想法，并将他们的反应与非专业人士的反应进行了比较。

好消息是：专家们更多地依赖直觉和经验来检测网络钓鱼，而不是技术或网络安全专业知识。任何人都可以从他们的方法中学习。

考虑到这一点，以下是我与网络安全专家访谈中得出的阅读邮件的阶段——从第一印象到判断邮件是真实的还是伪造的。

1. 理解邮件内容

当专家们开始阅读一封邮件时，他们会开始思考这封邮件与他们的工作或个人生活有何关联。这是关于某个工作项目的吗？是老板发来的要求他们做某事的邮件吗？还是朋友发来的周末聚会的邀请？

目前，专家们通常不会对这封邮件的真实性做出判断，因为一开始通常并不清楚。相反，他们会花时间阅读整封邮件，并确保这封邮件在他们的工作或个人生活背景下有一定的意义。例如，收件人最近从某零售商处购买了商品，那么来自该零售商的邮件就有意义，但如果来自一家收件人很久没有互动的商店的邮件就没有意义。

2. 注意到邮件中的奇怪之处

在阅读邮件时，专家们会在心里将其与他们过去收到的邮件进行比较。例如，当一位专家收到一封据称来自某大型零售商的邮件时，她将其与该零售商之前的邮件进行了对比：邮件是否有标志？底部是否有法律免责声明和联系信息？邮件是否用她的名字称呼她？

在进行这种比较时，专家们有时会注意到一些奇怪的差异。在那封零售商的邮件中，这位专家发现了一个拼写错误，而她以前从未在该公司的邮件中看到过这种错误。另一位专家收到一封据称来自他的银行的邮件，说他的账户被黑客入侵，他需要登录以验证账户。他觉得这很不寻常，因为之前来自银行的邮件只是告诉他有一条消息在等待他，并没有告诉他消息的内容。在另一个案例中，某专家所在组织的电子邮件地址通常以员工的姓氏开头，然后是名字，因此当他收到一封据称来自他组织内某人的邮件，而地址却以名字开头，然后是姓氏时，他注意到了这种奇怪之处。

3. 警惕性

对于专家来说，仅仅注意到这些异常现象通常不足以判定一封邮件是钓鱼邮件；例如，有时即使是来自大公司的邮件也可能存在拼写错误。但他们通常会对这类邮件产生不安感，并且不会试图忽视这种直觉。这种警惕性让他们对欺诈可能性保持开放态度。

当人们用各种理由解释邮件中的异常现象，而非正视这种不适感时，就更容易落入钓鱼陷阱。一位专家曾收到朋友发来的派对邀请邮件，这让他感到奇怪——因为这位朋友向来都是口头邀请他。但他用"朋友可能在尝试新的派对组织方式"来解释这个异常，甚至在浏览器手动输入RSVP链接却显示错误时，仍归咎于自己输错了网址。直到电话确认后才发现是骗局。手动输入链接而非直接点击本是这位专家的安全准则，但许多人遇到类似情况时，往往会点击导向伪造页面的链接，导致密码等信息被盗。

4. 联想到钓鱼策略

即使感到不安，专家们仍会继续审阅邮件。此时被激发的怀疑会让他们对钓鱼邮件的常见特征更加敏感。例如，许多伪造邮件会诱导收件人点击链接——无论链接是否真实，这个元素都会在此刻提醒专家们可能存在诈骗。两位受访专家表示，当注意到邮件群发给大量收件人时就会警觉；还有一位则会被标题中的"点击诱饵"触发防范意识。

如果他们在过程中更早地发现这类警示信号，在感到不安之前，他们往往会忽略它。但一旦感到不适，这些警告信号就会触发改变。

5. 调查邮件

一旦专家以这种方式被提醒某些邮件可能是伪造的，一切就不同了。专家会感到有必要调查这封新邮件的真实性。

专家的调查方式与非专业人士不同。这时他们的技术专长就派上用场了。例如，他们可以通过检查邮件头（通常对收件人隐藏的一串代码）来追踪邮件的路径，以确定邮件是否真的来自声称的发送者。

幸运的是，我的研究发现，非专业人士即使没有这样的专业知识，也能有效地调查邮件。他们的一种方法是简单地联系邮件的所谓发送者，询问他们是否真的发送了这封邮件。这种方法的效果几乎与专家的调查相当，尽管通常需要更长的时间。

专家调查后，会决定邮件是否是伪造的。如果认为是伪造的，他们会删除它或将其发送给相应的IT人员处理。如果不是，他们就会按照邮件的要求行事。

在我的研究中，非专业人士上当受骗的最常见原因是他们在阅读邮件时没有注意到异常之处，或者没有想起存在伪造邮件。因此，提高人们发现和阻止钓鱼邮件能力的最佳方法是，帮助他们花更多时间通过与他们过去收到的邮件进行比较，注意到邮件中的异常之处，并帮助他们记住这些异常可能是钓鱼邮件所致。

沃什博士是密歇根州立大学媒体与信息系的副教授。可以通过[email protected]联系到他。

刊登于2022年12月7日的印刷版，标题为《专业人士如何识别钓鱼邮件》。