十大最易上钩的网络钓鱼题材

“不下载肯定后悔 复仇者联盟2高清种子泄露”,“ 喝醉酒女孩在街上的疯狂举动”……这些标题看起来充满诱惑力,却很有可能是网络钓鱼者骗取网民个人隐私、进行网络诈骗的“诱饵”。趋势科技最近总结了十种最容易诱使网民上钩的钓鱼网站题材,其中,热门影视、隐私窥探、工作邮件位列前三。趋势科技提醒网民,在数字生活中务必要关注这些高风险的陷阱,并采用查看真实来源、安装信息安全软件等组合方式来进行防范。

这些网络钓鱼行为不仅仅会导致个人信息及钱财被窃取,还有可能导致更严重的损失。在美国遭遇的史上最大宗联邦雇员个人信息被黑案件中,事件起因就是黑客将病毒邮件伪装成同事间邮件,诱使收件人点击,导致400万笔个人信息遭窃;无独有偶,由于员工误点击有毒邮件,导致日本国民年金机构125万笔个人信息外泄!

所以,找到不法分子惯用的网络钓鱼题材,并进行重点防范。趋势科技经过对众多网络钓鱼事件的统计,找出了以下十种最容易上钩的网络钓鱼题材:

1、热门影视

热门影视是最受欢迎的钓鱼网站题材,因为他们不仅用户量巨大,而且还很容易通过题材包装来激发网民的强烈兴趣。例如,在电视剧《武媚娘传奇》热播期间,就有不法分子利用了古装美女剪胸这一热议话题,以“武媚娘传奇有胸版”为幌子来传播钓鱼网站。网民一旦点击,不仅可能感染病毒,还有可能跌入网络钓鱼陷阱。

【以“武媚娘传奇有胸版”为幌子来传播钓鱼网站】

【以“武媚娘传奇有胸版”为幌子来传播钓鱼网站】

2、隐私窥探

好奇是人类的本性,这一弱点正在被不法分子利用并放大。“喝醉酒女孩在街上的疯狂举动”,“***明星不雅视频流出”…….尽管很多网民知道此类的链接存在着高度的风险,但会被好奇心驱使去点击这些链接。而且,该类题材还很有可能成为APT攻击的跳板,在2013年,就有上千名企业职工因为点击“李宗瑞影片”,导致公司遭遇APT攻击,大量机密数据被泄露。

3、工作邮件

人事部门收到工作简历、员工满意度调查、工资单……这些都是不法分子惯用的钓鱼题材。根据趋势科技统计,一般员工平均每个工作日会收到100封电子邮件,相当于我们每天有100次掉进黑客陷阱的风险。而且,不法分子的手法日益高明,他们不仅会假冒发件人、邮件主题,连收件人的称呼都没弄错,犯罪手法的精准度令人不寒而栗。

【假冒办公日历的钓鱼邮件】

【假冒办公日历的钓鱼邮件】

其它容易被网络钓鱼者利用的题材还包括其他七类:

  • “银行手续费取消”等全民关心度高的的社会事件
  • 仿造官方身份,利用恐惧心理来恐吓网民
  • 利用有些网民贪小便宜的心理,散播假的抽奖或优惠网站
  • iPhone、Win10等关注度高的新产品或服务
  • 与知名人士相关的话题
  • 软件或是网站的新功能
  • 热门新闻事件

趋势科技中国区技术总监蔡昇钦指出:“在这些容易被网络钓鱼者利用的题材中,存在的一个共同点就是利用网民的猎奇、恐惧、贪小便宜等心理动机,引起网民的关注并点击。由于不法分子利用了社会工程学原理,善于抓住网民的心理漏洞,因此屡屡得逞,这也验证了’人是最大的网络安全漏洞’这一结论。”

要防范网络钓鱼,需要认识到网络中存在的巨大安全风险,在点击不明链接时,应该利用趋势科技 PC-cillin 2015云安全版等信息安全软件来判断链接的安全性。PC-cillin云安全软件是业界首家同时支持Windows、Mac、Android、iOS平台的安全软件,且独家具备领先的云安全技术,可以主动防范个人设备遭受恶意程序感染,并以显著提示标注钓鱼网站。

对于那些无法通过信息安全软件判断真实性的链接,趋势科技建议网民采取以下几种方法来进行判断:

1.点击链接前,先检查真实来源

大部分网络钓鱼信息都希望让人进入会收集个人资料的恶意网站。现在这些电子邮件或其它形式都是用HTML格式,所以可能会让你在不知不觉下链接到恶意网站。将鼠标箭头停在这些链接上,你可以在左下方浏览器状态列上看到他们的实际网址,如果实际网址与宣称的网址不符合,就需要警惕该链接的真实性了。

2.收到要求提供个人信息的电子邮件要小心,即使邮件中有该公司的商标

如果你收到一封要求你提供任何个人资料的邮件,那么它是诈骗邮件的可能性很大(即使里面有该公司的图示和标识)。大多数公司会要求你直接登录网站来提供信息,如果你收到这样一封电子邮件,那最好直接联系该公司以确认真伪。而且不要使用电子邮件内的联系人信息,而是应该访问公司官方网站与他们联系。

3.小心那些威胁要钱的电子邮件或其它信息

不要被那些威胁你交钱的邮件,或是试图说服你去捐钱给从未听过的慈善事业所迷惑。如果你真的担心这威胁是否真实或这慈善单位是否合法,请联络该单位以验证其合法性。

4.检查邮件内是否有拼写错误和语法错误

有信誉的公司不会希望看起来不专业,所以当你收到写得错字连篇或是不通顺的邮件时,该邮件有可能是假的。处理这类邮件的正确方法是不要点任何链接,而是直接登录该邮件声称来源的公司网站,这时候你就可以查证这封伪造电子邮件是否伪造了。

上一篇:OpenSSL将发布安全补丁修复未披露的0day高危漏洞

下一篇:汽车软件升级到底该咋办