每个人都应该了解的7种危险网络钓鱼攻击类型

美国联邦调查局估计，2023年美国人因电子邮件诈骗损失将高达125亿美元。你可能认为自己知道如何识别和避免诈骗邮件，但事实并非如此简单。

恶意电子邮件只是日益复杂的网络钓鱼攻击手段中的一部分，网络犯罪分子不仅利用这些攻击窃取金钱，还利用个人信息、窃取身份，对个人和企业造成损害。

以下是网络犯罪分子经常用来攻击用户的 7 种最常见、最危险的网络钓鱼攻击类型。

1. 电子邮件诈骗

电子邮件诈骗（或称电子邮件网络钓鱼）是一种网络攻击形式，网络犯罪分子发送虚假电子邮件，诱骗收件人执行有利于他们的操作，例如提供敏感信息、点击恶意链接或下载恶意软件。这些电子邮件通常伪装成来自可信组织或个人，例如银行、大型公司或政府机构。

最初，人们普遍认为网络诈骗是指通过电子邮件窃取敏感信息或金钱的行为。这并不奇怪，因为电子邮件是网络犯罪分子用来欺骗用户的首批攻击渠道之一。

尽管电子邮件网络钓鱼由来已久，但它仍然是当今最普遍的诈骗形式之一。据估计，每天发送的电子邮件高达34亿封，这不仅代价高昂，而且也是被举报最多的网络犯罪形式。

过去，钓鱼邮件很容易被识别，因为它们语法生硬、措辞怪异，很容易被怀疑是伪造的。然而，随着ChatGPT等人工智能技术的出现，这种情况发生了改变。这款工具已成为黑客的“得力助手”，即使是不懂英语的人也能轻松创建流畅、专业且足以骗过几乎任何人的钓鱼邮件。

如果您对电子邮件的真实性有任何疑问，请主动直接联系相关公司，但切勿回复该邮件。更重要的是，如果您无法完全确定邮件的可信度，请避免点击任何链接或下载任何附件。这一措施是保护您免受网络攻击的关键。

2. 短信诈骗

短信诈骗（也称短信网络钓鱼或短信诈骗）是一种通过短信或即时通讯应用（例如 WhatsApp、Messenger）进行的诈骗形式。与电子邮件诈骗类似，短信诈骗的目的是诱骗用户提供个人或财务信息，或采取有利于诈骗者的操作，例如点击恶意链接或下载恶意软件。

大多数人习惯在收到短信后5分钟内查看，因为短信通常被视为比电子邮件更个性化、更值得信赖的沟通方式。我们经常收到来自朋友、家人或信任公司的短信，因此很容易注意到它们并快速回复。

短信诈骗与电子邮件诈骗类似，但它不是出现在你的收件箱中，而是通过短信进行。你可能收到过来自“亚马逊”的虚假短信，通知你订单正在运送途中，但你从未订购过任何东西。

或者，你可能会收到陌生人发来的信息，对方声称发错了号码，却故意拖延与你的对话。这些都是网络犯罪分子企图诱骗你点击恶意软件链接或操纵你窃取金钱和个人信息的伎俩。

“宰猪式”诈骗是一种越来越常见、越来越复杂的网络钓鱼攻击形式，诈骗者会像养猪一样耐心地“培育”受害者，逐渐建立信任，并说服他们将钱投资到某些东西（通常是虚假的加密货币交易所）上，最终夺走他们所有的资产。

3. 社交媒体钓鱼骗局

社交媒体钓鱼诈骗（或称网络钓鱼）是一种网络攻击形式，网络犯罪分子冒充Facebook、Zalo等社交网络上的客户支持账户来诈骗受害者。攻击者创建虚假网站或账户，冒充知名品牌或信誉良好的客户服务机构，诱骗用户信任并提供个人信息、账户或金钱。

我们常常在社交网络上分享大量个人信息，渴望与所有人建立联系和分享。然而，这些信息却成了诈骗分子的工具，帮助他们设计出复杂且个性化的网络钓鱼攻击，从而更有效地欺骗用户。

攻击者会扫描你的社交媒体个人资料，找出你使用的产品和服务，然后冒充你信任的公司的客服代表。

然后他们会要求你提供敏感信息、发送恶意链接或将你带到虚假网站以窃取密码和其他重要数据，进而入侵你的帐户。

4. 电话诈骗

语音钓鱼（也称语音诈骗）是一种电话诈骗形式，攻击者冒充可信的组织或个人，诱骗接收者提供个人或财务信息，或采取有利于诈骗者的行为。语音钓鱼结合了网络钓鱼和语音通话，使用语音而非电子邮件或短信。

最近，许多人接到自称是银行工作人员的电话，对方语气自信友好，声称他们的银行卡上刚刚发生了一笔可疑交易，银行需要核实他们的身份。骗子首先会要求用户提供身份证号码和其他与银行卡相关的重要信息。

这种网络钓鱼攻击具备所有成功社交工程攻击的特征。他们强调时间紧迫，让受害者感到紧张，几乎愿意交出敏感信息。此外，他们冒充权威人士，使我感觉他们索要信息完全合理且必要。

5. 有针对性的网络诈骗

鱼叉式网络钓鱼是一种高度复杂且个性化的网络诈骗形式。与攻击者发送成千上万封随机虚假电子邮件的传统网络钓鱼不同，鱼叉式网络钓鱼专门针对个人或组织。攻击者会收集目标对象的详细信息，例如他们的兴趣爱好、工作关系或其他个人数据，从而创建看似非常可信的欺骗性电子邮件。

鱼叉式网络钓鱼是一种更加复杂且更具针对性的攻击。试想一下，如果您收到一封包含您的姓名和敏感信息的电子邮件，您很可能会打开它，因为它看起来如此合法可信。

网络钓鱼攻击并非针对普通民众；相反，它们通常针对黑客认为具有高价值的目标。黑客可能愿意投入时间和资源来收集目标的详细信息，以便精心制作个性化且极具迷惑性的恶意电子邮件。

鱼叉式网络钓鱼攻击的一种复杂变体是“鲸钓”，它通常以首席执行官和总经理等高价值目标为目标，目的是从他们那里获取敏感信息。

6. 水坑骗局

“水坑骗局”借鉴了自然界的狩猎行为，即捕食者在猎物经常出没的水源地设下埋伏。

在网络安全领域，它指的是一种攻击形式，攻击者入侵目标用户经常使用的网站或在线服务。攻击者利用用户对这些合法网站的信任，在用户访问时植入恶意软件或窃取个人信息。

水坑式攻击是指攻击者入侵合法网站并利用其漏洞植入恶意代码，例如 HTML 或 JavaScript 代码。攻击者可以控制整个网站，也可以只修改网站的一部分，将用户重定向到虚假页面。

当用户最初信任某个网站时，他们往往会点击链接并提供敏感信息，例如信用卡号、身份证号或登录凭证，从而为攻击者劫持数据创造了机会。

7. 通过虚假网站进行诈骗

网站欺骗是一种网络攻击形式，攻击者会创建一个外观和功能几乎与合法网站完全相同的虚假网站。这种行为的目的是诱骗用户误以为自己正在访问真正的网站，从而窃取密码、信用卡号或其他个人信息等敏感信息。

你是否曾经尝试访问 Amazon.com 时，不小心输入了 Amazonn.com？即使你看到的网站看起来和亚马逊一模一样，但它实际上可能是一个由骗子拥有和运营的虚假网站。

这是一种名为URL劫持的攻击形式，网络犯罪分子会购买与热门网站非常相似的域名。他们将这些网站设计得与真实网站一模一样，但其真正目的是窃取您的敏感信息，例如密码、信用卡信息或个人数据。

虽然网络钓鱼攻击手段越来越高明，越来越难以检测，但保持警惕仍然可以保护自己。除非您已彻底核实与您沟通的人确实是可信公司的代表，否则切勿点击链接或提供敏感信息。