“網絡釣魚”是指企圖竊取敏感信息，通常以用戶名、密碼、信用卡號、銀行賬戶信息或其他重要數據的形式，以利用或出售被盜信息。通過偽裝成信譽良好的消息來源并提出誘人的請求，攻擊者引誘受害者以欺騙他們，這與漁夫使用誘餌捕魚的方式類似。

網絡釣魚是如何進行的？

最常見的網絡釣魚示例用于支持其他惡意操作，例如路徑上攻擊和跨站點腳本攻擊。這些攻擊通常通過電子郵件或即時消息發生，并且可以分為幾個一般類別。熟悉這些不同的網絡釣魚攻擊媒介中的一些是很有用的，以便在野外發現它們。

預付費騙局

這種常見的電子郵件網絡釣魚攻擊因“尼日利亞王子”電子郵件而流行，其中一名據稱處于絕望境地的尼日利亞王子主動提出以少量費用預付給受害者一大筆錢。不出所料，當支付費用時，沒有大筆資金到賬。有趣的歷史是，這種類型的騙局已經以不同的形式發生了一百多年；它最初在 1800 年代后期被稱為西班牙囚犯騙局，其中一個騙子聯系受害者，以祈求他們的貪婪和同情。據稱，騙子試圖走私一名富有的西班牙囚犯，他將重金獎勵受害者，以換取賄賂一些獄警的錢。

這種攻擊（是它的所有形式）通過不響應來自未知方的請求來減輕，在這些請求中必須付出金錢才能獲得回報。如果這聽起來好得令人難以置信，那可能就是這樣。對請求的主題或某些文本本身進行簡單的 Google 搜索，通常會顯示出騙局的詳細信息。

帳戶停用騙局

通過利用受害者認為重要帳戶將被停用的緊迫性，攻擊者能夠誘騙某些人交出重要信息，例如登錄憑據。舉個例子：攻擊者發送一封看似來自銀行等重要機構的電子郵件，他們聲稱如果不迅速采取行動，受害者的銀行賬戶將被停用。然后，攻擊者將向受害者的銀行帳戶請求登錄名和密碼，以防止停用。在攻擊的一個巧妙版本中，一旦輸入信息，受害者將被引導到合法的銀行網站，這樣就沒有什么不合時宜的了。

可以通過直接訪問相關服務的網站并查看合法提供商是否通知用戶相同的緊急帳戶狀態來對抗此類攻擊。檢查 URL 欄并確保網站安全也很好。任何要求不安全的登錄名和密碼的網站都應該受到嚴重質疑，并且幾乎無一例外地不應使用。

網站偽造詐騙

這種類型的騙局通常與其他騙局相結合，例如帳戶停用騙局。在這次攻擊中，攻擊者創建了一個與受害者使用的企業（例如銀行）的合法網站幾乎相同的網站。當用戶通過任何方式訪問該頁面時，無論是電子郵件網絡釣魚嘗試、論壇內的超鏈接，還是通過搜索引擎，受害者都會訪問一個他們認為是合法站點而不是欺詐副本的網站。受害者輸入的所有信息都被收集用于出售或其他惡意用途。

在互聯網的早期，這些類型的重復頁面由于其粗制濫造的工藝而很容易被發現。今天，欺詐網站可能看起來像是原始網站的完美再現。通過檢查 Web 瀏覽器中的 URL，通常很容易發現欺詐。如果 URL 看起來與典型的不同，則應將其視為高度可疑的。如果列為不安全的頁面且 HTTPS 未啟用，則這是一個危險信號，幾乎可以保證該站點要么已損壞，要么受到網絡釣魚攻擊。

什么是魚叉式網絡釣魚？

這種類型的網絡釣魚針對特定的個人或公司，因此稱為魚叉式網絡釣魚。通過收集有關特定目標的詳細信息或購買信息，攻擊者能夠發起個性化騙局。這是目前最有效的網絡釣魚類型，占攻擊的 90% 以上。

什么是克隆網絡釣魚？

克隆網絡釣魚涉及模仿以前發送的合法電子郵件并修改其鏈接或附加文件，以誘騙受害者打開惡意網站或文件。例如，通過獲取電子郵件并附加與原始附件同名的惡意文件，然后使用看似來自原始發件人的欺騙電子郵件地址重新發送電子郵件，攻擊者能夠利用初步溝通，以便讓受害者采取行動。

什么是捕鯨？

對于專門針對企業中的高級管理人員或其他特權用戶的攻擊，通常使用術語捕鯨。這些類型的攻擊通常針對可能需要受害者注意的內容，例如法律傳票或其他行政問題。

這種攻擊方式的另一個常見載體是看似來自高管的捕鯨詐騙電子郵件。一個常見的例子是 CEO 發送給財務部門人員的電子郵件請求，請求他們立即幫助轉移資金。較低級別的員工有時會被愚弄，認為請求的重要性和請求的人取代了再次檢查請求的真實性的任何需要，導致員工將大筆資金轉移給攻擊者。