钓鱼攻击防不胜防，该如何预防网络钓鱼攻击？

“网络钓鱼”是一种网络欺诈行为，是指不法分子利用各种手段，仿冒真实网站地址及页面内容，欺骗消费者或者窃取访问者提交的账号和密码等私人信息。钓鱼网站通常主要通过电子邮件、短信等网络方式传播链接。

常见网络钓鱼攻击——电子邮件钓鱼

电子邮件钓鱼又名欺骗性网络钓鱼，是最常见的网络钓鱼攻击之一。攻击者通常以知名企业或品牌的名义向潜在受害者发送电子邮件。

这些邮件通常附有危险链接，受害者点击链接后，会被诱骗填写登录信息或将恶意软件安装到受害者计算机上的网站。这些网站常常看起来很专业，与其所冒充企业的实际品牌和外观效果几乎一样，这些邮件内容也往往给人以真实感和紧迫感，促使受害者来不及细想就仓促行动。受害者一旦中招，登录信息就基本已经泄露，攻击者会借此去访问受害者的身份和银行信息，进而牟取暴利。

国内发生过不少类似的安全事件，如，西北工业大学遭遇黑客钓鱼邮件攻击；搜狐员工遭遇钓鱼邮件诈骗，等等。人员是安全链中最薄弱的一环，网络犯罪分子往往会利用“员工”这一环节侵入企业网络，对企业发起恶意软件攻击、钓鱼攻击等。

常见网络钓鱼攻击——语音电话钓鱼

攻击者会利用受害者的电话号码直接与其沟通，他们通常会冒充政府部门、银行等合法机构的工作人员，通过播放自动语音消息或直接语音要求受害者采取行动（登录恶意系统、回复验证码等）的方式，诱骗受害者泄露敏感信息，而且这些攻击者往往会瞄准时机，在企业内部最忙、员工压力最大的时候拨打电话，受害者在高度的紧迫感下常常仓促行事，受到欺骗。

到目前为止，语音钓鱼可以细分为下面四大类：

1、天上掉馅饼的电话诈骗，这类型骗局会在没有掌握攻击者任何信息的情况下给受害者打来，并且给用户提供意外惊喜，比如彩票、免费的假期，不过要获得这些好处，就需要前提支付一笔费用。

2、模仿政府人员，这种攻击主要是诱使受害者泄漏个人信息，例如身份证号码或银行帐号。

3、技术支持性的诈骗，诈骗者可以利用技术的优势，弹出广告或伪装成拦截的一个恶意软件的警告，诱骗受害者点开这些通知。不过就在受害者点击这些所谓的通知后，就会被病毒攻击，之后攻击人员会联系受害者，让他们交出一笔维修费，来修好遭受攻击的计算机，这本质上是一种勒索软件。

4、理财型的诈骗，这些类型的诈骗对象主要是高收入人群，他们寻找非常具有高价值的目标来电话推销其理财产品。

常见网络钓鱼攻击——短信网络钓鱼

短信网络钓鱼与语音电话钓鱼类似，但它是通过短信而非电话。与电子邮件网络钓鱼一样，攻击者会从看似明显合法的来源发送文字消息和链接，受害者点击后，其移动设备可能就会被恶意软件感染。

据统计，点赞刷单类，中奖送礼品类，冒充保险类，贷款类，ETC通行类，冒充银行类，冒充社保中心类，冒充工商部门类，双十一购物类等为主，这是攻击者诱骗人们点击恶意链接常见的短信网络钓鱼伎俩。

如何预防网络钓鱼攻击呢？

一、如若接到来电不明的电话、拜访或电子邮件，且对方声称来自合法组织，请尝试直接与公司或相关机构核实其身份。

二、不要随意为他人提供个人信息或有关组织的信息，有不少企业信息泄露案例中是企业员工不小心将信息外发，或将信息转发给朋友，导致的信息泄露。

三、不要在电子邮件中透露个人或财务信息，也不要回复获取此信息的电子邮件请求。这包括以下通过电子邮件发送的链接。

四、在检查网站的安全性之前，不要通过Internet 发送敏感信息。例如，注意网站的统一资源定位符(URL)。查找以“https”开头的 URL——表明网站是安全的——而不是“http”；寻找关闭的挂锁图标- 信息将被加密的标志。

五、如果不确定电子邮件请求是否合法，请尝试通过直接联系公司进行验证。不要使用与请求相关的网站上提供的联系信息；相反，请检查以前的声明以获取联系信息。还可以从反网络钓鱼工作组等团体在线获取有关已知网络钓鱼攻击的信息。

六、安装和维护防病毒软件、防火墙和电子邮件过滤器，以减少部分此类流量。

七、利用电子邮件客户端和Web 浏览器提供的任何反网络钓鱼功能。

八、强制执行多重身份验证(MFA)。
网络钓鱼无孔不入，不管是个人还是企业都必须积极行动起来，积极应对，防患于未然。