如何识别钓鱼邮件

今天，带大家来防御钓鱼邮件。

钓鱼邮件，即一种伪造邮件，是指利用伪装的电子邮件，来欺骗收件人点击恶意URL，或诱导收件人下载带恶意程序的可执行文件。

对于恶意URL，通常会伪装成和真实网站一样，比如银行或理财的网站，从而骗取收件人的银行卡号码、账户名称及密码等敏感信息。也可能是构造了恶意网站，利用收件人浏览器或系统其他组件漏洞，达到控制收件人电脑的目的。

对于下载恶意软件，很明了，就是想让你运行，在你电脑上运行恶意程序。

钓鱼邮件的主要特点：以公司某部门的名义，如安全部、综合部，使用正式的语气，内容涉及到账号和密码等敏感信息，可能带有链接地址或附件，制造紧张氛围，比如24小时内今日下班前完整账号密码修改。

如下图：

我们来分析这封钓鱼邮件，一是以集团安全组的名义进行下发，二是邮件内容很正式，行文符合收件人公司的习惯，这是下了很大功夫的，三是正文中包含一个链接，四是需要你修改后回复邮件，制造了紧张氛围。

你也可能会说，平时集团发的邮件也是这个样子的啊？对，现实就是这么严峻。

如何识别钓鱼邮件呢？

1、先看发件人：

一种很简单的方法，有的邮件会提示你邮件由另一个邮箱代发，或者邮箱地址不是本公司的，比如china.com的域名，发件人却是chiina.com，再或者邮箱地址是qq或者163等个人邮箱的，那就更没跑了，钓鱼邮件无疑。

但是我上面那个打码的例子，发件人的邮箱初步看确实是集团安全组的，是因为攻击者更改了From信息，但这已经是从Foxmail里点击了邮件详情了，照样没露出攻击者的马脚。这时我们通过网页版的邮箱查看邮件详细信息，并不是说非是网页版才能看到，只是Foxmail没显示邮件的详细信息而已。我用的qq邮件的详细信息：

From: "=?gb18030?B?Ij48aW1nIHNyYz0xIG9uZXJyb3I9YWxlcnQoMSk+?=" <×××××××××@qq.com>
To: "=?gb18030?B?gTesNc7i0KHDyIE3rDU=?=" <×××××@qq.com>
Subject: =?gb18030?B?udi69bn6vNK088rC?=
Mime-Version: 1.0
Content-Type: multipart/alternative;
  boundary="----=_NextPart_5EB50A93_10F6DD20_58D07F72"
Content-Transfer-Encoding: 8Bit
Date: Fri, 8 May 2020 15:30:27 +0800

但是其实那个页面，发送者的邮箱只和收件人的邮箱域名只差了一位，不认真看也是看不出来的。

为什么不直接使用收件人的邮箱域名发呢？因为可能有认证导致邮件发送失败，或者和我们公司那样，第一封钓鱼邮件的发件人是我们公司真实的邮箱地址，可以发送成功，但是可能触发了某种检测机制，导致之后使用真实邮箱作为发件人地址发送会被邮件网关丢弃，只能使用改一下的邮件域名作为地址才能发送。所以看发件人邮件地址，还是能识别出很多钓鱼邮件的。

2、看内容

从第一封邮件的截图可以看出，邮件命中了很多危险因素：以集团安全组（大的部门）的名义进行下发，以修改密码（敏感信息）为邮件主要目的，存在URL地址，要求更改后回复邮件（制造紧张氛围）。这大概率就是钓鱼邮件了。

3、核查

假的，是经不起核查的。如果是普通同事发送的邮件，我们感觉有疑，可以打电话或者微信询问邮件真实性，这就好像微信好友找你借钱，一般都会让他们发句语音来识别身份一样。如果是公司职能部门下发的统一要求，应该在企业微信或钉钉上同步通知员工，从而排除钓鱼邮件的疑惑，毕竟你们和钓鱼邮件的文案过于类似[狗头]。

长按下方图片关注我们：