什么是网络钓鱼电子邮件？如何识别并避免诈骗

定义

💡 网络钓鱼邮件：一种欺诈性消息，旨在诱骗你泄露密码、信用卡号或账户凭证等敏感信息。骗子会冒充银行、公司或你认识的人，让邮件看起来像是真的。

网络钓鱼的运作方式

有人给你发来一封看起来像是来自你银行的邮件。主题行："紧急：您的账户存在可疑活动。" 邮件里包含你银行的标志，使用他们的配色，并告诉你立即点击链接验证身份。你点了进去，进入一个看起来和你银行登录页一模一样的页面，输入用户名和密码，然后，完了。你刚刚把自己的凭证交给了骗子。

这就是网络钓鱼。这封邮件其实并不是你银行发来的。登录页面是假的。骗子现在拿到了你的密码，可以把你账户里的钱转走。

这类攻击之所以有效，是因为它们利用了紧迫感和信任。 "您的账户将在 24 小时内被停用。" "我们检测到异常活动。" "立即确认您的身份，否则您将失去访问权限。" 它们会逼你在来不及思考时迅速行动。而且它们正变得越来越高明。现代网络钓鱼邮件往往语法完美、发件人地址看起来正规、品牌包装也很有说服力。那种一看就假的“尼日利亚王子”骗局时代基本已经过去了。

如何识别网络钓鱼诈骗邮件

紧急或带威胁性的措辞，往往是第一个明显信号。正规的公司不会因为你几个小时内没回复，就威胁要关闭你的账户。骗子会制造人为的紧迫感，绕过你的警惕。

仔细查看发件人地址。 "support@amaz0n.com"（其中是零）并不是 Amazon。 "accounts@paypa1.com"（其中是数字 one）并不是 PayPal。将鼠标悬停在发件人姓名上，查看真实的邮箱地址。更进一步的话，可以检查邮件头信息。

如果邮件用的是像 "Dear Customer" 或 "Dear User" 这样的泛泛称呼，而不是你的真实姓名，这通常说明它是大规模网络钓鱼的一部分。不过，有些高级攻击确实会使用你的真实姓名，所以光凭这一点还不能下定论。

留意意料之外的附件或链接。你的银行不会把发票以 ZIP 文件形式发给你。如果你事先毫不知情，你的同事大概率也不会突然发你一个莫名其妙的 PDF 文档。如果拿不准，在打开任何内容之前，先通过其他渠道联系所谓的发件人。

任何正规公司都绝不会通过邮件向你索要密码、社会安全号码、信用卡详细信息或双因素身份验证代码。绝不会。如果邮件向你索要这些东西，那就是假的。

现在，糟糕的语法或格式已经不再是那么可靠的判断依据了，但很多网络钓鱼邮件仍然会出现奇怪的措辞或生硬的翻译。专业公司会仔细校对他们的邮件。

点击前先把鼠标悬停在链接上查看（别点击，只悬停）。如果显示出来的网址与链接声称要前往的地址不一致，那就是网络钓鱼。一个写着 "mybank.com"、实际却指向 "mybank-verify-login-2024.ru" 的链接，显然是假的。

网络钓鱼攻击的类型

有些网络钓鱼是定向的，有些则是广撒网碰运气。

鱼叉式网络钓鱼会利用个性化信息攻击特定对象。骗子会在 LinkedIn 上研究你，找到你的同事，也许还会注意到你刚开始一份新工作。然后他们精心编造出让人毛骨悚然地贴切的消息。比群发的通用邮件可信得多。

还有鲸钓攻击。这类攻击专门盯上高管。有人冒充 CEO，给财务发邮件，要求紧急电汇转账。这类攻击会让公司损失数百万，因为高管能接触到大笔资金。

克隆式网络钓鱼更加隐蔽。他们会拿你以前收到过的一封真实邮件（比如收据或通知），照搬一份，把里面的链接换成恶意链接后重新发送。你会觉得眼熟，因为你上周才收到过正版，所以往往不假思索就信了。

语音钓鱼和短信钓鱼？这些不是电子邮件，但它们和网络钓鱼有关。 Vishing 是电话诈骗，smishing 是短信诈骗。骗局套路相同，只是渠道不同。

2026 年近期网络钓鱼骗局

Microsoft Power BI 网络钓鱼骗局

这一招相当狡猾。骗子利用 Microsoft Power BI 真实的通知功能，从真正的 Microsoft 地址发送网络钓鱼邮件。你会收到一条消息，声称有人向你的 PayPal 账户扣了 400 到 700 美元，并附上一个电话号码让你打过去“申诉”。

真正阴险的地方在这里：当你打过去时，电话那头的人会声称自己来自 Microsoft。他们会一步步教你安装远程访问软件来“解决问题”。这让他们完全控制了你的电脑。 PCWorld 在 2026 年初记录了完整攻击过程。

这些邮件看起来合法，是因为它们本来就是真的，只是被滥用了。这正是这种骗局能奏效的原因。

Tycoon 2FA 行动

Tycoon 2FA 本质上就是“网络钓鱼即服务”。付费订阅后，就能使用一个平台发送能绕过双因素身份验证、极具迷惑性的网络钓鱼邮件。在高峰期，它每月向超过 500,000 家组织发送数千万条消息。

医疗和教育行业受打击最严重。超过 100 家 Health-ISAC 成员遭遇了网络钓鱼，造成了真实的运营问题（纽约医院的患者护理延误、学校运作受扰）。在执法部门于 March 2026 将其捣毁之前，Microsoft 追踪到了全球 96,000 名不同的受害者。

到 2025 年年中，Tycoon 已占 Microsoft 拦截的所有网络钓鱼尝试中的 62%。仅一个月时间，他们就拦截了来自这一单一平台的 3000 多万封电子邮件。这就是如今工业化规模的网络钓鱼运作方式。

ClickFix 与虚假 CAPTCHA 攻击

你知道那些“我不是机器人”的 CAPTCHA 验证吧？攻击者已经想出了伪造它们的方法。你会进入一个看似正规的验证页面，但你不是去点选框，而是被诱骗在自己的电脑上复制并运行恶意 PowerShell 命令。

The Hacker News 报道，从 2025 年 8 月下旬到 2026 年初，大约有 147,500 个系统被感染。近期的攻击活动以“你有资格获得认证徽章”为由，瞄准了社交媒体内容创作者。受害者会观看教学视频，视频教他们如何从浏览器 Cookie 中复制“身份验证令牌”，但实际上这会安装远程监控软件。

在 2025 年，这类攻击中有 30% 使用虚假的验证提示来安装远程访问工具。成功率呢？高到足以让攻击者不断重复使用同样的套路。

为什么这会奏效？因为人们已经习惯了不假思索地完成 CAPTCHA 验证。你一看到“验证你是人类”，就会顺手点下去。而这种本能，恰恰就是它危险的原因。

如果你收到网络钓鱼邮件该怎么办

什么都别点。不要打开附件。不要点击链接。不要回复。直接删除。

举报它：大多数电子邮件客户端都有“报告网络钓鱼”按钮。 Gmail、Outlook 和其他服务提供商会利用这些举报来改进其垃圾邮件过滤器，并保护其他用户。

独立核实：如果邮件声称来自你的银行，先关闭邮件，然后直接通过银行官网或应用登录。不要使用可疑邮件中的链接。如果你的真实账户里一切正常，那这封邮件就是假的。

联系发件人确认：如果网络钓鱼邮件声称来自你认识的人，请通过其他方式联系对方（给对方打电话、发短信、发 Slack 消息）。不要直接回复那封可疑邮件。

如果我已经点击了网络钓鱼邮件，该怎么办？

立即更改密码，尤其是当你在假网站上输入过凭证时。如果你还没启用双因素身份验证，现在就开启。监控你的账户是否有未经授权的活动。如果你输入过信用卡信息，请联系银行取消该卡。

如何保护自己

SPF、DKIM 和 DMARC

如果你管理一个域名，请实施 SPF、DKIM 和 DMARC，防止骗子伪造你的邮箱地址去欺骗别人。虽然这不能保护你免于收到网络钓鱼尝试，但它能保护其他人免受冒充你的网络钓鱼攻击。

尽可能启用双重身份验证。

即使有人通过网络钓鱼窃取了你的密码，没有第二重验证因素，他们也无法访问你的账户，这会让你变得更难成为目标。对意料之外的邮件保持怀疑，尤其是那些涉及金钱或凭证的紧急请求。当你感觉哪里不对时，通常就是有问题—相信你的直觉。

保持你的软件为最新版本。

现代浏览器和电子邮件客户端都内置了网络钓鱼检测功能，而且每次更新都会改进，所以保持最新有助于你获得最新的安全功能。如果你负责一家企业，请定期开展网络钓鱼模拟演练。员工往往是安全中最薄弱的一环，而通过逼真的测试进行教育，能帮助他们识别并避开真实攻击。

考虑使用密码管理器。

这些工具只会在合法网站上自动填充密码，这意味着如果你的密码管理器没有在看起来像你银行的网站上自动填充，那就是一个危险信号，说明该网站是假的。这一额外的验证层可以识别出原本可能骗过你的网络钓鱼企图。

禁用远程图片加载

在某些电子邮件客户端中，比如 Spark Desktop，你甚至可以禁用远程图片加载来获得额外保护：打开 Spark Desktop 设置 > 常规 > 加载远程图片 > 关闭此开关。

网络钓鱼电子邮件

目录

定义