钓鱼邮件如何应对？

　　什么是钓鱼邮件：

　　钓鱼邮件指利用伪装成同事、朋友、家人等信任的人，通过发送电子邮件的方式，诱使用户回复邮件，点击嵌入邮件正文的恶意链接或者打开邮件附件植入木马或间谍程序，进而且窃取用户敏感数据、个人银行账户等信息。或者在设备上执行恶意代码实施进一步网络攻击活动。

钓鱼邮件

　　01 钓鱼邮件分类

　　1. 附件钓鱼

　　这类邮件的风险在于邮件中含有附件，附件的类型为可执行文件，一般是病毒执行程序。其他常见的还有office文件、PDF等，主要是利用宏或者客户端软件CVE漏洞，也有利用加密的压缩文件绕过反病毒检测的。

　　2. 链接钓鱼

　　这类邮件风险在于邮件中有网页链接，点开链接是骗子做的以假乱真的钓鱼网站，网站通常会要求用户输入账户信息之类以获取用户敏感度信息;另外一种链接指向的网页暗藏木马程序，用户如果浏览器存在未修复的漏洞则点开的同时就中招了。

　　3.二维码钓鱼

　　邮件中不直接提供过于明显容易识别的单位网站链接，而是包含有二维码，引导用户扫描二维码进入钓鱼网站，网站会要求用户输入账户信息用户获取用户敏感信息。二维码也会指向附件或者App，要求用户下载App或者相关附件，在App或者附件中植入病毒。

　　4.内容钓鱼

　　这类邮件通常附件不存在病毒，或者无任何外链接或者二维码，通过多次邮件来往获取信任后实施进一步欺骗。

　　02 识别钓鱼邮件

　　1. 看发件人地址

　　钓鱼邮件的发件人地址经常会进行伪造，比如伪造成本单位域名的邮箱账号或者系统管理员账号(admin、service等)，如遇邮箱账号拼写奇怪或怀疑邮件的真实性，请谨慎处理。

　　2. 看收件人地址

　　如果发现所接收的邮件被群发给大量人员，而这些人员并不是工作常用联系人或同一工作组织内的人员，那么就需要警惕，有可能是钓鱼邮件。

　　3. 看邮件标题

　　大量钓鱼邮件主题关键字会涉及“系统管理员、通知、发票、工资补贴、银行认证、参会名单、邮箱升级、邮箱容量上线”等，收到此类关键词的邮件，需提高警惕，要通过其他细节进一步判断邮件的真实性。

　　4. 看正文措辞

　　对使用“亲爱的用户”、“亲爱的同事”等一些泛化问候的邮件，和任何制造紧急气氛的邮件提高警惕，例如“请务必18点前回复”、“请务必今日下班前完成”，这类邮件需谨慎处理。

　　5. 看正文目的

　　警惕邮件中索要个人信息、账号密码等隐私信息。医院的统一身份认证账号密码一旦泄露，攻击者便可利用该账号密码进入院内网络，对服务器和信息系统进行横向攻击，后果严重。

　　6. 看正文内容

　　警惕正文中出现的链接地址或二维码，很可能就是钓鱼链接，一定要仔细核对是否真实地址，谨慎填写个人敏感信息。当心垃圾邮件的“退订”功能，有些垃圾邮件正文中的“退订”按钮可能是虚假的。点击之后可能会收到更多的垃圾邮件，或者被植入恶意代码。可以直接将发件人拉进黑名单，拒收后续邮件。

　　7. 看附件内容

　　警惕不明邮件的附件，下载前先进行病毒查杀，特别注意格式为“bat”“msi”“exe”“cmd” “msp”等，切忌直接点击打开。

案例分析

　　1.发件人信息显示为“华山”，邮箱地址为“libotai@sjtu.edu.cn”，伪造可信机构的发件人。

　　2.邮件主题为“尊敬的华山邮箱用户”，泛化问候的邮件，可能群发给大量人员。

　　3.提到所有活跃账户必须进行验证和登录以完成迁移，这涉及邮箱升级迁移、邮箱容量上线等关键词，提高警惕。

　　4.邮件中包含的需要点击的陌生链接(https://frank2659.softr.app/#form1)，不明链接、访问伪造网站、提交账号和密码。

　　5.“24小时内未完成账户迁移，否则账户被暂时暂停”，制造紧迫感的策略，诱导用户快速响应。

钓鱼邮件防范

六要

六不要

感染钓鱼邮件怎么办

　　01 及时报告

　　及时报给信息中心，请专业的安全人员进一步处理和开展后续系统清理以及恢复工作。

　　02 修改登录密码

　　邮箱的登录密码可能已经泄露，应在另外的机器上及时修改密码，防止攻击者获取邮箱中的邮件、联系人等敏感信息，遏制黑客进一步的攻击和渗透。

　　03 全盘杀毒

　　钓鱼邮件中的链接或附件可能带有病毒、木马或者勒索程序。发现异常应及时做全盘扫描杀毒，最好使用多个杀毒软件交叉杀毒。

　　04 隔离网络

　　切断受感染设备的网络连接(拔掉网线或者禁用网络)，避免网络内其他设备被感染渗透，使安全事件范围得到控制，防止敏感文件被窃取，降低安全事件带来的损失。

　　本文文字来源于华山信息微信公号