Негізгі мазмұнға өту

如何保护自己免受钓鱼攻击

钓鱼攻击仍然是账户被盗的首要方式。了解现代钓鱼攻击的工作原理、需要注意的危险信号,以及能够真正阻止攻击的实用防护措施。

2026-04-14

TL;DR

  • 钓鱼攻击是账户被接管的首要原因——攻击者诱骗您在虚假网站上提供凭据。
  • 现代钓鱼工具包能够像素级完美克隆登录页面,并实时代理您的2FA验证码。
  • 硬件安全密钥(YubiKey、FIDO2)是唯一在设计上防钓鱼的防护措施。
  • 密码管理器通过拒绝在错误域名上自动填充来保护您。
  • 在输入凭据之前检查确切的域名,永远不要通过电子邮件中的链接进行登录。

什么是钓鱼攻击?

钓鱼攻击是一种社会工程攻击,攻击者创建一个令人信服的合法网站副本——通常是像素级完美的——并诱骗受害者在那里输入凭据。受害者一提交表单,攻击者就会捕获用户名、密码和任何第二因子,然后在几秒钟内使用它们接管真实账户。

这个词来自于用诱饵"钓鱼"受害者的比喻(通常是电子邮件)。拼写变化是为了强调攻击者经常使用phone号码(SMS钓鱼或"smishing")和看起来专业的基础设施。

为什么钓鱼攻击仍然是头号威胁

今天大多数大规模账户泄露不涉及黑客攻击、破解密码或绕过加密。它们涉及人类在虚假网站上输入密码。钓鱼攻击具有以下特点:

  • 成本低廉——攻击者可以用一个VPS和一个伪造域名的成本发送数百万封电子邮件
  • 难以过滤——现代工具包轮换域名、使用合法托管,并实时适应过滤器
  • 效果显著——即使是具有安全意识的用户也会被精心制作的针对性尝试(鱼叉式钓鱼)所欺骗
  • 可扩展性强——一次成功的钓鱼攻击通过密码重用往往能够获得对数十个相关服务的访问权限

2024年Verizon数据泄露调查报告发现,钓鱼攻击是超过36%的所有泄露事件的初始访问载体——超过任何其他单一原因。

现代钓鱼攻击的工作原理

钓鱼攻击已经远远超越了2000年代的"尼日利亚王子"电子邮件。现代钓鱼攻击通常包括:

1. 令人信服的诱饵

通常是电子邮件、短信或聊天消息,制造紧迫感("您的账户将被暂停")、权威性("Microsoft安全团队")或好奇心("有人在照片中标记了您")。鱼叉式钓鱼通过从LinkedIn、泄露数据库或先前通信中提取的个人详细信息进一步发展这一点。

2. 像素级完美的虚假网站

攻击者使用现成的钓鱼工具包来克隆目标网站的HTML、CSS和JavaScript。许多工具包作为服务出售(钓鱼即服务),配有工作仪表板和客户支持。

3. 2FA的实时代理

危险的部分:现代工具包不仅捕获您的密码。它们充当中间人代理,在几秒钟内转发您输入的所有内容——包括您的TOTP验证码——到真实网站,绕过大多数2FA。这种技术被称为对手在中间(AiTM),用于Evilginx2和Modlishka等工具中。

4. 会话令牌盗取

一旦您通过代理进行身份验证,攻击者就会捕获您的会话cookie,即使您更改密码后也可以使用它保持登录状态。这就是为什么钓鱼响应总是包括撤销活动会话,而不仅仅是密码轮换。

真正阻止钓鱼攻击的方法

硬件安全密钥(FIDO2 / WebAuthn)

这是唯一一类在设计上防钓鱼的防护措施。当您使用FIDO2密钥登录时,您的密钥会以加密方式验证请求身份验证的网站的确切域名。虚假网站——无论视觉上多么完美——都有不同的域名,因此密钥拒绝响应。加密握手根本无法完成。

Google在2017年为所有85,000多名员工强制使用YubiKey,并报告在此后的几年中公司账户零成功钓鱼攻击

通行密钥

通行密钥是FIDO2的消费者友好型发展。它们使用相同的域绑定加密技术,内置于iOS、Android、macOS和Windows中。如果您使用的网站支持通行密钥,启用一个会使该账户防钓鱼。

密码管理器

密码管理器是您的第二道防线,因为它只在保存凭据的确切域名上自动填充凭据。如果您访问的是paypaI.com(大写I)而不是paypal.com,您的管理器会默默拒绝填写表单。这种拒绝是一个响亮的警告,表明出了问题。

电子邮件和DNS过滤

电子邮件提供商使用DMARC、SPF和DKIM来检测伪造的发送者地址。大多数现代提供商能够捕获明显的尝试,但有针对性的攻击仍会漏过。在您的邮件客户端中启用"报告钓鱼"按钮,这样您就能帮助过滤器改进。

需要注意的危险信号

当您收到要求您登录、验证或紧急行动的消息时:

  • 紧迫性和威胁——"您的账户将在24小时内被关闭"
  • 通用问候语——"亲爱的客户"而不是您的姓名
  • 相似域名——paypaI.comapp1e.comsecure-microsoft-login.net
  • 意外附件——特别是要求您登录查看的.zip.html.pdf文件
  • 语法或格式错误——大公司会校对他们的电子邮件
  • 链接不匹配——将鼠标悬停在链接上并检查目标是否与文本匹配

如果有任何感觉不对的地方,关闭电子邮件。手动导航到网站。如果确实有问题,您在通过正常工作流程登录时会看到它。

如果您上当了应该怎么办

快速行动——速度很重要,因为攻击者在几分钟内就开始使用凭据。

  1. 立即更改密码,在不同设备上(例如,如果您在笔记本电脑上上当了,就用您的手机)
  2. 撤销所有活动会话,在账户设置中——这会踢出当前使用被盗会话令牌的任何人
  3. 启用2FA,如果之前没有开启的话,如果可能的话使用硬件密钥或通行密钥
  4. 检查未经授权的活动——发送的电子邮件、最近的登录、账单更改、新的转发规则
  5. 通知受影响的机构,如果是金融或工作账户
  6. 检查其他账户,使用相同密码的——即使您确定不重复使用密码,也要检查

底线

钓鱼攻击之所以猖獗,是因为它绕过技术并针对人类。最好的防护措施结合三层:密码管理器(拒绝在错误域名上自动填充)、防钓鱼2FA(绑定到真实域名的硬件密钥或通行密钥)和健康的怀疑态度(永远不要通过电子邮件链接登录)。

首先在您最重要的账户——您的电子邮件——上启用这三项。从那里开始,您数字生活的其余部分会变得明显更安全。

如何保护自己免受钓鱼攻击

一个实用的、有序的清单,用于加强您的账户对钓鱼攻击的防护。

  1. 使用密码管理器:安装一个信誉良好的密码管理器(1Password、Bitwarden、Proton Pass)并让它自动填充凭据。它会拒绝在相似域名上自动填充,为您提供内置的钓鱼检测器。
  2. 启用防钓鱼2FA:为您最重要的账户添加FIDO2硬件密钥(YubiKey、Google Titan)或通行密钥——首先是电子邮件,然后是银行、云存储和密码管理器。这些是唯一能真正阻止现代钓鱼攻击的2FA方法。
  3. 永远不要通过电子邮件链接登录:当您收到要求您登录的电子邮件时,关闭邮件并通过书签或输入URL手动导航到网站。电子邮件中的链接可能是完美的克隆;您浏览器中的书签不是。
  4. 在输入之前检查确切的域名:在输入任何密码之前,查看地址栏中的完整URL。查看https、正确拼写,以及没有额外的子域名,如paypal.com.secure-login.net。
  5. 报告并继续:向您的电子邮件提供商报告钓鱼尝试(大多数都有"报告钓鱼"按钮)。然后继续您的日常工作——钓鱼只有在您上当时才危险,而意识是战斗的大部分。

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email