电子邮件诈骗形式多种多样。有些明显到可笑——几乎没有花任何心思去伪装成诈骗以外的样子。
但别以为它们全都如此。电子邮件诈骗似乎只会变得越来越狡猾、越来越有创意。甚至连那些从小抱着 iPad 长大、最懂电脑的 Z 世代,在意识到问题之前都可能会多看两眼。要不是它们如此阴险,你甚至可能会退后一步,佩服一下这种手法。我们将向你展示如何识别网络钓鱼和其他常见的电子邮件诈骗,并防范它们。
快速回顾一下过去
我们很多人都记得电子邮件诈骗刚出现的那些早期日子——那是个美好的年代,那时我们既更天真,但同时也更不轻信电子邮件。当我们收到一封诈骗邮件时,会带着困惑的兴趣去读,试图弄明白为什么发件人会觉得我们是那个适合求助的人。
还记得西班牙囚徒骗局吗?一个拥有巨额财富却不幸入狱的人,急需我们帮忙支付赎金,好让他获释。好笑的是,这种骗局实际上早于电子邮件,起源于 19 世纪初。显然,某个特立独行的互联网冲浪者决定把它数字化。
如今,电子邮件诈骗更加充分地利用了其数字化形式的优势。与一些“元老级”骗局不同,它们利用了互联网多年来带来的便利——例如轻松在线处理付款、我们对电子邮件作为重要沟通方式的依赖增加,以及社交媒体的发展等等。
一眼就能看出的诈骗线索
在我们更仔细地看看不同类型的电子邮件诈骗之前,我们先分享一些通用规则,帮助你识别电子邮件诈骗/垃圾邮件——因为它们都有共同元素:发件人、主题行、正文内容,以及也许最重要的——需要被阅读并被相信。
公司/发件人名称
请留意:
拼写错误或品牌写法不正确——例如 Paypal 与 PayPal。
感觉过于具体描述或不太可能的内容——例如 AA Car Emergency 与 AA。
你并未购物/往来的公司——例如你在 Lloyds 银行开户,却收到来自 Barclays 的通知。
任何看起来奇怪的东西——从符号、名字古怪的公司,到奇怪的空格——有时发件人身上就是有种说不出的不对劲。
发件电子邮件地址
请留意:
不协调的电子邮件地址——与公司名称不一致的内容。
仿冒地址——刻意设计得像真实公司的地址。这可能体现在域名(@paypalcare.com)或 TLD(@paypal.club)上。
错误——地址中的拼写错误或其他异常。
主题行
请留意:
旨在制造紧迫感的措辞——例如“警告:最终付款通知”。
过度承诺的语言——例如“五分钟赚 £1000”。
激起强烈情绪反应的语言——例如“你被录用了!明天开始上班!”
拼写错误——骗子可不是以语法好而闻名的。
过度使用标点符号或表情——真正的公司很少这样做。
出现“Re”——可能是为了暗示你之前回复过,实际上并没有。
按钮和附件——务必避免点击可疑电子邮件中的按钮或下载附件。
正文内容
请留意:
难以置信的承诺——与主题行中的情况类似,但正文有更多展开空间,因此更有机会把谎言说得更有说服力。
要求提供个人信息的行动号召——尤其是地址或银行卡信息。
提到你不记得的任何事情——从事件到你从未收到过的服务。
冒充身份——有人声称自己是你的朋友或亲戚,但说话方式却不像他们本人。
现在你已经了解了骗子如何操纵电子邮件的不同部分,接下来让我们看看一些具体示例。
恶意软件
对很多人来说,恶意软件攻击可能是我们真正害怕过的第一类恶意电子邮件。那时候,我们大概只是把它们称为电子邮件病毒。打开它,屏幕变黑。游戏结束。大概就是这种感觉。
实际上,恶意软件涵盖了各种各样的恶意攻击——坦白说,其中有些比电脑迅速“死亡”要可怕得多。
监控击键?在你不知情的情况下榨干你的 CPU?监视你?每五分钟强制弹出一次可疑广告?没错,恶意软件涵盖了各种会在你不知情时嵌入电脑的小程序,它们的功能从恶作剧分子的把戏到彻头彻尾的犯罪行为不等。它们善于躲藏,而且通常很难清除——前提还是你知道它们在那里。
如何检测恶意软件
如果你正在经历上面列出的任何症状,那很有可能就是恶意软件。这可能来自电子邮件——但也不一定。还有其他方式会让这些程序嵌入你的电脑——下载内容、可疑网站,甚至恶意硬件设备。如果你在街上捡到一个 U 盘,别去看里面有什么。
保护自己免受恶意软件侵害
冒着说废话的风险,试试恶意软件检测软件吧。不过,要选择信誉良好的产品。
如果你在 Google 上搜索如何从一开始就预防恶意软件,排在最前面的建议就是安装杀毒软件。就我个人而言,我不认识任何一个自 2010 年代末以来还这么做的人,但我又凭什么去反驳被 Gemini 浓缩成一句话、并在不到一瞬间的又一瞬间内给出的整个人类知识与海量经验呢?
话虽如此,操作系统提供的威胁防护通常确实比早期更好了,尤其是 Windows 会通过更新来防御威胁。但更重要的是,很多电子邮件软件正在替我们完成这项工作,在可疑邮件到达我们之前就将其过滤掉。
找一家强调良好恶意软件防护、并会在邮件到达你之前进行扫描的电子邮件服务提供商,是个不错的主意。尤其是在避免心理操纵类攻击方面,这一点特别有用(我们稍后就会谈到)。
如果我们谈的是防护而不是预防,那么定期备份是个好主意,以防你中了这类攻击。就我个人而言,我推荐类似Mega Sync这样的工具,它会在你每次保存文件时更新。
网络钓鱼
如今,你最有可能遇到的可能就是电子邮件网络钓鱼诈骗。为什么?因为就像一段朗朗上口的旋律,或春天的气息一样,我们都难以抗拒它们的“魅力”。但你该如何识别网络钓鱼呢?
网络钓鱼攻击之所以有效,是因为它们非常灵活。有时识别网络钓鱼并不难。它们可以是任何东西:凡是能让某人输入个人数据的内容都算。想想任何一种会让你觉得有必要分享个人数据或给别人转钱的理由,它都有可能变成一封网络钓鱼邮件。
这里只列举几个例子,请记住,网络钓鱼的关键在于:所有这些电子邮件看起来都像真的,但其实是假的:
密码重置通知。
补全缺失的银行信息。
完善你的邮寄地址以启用配送。
续订你的订阅。
你是比赛获胜者!
一位有困难的朋友请求帮助。
退税通知。
请求慈善捐款。
如果你从没见过网络钓鱼诈骗,那你还算“鱼”吗?它们无处不在,几乎让人难以想象没有它们的电子邮件世界。但“钓鱼”的方式可不止一种……
鱼叉式网络钓鱼和鲸钓
鱼叉式网络钓鱼和鲸钓针对特定个人,通常采用更具攻击性的手法。
鱼叉式网络钓鱼会利用个人信息(通常来自多个来源)来制作更具说服力的电子邮件。由于它是基于个人信息撰写的,因此可能会提到真实的朋友、真实的情境,甚至更逼真地冒充银行等机构。如果你觉得这不太可能发生在自己身上,请记住,大多数人在网上公开可获取的信息比他们意识到的要多。
如果有人冒充你的朋友,并提到十年前你们一起参加过的一件非常具体的事情,你为什么不会相信呢?你可能要过一会儿才会想起来,你曾在 Facebook 上详细发过这件事,而且那条帖子是公开可见的。当对方向你借钱时,也许你就会伸出援手。
我们所有人都可能成为鱼叉式网络钓鱼的受害者,这使它比那些更明显的诈骗更危险。一个值得庆幸的限制是,要成功实施鱼叉式网络钓鱼诈骗所需的研究工作量,会让大多数骗子望而却步。对他们来说,押注于一封群发邮件、即使回应的人更少,也更容易。但未来 AI 会不会改变这一点?我们必须保持警惕。
鲸钓
那么,什么是鲸钓?从很多方面来说,鲸钓攻击与鱼叉式网络钓鱼几乎相同,只不过它专门针对高净值个人,比如 CEO。
令人遗憾的现实是,他们的身份既让他们更值得被投入时间去针对,而其他因素(如财富、责任、时间不足以及庞大的联系人基础)也意味着存在多个可被利用的弱点。例如,骗子也许只需要让私人助理或秘书相信自己得到了 CEO 的批准即可。所以,商业领域的鲸钓显然总是坏事。
如何防范鱼叉式网络钓鱼和鲸钓
除了我们上面一般指南中列出的内容之外,你还应该设置强大的垃圾邮件过滤。人为因素正是网络钓鱼邮件最擅长利用的地方。如果说恶意软件是一种简单把戏,那么从某种层面上说,网络钓鱼则需要我们“配合”。毕竟,必须由我们自己把信息交出去。正如我们讨论过的,它正是通过诉诸我们的情绪反应来做到这一点的。
因此,确保我们从一开始就永远不会接触到它,是对抗它的最有力方式。垃圾邮件过滤器在判断一封邮件时,会寻找多种我们人类无法做到的要素。它们会交叉比对黑名单、已知行为模式,甚至使用一种称为贝叶斯过滤的方法。该方法会将邮件内容与已知垃圾邮件和合法邮件进行比较,以计算其为垃圾邮件的概率。此外,优秀的垃圾邮件过滤器还会考虑其他用户标记为垃圾邮件的内容,从而形成所谓的用户反馈循环。
被入侵的企业电子邮件

这与我们目前看到的其他情况略有不同,它是从相反的角度出发——即一个合法的电子邮件账户被入侵了。它不一定非得是企业账户,但为了本条目的讨论,如果我们假设它是企业账户,就会有一些更有意思的因素可以谈。
如果骗子能够非法访问企业电子邮件账户,他们就可以冒充员工请求资金,甚至获取其他内部系统的访问权限,而这些系统可能包含敏感数据。
入侵企业账户还利用了许多企业中固有的另一种社交特点,尤其是在大型企业里:并不是每位员工都认识其他所有人。再加上人们在工作环境中通常被期望保持礼貌,这使得这类邮件相比私人账户又多了几分“优势”。
如何防范这种情况
确保所有员工都使用双重身份验证(电子邮件 2FA),并选择强密码,可以大大降低账户被盗/被黑的风险。2FA 可确保一旦有人试图闯入,账户持有人总会知道,而强密码则会让暴力破解攻击更困难。
你还可以通过在员工离开公司时立即停用其账户,来降低未来出现问题的可能性。一堆弃用账户像废墟一样积灰,只是在等待事故发生。
虚假发票
你可能已经注意到的一个主题,是对不同极端情绪的利用。到目前为止,我们考虑过 CEO 的恐惧或疏忽,以及某位员工对另一位员工所谓的冷漠。现在让我们试试愤怒。
有人声称你欠他们钱,并要求立即偿还。他们很愤怒,说一些让你怀疑自己记忆的话,或者制造一种你无法确定是否真实的情境。辱骂和怒火接踵而至,直到你几乎觉得直接付钱反而更省事。
对我们很多人来说,这种情况可能不太像会发生在自己身上,但也许这正是它最糟糕的地方:很可能,“我们”并不是他们的目标。他们成功的对象会是那些脆弱的人——那些也许真的记不清了,或者更容易相信陌生人的人。
预防
如果我们假设我们不会去支付通过电子邮件收到的随机发票,那么也许值得借此机会去和你生活中那些上网经验较少的人聊一聊。问问他们是否需要帮助识别诈骗,并向他们解释:仅仅因为有人在索要钱财,并不意味着他们的说法就是合法的。毕竟,我们需要彼此照应,谁也不想看到别人一头撞进明显的骗局里。
还有一些你可以引导人们查看的资源,能以用户友好的方式带他们了解这些内容。
职位邀请诈骗

与其他一些诈骗不同,这类诈骗即使对我们中最有经验的人来说,也可能很难识别。其中一个原因是,它们并不是孤立存在于电子邮件中的。如果我们任何人突然收到一封邮件说自己得到了一份工作,我们会立刻知道那是垃圾邮件。但如果事情不是这样发生的呢?
如果诈骗一开始是出现在一个真实招聘网站上的真实职位列表呢?你和其他真实职位一起申请了它,而且它看起来和其他职位一样可信。那么,这就是一封你正在期待——甚至盼望着——收到的电子邮件。并且,和鱼叉式网络钓鱼类似,这就为诈骗创造了一个更复杂的机会。因为此时,你已经成了一个自愿参与者——至少一开始是这样。
但参与的是什么呢?这些诈骗形式多种多样,但本质上,就像过去古老的金字塔骗局一样,它们会以支付成本、购买设备,甚至岗位培训为名,要求你预先付款——而这一切都不是真的。有时,系统里甚至可能还有其他人也相信这是真的,这会在本不存在合法性的地方制造出一种“看起来很正规”的感觉。
如何识别职位邀请诈骗
在你申请工作时,有一些线索值得留意,它们可能表明这份工作并不合法:
不切实际的薪资——如果好得令人难以置信,那它很可能就不是真的。
模糊或不太可能存在的职位——真的会有人需要或想要别人来做这个岗位吗?
无需面试——或者在未尽职调查的情况下急切发出录用通知。
不专业的沟通——索要超出合理范围的数据。
公司缺乏线上存在感——或者公司网站看起来有点可疑。图库图片、不可信的评价、没有真实内容——就是那种感觉。
同样地,你也不想仅仅因为招聘信息做得很差,就把合法工作排除掉。所以最重要的是留意任何在你开始工作前就向你要钱的人。几乎没有任何情况会要求一份工作让你预先支付任何费用,更不用说无偿履行任何职责了。
无论你对之前整个流程有多么确信,只要话题一转到转账汇款,你就可以放心了——这就是诈骗。
爱情诈骗
可以说,这是所有操纵中最强烈的情感操纵:我们恋爱时的感受。
我有过亲身经历:有人在交友应用上向我借钱(如今这种诈骗最可能发生的地方就是这里)。这并不像你想的那样少见——而且在某些情况下,我们甚至可能很难把它看作一种诈骗……
当感情开始支配理智时,界限很快就会变得模糊。也许我们内心甚至会想:“也许我确实被当傻子耍了,但为了爱情,十英镑又算什么呢?”但那个人可能整天都泡在交友应用上。如果他们每天能让十个人各给十英镑,那其实也是一笔不错的收入。而这毫无疑问会被归类为诈骗。
如何避免因爱情诈骗而坠入爱河
冒着自己变成情感专栏阿姨的风险,我还是要说:别被你的心牵着走。如果你的理智告诉你这是诈骗,那它很可能就是。永远不要给你并不熟悉的人钱,不管他们多么声称爱你。生活中一个令人难过的事实是,人们会利用极端情绪来操纵他人。
中奖诈骗
我们大多数人可能都记得曾收到过邮寄传单,说我们中了彩票,必须拨打某个号码才能领取奖品。我想,这种事变成电子邮件也是迟早的。
这里其实没有太多新内容可说,其他条目里已经讲过了。也许我们可以把它总结成人生箴言:如果一封电子邮件说你中奖了,那你并没有中奖*。
*除非你真的中奖了。但你肯定没有中奖。别再想那个奖品了。
预防
听着,你真的、真的没有中奖。实在想买就去买张彩票——但请点击垃圾邮件按钮。
保护自己和他人
说正经的,不管是垃圾邮件还是诈骗邮件,这都绝不是可以一笑置之的事。人们真的会因此受伤、损失金钱,或者事后感到自己很愚蠢。
我们已经提出了几种保护自己的方法,但归根结底其实就是三件事:
尽可能启用更多安全措施
无论你的服务提供商提供什么功能,不管是 2FA、自动生成密码,还是加密——总之都把它们设置好。这些措施只会让你的账户更难被劫持一点。
选择重视安全的服务提供商
对于企业来说,拥有强大的垃圾邮件管理软件和频繁安全更新的服务提供商,可能是你持续防护的最佳方式。我们概述的大多数诈骗都始于并终于垃圾邮件管理。如果我们从未看到它们,它们就永远不会成为问题。
时刻保持警觉
网络钓鱼诈骗从未停止演变。它们针对的是你,而不是你的收件箱,所以你自己才是最好的防线。
你有没有什么方法可以避免自己落入垃圾邮件和诈骗的陷阱?我们很想听听!欢迎在下方评论区留下你的想法或问题
常见问题
网络钓鱼本质上是冒充他人(通常是公司)发送电子邮件,以诱使收件人采取某种行动。这些行动通常包括汇款、提供银行卡信息或其他敏感数据。
捕鲸攻击针对的是净资产较高的特定个人,比如企业 CEO 或类似人物。专门构建一封定制邮件来针对某一个人,被认为是值得的,因为潜在收益更高。
一般来说,要留意那些与其声称所属公司不匹配的电子邮件地址、粗心的格式、拼写错误,以及看起来相似但并不真实的网址(joe@paypal-us.com)。
一个好的垃圾邮件过滤器会保护你免受大多数威胁。诈骗邮件之所以有效,是因为它们针对的是人——通过让我们相信它们是真的。当我们根本接触不到它们时,它们就不会成为问题。
这取决于诈骗的类型,以及你是在什么时候意识到自己已经受害的。如果你已经支付了某笔款项,请尽快联系你的银行,看看这笔付款是否可以撤回。如果你提供了银行卡信息,请冻结并注销受影响的银行卡。不能保证你一定能拿回钱,但你当然可以防止进一步损失。更改可能已泄露账户的密码也是个好办法,如果你怀疑遭到了恶意软件攻击,请扫描你的设备。
从某种意义上说,企业面临的风险更高——它们的系统中有大量数据,这些数据可能被用来攻击其他人。通过入侵企业电子邮件,你有可能获得一个庞大的邮件列表。此外,就网络钓鱼和捕鲸而言,也存在不同的可乘之机。例如,人们可能并不认识每一个向他们索要钱款的人。因此,风险略有不同,而且可能更为明显。
基础培训可能是最好的预防措施,这样所有员工都能了解电子邮件威胁是什么样的。其次,是拥有一个优质的企业电子邮件服务提供商,它提供垃圾邮件过滤器、双重身份验证和威胁更新等保护措施。


评论 (2)
Lily Simon
2025年8月9日
Olha Nesen. Product and Marketing Coordinator
2025年8月13日