Spaceship 博客

电子邮件威胁的不同面貌

电子邮件诈骗形式多种多样。有些明显到可笑——几乎没有花任何心思去伪装成诈骗以外的样子。

但别以为它们全都如此。电子邮件诈骗似乎只会变得越来越狡猾、越来越有创意。甚至连那些从小抱着 iPad 长大、最懂电脑的 Z 世代,在意识到问题之前都可能会多看两眼。要不是它们如此阴险,你甚至可能会退后一步,佩服一下这种手法。我们将向你展示如何识别网络钓鱼和其他常见的电子邮件诈骗,并防范它们。

快速回顾一下过去

我们很多人都记得电子邮件诈骗刚出现的那些早期日子——那是个美好的年代,那时我们既更天真,但同时也更不轻信电子邮件。当我们收到一封诈骗邮件时,会带着困惑的兴趣去读,试图弄明白为什么发件人会觉得我们是那个适合求助的人。

还记得西班牙囚徒骗局吗?一个拥有巨额财富却不幸入狱的人,急需我们帮忙支付赎金,好让他获释。好笑的是,这种骗局实际上早于电子邮件,起源于 19 世纪初。显然,某个特立独行的互联网冲浪者决定把它数字化。

如今,电子邮件诈骗更加充分地利用了其数字化形式的优势。与一些“元老级”骗局不同,它们利用了互联网多年来带来的便利——例如轻松在线处理付款、我们对电子邮件作为重要沟通方式的依赖增加,以及社交媒体的发展等等。

一眼就能看出的诈骗线索

在我们更仔细地看看不同类型的电子邮件诈骗之前,我们先分享一些通用规则,帮助你识别电子邮件诈骗/垃圾邮件——因为它们都有共同元素:发件人、主题行、正文内容,以及也许最重要的——需要被阅读并被相信。

公司/发件人名称

请留意:

  1. 拼写错误或品牌写法不正确——例如 Paypal 与 PayPal。

  2. 感觉过于具体描述或不太可能的内容——例如 AA Car Emergency 与 AA。

  3. 你并未购物/往来的公司——例如你在 Lloyds 银行开户,却收到来自 Barclays 的通知。

  4. 任何看起来奇怪的东西——从符号、名字古怪的公司,到奇怪的空格——有时发件人身上就是有种说不出的不对劲。

发件电子邮件地址

请留意:

  1. 不协调的电子邮件地址——与公司名称不一致的内容。

  2. 仿冒地址——刻意设计得像真实公司的地址。这可能体现在域名(@paypalcare.com)或 TLD(@paypal.club)上。

  3. 错误——地址中的拼写错误或其他异常。

主题行

请留意:

  1. 旨在制造紧迫感的措辞——例如“警告:最终付款通知”。

  2. 过度承诺的语言——例如“五分钟赚 £1000”。

  3. 激起强烈情绪反应的语言——例如“你被录用了!明天开始上班!”

  4. 拼写错误——骗子可不是以语法好而闻名的。

  5. 过度使用标点符号或表情——真正的公司很少这样做。

  6. 出现“Re”——可能是为了暗示你之前回复过,实际上并没有。

  7. 按钮和附件——务必避免点击可疑电子邮件中的按钮或下载附件。

正文内容

请留意:

  1. 难以置信的承诺——与主题行中的情况类似,但正文有更多展开空间,因此更有机会把谎言说得更有说服力。

  2. 要求提供个人信息的行动号召——尤其是地址或银行卡信息。

  3. 提到你不记得的任何事情——从事件到你从未收到过的服务。

  4. 冒充身份——有人声称自己是你的朋友或亲戚,但说话方式却不像他们本人。

现在你已经了解了骗子如何操纵电子邮件的不同部分,接下来让我们看看一些具体示例。

恶意软件

对很多人来说,恶意软件攻击可能是我们真正害怕过的第一类恶意电子邮件。那时候,我们大概只是把它们称为电子邮件病毒。打开它,屏幕变黑。游戏结束。大概就是这种感觉。

实际上,恶意软件涵盖了各种各样的恶意攻击——坦白说,其中有些比电脑迅速“死亡”要可怕得多。

监控击键?在你不知情的情况下榨干你的 CPU?监视你?每五分钟强制弹出一次可疑广告?没错,恶意软件涵盖了各种会在你不知情时嵌入电脑的小程序,它们的功能从恶作剧分子的把戏到彻头彻尾的犯罪行为不等。它们善于躲藏,而且通常很难清除——前提还是你知道它们在那里。

如何检测恶意软件

如果你正在经历上面列出的任何症状,那很有可能就是恶意软件。这可能来自电子邮件——但也不一定。还有其他方式会让这些程序嵌入你的电脑——下载内容、可疑网站,甚至恶意硬件设备。如果你在街上捡到一个 U 盘,别去看里面有什么。

保护自己免受恶意软件侵害

冒着说废话的风险,试试恶意软件检测软件吧。不过,要选择信誉良好的产品

如果你在 Google 上搜索如何从一开始就预防恶意软件,排在最前面的建议就是安装杀毒软件。就我个人而言,我不认识任何一个自 2010 年代末以来还这么做的人,但我又凭什么去反驳被 Gemini 浓缩成一句话、并在不到一瞬间的又一瞬间内给出的整个人类知识与海量经验呢?

话虽如此,操作系统提供的威胁防护通常确实比早期更好了,尤其是 Windows 会通过更新来防御威胁。但更重要的是,很多电子邮件软件正在替我们完成这项工作,在可疑邮件到达我们之前就将其过滤掉。

找一家强调良好恶意软件防护、并会在邮件到达你之前进行扫描的电子邮件服务提供商,是个不错的主意。尤其是在避免心理操纵类攻击方面,这一点特别有用(我们稍后就会谈到)。

如果我们谈的是防护而不是预防,那么定期备份是个好主意,以防你中了这类攻击。就我个人而言,我推荐类似Mega Sync这样的工具,它会在你每次保存文件时更新。

网络钓鱼

如今,你最有可能遇到的可能就是电子邮件网络钓鱼诈骗。为什么?因为就像一段朗朗上口的旋律,或春天的气息一样,我们都难以抗拒它们的“魅力”。但你该如何识别网络钓鱼呢?

网络钓鱼攻击之所以有效,是因为它们非常灵活。有时识别网络钓鱼并不难。它们可以是任何东西:凡是能让某人输入个人数据的内容都算。想想任何一种会让你觉得有必要分享个人数据或给别人转钱的理由,它都有可能变成一封网络钓鱼邮件。

这里只列举几个例子,请记住,网络钓鱼的关键在于:所有这些电子邮件看起来都真的,但其实是假的

  1. 密码重置通知。

  2. 补全缺失的银行信息。

  3. 完善你的邮寄地址以启用配送。

  4. 续订你的订阅。

  5. 你是比赛获胜者!

  6. 一位有困难的朋友请求帮助。

  7. 退税通知。

  8. 请求慈善捐款。

如果你从没见过网络钓鱼诈骗,那你还算“鱼”吗?它们无处不在,几乎让人难以想象没有它们的电子邮件世界。但“钓鱼”的方式可不止一种……

鱼叉式网络钓鱼和鲸钓

鱼叉式网络钓鱼和鲸钓针对特定个人,通常采用更具攻击性的手法。

鱼叉式网络钓鱼会利用个人信息(通常来自多个来源)来制作更具说服力的电子邮件。由于它是基于个人信息撰写的,因此可能会提到真实的朋友、真实的情境,甚至更逼真地冒充银行等机构。如果你觉得这不太可能发生在自己身上,请记住,大多数人在网上公开可获取的信息比他们意识到的要多。

如果有人冒充你的朋友,并提到十年前你们一起参加过的一件非常具体的事情,你为什么不会相信呢?你可能要过一会儿才会想起来,你曾在 Facebook 上详细发过这件事,而且那条帖子是公开可见的。当对方向你借钱时,也许你就会伸出援手。

我们所有人都可能成为鱼叉式网络钓鱼的受害者,这使它比那些更明显的诈骗更危险。一个值得庆幸的限制是,要成功实施鱼叉式网络钓鱼诈骗所需的研究工作量,会让大多数骗子望而却步。对他们来说,押注于一封群发邮件、即使回应的人更少,也更容易。但未来 AI 会不会改变这一点?我们必须保持警惕。

鲸钓

那么,什么是鲸钓?从很多方面来说,鲸钓攻击与鱼叉式网络钓鱼几乎相同,只不过它专门针对高净值个人,比如 CEO。

令人遗憾的现实是,他们的身份既让他们更值得被投入时间去针对,而其他因素(如财富、责任、时间不足以及庞大的联系人基础)也意味着存在多个可被利用的弱点。例如,骗子也许只需要让私人助理或秘书相信自己得到了 CEO 的批准即可。所以,商业领域的鲸钓显然总是坏事。

如何防范鱼叉式网络钓鱼和鲸钓

除了我们上面一般指南中列出的内容之外,你还应该设置强大的垃圾邮件过滤。人为因素正是网络钓鱼邮件最擅长利用的地方。如果说恶意软件是一种简单把戏,那么从某种层面上说,网络钓鱼则需要我们“配合”。毕竟,必须由我们自己把信息交出去。正如我们讨论过的,它正是通过诉诸我们的情绪反应来做到这一点的。

因此,确保我们从一开始就永远不会接触到它,是对抗它的最有力方式。垃圾邮件过滤器在判断一封邮件时,会寻找多种我们人类无法做到的要素。它们会交叉比对黑名单、已知行为模式,甚至使用一种称为贝叶斯过滤的方法。该方法会将邮件内容与已知垃圾邮件和合法邮件进行比较,以计算其为垃圾邮件的概率。此外,优秀的垃圾邮件过滤器还会考虑其他用户标记为垃圾邮件的内容,从而形成所谓的用户反馈循环。

被入侵的企业电子邮件

这与我们目前看到的其他情况略有不同,它是从相反的角度出发——即一个合法的电子邮件账户被入侵了。它不一定非得是企业账户,但为了本条目的讨论,如果我们假设它是企业账户,就会有一些更有意思的因素可以谈。

如果骗子能够非法访问企业电子邮件账户,他们就可以冒充员工请求资金,甚至获取其他内部系统的访问权限,而这些系统可能包含敏感数据。

入侵企业账户还利用了许多企业中固有的另一种社交特点,尤其是在大型企业里:并不是每位员工都认识其他所有人。再加上人们在工作环境中通常被期望保持礼貌,这使得这类邮件相比私人账户又多了几分“优势”。

如何防范这种情况

确保所有员工都使用双重身份验证(电子邮件 2FA),并选择强密码,可以大大降低账户被盗/被黑的风险。2FA 可确保一旦有人试图闯入,账户持有人总会知道,而强密码则会让暴力破解攻击更困难。

你还可以通过在员工离开公司时立即停用其账户,来降低未来出现问题的可能性。一堆弃用账户像废墟一样积灰,只是在等待事故发生。

虚假发票

你可能已经注意到的一个主题,是对不同极端情绪的利用。到目前为止,我们考虑过 CEO 的恐惧或疏忽,以及某位员工对另一位员工所谓的冷漠。现在让我们试试愤怒。

有人声称你欠他们钱,并要求立即偿还。他们很愤怒,说一些让你怀疑自己记忆的话,或者制造一种你无法确定是否真实的情境。辱骂和怒火接踵而至,直到你几乎觉得直接付钱反而更省事。

对我们很多人来说,这种情况可能不太像会发生在自己身上,但也许这正是它最糟糕的地方:很可能,“我们”并不是他们的目标。他们成功的对象会是那些脆弱的人——那些也许真的记不清了,或者更容易相信陌生人的人。

预防

如果我们假设我们不会去支付通过电子邮件收到的随机发票,那么也许值得借此机会去和你生活中那些上网经验较少的人聊一聊。问问他们是否需要帮助识别诈骗,并向他们解释:仅仅因为有人在索要钱财,并不意味着他们的说法就是合法的。毕竟,我们需要彼此照应,谁也不想看到别人一头撞进明显的骗局里。

还有一些你可以引导人们查看的资源,能以用户友好的方式带他们了解这些内容。

职位邀请诈骗

与其他一些诈骗不同,这类诈骗即使对我们中最有经验的人来说,也可能很难识别。其中一个原因是,它们并不是孤立存在于电子邮件中的。如果我们任何人突然收到一封邮件说自己得到了一份工作,我们会立刻知道那是垃圾邮件。但如果事情不是这样发生的呢?

如果诈骗一开始是出现在一个真实招聘网站上的真实职位列表呢?你和其他真实职位一起申请了它,而且它看起来和其他职位一样可信。那么,这就是一封你正在期待——甚至盼望着——收到的电子邮件。并且,和鱼叉式网络钓鱼类似,这就为诈骗创造了一个更复杂的机会。因为此时,已经成了一个自愿参与者——至少一开始是这样。

但参与的是什么呢?这些诈骗形式多种多样,但本质上,就像过去古老的金字塔骗局一样,它们会以支付成本、购买设备,甚至岗位培训为名,要求你预先付款——而这一切都不是真的。有时,系统里甚至可能还有其他人也相信这是真的,这会在本不存在合法性的地方制造出一种“看起来很正规”的感觉。

如何识别职位邀请诈骗

在你申请工作时,有一些线索值得留意,它们可能表明这份工作并不合法:

  1. 不切实际的薪资——如果好得令人难以置信,那它很可能就不是真的。

  2. 模糊或不太可能存在的职位——真的会有人需要或想要别人来做这个岗位吗?

  3. 无需面试——或者在未尽职调查的情况下急切发出录用通知。

  4. 不专业的沟通——索要超出合理范围的数据。

  5. 公司缺乏线上存在感——或者公司网站看起来有点可疑。图库图片、不可信的评价、没有真实内容——就是那种感觉。

同样地,你也不想仅仅因为招聘信息做得很差,就把合法工作排除掉。所以最重要的是留意任何在你开始工作前就向你要钱的人。几乎没有任何情况会要求一份工作让你预先支付任何费用,更不用说无偿履行任何职责了。

无论你对之前整个流程有多么确信,只要话题一转到转账汇款,你就可以放心了——这就是诈骗。

爱情诈骗

可以说,这是所有操纵中最强烈的情感操纵:我们恋爱时的感受。

我有过亲身经历:有人在交友应用上向我借钱(如今这种诈骗最可能发生的地方就是这里)。这并不像你想的那样少见——而且在某些情况下,我们甚至可能很难把它看作一种诈骗……

当感情开始支配理智时,界限很快就会变得模糊。也许我们内心甚至会想:“也许我确实被当傻子耍了,但为了爱情,十英镑又算什么呢?”但那个人可能整天都泡在交友应用上。如果他们每天能让十个人各给十英镑,那其实也是一笔不错的收入。而这毫无疑问会被归类为诈骗。

如何避免因爱情诈骗而坠入爱河

冒着自己变成情感专栏阿姨的风险,我还是要说:别被你的心牵着走。如果你的理智告诉你这是诈骗,那它很可能就是。永远不要给你并不熟悉的人钱,不管他们多么声称爱你。生活中一个令人难过的事实是,人们会利用极端情绪来操纵他人。

中奖诈骗

我们大多数人可能都记得曾收到过邮寄传单,说我们中了彩票,必须拨打某个号码才能领取奖品。我想,这种事变成电子邮件也是迟早的。

这里其实没有太多新内容可说,其他条目里已经讲过了。也许我们可以把它总结成人生箴言:如果一封电子邮件说你中奖了,那你并没有中奖*。

*除非你真的中奖了。但你肯定没有中奖。别再想那个奖品了。

预防

听着,你真的、真的没有中奖。实在想买就去买张彩票——但请点击垃圾邮件按钮。

保护自己和他人

说正经的,不管是垃圾邮件还是诈骗邮件,这都绝不是可以一笑置之的事。人们真的会因此受伤、损失金钱,或者事后感到自己很愚蠢。

我们已经提出了几种保护自己的方法,但归根结底其实就是三件事:

  • 尽可能启用更多安全措施

无论你的服务提供商提供什么功能,不管是 2FA、自动生成密码,还是加密——总之都把它们设置好。这些措施只会让你的账户更难被劫持一点。

  • 选择重视安全的服务提供商

对于企业来说,拥有强大的垃圾邮件管理软件和频繁安全更新的服务提供商,可能是你持续防护的最佳方式。我们概述的大多数诈骗都始于并终于垃圾邮件管理。如果我们从未看到它们,它们就永远不会成为问题。

  • 时刻保持警觉

网络钓鱼诈骗从未停止演变。它们针对的是你,而不是你的收件箱,所以你自己才是最好的防线。

你有没有什么方法可以避免自己落入垃圾邮件和诈骗的陷阱?我们很想听听!欢迎在下方评论区留下你的想法或问题

常见问题

网络钓鱼本质上是冒充他人(通常是公司)发送电子邮件,以诱使收件人采取某种行动。这些行动通常包括汇款、提供银行卡信息或其他敏感数据。

捕鲸攻击针对的是净资产较高的特定个人,比如企业 CEO 或类似人物。专门构建一封定制邮件来针对某一个人,被认为是值得的,因为潜在收益更高。

一般来说,要留意那些与其声称所属公司不匹配的电子邮件地址、粗心的格式、拼写错误,以及看起来相似但并不真实的网址(joe@paypal-us.com)。

一个好的垃圾邮件过滤器会保护你免受大多数威胁。诈骗邮件之所以有效,是因为它们针对的是人——通过让我们相信它们是真的。当我们根本接触不到它们时,它们就不会成为问题。

这取决于诈骗的类型,以及你是在什么时候意识到自己已经受害的。如果你已经支付了某笔款项,请尽快联系你的银行,看看这笔付款是否可以撤回。如果你提供了银行卡信息,请冻结并注销受影响的银行卡。不能保证你一定能拿回钱,但你当然可以防止进一步损失。更改可能已泄露账户的密码也是个好办法,如果你怀疑遭到了恶意软件攻击,请扫描你的设备。

从某种意义上说,企业面临的风险更高——它们的系统中有大量数据,这些数据可能被用来攻击其他人。通过入侵企业电子邮件,你有可能获得一个庞大的邮件列表。此外,就网络钓鱼和捕鲸而言,也存在不同的可乘之机。例如,人们可能并不认识每一个向他们索要钱款的人。因此,风险略有不同,而且可能更为明显。

基础培训可能是最好的预防措施,这样所有员工都能了解电子邮件威胁是什么样的。其次,是拥有一个优质的企业电子邮件服务提供商,它提供垃圾邮件过滤器、双重身份验证和威胁更新等保护措施。


推荐文章

评论 (2)

  • Lily Simon的头像

    Lily Simon

    2025年8月9日

    Another thing is these scamming companies/businesses have also taken to putting in fake Unsubscribe links. If you see a weird sender like g44tjw9@coldmail.inc, and there's an unsubscribe button/link... They get the most people with that it seems. I know I (before I was knowledgeable of this) used to fall for these to the point my eldest Gmail gets 77 emails a day (more: got. I don't pay attention to it anymore), and only ONE of those are legit. That was how I learnt my mistake.
    需要超过10个字符。
    公开显示的身份。
    提供您的电子邮件地址是可选的。我们不会与第三方共享。

    • Olha Nesen. Product and Marketing Coordinator的头像

      Olha Nesen. Product and Marketing Coordinator

      2025年8月13日

      You’re absolutely right — fake “unsubscribe” links are a common trick used in phishing and spam campaigns, and they can be very convincing. Clicking them often confirms to the sender that your address is active, which can lead to even more unwanted messages. We recommend avoiding those links from suspicious senders and using your email provider’s spam or junk reporting tools instead. It’s great that you’ve recognized the pattern — awareness is one of the best defenses against these tactics💪

分享您的想法

需要超过10个字符。
公开显示的身份。
提供您的电子邮件地址是可选的。我们不会与第三方共享。

帮助我们改进我们的博客

在快速两分钟的调查中分享您的想法。

需要提供有效的电子邮箱