西雅图–网络钓鱼诈骗已成为大多数美国民众面临的最大网络安全威胁.犯罪分子伪装成银行,政府机构或快递公司等可信实体,通过电子邮件和短信诱导用户泄露敏感信息,如社会安全号码,密码或信用卡号.根据美国联邦调查局(FBI)2026年发布的《网络犯罪报告》,这类钓鱼攻击是大多数网络犯罪的主要诱因.
钓鱼攻击手段不断升级,形式日益复杂.2026年第一季度,微软威胁情报部门监测到约83亿条基于电子邮件的钓鱼威胁.短信钓鱼(称为’smishing’)已成为主要攻击方式,据《网络准备度报告》显示,去年30%的网络诈骗案件通过短信实施.
如今,钓鱼攻击已不再局限于电子邮件和短信.犯罪分子还利用即时通讯软件,社交媒体,恶意广告,伪造二维码及仿冒网站等渠道实施诈骗.
约翰·卡斯特在2025年5月15日于俄勒冈州波特兰市参加由Free Geek提供的键盘基础课程时查看电脑.(AP Photo/Jenny Kane)
‘过去十年常用的诈骗手段如今已大不相同,’Malwarebytes数字安全公司消费者业务总经理马克·比尔表示,’它们现在要先进得多.’比尔还指出,钓鱼攻击已变得如此有利可图,犯罪分子’选择投入资金来欺骗人们,就像营销公司会投入资金进行客户获取一样.’
‘钓鱼’一词于1995年正式提出,用于描述那些利用数字’诱饵’引诱受害者分享敏感信息的犯罪行为.从声称能帮助你将数百万美元转移出非洲而让你致富的’尼日利亚王子’邮件,到如今充满拼写错误和语法错误的钓鱼邮件,我们已走过漫长的演变之路.
大多数钓鱼攻击仍依赖社会工程学手段,利用恐惧,紧迫感,好奇心和情感诉求操纵用户,使他们陷入安全风险.攻击包括伪造短信和邮件,声称包裹异常,警告欠停车费,或称税务申报有问题,目的是让用户立即回应,而无需思考.
最新的攻击已演变为高度复杂的活动,难以察觉.例如虚假邀请和被篡改的验证码表单.
诈骗分子知道大多数人会打开电子邀请参加聚会或其他社交活动,因此他们发送恶意邀请,伪装成知名的在线邀请平台,如Evite,Paperless Post或Punchbowl.
‘虽然恐惧和紧迫感是许多诈骗的共同点,但并非必须,’非营利组织身份盗窃资源中心(Identity Theft Resource Center)首席执行官埃娃·维拉斯克斯指出,’在Evite钓鱼攻击中,诈骗者利用你对社交和连接的渴望,诱使你点击一个你没想到的链接.’
点击链接可能带来严重后果:要么恶意软件会下载到你的设备,使犯罪分子窃取你的个人信息;要么你会被重定向至仿冒网站,要求输入电子邮件密码,这将使诈骗者获得你电子邮件账户的直接访问权限,可能造成严重后果.
你可能不会认为电子邮件账户是敏感账户,但维拉斯克斯警告说,’它就是通往王宫的钥匙’,因为一旦犯罪分子入侵你的电子邮件账户,他们就可以利用它重置其他账户的密码.因此,除非登录你的电子邮件,否则不要输入你的电子邮件密码.
检查发件人的电子邮件地址.邀请将始终来自官方公司网址.若来自Gmail,Yahoo或Hotmail等个人邮箱地址,那一定是假的.
许多网站在你登录前需要你证明你是人类而不是机器人,常见的方式是验证码(CAPTCHA)验证.通常你会看到一个图像网格,并被要求点击某些对象(如交通灯,汽车或自行车),或输入屏幕上显示的一系列扭曲的字母或数字.
由于我们经常遇到验证码挑战,我们可能会自动按照指示操作,以证明我们不是机器人并进入下一步.正如Malwarebytes警告的那样,这种攻击的巧妙之处在于将日常操作与不寻常的指令结合起来.
存在许多CAPTCHA诈骗变种,但最常见的变种始于一个恶意命令,该命令会自动复制到你的剪贴板,并附带在Windows运行对话框(Win + R)中运行的指令.Malwarebytes提供的图片显示了左侧的合法CAPTCHA和下方的伪造CAPTCHA.
保护自己:合法的CAPTCHA永远不会要求你……
分享到Twitter: 钓鱼诈骗每日袭击美国14次 AI技术让骗局更难识别
