如現實世界的詐騙一般,網絡釣魚雖然被提及最多卻一直會有人上當,輕則個人信息泄露、財產受損,重則導致企業甚至國家機密信息被竊取。利用各種各樣推陳出新的社會工程學手段,真正上當的人往往無法及時察覺是個陷阱,這就對普通用戶的防范意識有了較高的要求。

谷歌的子公司 Jigsaw 推出了一個免費的在線網絡釣魚測試,利用一些比較常見的網絡釣魚手段來測試用戶的發現惡意電子郵件的能力。筆者也進行了一輪測試發現,確實有一定的學習意義,因為往往當我們懷疑一封郵件的安全性時,卻沒辦法給出足夠的依據。

網絡釣魚在線測試地址:https://phishingquiz.withgoogle.com/

提示:由于接下來的內容存在劇透,建議各位先不要繼續瀏覽,直接進入測試環節,之后再回來看文章剩余內容。

進入測試之后,首先會要求你填寫昵稱以及郵箱,這些信息可以是虛構的,而且只作為本次測試使用,不會傳播到其他地方。

筆者以 FreeBuf 填寫了昵稱以及虛構的郵箱地址,這樣以便可以進入測試環節。

這項網絡釣魚測試總共設置了 8 道題目,基本是現實中遇到較多的網絡釣魚類型。用戶需要自己去識別每一道題中的案例是否為釣魚郵件,每道題目之后系統會自動標示出那些特征可以去判斷是否為惡意郵件,當然這 8 道題目中并非所有的都是釣魚郵件。

第一道題給出的場景時,收到一封郵件,包含一個 word 文檔,并附上一句話“嘿,這是你要的文件,如果有其他需要請再聯系我”。看起來很正常,的確是工作中經常遇到的情形。但當你把鼠標指針放在文檔超鏈接處的時候(不要點擊),其實在瀏覽器界面的左下角會出現具體的超鏈接地址如下:

http://drive–google.com/luke.johnson

顯然,這是一個試圖偽裝成谷歌云盤的釣魚鏈接,而真正谷歌云盤的鏈接為“google.com”的子域名“https://drive.google.com/***”。

這道題目之后,系統給出的提示也是這個偽裝的鏈接。

還有一道冒充熟人發來一張圖片的釣魚郵件,附帶的超鏈接為:https://drive.google.com.download-photo.sytez.net/AONh1e0hVP。咋一看地址的前面,似乎真的是 Google 云盤的安全地址,但其實它只是“sytez.net”的子域名而已,顯然可以判定為釣魚郵件。

另外,還有一個判斷一句就是根據發件人的郵件地址。測試中給出的例子為一個冒充 Google 服務支持的地址,但其實“google.support”Google 官方并沒有使用,所以這也要求用戶對于一些知名度較高、詐騙者喜歡冒充的品牌域名有一定的熟悉程度,如果實在不知道就可以借助搜索引擎去驗證。

8 道題目測試結束后,系統會給出測試結果,只要一道題判斷錯誤便是“你被釣魚成功了”。不知道各位安全圈的朋友們是否滿分過關呢?

其實這一項測試還是比較基礎,但也存在比較高的實用性。防止被釣魚郵件欺騙,無非從幾個特征去辨別,即發件人地址、超鏈接地址以及郵件內容是否為通用型的模版,此外如果附件包含有文件型內容要特別小心,PDF 文件以及壓縮包等內容極有可能包含病毒,如果是陌生人發過來的郵件謹慎直接打開附件。

Jigsaw 推出的這項測試適用于所有普通用戶,能夠有效提升辨別釣魚郵件的能力,雖然國內的情況有些許不同,但辨別手段基本都是一致的。而這項測試的目的也是鼓勵企業、政府機構對員工進行有效的、針對性的安全培訓,能夠抵御一些常見的網絡入侵行為。