跳转到主要内容

如何保护自己免受网络钓鱼攻击

网络钓鱼是账户被盗的首要原因。了解现代网络钓鱼的工作方式、危险信号以及真正能阻止攻击的防御措施。

最后更新: 2026年4月14日

摘要

  • 网络钓鱼是账户被盗的首要原因——攻击者诱骗您在虚假网站上提交凭据。
  • 现代网络钓鱼工具包可以像素级克隆登录页面,并实时转发您的 2FA 验证码。
  • 硬件安全密钥(YubiKey、FIDO2)是唯一从设计上就能防御网络钓鱼的方案。
  • 密码管理器通过拒绝在错误域名上自动填充来保护您。
  • 在输入凭据之前,请核查确切的域名,切勿通过电子邮件中的链接登录。

什么是网络钓鱼?

网络钓鱼是一种社会工程学攻击,攻击者创建一个令人信服的合法网站副本——通常达到像素级精度——并诱骗受害者在其中输入凭据。受害者一旦提交表单,攻击者便会获取用户名、密码以及任何第二因素验证码,随后在数秒内用这些信息接管真实账户。

这个词来源于"钓鱼"(fishing)的比喻——用诱饵(通常是电子邮件)来"钓取"受害者。拼写改为"phishing"是为了强调攻击者经常使用电话phone)号码(SMS 网络钓鱼,即"smishing")以及看起来专业的基础设施。

为什么网络钓鱼仍然是首要威胁

如今,大多数大规模账户泄露事件并不涉及黑客攻击、破解密码或绕过加密。它们的起因是有人将密码输入了一个虚假网站。网络钓鱼的特点在于:

  • 成本低廉——攻击者只需花费一台 VPS 和一个伪造域名的费用,即可发送数百万封电子邮件
  • 难以过滤——现代钓鱼工具包会轮换域名,使用合法托管服务,并实时适应过滤规则
  • 效果显著——即使是具有安全意识的用户,也可能被精心设计的定向攻击(鱼叉式网络钓鱼)所欺骗
  • 可大规模扩展——一次成功的网络钓鱼往往能够通过密码复用,获取数十个关联服务的访问权限

2024 年 Verizon《数据泄露调查报告》发现,在所有泄露事件中,超过 36% 的初始访问途径是网络钓鱼——超过其他任何单一原因。

现代网络钓鱼的工作原理

网络钓鱼已经远远超越了 2000 年代"尼日利亚王子"式电子邮件的水平。现代网络钓鱼攻击通常包含以下要素:

1. 令人信服的诱饵

通常是一封电子邮件、短信或聊天消息,制造紧迫感("您的账户将被暂停")、权威感("Microsoft 安全团队")或好奇心("有人在一张照片中标记了您")。鱼叉式网络钓鱼更进一步,利用从 LinkedIn、泄露数据库或过往通信中获取的个人信息。

2. 像素级精准的虚假网站

攻击者使用现成的网络钓鱼工具包,克隆目标网站的 HTML、CSS 和 JavaScript。许多工具包以服务形式出售(网络钓鱼即服务),配备功能完整的仪表盘和客户支持。

3. 针对 2FA 的实时代理

危险之处在于:现代工具包不仅仅是获取您的密码。它们充当中间人代理,将您输入的所有内容——包括您的 TOTP 验证码——在数秒内转发至真实网站,从而绕过大多数 2FA。这种技术被称为对手居间攻击(AiTM),被 Evilginx2 和 Modlishka 等工具所采用。

4. 会话令牌窃取

一旦您通过代理完成身份验证,攻击者便会获取您的会话 Cookie,即便您修改了密码,他们仍可保持登录状态。这就是为什么网络钓鱼响应措施始终包括撤销活跃会话,而不仅仅是轮换密码。

真正能阻止网络钓鱼的措施

硬件安全密钥(FIDO2 / WebAuthn)

这是唯一从设计上就能防御网络钓鱼的防御类别。当您使用 FIDO2 密钥登录时,密钥会通过密码学方式验证请求身份验证的网站的确切域名。虚假网站——无论视觉上多么逼真——都有不同的域名,因此密钥会拒绝响应。密码学握手过程根本无法完成。

Google 在 2017 年著名地强制要求所有 85,000 余名员工使用 YubiKey,此后多年来,公司账户零成功网络钓鱼攻击记录。

通行密钥

通行密钥是 FIDO2 面向消费者的进化版本。它们采用相同的域名绑定密码学机制,并已内置于 iOS、Android、macOS 和 Windows 中。如果您使用的网站支持通行密钥,启用后可使该账户具备抗网络钓鱼能力。

密码管理器

密码管理器是您的第二道防线,因为它只会在保存凭据时所用的确切域名上进行自动填充。如果您访问的是 paypaI.com(大写字母 I)而非 paypal.com,您的密码管理器会悄然拒绝填充表单。这种拒绝是一个强烈的警告信号,表明某些地方出了问题。

电子邮件和 DNS 过滤

电子邮件提供商使用 DMARC、SPF 和 DKIM 来检测伪造的发件人地址。大多数现代提供商能够拦截明显的尝试,但定向攻击仍然可能突破防线。请在您的邮件客户端中启用"举报网络钓鱼"按钮,以帮助改善过滤效果。

需要注意的危险信号

当您收到要求您登录、验证或紧急采取行动的消息时,请留意以下迹象:

  • 紧迫感和威胁——"您的账户将在 24 小时内关闭"
  • 通用问候语——"尊敬的客户"而非您的姓名
  • 外观相似的域名——paypaI.comapp1e.comsecure-microsoft-login.net
  • 意外附件——尤其是要求您登录才能查看的 .zip.html.pdf 文件
  • 语法或格式错误——大型公司会对其电子邮件进行校对
  • 链接不匹配——将鼠标悬停在链接上,检查目标地址是否与显示文字一致

如果感觉有任何不对,请关闭电子邮件,手动导航至该网站。如果确实存在问题,您在通过正常流程登录时会看到相关提示。

如果您上当受骗该怎么办

请迅速行动——速度至关重要,因为攻击者会在数分钟内开始使用获取的凭据。

  1. 立即更改密码,在另一台设备上操作(例如,如果您是在笔记本电脑上上当的,请使用手机)
  2. 撤销所有活跃会话,在账户设置中操作——这将踢出所有正在使用被盗会话令牌的人员
  3. 启用 2FA(如果尚未启用),并尽可能使用硬件密钥或通行密钥
  4. 检查未经授权的活动——已发送的电子邮件、近期登录记录、账单变更、新的转发规则
  5. 通知受影响的机构(如果是金融账户或工作账户)
  6. 检查其他使用相同密码的账户——即使您确信自己没有复用密码,也请逐一核查

总结

网络钓鱼之所以盛行,是因为它绕过了技术手段,直接以人为目标。最有效的防御措施结合了三个层次:密码管理器(拒绝在错误域名上自动填充)、抗网络钓鱼的 2FA(与真实域名绑定的硬件密钥或通行密钥),以及健康的怀疑态度(切勿通过电子邮件链接登录)。

请首先在您最重要的账户——电子邮件账户——上启用这三层防御。从那里开始,您整个数字生活的安全性将会得到实质性的提升。

如何保护自己免受网络钓鱼攻击

一份实用的有序检查清单,用于加固您的账户以抵御网络钓鱼攻击。

  1. 使用密码管理器:安装一款可靠的密码管理器(1Password、Bitwarden、Proton Pass),并让其自动填充凭据。它将拒绝在外观相似的域名上自动填充,为您提供内置的网络钓鱼检测功能。
  2. 启用抗网络钓鱼的 2FA:为您最重要的账户添加 FIDO2 硬件密钥(YubiKey、Google Titan)或通行密钥——首先是电子邮件,其次是银行、云存储和密码管理器。这些是真正能阻止现代网络钓鱼的唯一 2FA 方法。
  3. 切勿通过电子邮件链接登录:当您收到要求登录的电子邮件时,请关闭邮件,通过书签或手动输入 URL 导航至该网站。电子邮件中的链接可能是完美的克隆页面,而浏览器中的书签则不会。
  4. 在输入密码之前核查确切的域名:在输入任何密码之前,请查看地址栏中的完整 URL。检查是否包含 https、拼写是否正确,以及是否存在类似 paypal.com.secure-login.net 这样的额外子域名。
  5. 举报并继续:向您的电子邮件提供商举报网络钓鱼尝试(大多数提供商都有"举报网络钓鱼"按钮)。然后正常开展您的工作——网络钓鱼只有在您上当受骗时才会造成危害,而提高警觉是应对的关键所在。

常见问题

相关文章

什么是2FA?

在线隐私清单

什么是加密电子邮件?