识别垃圾邮件和诈骗短信 - 不被骗的 5 个检查要点

本文约需 11 分钟阅读

手机突然弹出一条消息："您的账号已被冻结，请立即点击此处。"你的心跳加速 - 但等一下。这条消息几乎可以肯定是诈骗。如今垃圾邮件和诈骗短信无处不在，而且越来越难以识别。这篇指南会解释这些骗局是如何运作的，展示常见手法的真实案例，并给你一份简单的检查清单来保护自己。即使你已经点击了可疑链接，也有一些措施可以立即采取。无论你是刚开始使用智能手机，还是只想在网上保持安全，这篇文章都能帮你识别 钓鱼攻击，避免上当受骗。

什么是垃圾邮件和诈骗短信？

"钓鱼"的比喻 - 网络钓鱼就是钓鱼，诱饵是恐惧和贪心

"网络钓鱼 (phishing)"这个词来源于英语的"fishing（钓鱼）"。钓鱼时，你把鱼会咬的饵挂在钩上放进水里。网络钓鱼诈骗的原理完全一样。骗子使用的"饵"就是你的恐惧或贪心。他们说"您的账号将被冻结"让你慌张，或者说"您中了 100 万日元"让你兴奋。当你无法冷静思考时，他们就把你引导到假网站，骗你输入密码或信用卡号。这是一种叫做社会工程学的攻击手法，利用的是人类的心理。

垃圾邮件和诈骗信息通过各种消息渠道发送 - 电子邮件、短信、LINE、社交媒体私信等等。最近，基于短信的诈骗特别多，被称为"短信钓鱼 (smishing)"。短信特别麻烦的地方在于只需要电话号码就能发送，攻击者不需要知道你的邮箱地址。而且短信的打开率比邮件高，对骗子来说是更高效的工具。关于如何防范这些利用心理的攻击手法，请参阅社会工程学防范指南。

常见的诈骗信息套路

实际案例 - 注意这些信息

诈骗信息有几种固定套路。光是了解这些套路，被骗的概率就会大大降低。这里介绍最常见的 4 种。

第一种是"账号冻结"类。"您的账号检测到异常登录""24 小时内不验证将冻结账号"之类的内容，冒充 Amazon、乐天、Apple、银行等知名企业。如果你慌张地点击链接，就会被带到一个和真网站一模一样的假网站，登录信息就被盗了。真正的企业几乎不会通过邮件或短信要求你"立即输入密码"。关于如何识别这些手法的详细指南，请参阅钓鱼诈骗防范指南。

第二种是"快递未签收"类。你收到短信说"您的包裹已尝试投递但无人签收，请点击此处重新安排配送。"经常网购的人特别容易中招。真正的快递公司会在信箱里留下通知单，很少通过短信发送链接。一定要确认链接的 URL 是否是快递公司的官方域名。

第三种是"中奖/礼品"类。"恭喜您！您中了一部 iPhone""只需回答问卷就能获得 5 万日元礼品卡"之类的内容。冷静想想，你没有参加的抽奖怎么可能中奖呢。只要看到"免费""中奖""礼品"这些词，首先要怀疑是诈骗。

第四种是"冒充家人/熟人"类。"妈妈，我手机坏了换了号码，联系这个号码""救救我，我需要钱"之类的内容，假装是家人或朋友。因为诉诸感情，很容易让人相信。收到这种消息时，最可靠的做法是打原来的号码直接跟本人确认。

防止被骗的 5 个检查要点

只需记住这些

收到可疑消息时，只需检查以下 5 点，就能识破大多数诈骗。

1. 确认发送者。仔细看邮箱地址或电话号码。如果邮件声称来自 Amazon，但发送者是"amazon-security@xyz123.com"这样陌生的域名，那就是假的。正规企业会从自己的域名（如 @amazon.co.jp）发送邮件。短信的话，来自陌生号码的"官方通知"基本上都要怀疑。
2. 警惕"紧急""立即"。大多数诈骗信息都试图让你着急。"24 小时内不处理将删除账号""请在今天内完成手续"等，用时间限制来剥夺你冷静判断的能力。真正的企业不会因为一封邮件就立即删除账号。
3. 确认 URL。点击链接之前，仔细看 URL。可能不是"amazon.co.jp"，而是"amaz0n-login.com"这样微妙不同的域名。这种手法叫做域名抢注，使用与真实域名相似的假域名来欺骗人。手机上 URL 经常被缩略显示，所以要养成长按链接查看完整 URL 的习惯。
4. 怀疑个人信息请求。如果通过邮件或短信要求你提供密码、信用卡号、PIN 码或身份证号，那就是诈骗。银行和信用卡公司绝对不会通过邮件询问这些信息。即使他们说是"为了身份验证"，也不要相信。提高邮箱账号本身的安全性也很重要，详情请参阅邮箱账号保护指南。
5. 直接访问官方网站。不要点击消息中的链接，而是通过浏览器书签或搜索引擎直接访问官方网站。如果账号真的有问题，登录官方网站时会看到通知。"不点链接，自己去官方网站"这个习惯是防范钓鱼最有效的方法。

如果点击了可疑链接怎么办

不要慌，做这些事

当你意识到"糟糕，我点了那个链接！"时，最重要的是不要慌。如果你只是打开了链接，还没有输入任何信息，很可能还没有造成损害。但是，如果你在假网站上输入了密码或信用卡信息，就需要立即行动。

首先，立即登录你输入了密码的服务，更改密码。如果你在其他服务上也用了同样的密码，全部都要改。然后，跟父母或监护人商量。如果因为怕被骂而不说，损害可能会扩大。越早求助，能采取的措施就越多。另外，保存假网站的截图和收到的消息截图。以后向警察或消费者中心咨询时可以作为证据。如果输入了信用卡信息，立即打电话给信用卡公司要求冻结卡片。打卡片背面的电话号码就能处理。

现在就能做的事

1. 开启手机的垃圾信息过滤。iPhone 在"设置"→"信息"→"过滤未知发件人"，Android 在"信息"应用中开启"垃圾信息防护"
2. 把常用服务（Amazon、Google、银行等）的官方网站加入书签。养成从书签访问而不是从消息链接访问的习惯
3. 收到诈骗信息时跟家人分享。特别是对不太熟悉智能手机的家人，教他们这篇文章中的 5 个检查要点
4. 用 Passtsuku.com 生成强密码，为每个服务设置不同的密码。即使一个密码因钓鱼泄露，也能防止其他服务受到损害

想进一步了解网络安全防护知识，网络诈骗防范指南 (Amazon)是很有帮助的参考资料。

常见问题

只是打开链接就危险吗？

大多数情况下，如果你只是打开了链接而没有输入任何信息，不会造成重大损害。但在较旧的手机或未更新的设备上，仅打开网站就感染病毒的可能性不是零。如果担心的话，清除浏览器历史记录和缓存，用安全应用扫描一下。如果没有输入任何东西，不需要过度担心，但以后要养成不打开可疑链接的习惯。

来自陌生号码的短信都是诈骗吗？

并不是全部都是诈骗。来自陌生号码的正当短信可能包括医院预约确认、快递通知和验证码等。但是，试图让你点击链接或要求个人信息的短信要特别注意。如果拿不准，忽略消息中的链接，直接通过官方网站或应用确认。

有办法阻止垃圾邮件吗？

完全消除很难，但有办法减少。首先，开启邮件服务的垃圾邮件过滤器。Gmail 会自动分类。其次，不要回复可疑邮件。回复会让对方知道"这个地址在使用中"，垃圾邮件会更多。另外，不要在不可信的网站上注册邮箱。短信垃圾信息可以用手机设置中的过滤未知发件人功能来减少。