CNN 曾报导，有一个自称「捣蛋鬼」（Prankster）的英国黑客骗倒了一票白宫官员。借此机会，我们想聊聊关于在线安全、网络钓鱼诈骗（spear-phishing），以及如何避免被黑客钓鱼的话题。

网络钓鱼诡计多端

「钓鱼」是个广义的用语，泛指不法分子为了诱骗你提供密码、银行账户信息或信用卡号等机密数据而假冒合法的行为。钓鱼诈骗者往往会把网撒得很大。

「网络钓鱼」则比较具有针对性，这也是它称呼的由来。此类诈骗会运用受害者的个人资料来欺瞒误导，其手法更为细腻。不幸的是，研究显示，这些伎俩确实管用。

如果仔细看黑客在网上公布的与白宫之间的电邮往来，不难发现，为了显得更可信，黑客在信中提及了确实发生过的会议和对话内容，以至于骗过了收件人。在这个钓鱼事件中，黑客应该是从媒体报道中取得的相关信息。

我们虽然不是公众人物，但也不能掉以轻心。我们会在社交平台、专业人脉网、博客和论坛留言等许多地方分享个人资料，这就给了聪明的罪犯滥用个人资料的可乘之机。

分享个人资料前先确认对方身份

这一点的重要性一直在强调。现在，越来越多的个人隐私信息被放在网上储存，我们必须做好自保的工作来抵御攻击行为。你必须保护好个人的登录账号和密码。人人都应该小心提防诈骗网站和可疑的链接。

如果收到可疑信息，你可以先通过其他方式确认对方的身份，如打电话、发信息或当面询问。在白宫的案例中，虽然国土安全顾问 Thomas Bossert 并未泄漏他的密码或其它高度机密的信息，却只因他认为信件的内容可信，仍执意在电邮系统警告来信可疑的状况下，主动提供给黑客他的私人电子邮件账号。这也跟我们要谈的下一点有关。

看到电邮系统判断为可疑的信件时，你应该要怀疑其可信度

其实，在 Bossert 收到的诈骗信件中，至少有一封被其电邮系统标记为[SUSPECTED_SPAM] （「可能是垃圾邮件」）。那就是最直接的警告，应该先确定发信人的身份是否可信，再予以回应。

Mozilla 网管专家 Dave Miller 说：「当然，系统难免有误判的时候，但如果你不知道该怎么做的话，请IT人员帮忙确认比较保险。尤其当邮件被标记为垃圾邮件，又看似是来自同一单位的『公司内部』邮件时，更是不能忽视。」

远离钓鱼 安全第一

无论你是被恶搞或被钓鱼的对象，只要有人通过电子邮件刻意惹你或激怒你，最好不要“咬那个鱼饵”。Mozilla 建议大家不要回应网络钓鱼的信息，只要把那封信标记为垃圾邮件，或转寄给IT部门的同事或电邮系统厂商，你就安全了。

火狐

Mozilla Firefox

firefox.com.cn