不要认为重要的只是你的银行信息：毕竟，如果有人控制了你的账户登录，他们不仅知道该账户中包含的信息，而且其他各种账户也有可能使用相同的登录信息。如果他们泄露了你的电子邮件帐户，他们可以重置你的所有其他密码。

因此，除了保持强而多样的密码之外，你还必须时刻提防伪装成真实电子邮件的虚假电子邮件。虽然大多数钓鱼尝试都是业余的，但也有一些相当令人信服，因此了解如何在表层识别它们以及它们是如何在幕后工作是很重要的。

由asirap提供的图像

审视平淡的视线中的是什么

我们的示例电子邮件，就像大多数网络钓鱼尝试一样，会“通知”您贝宝账户上的活动，这在正常情况下会令人担忧。因此，行动的号召是通过提交你能想到的几乎每一条个人信息来验证/恢复你的账户。再说一次，这是相当公式化的。

虽然肯定会有例外，但几乎每一封钓鱼和诈骗电子邮件都会直接在邮件中发出危险信号。即使文本很有说服力，你通常也会在邮件正文中发现许多错误，表明邮件是不合法的。

邮件正文

乍一看，这是我见过的最好的钓鱼邮件之一。没有拼写或语法错误，这句话读起来符合你的预期。但是，当您更仔细地检查内容时，您可以看到一些危险信号。

“Paypal”-正确的大小写是“PayPal”(大写P)。您可以看到消息中使用了这两种变体。公司对他们的品牌非常慎重，所以像这样的事情能否通过校对过程是值得怀疑的。 “允许ActiveX”--你见过多少次像Paypal这样大小的合法网络企业使用只能在单一浏览器上运行的专有组件，特别是当它们支持多个浏览器时？当然，有些公司会这么做，但这是一个危险信号。 “安全地”-注意这个词是如何在页边空白处与段落正文的其余部分对齐的。即使我把窗口再拉长一点，它也不能正确地换行或间隔。 “贝宝！”--感叹号前的空格看起来很别扭。这只是另一个怪癖，我肯定这不会出现在一封合法的电子邮件中。 “PayPal-帐户更新Form.pdf.htm”-为什么Paypal要附加“PDF”，特别是当他们只能链接到自己网站上的页面时？此外，他们为什么要试图将HTML文件伪装成PDF？这是最大的危险信号。

邮件头

当您查看邮件标题时，会出现两个更多的红旗：

发件人地址是test@test.com。 缺少收件人地址。我没有将其删除，只是它不是标准消息头的一部分。通常，以你的名字命名的公司会个性化给你的电子邮件。

附件

当我打开附件时，您可以立即看到布局不正确，因为它缺少样式信息。再说一次，如果贝宝只需在他们的网站上给你一个链接，为什么他们还要用电子邮件发送HTML表单呢？

注意：我们使用了Gmail内置的HTML附件查看器，但我们建议您不要打开来自骗子的附件。绝不可能。永远不会。它们经常包含将在您的PC上安装特洛伊木马程序来窃取您的帐户信息的漏洞。

再往下滚动一点，你会发现这个表单不仅要求我们提供PayPal登录信息，还要求提供银行和信用卡信息。有些图像已经损坏了。

很明显，这一网络钓鱼尝试是在一举追查一切。

技术细分

虽然根据显而易见的情况应该很清楚这是一次网络钓鱼企图，但我们现在要分析一下这封电子邮件的技术构成，看看我们能找到什么。

附件中的信息

首先要看的是附件表单的HTML源，它将数据提交到虚假站点。

当快速查看源代码时，所有链接看起来都是有效的，因为它们指向“paypal.com”或“paypalobjects.com”，这两个链接都是合法的。

现在我们来看看Firefox在页面上收集的一些基本页面信息。

正如你所看到的，一些图片是从域名“blessedtobe.com”、“Good Health PharmPharmy.com”和“picupad.de”中提取的，而不是从合法的PayPal域名中提取的。

电子邮件标题中的信息

接下来，我们将查看原始电子邮件报头。Gmail通过邮件上的Show Original菜单选项提供此功能。

查看原始邮件的标题信息，您可以看到这封邮件是使用Outlook Express 6编写的。我怀疑贝宝的员工中是否有人会通过过时的电子邮件客户端手动发送这些邮件。

现在查看路由信息，我们可以看到发件人和中继邮件服务器的IP地址。

“用户”IP地址是原始发件人。快速查找IP信息，可以看到发送IP在德国。

当我们查看中继邮件服务器(mail.itak.at)的IP地址时，我们可以看到这是一家总部位于奥地利的ISP。我怀疑贝宝(PayPal)直接通过奥地利的ISP发送电子邮件，因为他们有一个庞大的服务器群，可以轻松地处理这项任务。

数据都到哪里去了？

因此，我们已经明确确定这是一封网络钓鱼电子邮件，并收集了有关消息来源的一些信息，但是您的数据发送到了哪里呢？

要查看这一点，我们必须先将HTM附件保存到桌面并在文本编辑器中打开。浏览一下，一切似乎都井然有序，除了我们看到一个看起来可疑的Javascript块。

解开最后一块Javascript的完整源代码，我们可以看到：

任何时候，只要您看到Javascript块中嵌入了一大串看似随机的字母和数字，通常都是可疑的。查看代码，将变量“x”设置为这个大字符串，然后将其解码为变量“y”。然后将变量“y”的最终结果作为HTML写入文档。

由于大字符串由数字0-9和字母a-f组成，因此很可能通过简单的ASCII到十六进制转换进行编码：

翻译为：

这并不是巧合，它解码成一个有效的HTML表单标签，它不会将结果发送到PayPal，而是发送到一个流氓网站。

此外，当您查看表单的HTML源代码时，您将看到此表单标记不可见，因为它是通过Javascript动态生成的。与直接在文本编辑器中打开附件相反，如果有人只是查看生成的附件源代码(就像我们前面所做的那样)，这是隐藏HTML实际操作的一种聪明方法。

在违规站点上快速运行whis，我们可以看到这是一个托管在流行Web主机1and1上的域。

最突出的是该域名使用了一个可读的名称(而不是像“dfh3sjhskjhw.net”这样的名称)，并且该域名已经注册了4年。正因为如此，我认为这个域名被劫持了，并在这次网络钓鱼企图中被用作棋子。

玩世不恭是很好的辩护

当谈到保持网络安全时，有一点愤世嫉俗的态度是不会有什么坏处的。

虽然我确信示例电子邮件中有更多的危险信号，但我们在上面指出的是我们在短短几分钟的检查之后看到的指标。假设，如果电子邮件的表面水平100%模仿其合法对应邮件，技术分析仍将揭示其真实性质。这就是为什么能够同时检查你能看到和看不到的东西是很重要的。