网络钓鱼攻击变得异常复杂。以下是需要注意的事项

黑客会竭尽全力，包括模仿真人以及创建和更新虚假的社交媒体资料，以诱骗受害者点击网络钓鱼链接并交出用户名和密码。 

英国国家网络安全中心发出警报 情报部门 GCHQ 的网络安全部门 NCSC 警告称，网络钓鱼攻击针对的是多个领域的个人和组织。 

网络钓鱼攻击的最终目标是欺骗受害者点击恶意链接，这些链接指向虚假但外观逼真的登录页面，受害者将在其中输入登录凭据，为攻击者提供对其帐户的访问权限，而黑客滥用了这些链接直接或用于接触其他受害者。 

许多恶意链接的设计看起来像常用的云软件和协作工具，包括 OneDrive、Google Drive 和其他文件共享平台。在一种情况下，攻击者甚至与受害者建立了 Zoom 通话，然后在通话过程中在聊天栏中发送了恶意 URL。他们还在网络钓鱼线程中创建了多个角色（全部由攻击者控制）以增加合法性的外观。

除此之外： 什么是网络钓鱼？防范诈骗电子邮件以及更糟糕的情况所需了解的一切

鱼叉式网络钓鱼攻击的第一阶段是研究和准备，攻击者使用社交媒体和网络平台等公开的个人资料，尽可能多地了解目标，包括他们现实世界的专业和个人联系人。 

攻击者通常会根据真人建立虚假的社交媒体和网络配置文件，以帮助使这些方法看起来令人信服，而某些方法的设计看起来像是与真实事件相关，但实际上是错误的。 

据 NCSC 称，这些活动是俄罗斯和伊朗的网络攻击者所为。俄罗斯和伊朗的攻击活动并不相关，但策略重叠，因为它们可以有效地诱骗人们成为网络钓鱼攻击的受害者。无论攻击者冒充谁，或者他们使用什么诱饵，许多鱼叉式网络钓鱼活动的一个共同特征是他们如何针对个人电子邮件地址。

尽管公司或企业电子邮件地址也成为攻击目标，但这种策略很可能被用来帮助绕过公司帐户和网络上的任何网络安全控制。  

这些网络钓鱼活动背后的另一个关键技术是攻击者的耐心，他们需要时间与目标建立融洽的关系。这些攻击者不会立即潜入，要求他们的目标单击恶意链接或打开恶意附件。相反，他们会慢慢建立信任。 

另外：电子邮件是我们最强大的生产力工具。这就是为什么网络钓鱼对每个人都如此危险

这个过程通常从第一封看起来良性的电子邮件开始，通常与一个主题相关——由于精心的准备——很有可能对他们的目标感兴趣并有吸引力。  

然后，攻击者会与目标来回发送电子邮件，有时会持续很长一段时间，直到他们建立了受害者所需的信任级别，让受害者可以毫无疑虑地打开链接或附件。 

恶意链接将以受害者感兴趣且相关的文档或网站（例如会议邀请或议程）为幌子发送，这会将受害者重定向到攻击者控制的服务器。  

当受害者输入用户名和密码来访问恶意链接时，这些详细信息将发送给攻击者，攻击者现在可以利用受害者的电子邮件和其他帐户。 

据 NCSC 称，这种利用包括窃取帐户信息和文件，以及监控受害者未来发送和接收的电子邮件和附件。 

除此之外： 安全研究人员轻松找到了我的密码等：我的数字足迹如何让我意外地过度暴露

攻击者还利用对受害者电子邮件帐户的访问权限来输入邮件列表数据和联系人列表，这些信息随后被用于后续活动，攻击者使用受损的电子邮件地址对其他人进行进一步的网络钓鱼攻击。 

NCSC 运营总监保罗·奇切斯特 (Paul Chichester) 表示：“来自俄罗斯和伊朗的威胁行为者继续无情地追求他们的目标，试图窃取在线凭据并危害潜在的敏感系统。” 

他补充说：“我们强烈鼓励组织和个人对潜在的方法保持警惕，并遵循咨询中的缓解建议，以在网上保护自己。” 

NCSC 警告用户保持警惕，并留意警报中详细说明的技术，例如发送到个人电子邮件地址的声称与职业情况相关的电子邮件。 

建议您使用强密码来保护您的电子邮件帐户，该密码与您任何其他帐户的密码分开，这样，如果攻击者以某种方式设法窃取您的电子邮件密码，他们就无法使用它来获取信息访问您的其他帐户。 

帮助保护您的帐户免受网络钓鱼攻击的另一种方法是打开多重身份验证，这可以防止黑客访问您的帐户（即使他们知道您的密码），并向您发出警告，告知您的凭据可能已被泄露。 

您还应该通过应用最新的安全更新来保护您的设备和网络，这可以防止攻击者利用已知的软件漏洞进行攻击或获取对您帐户的访问权限。

有关网络安全的更多信息