如現實世界的詐騙一般，網絡釣魚雖然被提及最多卻一直會有人上當，輕則個人信息泄露、財產受損，重則導致企業(yè)甚至國家機密信息被竊取。利用各種各樣推陳出新的社會工程學手段，真正上當的人往往無法及時察覺是個陷阱，這就對普通用戶的防范意識有了較高的要求。

[[256507]]

　　谷歌的子公司 Jigsaw 推出了一個免費的在線網絡釣魚測試，利用一些比較常見的網絡釣魚手段來測試用戶的發(fā)現惡意電子郵件的能力。筆者也進行了一輪測試發(fā)現，確實有一定的學習意義，因為往往當我們懷疑一封郵件的安全性時，卻沒辦法給出足夠的依據。

　　網絡釣魚在線測試地址：https://phishingquiz.withgoogle.com/

　　提示：由于接下來的內容存在劇透，建議各位先不要繼續(xù)瀏覽，直接進入測試環(huán)節(jié)，之后再回來看文章剩余內容。

　　進入測試之后，首先會要求你填寫昵稱以及郵箱，這些信息可以是虛構的，而且只作為本次測試使用，不會傳播到其他地方。

　　筆者以 FreeBuf 填寫了昵稱以及虛構的郵箱地址，這樣以便可以進入測試環(huán)節(jié)。

　　這項網絡釣魚測試總共設置了 8 道題目，基本是現實中遇到較多的網絡釣魚類型。用戶需要自己去識別每一道題中的案例是否為釣魚郵件，每道題目之后系統(tǒng)會自動標示出那些特征可以去判斷是否為惡意郵件，當然這 8 道題目中并非所有的都是釣魚郵件。

　　第一道題給出的場景時，收到一封郵件，包含一個 word 文檔，并附上一句話“嘿，這是你要的文件，如果有其他需要請再聯系我”。看起來很正常，的確是工作中經常遇到的情形。但當你把鼠標指針放在文檔超鏈接處的時候（不要點擊），其實在瀏覽器界面的左下角會出現具體的超鏈接地址如下：

　　http://drive–google.com/luke.johnson

　　顯然，這是一個試圖偽裝成谷歌云盤的釣魚鏈接，而真正谷歌云盤的鏈接為“google.com”的子域名“https://drive.google.com/***”。

　　這道題目之后，系統(tǒng)給出的提示也是這個偽裝的鏈接。

　　還有一道冒充熟人發(fā)來一張圖片的釣魚郵件，附帶的超鏈接為：https://drive.google.com.download-photo.sytez.net/AONh1e0hVP。咋一看地址的前面，似乎真的是 Google 云盤的安全地址，但其實它只是“sytez.net”的子域名而已，顯然可以判定為釣魚郵件。

　　另外，還有一個判斷一句就是根據發(fā)件人的郵件地址。測試中給出的例子為一個冒充 Google 服務支持的地址，但其實“google.support”Google 官方并沒有使用，所以這也要求用戶對于一些知名度較高、詐騙者喜歡冒充的品牌域名有一定的熟悉程度，如果實在不知道就可以借助搜索引擎去驗證。

　　8 道題目測試結束后，系統(tǒng)會給出測試結果，只要一道題判斷錯誤便是“你被釣魚成功了”。不知道各位安全圈的朋友們是否滿分過關呢？

　　其實這一項測試還是比較基礎，但也存在比較高的實用性。防止被釣魚郵件欺騙，無非從幾個特征去辨別，即發(fā)件人地址、超鏈接地址以及郵件內容是否為通用型的模版，此外如果附件包含有文件型內容要特別小心，PDF 文件以及壓縮包等內容極有可能包含病毒，如果是陌生人發(fā)過來的郵件謹慎直接打開附件。

　　Jigsaw 推出的這項測試適用于所有普通用戶，能夠有效提升辨別釣魚郵件的能力，雖然國內的情況有些許不同，但辨別手段基本都是一致的。而這項測試的目的也是鼓勵企業(yè)、政府機構對員工進行有效的、針對性的安全培訓，能夠抵御一些常見的網絡入侵行為。