電郵威脅的不同面貌

電郵詐騙形式五花八門。有些明顯得可笑——幾乎完全沒有花心思去掩飾這是一場詐騙。

但別以為全部都是這樣。電郵詐騙似乎只會變得愈來愈狡猾和有創意。這類詐騙甚至連最懂電腦、從小抱着 iPad 長大的 Z 世代，都可能要多看兩眼才會察覺。要不是它們如此陰險，你甚至可能會退後一步，佩服一下對方的手法。我們會教你如何識別網絡釣魚，以及其他常見的電郵詐騙，並防範它們。

快速回顧一下過去

我們很多人都記得電郵詐騙剛出現的早期日子——那段黃金歲月裏，我們既更天真，但同時也更不信任電郵。當我們收到詐騙郵件時，會帶着困惑又好奇的心情去看，試圖弄明白為甚麼寄件者會認為我們是適合求助的人。

還有人記得The Spanish Prisoner嗎？一位擁有巨額財富的不幸人士，急需我們幫忙支付贖金，好讓他獲釋出獄。好笑的是，這種詐騙其實比電郵還早出現，起源於 19 世紀初。顯然某位特立獨行的網民決定把它數碼化。

如今，電郵詐騙更懂得發揮數碼形式本身的優勢。與一些元祖級詐騙不同，它們利用了互聯網多年來帶來的便利——例如更容易進行網上付款、我們對電郵作為重要通訊工具的依賴增加，以及社交媒體的演變等等。

一眼就能看出的詐騙線索

在我們更仔細看看不同類型的電郵詐騙之前，先分享一些通用原則，幫助你識別電郵詐騙／垃圾郵件——因為它們都有共同元素：寄件者、主旨列、內文，以及也許最重要的——需要被閱讀和被相信。

公司／寄件者名稱

請留意：

1. 錯字或錯誤的品牌寫法 — 例如 Paypal 與 PayPal。

2. 感覺過分具體或不太可能的名稱 — 例如 AA Car Emergency 與 AA。

3. 你沒有購物或往來的公司 — 例如你在 Lloyds 銀行開戶，卻收到 Barclays 的通知。

4. 任何看起來奇怪的地方 — 從符號、名稱古怪的公司，到奇怪的空格——有時候寄件者就是會給人一種不對勁的感覺。

寄件電郵地址

請留意：

1. 不相稱的電郵地址 — 與公司名稱不一致的內容。

2. 魚目混珠的相似名稱 — 刻意設計成看似真實公司的地址。這可能是網域（@paypalcare.com）或 TLD（@paypal.club）。

3. 錯誤— 地址中的錯字或其他不規則之處。

主旨列

請留意：

1. 刻意製造緊迫感的字句 — 「警告：最後付款通知」。

2. 過度誇大的用語 — 「五分鐘賺 £1000」。

3. 引發強烈情緒反應的語言 — 「你被錄用了！明天上班！」

4. 錯字 — 騙徒向來不是以文法好見稱。

5. 過度使用標點符號或表情符號 — 真正的公司很少會這樣做。

6. 出現「Re」 — 可能是想暗示你之前曾回覆過，但其實沒有。

7. 按鈕與附件— 務必避免點擊可疑電郵中的按鈕或下載附件。

內文

請留意：

1. 令人難以置信的承諾— 與主旨列中的情況相似，但內文有更多篇幅可以鋪陳，令謊言顯得更具說服力。

2. 要求提供個人資料的行動呼籲 — 尤其是地址或信用卡資料。

3. 提及任何你不記得的事情— 例如你從未參加過的活動或從未收過的服務

4. 冒充身份— 有人聲稱是你的朋友或親戚，但說話方式卻不像本人。

現在你已對騙徒如何操控電郵不同部分有一些背景了解，讓我們來看看具體例子。

惡意軟件

對很多人來說，惡意軟件攻擊大概是我們第一種真正害怕的惡意電郵。那時候，我們大概只會把它們稱為電郵病毒。打開之後，螢幕變黑。遊戲結束。大概就是這種感覺。

實際上，惡意軟件涵蓋各式各樣的惡意攻擊——而坦白說，其中有些比電腦迅速「死亡」更可怕得多。

監控鍵盤輸入？在你不知情下耗盡 CPU 資源？監視你？每五分鐘強迫彈出可疑廣告？沒錯，惡意軟件涵蓋各種會在你不知情下植入電腦的小程式，其功能從惡作劇者的把戲到徹頭徹尾罪犯的工具都有。它們善於躲藏，而且通常很難清除——前提還是你知道它們存在。

如何偵測惡意軟件

如果你出現上述任何症狀，很大機會就是惡意軟件。這可能來自電郵——但不一定。這些程式也可以透過其他方式植入你的電腦——下載內容、可疑網站，甚至惡意硬件裝置。如果你在街上撿到 USB 手指，千萬不要看看裏面有甚麼。

保護自己免受惡意軟件侵害

說句顯而易見的話，試試惡意軟件偵測軟件吧。但要選擇信譽良好的產品。

如果你在 Google 搜尋如何預防惡意軟件，最常見的建議就是安裝防毒軟件。就我個人而言，我不認識任何人在 2010 年代後期之後還這樣做，但我又有甚麼資格去反駁由 Gemini 在不足一瞬間內整合全人類知識與大量經驗後給出的一句答案呢？

話雖如此，作業系統提供的威脅防護一般都比早期好得多，尤其是 Windows 會透過更新來防範威脅；但更重要的是，很多電郵軟件其實已經在替我們做這些工作，在可疑電郵到達我們之前就先把它們過濾掉。

找一個主打良好惡意軟件防護、並會在電郵送達前先掃描的電郵服務供應商，是個不錯的主意。這在避免心理操控攻擊方面尤其有效（我們稍後就會談到這一點）。

如果我們談的是保護而非預防，那麼定期備份會是個好主意，以防你不幸中了這類攻擊。我個人推薦像Mega Sync這類工具，每次你儲存檔案時都會更新。

網絡釣魚

如今，你最有可能遇到的，大概就是電郵網絡釣魚詐騙。為甚麼？因為就像洗腦旋律或春天的氣息一樣，我們每個人都可能被它們迷惑。但你又可以如何識別網絡釣魚？

網絡釣魚攻擊之所以有效，是因為它們非常多變。有時候要識別網絡釣魚並不難。它們可以是任何形式：凡是能令某人輸入個人資料的東西都可以。想想任何一個會令你覺得有必要分享個人資料，或向某人匯款的理由，它都有可能變成一封網絡釣魚電郵。

以下只是幾個例子，請記住，網絡釣魚的關鍵在於，所有這些電郵都看起來像真的，但其實是假的：

1. 密碼重設通知。

2. 補填遺漏的銀行資料。

3. 完成填寫郵寄地址以啟用送貨。

4. 續訂你的訂閱。

5. 你是比賽得獎者！

6. 有需要的朋友向你求助。

7. 退稅通知。

8. 要求慈善捐款。

如果你從未見過網絡釣魚詐騙，那你還算是條魚嗎？它們無處不在，幾乎令人難以想像沒有它們的電郵世界。但「釣魚」的方法可不只一種……

魚叉式網絡釣魚與鯨釣

魚叉式網絡釣魚與鯨釣會針對特定個人，而且通常採用更具攻擊性的手法。

魚叉式網絡釣魚會利用個人資訊（通常來自多個來源）來撰寫更具說服力的電郵。由於內容是根據個人資料編寫，因此可能會提及真實朋友、真實情況，甚至更逼真地冒充銀行等機構。如果你覺得這種事不太可能發生在自己身上，請記住，大多數人在網上公開可取得的資訊，其實比自己想像中更多。

如果有人冒充你的朋友，還提到一件你們十年前一起參加過、非常具體的事件，你為甚麼不會相信？你可能要過一會兒才會想起，自己曾在 Facebook 詳細發文談過這件事，而且那篇貼文是公開可見的。當對方開口借錢時，也許你真的會伸出援手。

我們每個人都可能成為魚叉式網絡釣魚的受害者，這也令它比那些較明顯的詐騙更危險。值得慶幸的一點是，要成功策劃一場魚叉式網絡釣魚詐騙，需要做大量資料搜集，這足以令大多數騙徒卻步。對他們來說，發送大量電郵、賭少數人會上當，通常更容易。但未來 AI 會否改變這一點？我們必須保持警覺。

鯨釣

那麼，甚麼是鯨釣？其實在很多方面，鯨釣攻擊與魚叉式網絡釣魚幾乎一樣，只是它專門針對身家較高的人士，例如 CEO。

可悲的現實是，他們的身份地位既令騙徒更值得花時間去針對，而其他因素（例如財富、責任、時間不足，以及龐大的人脈網絡）也意味着有多個潛在弱點可供利用。例如，騙徒可能只需要說服私人助理或秘書，讓對方相信自己已獲 CEO 首肯。因此，商業鯨釣看來始終都是壞事。

如何防範魚叉式網絡釣魚與鯨釣

除了我們上方一般指南中列出的內容外，你還應設置強大的垃圾郵件過濾。人性因素正正是網絡釣魚電郵最厲害的地方。如果惡意軟件只是簡單把戲，那麼某程度上，網絡釣魚則需要我們的配合。畢竟，資料是我們自己交出去的。正如我們所討論，它正是透過觸動我們的情緒反應來做到這一點。

因此，確保我們一開始就不會接觸到它，才是最有力的對抗方式。垃圾郵件過濾器在判斷電郵時，會檢查多種我們人類做不到的元素。它們會交叉比對黑名單、已知行為模式，甚至使用一種稱為 Bayesian filtering 的方法。這會把電郵內容與已知垃圾郵件及正常電郵作比較，計算它是垃圾郵件的機率。此外，好的垃圾郵件過濾器也會考慮其他用戶標記為垃圾郵件的內容，形成所謂的用戶回饋循環。

遭入侵的商務電郵

這與我們目前看過的其他情況稍有不同，因為它是從相反角度出發——即一個合法電郵帳戶已被入侵。它不一定非得是商務帳戶，但就本節而言，如果我們假設它是商務帳戶，便有一些更值得討論的因素。

如果騙徒能非法取得商務電郵帳戶的存取權，他們就可以冒充員工要求撥款，甚至存取其他可能包含敏感資料的內部系統。

商務帳戶被入侵，也利用了許多企業（尤其是大型企業）中另一種固有的社交特性：不太可能每位員工都認識所有其他同事。再加上人們在工作環境中通常被期望保持禮貌，令這類電郵相比私人帳戶更具額外優勢。

如何防範這種情況

確保所有員工都使用雙重驗證（電郵 2FA），並選擇強密碼，可大幅降低帳戶被盜／被黑的風險。2FA 可確保帳戶持有人一旦有人嘗試闖入便會知情，而強密碼則令暴力破解攻擊更困難。

你亦可以在員工離職後立即停用其帳戶，以減少日後出現問題的機會。一堆棄置不用、積滿灰塵的帳戶，就像一場遲早會發生的意外。

假發票

你可能已經留意到，其中一個主題就是利用不同極端情緒。到目前為止，我們談過 CEO 的恐懼或疏忽，以及某位員工對另一位員工可能表現出的冷漠。現在讓我們試試看憤怒。

有人聲稱你欠他錢，並要求立即還款。他們怒氣沖沖，說一些令你懷疑自己記憶的話，或製造一個你無法確定是否真實的情境。那些惡毒與怒火不斷升級，直到你幾乎覺得直接付錢反而更容易。

對我們很多人來說，這種情況未必看起來那麼可能發生，但也許最糟糕的地方就在這裏：很可能「我們」根本不是他們的目標。他們成功的對象會是脆弱的人——那些也許真的記不起來，或更容易相信陌生人的人。

預防方法

如果我們假設自己不會支付透過電郵收到的隨機發票，那麼不妨藉此機會，與你生活中較少上網經驗的人談談。問問他們是否需要協助識別詐騙，並解釋有人要求你付款，並不代表對方的索償就一定合理。畢竟，我們需要彼此照顧，沒有人想看到別人一頭栽進明顯的詐騙陷阱。

你可以引導他們參考一些相關資源，以較易明的方式一步步了解。

求職詐騙

與其他一些詐騙不同，這類詐騙即使對最有經驗的人來說也不容易察覺。其中一個原因是，它們並不是孤立存在於電郵之中。如果我們任何人突然收到一封電郵，說自己獲得了一份工作，我們馬上就會知道那是垃圾郵件。但如果事情不是這樣發生呢？

如果詐騙一開始是出現在真實求職網站上的真實招聘廣告呢？你像申請其他真實工作一樣申請了它，而它看起來跟其他職位一樣可信。那麼，這就是一封你正在期待——甚至盼望——收到的電郵。而且，與魚叉式網絡釣魚相似，這就為詐騙創造了更精密的機會。因為現在你成了自願參與者——至少一開始是這樣。

但參與的是甚麼？這些詐騙可以有無數形式，但本質上，就像過去古老的金字塔騙局一樣，它們會以支付成本、購買設備，甚至職位培訓費用為名，要求你預先付款——而這一切都不是真的。有時候，系統中甚至可能還有其他人也相信這是真的，從而營造出一種其實並不存在的正當性。

如何識別求職詐騙

當你申請工作時，可以留意某些線索，這些都可能表示該職位並不真實：

1. 不切實際的薪金 — 如果好得令人難以置信，那多半就不是真的。

2. 含糊或不太可能存在的工作 — 真的會有人需要或想找人做這個職位嗎？

3. 無需面試 — 或未經適當審查就急於發出聘用通知。

4. 不專業的溝通 — 要求提供超出合理需要的更多資料。

5. 公司缺乏網上存在感 — 或公司網站看起來有點可疑。素材圖片、不可信的評論、沒有真正內容——大概就是這類情況。

同樣地，你也不想只因為招聘廣告做得差，就把真正的工作機會排除掉。所以最重要要留意的是，任何人在你開始工作前就要求你付款。幾乎沒有任何情況會令一份工作需要你預先支付任何費用，更不用說免費替對方工作。

不管你對之前整個流程有多大信心，只要話題一轉到匯款，請放心——那就是詐騙。

愛情詐騙

可以說是所有情緒操控中最強的一種：我們戀愛時的感受。

我曾親身遇過有人在交友 App 上借錢（這也是現時這類詐騙最常出現的地方）。這其實並不像你想像中那麼罕見——而且在某些情況下，我們甚至可能很難把它視為一種詐騙……

當感情開始凌駕理智，界線很快就會變得模糊。也許我們心底甚至會想：「就算我真的被人當傻瓜騙了，為了愛情，十鎊又算得上甚麼？」但那個人可能整天都在交友 App 上活動。如果他每天能令十個人各自給他十鎊，那其實已經是一筆不錯的收入。而這毫無疑問會被視為詐騙。

如何避免因愛情詐騙而墮入情網

冒着自己變成知心姨姨的風險，我還是要說：不要被感情牽着走。如果你的理智告訴你這是詐騙，那它多半就是。永遠不要把錢給你不熟悉的人，不管對方多麼聲稱愛你。人生中一個令人難過的事實是，有些人會利用極端情緒來操控別人。

獎品詐騙

我們大多數人大概都記得曾收到郵寄傳單，說我們中了彩票，必須致電某個號碼才能領獎。我想，這種事最終變成電郵，也算是意料中事。

這裏其實沒有太多新東西可說，其他部分已經講過了。也許我們可以乾脆把它當成人生格言：如果電郵說你中獎了，那你並沒有中獎*。

*除非你真的中獎了。但你肯定沒有中獎。別再想那個獎品了。

預防方法

聽着，你真的、真的沒有中獎。如果你非買彩票不可，那就去買吧——但請按下垃圾郵件按鈕。

保護自己與他人

說正經的，不論是垃圾郵件還是詐騙，這都絕對不是笑話。人們真的會因此受傷、損失金錢，或事後感到自己很愚蠢。

我們提出了幾種保護自己的方法，但其實歸根究底就是三件事：

• 盡可能啟用更多安全措施

無論你的服務供應商提供甚麼，不管是 2FA、自動產生密碼，還是加密——總之有甚麼就設甚麼。這些措施只會令你的帳戶更難被騎劫。

• 選擇重視安全的服務供應商

對企業而言，擁有強大垃圾郵件管理軟件及頻密安全更新的服務供應商，可能是你持續防護的最佳方式。我們提到的大多數詐騙，都是由垃圾郵件管理開始，也由垃圾郵件管理結束。如果我們從未看見它們，它們就永遠不會成為問題。

• 緊貼最新動向

網絡釣魚詐騙從未停止演變。它們針對的是你，而不只是你的收件箱，所以你自己就是最好的防線。

你有沒有甚麼方法可以避免自己誤信垃圾郵件和詐騙？我們很想聽聽！歡迎在下方留言區留下任何想法或問題