谷歌創建網路釣魚在線測試，看看你能過幾關？

如現實世界的詐騙一般，網路釣魚雖然被提及最多卻一直會有人上當，輕則個人信息泄露、財產受損，重則導致企業甚至國家機密信息被竊取。利用各種各樣推陳出新的社會工程學手段，真正上當的人往往無法及時察覺是個陷阱，這就對普通用戶的防範意識有了較高的要求。

谷歌的子公司Jigsaw推出了一個免費的在線網路釣魚測試，利用一些比較常見的網路釣魚手段來測試用戶的發現惡意電子郵件的能力。筆者也進行了一輪測試發現，確實有一定的學習意義，因為往往當我們懷疑一封郵件的安全性時，卻沒辦法給出足夠的依據。

網路釣魚在線測試地址：https://phishingquiz.withgoogle.com/

提示：由於接下來的內容存在劇透，建議各位先不要繼續瀏覽，直接進入測試環節，之後再回來看文章剩餘內容。

進入測試之後，首先會要求你填寫昵稱以及郵箱，這些信息可以是虛構的，而且只作為本次測試使用，不會傳播到其他地方。

筆者以FreeBuf填寫了昵稱以及虛構的郵箱地址，這樣以便可以進入測試環節。

這項網路釣魚測試總共設置了8道題目，基本是現實中遇到較多的網路釣魚類型。用戶需要自己去識別每一道題中的案例是否為釣魚郵件，每道題目之後系統會自動標示出那些特徵可以去判斷是否為惡意郵件，當然這8道題目中並非所有的都是釣魚郵件。

第一道題給出的場景時，收到一封郵件，包含一個word文檔，並附上一句話「嘿，這是你要的文件，如果有其他需要請再聯繫我」。看起來很正常，的確是工作中經常遇到的情形。但當你把滑鼠指針放在文檔超鏈接處的時候（不要點擊），其實在瀏覽器界面的左下角會出現具體的超鏈接地址如下：

http://drive—google.com/luke.johnson

顯然，這是一個試圖偽裝成谷歌雲盤的釣魚鏈接，而真正谷歌雲盤的鏈接為「google.com」的子域名「https://drive.google.com/*」。

這道題目之後，系統給出的提示也是這個偽裝的鏈接。

還有一道冒充熟人發來一張圖片的釣魚郵件，附帶的超鏈接為：https://drive.google.com.download-photo.sytez.net/AONh1e0hVP。咋一看地址的前面，似乎真的是Google雲盤的安全地址，但其實它只是「sytez.net」的子域名而已，顯然可以判定為釣魚郵件。

另外，還有一個判斷一句就是根據發件人的郵件地址。測試中給出的例子為一個冒充Google服務支持的地址，但其實「google.support」Google官方並沒有使用，所以這也要求用戶對於一些知名度較高、詐騙者喜歡冒充的品牌域名有一定的熟悉程度，如果實在不知道就可以藉助搜索引擎去驗證。

8道題目測試結束後，系統會給出測試結果，只要一道題判斷錯誤便是「你被釣魚成功了」。不知道各位安全圈的朋友們是否滿分過關呢？

其實這一項測試還是比較基礎，但也存在比較高的實用性。防止被釣魚郵件欺騙，無非從幾個特徵去辨別，即發件人地址、超鏈接地址以及郵件內容是否為通用型的模版，此外如果附件包含有文件型內容要特別小心，PDF文件以及壓縮包等內容極有可能包含病毒，如果是陌生人發過來的郵件謹慎直接打開附件。

Jigsaw推出的這項測試適用於所有普通用戶，能夠有效提升辨別釣魚郵件的能力，雖然國內的情況有些許不同，但辨別手段基本都是一致的。而這項測試的目的也是鼓勵企業、政府機構對員工進行有效的、針對性的安全培訓，能夠抵禦一些常見的網路入侵行為。

*本文作者：shidongqi，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！