就好像现在要发现社会工程诈骗和网络钓鱼攻击还不够难一样，一个狡猾的新威胁也随之而来。一个最近的帖子Sophos集团分享了一个新的网络钓鱼骗局，每个商业领袖和IT专家都需要知道。

作为背景，Sophos解释了骗子在网络钓鱼获取数字黄金时通常采取的三个步骤。这里有必要回顾一下:

步骤1:带有点击链接的电子邮件
电子邮件冒充可信(或可识别)发件人，包含一个链接。一旦点击，你就处于麻烦的边缘，但不是越过边缘。这就把你带到了……

步骤2:冒名顶替者网页
当你点击电子邮件后，很可能会在你面前出现一个密码页面，而且通常，它看起来很像属于同一可信或可识别的来源。而且，通常情况下，冒名顶替者的页面会出现在一个被黑客入侵的合法网站上。如果你不停下来，你就会打开一扇门…

步骤3:密码小偷
一旦你输入了你的私人数据并按下提交键，数据很可能就不会去你想去的地方。黑客经常在HTML中“隐藏”一个盗取密码的链接，将您带到看似可信的URL，但实际上是一个恶意域。

第二步，扭转

这是一个新的方法。虽然大多数黑客遵循以上三个步骤，Sophos解释说，在第二步中，黑客没有使用链接来捕获钓鱼，而是使用了一个虚假的网页，该网页作为附件包含在邮件中。由于它不是一个可能包含宏或可执行程序的文档，不会立即导致灾难，所以对大多数人来说，它看起来并不危险。

你可能会认为点击附加的HTML页面会在相对安全的浏览器中打开附加的网页，有(希望)强大的预防措施。

这就是它变得狡猾的地方。因为邮件中没有链接，所以你不能提前检查它是否是假的。而且，因为地址栏中的URL看起来是一个无害的本地文件名，所以没有网站名称或安全证书可以检查。这时就很容易采取第三步，让整个房子倒塌。

网络安全钓鱼提示

开发人员和安全专家会发现Sophos集团的故事值得一读，以便对这些新的网络钓鱼方案进行更深入的技术研究。对于其他人，这里有一个推荐的策略列表，将帮助你反击网络钓鱼。

• 不要打开HTM或HTML附件除非是你认识的人寄来的，而且你正在等着他们。
• 不要登录你从电子邮件中收到的网页．最好是直接在浏览器中输入URL来访问页面。
• 如果可能的话，使用双因素身份验证．这又给了你一个非常对攻击的强大防御。
• 如果你认为自己被攻击了，请更改密码．而且动作要快，这样罪犯就没有时间做坏事了。
• 使用可靠的web防病毒解决方案．这应该可以阻止恶意软件进入，同时，它应该检查出站的网络请求，以防止你的数据被窃取。

无论你做什么，黑客仍可能进入你的系统，钓鱼者仍可能窃取你的数据，勒索软件攻击者仍可能锁定你的电脑。看看StorageCraft的广泛的备份和灾难恢复解决方案可以帮助您快速恢复，并将成功攻击的影响降到最低。