作者：Leo Yeh

根據 Security Tips & Talk 的 Avoid fake emails (英文) 文章中提到如果您收到一封電子郵件，聲稱來自於知名公司，但它包含一個附件，要求您傳送密碼，使用名稱或是財務相關訊息，那它可能就是釣魚郵件，若不注意就會被進行網路釣魚攻擊，造成資訊安全的問題，此時最好的辦法，就是將它刪除，當然微軟也針對這個議題加入反釣魚啟動的 Agari (英文) 之解決方案，協助找出釣魚郵件。

但是一般使用者要如何辨識電子郵件的真實性呢？此時請注意以下四大重點。

圖一、辨識釣魚郵件的四大重點範例

1. 句子語法
   專業公司或組織，通常會有文字編輯的專業工作人員，基本上將不允許傳送句子語法有錯誤的電子郵件，所以當您發現在一封電子郵件中的句子語法錯誤，此時就可能是釣魚郵件。
    
   
2. 網站超連結
   如果你看到一個可電子郵件中的超連結，請不要馬上按下，先將滑鼠移至該超連結上方，但不要單擊，等待一下，沒多久就會顯示超連結的網址，此時請確認超連結的網址是否和顯示的文字一樣，如果發現有很奇怪的超連結時，此時就可能是釣魚郵件，請參考圖二。
   
   圖二、網站中的超連結非常奇怪
    
   
3. 威脅
   你有沒有收到您的 Hotmail 帳戶將被關閉呢？網路犯罪份子常常會您讓得知假警報，造成您的緊張，達到威脅目的，接著在您緊張的情況下，就會更輕易的按下可疑網站的超連結，造成更大的威脅，此時請多加留意警報是否有問題。
    
   
4. 知名公司
   電子郵件中使用知名公司網站的圖片，看似是超連結到知名公司的網站，但實際上則是帶您超連結到釣魚詐騙的網站，請不要馬上按下，先將滑鼠移至該圖片上方，但不要單擊，等待一下，沒多久就會顯示超連結的網址，接著再確認圖片超連結確實是合法的網址。
    

透過四大辨識的重點，基本上可以大幅的降低被釣魚郵件詐騙的風險。除此之外，目前最廣泛討論的進階持續性滲透攻擊 (Advanced Persistent Threat, APT)，簡單來說就是透過電子郵件，再搭配社交工程進行目標式特定攻擊 (例如透過您朋友的 Email 來攻擊您) ，所以辨識出釣魚郵件從而進行預防，將會是最不能夠輕忽的重要事情。

更多相關資訊，請參考 Microsoft Safety & Security Center (英文)。