有人可以通过多种技术和非技术方法来识别网络钓鱼尝试。

• 带外通信。最简单可靠的方法是与提议的发送者进行带外通信。打电话给他们，如果适用，给他们发送什么应用程序，发信号等等。如果组织或个人没有向您发送电子邮件，他们可以通过电话告诉您。请记住使用电子邮件中未包含的电话号码。

• 校对——大部分垃圾邮件，甚至是鱼叉式网络钓鱼，都写得很糟糕。结构不佳的句子和拼写错误是垃圾邮件的很好指标。

• 悬停在链接上- 钓鱼链接通常会被“混淆”，看起来像是链接到登录页面。例如，文本可能是https://login.facebook.com但是当您将鼠标悬停在链接上时，您会注意到它是一些冗长的域名。讲述网络钓鱼。

  编辑：正如 Mehrdad 和 Bacon Brad 所指出的，这种方法可能会产生不同的结果。链接可用于CSRF/XSS攻击等多种攻击，所提供的链接也可能导致授权第三方。

• 电子邮件标头- 判断电子邮件是否合法的更精通技术的方法之一可能是查看电子邮件标头。电子邮件包含说明电子邮件来源的元数据。您通常可以通过查看电子邮件标头来判断电子邮件是否来自具有这些标头的经过身份验证的来源。请注意，这并非万无一失，因为许多组织可能会将邮件活动外包，但来自私有 IP 地址的电子邮件可能表明是网络钓鱼电子邮件。

• 宏- 您刚刚收到的 doc 一词是否表明您需要启用宏才能查看文档？你不要那样做。

• 社会工程- 许多网络钓鱼电子邮件策略将利用人类情感并采用许多众所周知的社会工程技术。诸如“您必须单击此链接并在 24 小时内重新激活您的银行帐户，否则您的帐户将被关闭”之类的陈述旨在使收款人感到恐慌。当我们恐慌时，我们会做出不合逻辑的决定。如果您觉得电子邮件在玩弄您的情绪，您可能会被钓鱼。

• 这是正常行为吗？- 机构精通网络钓鱼的方式，因此他们不会要求您单击电子邮件中的嵌入式链接来“重置您的密码”或“确认您的帐户”。如果您的蜘蛛侠感觉刺痛，可能是网络钓鱼。

以我的经验，在处理网络钓鱼方面没有一颗灵丹妙药。在渗透测试期间，鱼叉式网络钓鱼始终有效。上述信息将帮助您发现对您进行网络钓鱼的企图，但确认或拒绝网络钓鱼企图的最简单、最有效的方法是致电“发件人”以确认其是否合法。

它是否要求你做一些你不应该在没有验证要求你做这件事的一方的身份的情况下做的事情？（请注意，“输入密码”就是这样的操作！）如果是这样，您可以有效地将其视为网络钓鱼，而不管发件人的动机如何，因为电子邮件未经身份验证，因此不是请求特权操作的合适方法。

没有完美的方法来识别网络钓鱼电子邮件，从某种意义上说，对于任何电子邮件，它总是成功地告诉您，谁发送了它以及为什么发送它。在实践中，绝大多数实际的网络钓鱼电子邮件都相当容易识别，因为它们大多半途而废。其中一些甚至没有进入您的收件箱，因为它们的虚假程度甚至连您的电子邮件提供商的过滤器都没有发现它们。但是没有可以每次检查的电子邮件的“明确”功能集。

与其尝试确定电子邮件是否是网络钓鱼企图，不如避免采取任何依赖其正确性的措施，即您收到的电子邮件是否是网络钓鱼企图。这样你就不需要能够区分。

例如，即使您刚刚收到的电子邮件确实来自您的银行，仍然不要单击其中的链接，然后输入您的登录详细信息。而是通过键入您记得的 URL 或使用书签来访问您银行的网站。然后登录，然后寻找一种方法来导航到电子邮件告诉您去的地方。作为最后的手段，因为您的银行网站很糟糕，登录后您可以使用电子邮件中的链接，但不要在其目的地再次登录，或放弃任何其他敏感信息。但请注意，除了网络钓鱼之外还有其他攻击，您可能仅通过访问恶意页面而不放弃任何敏感信息而暴露自己。

这适用于通常的金融/购物网络钓鱼尝试。不幸的是，在某些情况下它是不切实际的。假设一个才华横溢的鱼叉式网络钓鱼者，可能为您的竞争对手工作，在与您雇主的域相似的域上打错字，并使用他们的实际电子邮件页脚发送一封看似来自您老板的电子邮件，说“我们要价多少在詹金斯的演讲中引用？”。每次您回复公司电子邮件（每天数十次）时，您都会仔细地眯着眼看您发送到的地址，以确保它真的是 youremployer.com 而不是 youremp1oyer.com 或 yourempIoyer，这是不现实的。 com 或（上帝保佑）youremploуer.com[*]。您的电子邮件客户端可能会或可能不会帮助您，

不同之处在于，无论出于何种原因，您的雇主已经决定他们将使用电子邮件作为交流机密信息的媒介。另一方面，您的银行做出了不同的决定。与您的银行进行敏感通信的正确渠道是他们的网站、电话应用程序，或者可能通过电话（尽管不相信据称来自您的银行的电话），或通过邮寄某些事情，或亲自。因此，不要相信来自或看似来自您银行的电子邮件。甚至不要相信它会链接到您的银行网站。相反，将其视为使用您可以信任的渠道的提示。

[*] 第一个很简单：数字 1 表示小写 L。第二个在许多字体中有点难：大写 I 表示小写 L。第三个用小写 Cyrillic Y 代替小写 Roman Y。如果您的邮件客户端呈现它根本上，您可能无法通过外观来区分。

虽然许多网络钓鱼邮件是显而易见的，但没有明确的方法来检测更聪明的网络钓鱼。看起来聪明的网络钓鱼的数量正在增加。

有一些技术可能有助于查明发件人是否是他声称的那个人，即数字签名、DMARC（包括 DKIM+SPF）等。但是这些需要在发件人站点上使用并在收件人站点上进行验证 -两者要么在很多情况下都缺乏，要么变得（不必要的）复杂。

如果邮件声称来自您已经知道的发件人，您可以将邮件与您之前收到的邮件进行比较，以获得各种功能，例如相同的发件人电子邮件地址、相同的传输路径（收到邮件中的标头）、相同的邮件客户端 .... 其中许多功能仅在邮件的源代码中可见，其中许多需要专业知识来提取和比较，因此普通用户将无法做到这一点（除了在大多数情况下缺乏时间和动力）。

我建议在最近的 Blackhat 会议上查看有关此主题的最新讨论：Ichthyology: Phishing as a Science。