如何识别和防范 Gmail 钓鱼邮件

先讲一个真实场景。

然后你的 Google 账号就不是你的了。

这就是钓鱼邮件干的事。它不需要破解你的密码，不需要什么高深的黑客技术，只需要你在慌乱中点一下链接、输一次密码。

钓鱼邮件为什么越来越难辨认

五六年前的钓鱼邮件还挺好认的——满屏的语法错误、蹩脚的翻译、一看就假的 Logo。但现在不一样了。

现在的钓鱼邮件制作成本极低，工具极其成熟。攻击者可以：

完美复制 Google、银行、快递公司的邮件模板，像素级还原
伪造发件人显示名称，甚至在某些情况下伪造发件地址
注册和真实域名非常接近的假域名（比如 g00gle.com、google-security.com）
利用 AI 工具生成毫无语法错误的本地化内容
针对性地使用你的真实姓名和部分个人信息来增加可信度

说白了，现在的钓鱼邮件已经不是"一眼假"的水平了。如果不刻意去检查，很多人根本看不出来。

最常见的几种钓鱼套路

1. 冒充 Google 安全通知

这是最经典的套路。邮件告诉你"检测到异常登录"、"你的密码已过期"、"你的账号即将被停用"，然后附一个链接让你"验证身份"或"更新密码"。

真正的 Google 安全通知确实会发邮件，所以很多人分不清真假。区别方法后面会讲。

2. 伪装成同事或老板

在企业环境里特别常见。你收到一封看起来是老板发的邮件，说"我在开会不方便打电话，你帮我买几张礼品卡，把卡号发给我"。或者"你把这个文件里的数据更新一下发给我"——文件其实是个恶意附件。

这种叫"商业邮件钓鱼"（BEC），损失金额通常远大于普通钓鱼。

3. 中奖/退税/退款通知

"恭喜您获得 iPhone 16 一部"、"您有一笔 $320 的退税待领取"、"您的 Amazon 订单退款已到账，请确认"——凡是不请自来的好处，基本都是钓鱼。

4. 紧急警告类

"您的账号将在 2 小时后被永久删除"、"检测到您的账号正在向他人发送垃圾邮件"、"您的 Google Drive 存储空间因违规内容已被限制"——用恐惧感逼你立刻行动，不给你思考的时间。

5. 共享文档钓鱼

这个比较隐蔽。你收到一封"某某与你共享了一个文档"的邮件，格式和真正的 Google Docs 共享通知几乎一样。点进去后要求你登录才能查看——登录页面当然是假的。

怎么判断一封邮件是不是钓鱼

不需要什么专业知识，养成以下几个检查习惯就够了。

看发件人地址，不是看显示名称

这是最基本也最重要的一步。邮件显示的发件人名称可以随便改，"Google Security Team"谁都能设置。但发件人的实际邮箱地址才是关键。

在 Gmail 里，点发件人名称旁边的小箭头，展开详细信息，看实际的邮箱地址。Google 官方只会用 @google.com 或 @accounts.google.com 这类域名。如果实际地址是 security-alert@google-verify.com 或 noreply@g00gle-support.net 之类的，那就是假的。

鼠标悬停在链接上，看真实 URL

邮件里的链接文字和实际指向的网址可以完全不同。按钮上写着"登录 Google"，实际链接可能指向 http://accounts-google.security-check.xyz/login。

在电脑上，把鼠标放在链接上别点，看浏览器左下角或者弹出的提示里显示的真实 URL。在手机上，长按链接可以预览地址。

真正的 Google 登录页面地址一定是 https://accounts.google.com/ 开头的。其他任何变体都不要信。

留意语气中的紧迫感

"立即"、"马上"、"24 小时内"、"否则将被永久删除"——钓鱼邮件特别喜欢制造紧迫感，因为人一紧张就容易犯错。

正规公司的通知即使有时限要求，措辞也会比较温和，不会用恐吓的语气。而且真正重要的账号安全问题，Google 会通过多个渠道通知你（手机推送、备用邮箱、手机号短信），不会只发一封邮件就完事。

不要打开不确定的附件

尤其是 .exe、.scr、.zip、.js 这类文件。即使是 .pdf 或 .docx，如果来源不明也不要打开。恶意文档可以利用软件漏洞在你打开的瞬间执行恶意代码。

如果确实需要查看附件内容，可以先用 Google Drive 的在线预览功能打开，不要下载到本地。

用 Gmail 自带的信息核实

Gmail 有几个内置功能可以帮你判断：

外部发件人提示 — 如果你用的是 Google Workspace（企业版），收到组织外部的邮件时会有黄色提示条
"?" 标记 — 发件人未通过身份验证时，头像位置会显示一个问号
红色警告横幅 — Gmail 检测到可疑邮件时会在顶部显示红色警告，告诉你"这封邮件看起来很可疑"

看到这些提示的时候，多留个心眼。

如果你已经点了钓鱼链接

别慌，但要快。按这个顺序操作：

只是点了链接但没有输入任何信息

问题不大。关掉页面，清除浏览器缓存和 Cookie。如果担心页面有恶意脚本，用杀毒软件全盘扫描一次。

输入了密码

立刻改密码 — 用另一台你确信安全的设备登录 myaccount.google.com，修改密码
检查最近的登录活动 — 在安全设置里查看"你的设备"和"最近的安全活动"，把不认识的设备全部踢下线
检查恢复选项 — 确认你的备用邮箱和手机号没有被改掉
检查邮件转发设置 — 钓鱼者可能会设置邮件自动转发到他们的邮箱。去 Gmail 设置 → 转发和 POP/IMAP，看看有没有可疑的转发地址
开启两步验证 — 如果之前没开的话，现在开。最好设置 Passkey 或安全密钥
检查第三方应用权限 — 去 myaccount.google.com/permissions 看看有没有你不认识的应用被授权了访问你的账号

输入了银行卡或支付信息

除了上面的步骤，还要立刻联系银行冻结相关卡片，并监控近期的交易记录。

主动防御：让钓鱼邮件更难得手

与其每次都靠肉眼判断真假，不如提前做好防护，让钓鱼邮件即使骗到了你的密码也登不了你的账号。

开启两步验证

这是性价比最高的安全措施。开启之后，即使密码被盗，攻击者没有你的手机也登不进来。

去 myaccount.google.com → 安全性 → 两步验证，按提示设置。推荐使用 Google Authenticator 或 Passkey，不推荐短信验证码（短信可以被 SIM 卡劫持）。

设置 Passkey

比两步验证更进一步。Passkey 从原理上就不怕钓鱼——因为它会自动校验网站域名，假网站根本无法触发验证流程。具体怎么设置，可以参考我们之前的文章《Google 密钥（Passkey）是什么：告别传统密码的新方式》。

保持 Gmail 的安全功能开启

Gmail 默认开启了很多安全功能，别手贱关掉：

垃圾邮件过滤
钓鱼邮件检测
可疑附件扫描
安全浏览保护（点击链接时会检查目标网址是否安全）

这些功能能挡掉 99% 以上的钓鱼邮件。但还是有少量漏网之鱼会进入收件箱，所以人工判断依然重要。

定期检查账号安全状况

Google 提供了一个"安全检查"工具，地址是 myaccount.google.com/security-checkup。它会帮你检查：

最近的登录设备有没有可疑的
第三方应用权限是否正常
两步验证是否开启
恢复信息是否完整

建议每个月花两分钟看一眼。

小心公共 Wi-Fi

在咖啡厅、机场、酒店的公共 Wi-Fi 下登录邮箱，风险比在家里高很多。如果必须使用公共网络，建议开 VPN。

企业用户额外要注意的

如果你用的是 Google Workspace（企业版 Gmail），管理员还可以做这些事来保护整个组织：

强制开启两步验证 — 在管理控制台里设置，所有员工必须启用
部署 DMARC 策略 — 防止他人伪造你的企业域名发送钓鱼邮件给你的客户或员工
开启高级钓鱼防护 — Workspace 管理控制台 → 安全性 → Gmail → 安全，里面有几项高级防护选项
定期对员工进行钓鱼邮件培训 — 安全意识比任何技术手段都重要

遇到钓鱼邮件怎么举报

别只是删掉了事，花两秒钟举报一下，帮助 Google 改进过滤算法，也保护其他人不中招：

打开那封邮件
点击右上角的三个点菜单
选择 "举报为钓鱼邮件"

就这么简单。Google 会根据举报数据更新钓鱼邮件特征库，类似的邮件以后就更容易被自动拦截。

记住一条总原则

最后说一条最实用的判断原则，遇到拿不准的邮件时想想这句话：

正规机构绝不会通过邮件里的链接让你输入密码。

不管邮件看起来多真、语气多紧急，如果它要求你点链接登录或者输入敏感信息，都不要照做。正确的做法是自己打开浏览器，手动输入官方网址，登录进去自己检查。这个习惯一旦养成，钓鱼邮件对你的威胁就降到接近零了。