钓鱼的艺术
钓鱼的艺术
钓鱼的本质
钓鱼的本质,我觉得就是“合理感”。我们要让目标按照我们的话术,做我们想让他做的事。一个没被骗过的人,对别人是天然信任的,这份信任说白了就是:他觉得你说的挺合理。
举个例子。以前我用那种跟公司特别像的域名发钓鱼邮件,经常有人上钩。后来邮件网关把外部邮件标红了,上钩的人就越来越少。为啥?因为用户一看,你不是公司内部的人啊——一个外人提这种要求,不合理嘛。
所以合理感这事特关键:一旦对方觉得你的请求不合逻辑、不合身份、不合场景,信任就没了,钓鱼也就黄了。
合理感 ≠ 真实性
这里得多说一句:合理感不等于真实性。对方未必真的相信你就是那个人,他只是在你设计的情境里,一下子没找到反驳你的理由,觉得这事不值得他花时间去较真。很多成功的钓鱼,说白了就是攻击者给的合理感,刚好跨过了对方的“怀疑值”。
举个例子。IT管理员真的发了邮件让大家修改密码,但这封邮件是从一个第三方服务转发的,邮件网关给它打上了“外部邮件”的红标。很多人一看——外部邮件?还让我改密码?不行,直接无视。
你看,IT管理员是真的,让大家改密码也是真的,但大家为什么无视?因为缺乏合理感。所以合理感 ≠ 真实性。
合理感的本质
所谓“合理感”,本质上是:
人脑在极短时间内,对一件事情是否“符合经验”的快速判断。
而这种判断,通常来自三个维度:
- 身份是否合理
- 请求是否合理
- 时机是否合理
身份
其中,“身份”是最基础的一层。
人在接收到一个请求时,第一反应往往不是分析内容本身,而是下意识地先判断:
你是谁?
你是否有资格对我提出这个要求?
比如:
- IT 管理员要求你修改 VPN 密码 —— 合理
- 财务人员要求你提供银行卡信息 —— 可能合理
- 财务人员要求你修改 VPN —— 不合理
这里真正关键的,其实不是真假,而是:
这个身份,是否符合这个行为。
为什么“身份”会如此重要?
因为现实世界本身,就是建立在“身份规则”之上的。
比如在路边,警察要求你出示身份证,你会觉得合理;但如果一个陌生路人突然要求查看你的身份证,你的第一反应一定是警惕。
哪怕他们说的是同一句话,你对他们的信任程度也会完全不同。
因为人天然会认为:
不同身份,只能做符合其身份的事情。
所以,“身份合理性”的本质其实是:
这个人,有没有理由做这件事。
很多人以为,钓鱼的核心是“伪装成别人”。
但实际上,更准确地说,钓鱼真正要伪装的,并不是“任何人”,而是:
那些天然有资格提出要求的人。
请求
即便身份没问题,请求本身也必须合理。
因为用户会判断:
这件事情,好像以前没有发生过?
IT管理员要求用户修改VPN密码,身份合适,请求合理。
但是IT管理员发邮件说,给我你的验证码,这时候用户就会判断,这个请求以前没有发生过,不合理。
因为:
- 通过验证码是不给别人的
- 正常IT是不会提出这个请求的
- 行为超过了用户的经验
于是怀疑值暴涨
请求合理性的核心是
这个要求,是否符合日常流程
时机
时间是否合理,这是很多人忽略,但是其实是关键的一层
同一句话,在不同时间出现,合理性不一样。
比如,你突然收到一封邮件,要求你马上改密码,你可能会怀疑。
但是如果:是你的XX系统使用了弱口令,请你马上修改密码。这时候是不是合理性暴涨。
时机合理的本质:“为什么偏偏现在发生?”
人脑是特别依赖“上下文”,只要事情能和当前环境对上,警惕心就会下降。
一个成功的钓鱼场景,往往三者同时成立:
| 维度 | 是否合理 |
|---|---|
| 身份 | 谁在说 |
| 请求 | 让你做什么 |
| 时机 | 为什么现在做 |
后记
我们在看各种钓鱼文章时,总是会教我们使用各种技术、平台进行钓鱼,其实很少人说提到钓鱼的本质,这也是我在连续钓了半个月突然明白的一点。说到底钓鱼不过是一场关于“合理感”的设计,身份合理,请求合理,时机合理–三者凑齐,人就信了。工具、域名、邮件模板,都只是把这份“合理感”送到目标眼前的载体而已。
落笔于深圳,2026年5月23日,05点34分