Step 01
不要在原始设备和账号会话中点击
先记录收到链接的渠道、时间、发件人和完整文本,不回复、不登录,也不要把链接转发到公开群组。页面可能利用登录状态、设备指纹和追踪参数确认目标有效。
如果链接包含姓名、邮箱、订单号或长查询参数,保存原始证据后制作脱敏副本用于外部查询。
Step 02
先查询信誉和历史记录
优先查询域名、URL 或哈希是否已经出现在公开信誉数据中。查看首次发现时间、命中来源和历史跳转,不要只看一个红色或绿色分数。
未命中只表示当前数据源没有记录。新注册域名、一次性路径和被入侵的正常网站都可能暂时没有信誉标签。
Step 03
需要网页行为时使用隔离扫描
如果需要知道最终跳转、加载脚本和页面截图,使用受控的网页扫描服务,并确保脱敏 URL 不包含登录令牌。扫描结果可能公开,内部地址和客户专属链接不应提交。
分析请求链中的新注册域名、外部表单、下载文件和品牌不一致,但不要仅凭页面外观判断真伪。
Step 04
把结论转成动作
确认恶意后,保存必要证据,阻断域名或 URL,搜索同类邮件,并检查是否有人访问、输入凭据或下载文件。
如果用户已经提交密码,应立即从可信设备修改密码、撤销会话并启用多因素认证;下载过文件则需要终端安全团队进一步排查。
Action Checklist
执行清单
- 保存原始消息、链接和接收时间
- 制作不含个人参数的查询副本
- 先查信誉,再按需查看网页行为
- 确认是否有人点击、登录或下载
- 阻断、清理并通知受影响用户