这周一，我的朋友收到了一封勒索邮件

最近在 b 站首页刷到了一个视频，up 主遭到了黑客的勒索，导致了重要的视频资料丢失。辛辛苦苦创作的东西，突然之间说没就没了，这种感觉多多少少还是能体会到一点。只不过这个 up 主所遭受的损失要严重得多，从她在视频里阐述的情况来看，找回资料的机率非常之低。

在受到黑客勒索的时候，作为普通人的我们更多时候感到的是无力。交赎金？报警立案？好像哪个方案都有可能解决问题，但实际上实施难度都是比较大的。赎金的金额不小，并且你无法保证对方是否会信守承诺；至于报警，立案是有条件的，需要考察金额数目的大小以及实际造成的损失等因素，up 主这次的事情之所以没能立案就和这些因素有关。

但是从个人的角度来说，我们应该做好必要的防范工作。首先，日常习惯一定要好，包括对重要的资料采取合适且安全的方式进行备份，不点击来路不明的链接，不下载出处存疑的第三方软件等，虽说不是万全之策，但确实能够在一定程度上防止一些意外情况的发生。当然还有一点很重要，就是保持冷静和鉴别力。关于这点，我可以拿身边的例子作为说明。

实际上，就在看到这个视频的前一天，我身边也发生了类似的事情。起因是我的一个朋友收到了一封英文勒索邮件，邮件发布者声称拍下了我朋友的一举一动，如果不在 24 小时之内汇钱给他，就会采取一些“极端”措施：

虽然我不是当事人，但第一次看到的时候也还是被吓了一跳，因为我一直以为这种事情离自己很遥远。不过，在确定离交赎金的截止期限还有相对充足的时间（邮件是凌晨1点收到的，朋友发信息是在早上7点多）之后，我决定试着鉴别一下这封勒索邮件的可信程度。

“Search on Google”很重要，经过几分钟的检索，我在网上找到了不少参考价值很高的帖子：

• 收到勒索邮件了

• Large email extortion campaign underway, DON’T PANIC!

• The Blackmail Email Scam

参考的标准主要有两个，一个是发帖时间，一个是发帖内容。如果邮件发布者的目标有多个，很可能近期会有不少类似的“受害者”，上面这几个帖子的发表时间都集中在最近几天，或者是最近几个月，需要优先引起我们的注意；再点进去仔细看一下，发现楼主和底下评论都反映了类似的遭遇，并且他们收到的邮件在语气、措词以及结构上，都和我朋友收到的邮件高度相似，再加上都是近期收到的，不能不让人想到这是同一个人所为。

到底是怎么回事呢？其实英文好的读者可以点上面第二条和第三条链接，里面已经解释得很清楚了。简单来说，这些邮件实际上都是 fake spam，可以认为是假的勒索邮件，因此不需要太过担心。

这实际上确实是同一个人或者同一个组织所为的，他（们）采取广撒网的方式随机向目标发送邮件，套路不外乎就是在邮件开头先煞有其事地指出你的密码，然后 blabla 一大堆威胁的话，最后让你在限定时间内打钱给他。这封邮件之所以轻易唬住人，是因为邮件中提及到了你的密码（大部分是旧密码），甚至你的手机号码等，但这些数据实际上来源于某次信息泄露，邮件发布者拿到了这些数据，开始勒索敲诈。谁真的信了，谁就“上钩”了。

这个人狡猾的地方在于，他会多次变更邮件的用词和结构，使得每次发的内容“看起来”都不太一样。上面的帖子中就有人收集并记录了他发的邮件中的各个关键词：

这么做的原因我猜测有两个：

第一个是为了绕过邮箱的垃圾邮件过滤机制，因为邮箱是可以根据关键词过滤邮件的，所以时常更改用词可以保证自己的邮件送达收件人手中。

第二个是降低其他人进行搜索的命中率。 这个要稍微解释一下，设想我们是收件人，那么在我们收到勒索邮件的时候，很可能会在搜索引擎中输入邮件内容，试图找到与自己有类似遭遇的人，并结合各方说法推敲邮件的可信程度（就像我现在在做的一样）。假设这个邮件发布者使用的一直是同一套邮件模板，那么收件人在搜索引擎中搜索的内容就基本是相同的，并且在最后都会被导向同一个地方（可能是某个社区或者论坛），并在这个地方产生讨论（包括邮件真伪的辨别，防范措施等）：

那么对下一个收件人来说，他也只需要搜索同样的邮件内容，就能轻松找到相关帖子，从而避免被勒索。

不过这个邮件发布者很清楚这一点，所以他经常变更邮件的模板 —— 这其实相当于增加了我们搜索的难度，因为在变更邮件模板的情况下，各个收件人在搜索引擎中输入的内容都是不同的，这也使得他们最终被导向的地方都是不同的：

在这里，之前相对集中的“讨论”被“分割”了，各个地方发生了不同的讨论，有的讨论能够让收件人“避雷”，而有的讨论可能造成了一定程度的误导，往好的方向想，即便最终并没有导致收件人被勒索，也增加了收件人共同参与讨论、寻找最佳解决方案的难度。

幸运的是，邮件发布者并没有达到他的目的。在我上面发的最后一个链接中，发帖者最难能可贵的地方在于，他在发帖解释 fake spam 的同时，建议所有收到类似勒索邮件的人隐去个人信息并把邮件原文 post 到底下的评论中，这样做实际上相当于在网页中汇集了大量的相关邮件，使得收件人能够更容易地被导向到这个帖子，进而辨别邮件真伪，避免被勒索：

这应该就是所谓的“前人栽树，后人乘凉”了，这次我之所以能够迅速找到这个帖子（直接出现在搜索结果前排），真的可以说是多亏了这位老外。按照惯例，我也在底下评论中贴出了朋友邮件中的内容，希望可以帮助后面遇到同样问题的网友：

所以，如果你“不幸”也收到了这封勒索邮件，并且已经确定了是同一个人发送的，请保持冷静，不要慌，下面是一些你可以采取的措施：

• 把邮件扔到垃圾箱，屏蔽发送者。切记不要点击邮件中给出的任何链接，也不要对发送者做出任何回应
• 如果邮件中提及的是自己以前曾经用过的密码，可以不用理会；如果是现阶段正在使用的密码（有部分评论称遇到了这种情况），请马上修改密码。have I been pwned 网站可用于检测个人数据是否遭遇了信息泄露，你可以尝试在里面输入自己的邮箱地址，若信息被泄露，将会收到一封包含密码的邮件。
• 最最重要的，喝水不忘打井人，我们务必要感谢这些让我们成功“避雷”的网友。因此如果有条件的话，请在这个帖子的评论底下贴出你收到的邮件内容（不过要注意私人信息必须打码），帮助后续遇到相同问题的人。要提醒的是，reddit 的这个帖子每隔一段时间会做一次归档，已归档的帖子无法再评论，所以如果上面这个帖子无法评论的话，尝试搜索 part6 或者 part7 等（事实上，最早的帖子是 part1，发布时间已经是一年前了）。

另外，个人习惯也是很重要的：

• 尝试使用 password manager，为每个账号生成一个更安全、更复杂的密码
• 对一些平台或者应用，建议开启更加安全的二步验证
• 务必不要点击来路不明的链接，下载莫名其妙的软件

最后，这篇文章虽然只是简单的记录，但希望能起到一些实质性的帮助 —— 至少在收到类似勒索邮件的时候，我们需要保持冷静，保持鉴别力。