Für viele von uns kann die Idee, einen Cyberangriff oder Malware zu verhindern, stressauslösend sein. Obwohl die meisten von uns jetzt zunehmend online leben, haben nur wenige von uns eine formelle Ausbildung zu diesem Thema. Aber eine der häufigsten Arten von Angriffen, Phishingist leicht zu verhindern, wenn Sie wissen, wonach Sie suchen müssen.
Phishing-Betrug beruht darauf, dass ihre Ziele bereitwillig vertrauliche Informationen (wie Passwörter oder Kreditkartennummern) weitergeben oder Malware auf ihrem Gerät installieren. Dies geschieht, indem Menschen durch die Verwendung gefälschter E-Mail-Nachrichten und Websites betrogen werden. Normalerweise beginnt es mit einer E-Mail, die angeblich aus einer vertrauenswürdigen Quelle stammt, und führt zu einer betrügerischen Website, auf der persönliche, wertvolle Informationen erfasst werden. Sobald Sie Ihre Informationen aufgegeben haben, sieht es so aus, als ob es wie gewohnt läuft. Am nächsten Tag sind Sie jedoch möglicherweise schockiert, wenn Sie feststellen, dass Ihr Bankkonto aufgebraucht ist. Oder Sie können nicht in Ihre E-Mail gelangen, um Ihren Freunden mitzuteilen, dass Sie nicht auf einer Insel gestrandet sind, die ihre sofortige finanzielle Hilfe benötigt.
Für diejenigen, die den Betrug betreiben, handelt es sich um einen ziemlich geringen Einsatz, der darauf beruht, dass Leute auf einen einfachen Trick hereinfallen und lukrative Informationen preisgeben. Aber für jeden, der das Opfer ist, steht mit Sicherheit viel auf dem Spiel. Erfahren Sie unten, wie Sie diese Fälschungen erkennen und sich vor Phishing-Betrug schützen können.
Anzeichen dafür, dass Sie möglicherweise eine Phishing-E-Mail erhalten haben
- Verdächtige Absenderadresse: Offizielle E-Mails zu Passwörtern und persönlichen Informationen werden von offiziellen E-Mail-Adressen gesendet, nicht von persönlichen Konten. Wenn der Absender keine E-Mail-Adresse hat, die dem Unternehmen zugeordnet ist, glauben Sie es nicht. Ne'er Do Wells erstellt häufig E-Mail-Adressen schließen zu einem Firmennamen, aber nicht ganz richtig. Zum Beispiel haben wir kürzlich alle vor E-Mails gewarnt, die angeblich von der stammen Centers for Disease Control and Prevention, aber die E-Mails stammten von Adressen, die mit endeten
cdc-gov.org
undcdcgov.org
, von denen keiner von der CDC verwendet wird. Ein Besuch der CDC-Site zeigt, dass alle ihre Kontaktadressen mit endencdc.gov
. - Seltsamer Ton: Wenn etwas über die Art und Weise, wie eine E-Mail geschrieben wird, „aus“ erscheint, hören Sie auf Ihren Bauch. Allgemeine Begrüßungen, bei denen Ihr Name nicht verwendet wird, seltsame Sätze, Rechtschreibfehler und ein Aufruf zu dringenden Maßnahmen, die unnötig erscheinen, weisen darauf hin, dass die E-Mail möglicherweise nicht authentisch ist. Denken Sie daran, auch wenn Sie keinen konkreten Beweis haben, können Sie das Unternehmen jederzeit über eine Telefonnummer oder E-Mail kontaktieren, die Sie an einem vertrauenswürdigen Ort gefunden haben, um sicherzustellen, dass es echt ist.
- Links zu gefälschten Websites:. Wenn diese E-Mail gut gemacht ist, gelangen Sie zu einer überzeugenden URL. Namecheck.com kann URLs auf Authentizität testen und hat eine Liste gefälschter Adressen als Beispiele - wie
paypal-secure.online
stattpaypal.com
. Einige gut ausgearbeitete Betrügereien führen Sie zu einer Seite, die betrügerisch ist, aber Links zu legitimen Seiten des Unternehmens enthält. Schauen Sie selbst auf der Website nach - klicken Sie nicht nur auf Links in E-Mails. Stellen Sie außerdem sicher, dass jede URL für eine Website, auf der Sie vertrauliche Informationen eingeben, legitim ist. - Keine digitalen Signaturen: Wenn Sie das Glück haben, mit einem Unternehmen zusammenzuarbeiten, das signiert E-Mails mit S/MIMEDiese Unterschrift ist ein Identitätsnachweis, ohne die E-Mail zu öffnen. Es ist jedoch wichtig, alle Informationen in E-Mails zu überprüfen und festzustellen, ob das Zertifikat ein echtes, von einer Zertifizierungsstelle ausgestelltes Zertifikat ist S/MIME Zertifikat, unabhängig davon.
Wenn Ihr E-Mail-Client unterstützt S/MIME (und die meisten tun es), es ist einfach, nach einer digitalen Signatur zu suchen und diese zu überprüfen. So geht's in Google Mail (für andere Kunden überprüfen Sie bitte die Dokumentation Ihres Anbieters):
1. Klicken Sie auf das Dreieck rechts neben dem Namen des Absenders Zeige Details.2. Das grüne Häkchen und Verifizierte E-Mail-Adresse Nachricht bedeutet, dass die Nachricht mit einer vertrauenswürdigen digitalen Signatur signiert wurde. Für weitere Informationen klicken Sie auf Absenderinfo Verknüpfung. Wenn das Zertifikat ist nicht Von Google Mail als vertrauenswürdig eingestuft, wird die Nachricht angezeigtThe certificate is not trusted
. For ohne Vorzeichen E-Mail, es werden keine Zertifikatinformationen angezeigt.
3. Jetzt können wir die E-Mail-Adresse des Unterzeichners, die ausstellende Zertifizierungsstelle und die Gültigkeitsdauer des Zertifikats überprüfen. - Keine Erwähnung bekannter Kontaktinformationen: Wenn eine E-Mail, in der Sie aufgefordert werden, Ihr Kennwort zurückzusetzen oder Informationen herauszugeben, keine zusätzlichen Informationen enthält, von denen Sie wissen, dass sie eine Möglichkeit darstellen, das Unternehmen oder die Organisation zu kontaktieren, seien Sie misstrauisch. Sei sehr misstrauisch. Schauen Sie sich andere E-Mails an, von denen Sie wissen, dass sie von der Organisation stammen, Briefe, die Sie per E-Mail erhalten haben, oder die Kontaktseite auf ihrer Website. Sehen Sie die gleichen Informationen in der E-Mail, die Sie gerade erhalten haben? Auch wenn Sie dies nicht tun, verwenden Sie einfach die Kontakte, von denen Sie wissen, dass sie vertrauenswürdig sind.
Anzeichen dafür, dass Sie sich möglicherweise auf einer Phishing-Website befinden
- Überprüfen Sie die URL: Schauen Sie sich die Seite an, auf der Sie Ihre Informationen übermitteln. Einige gefälschte URLs sehen direkt gefälscht aus. Wie oben erwähnt, weisen viele Phishing-Seiten jedoch die Merkmale des legitimen Geschäfts auf, das die Fälschung vorgibt, darzustellen. Seien Sie also nicht beruhigt, wenn Sie über die URL auf die Chase-Homepage zugreifen können - überprüfen Sie die Seite, auf der Sie sich befinden, sorgfältig. Ist der Firmenname richtig geschrieben? Entspricht die Top-Level-Domain der Hauptseite (
.com
or.de
vs.org
or.gov
zum Beispiel) und beginnen die URLs mit demselben Präfix (zhttps://
)? Eine Möglichkeit, um sicherzustellen, dass Sie zu einer echten Website gelangen, besteht darin, ein zuvor gespeichertes Lesezeichen zu verwenden oder nach dem Schließen und erneuten Öffnen Ihres Browsers selbst bei Google nach der Website zu suchen. - Popups: Seien Sie vorsichtig bei Websites, die Ihr Kennwort aggressiv über Popup-Fenster suchen. Einige Betrüger verwenden Popup-Fenster über realen Websites und nutzen dies, um Ihr Vertrauen zu gewinnen.
- Die Dinge fühlen sich nicht richtig an: Gönnen Sie sich etwas Anerkennung! Wir sind in der Lage, kleine Dinge aufzunehmen, die sich in unserem Bewusstsein möglicherweise nicht einmal bemerkbar machen. Betrugswebsites weisen häufig geringfügige Abweichungen in Farbe, Schriftart und Phrasierung auf. Folge deinem Herzen, wenn die Dinge nicht richtig aussehen.
- Kein Schloss!: Webbrowser zeigen eine geschlossene Sperre für sichere Websites, die das verwenden HTTPS-Protokollund legitime Websites fordern Sie einfach nicht auf, sich ohne Verwendung von HTTPS anzumelden. Wenn in der URL-Symbolleiste Ihres Browsers eine Warnung oder eine nicht gesperrte Sperre angezeigt wird, halten Sie genau dort an, bevor Sie Informationen anbieten. Keine Sperre, kein Login. Und ignorieren Sie keine Browser-Warnungen - auch wenn Sie möglicherweise so an sie gewöhnt sind, dass sie keine internen Alarme auslösen. Verwerfen Sie keine Warnungen und akzeptieren Sie nur Websites mit vom Browser vertrauenswürdigen Zertifikaten. Leider ein Schloss ist keine Zusicherung mehr an und für sich, dass eine Site sicher ist, da einige Phisher jetzt intelligent genug sind, um das HTTPS-Protokoll zu verwenden, aber das Fehlen von HTTPS ist ein sicheres Zeichen dafür, dass Sie sich auf gefährlichem Boden befinden und zurückkehren sollten.
Wie man Phisher besiegt
- Schließen Sie Ihren Browser: Verdächtig wegen eines der oben genannten Anzeichen? Schließen Sie Ihren Browser und starten Sie neu, ohne führenden Links zu folgen.
- Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA): Zwei-Faktor-Authentifizierung bedeutet einfach, dass Sie mehr als eine Sache benötigen, um auf Ihre vertraulichen Informationen zuzugreifen. Ein Beispiel aus der Praxis ist eine Geldautomatenkarte. Um auf Ihr Bankkonto zugreifen zu können, benötigen Sie die physische Karte und die PIN. Die Online-Zwei-Faktor-Authentifizierung sieht aus wie ein zweiter Schritt nach der Eingabe eines Kennworts - manchmal ist dies ein Code, der an ein anderes Gerät gesendet wird, oder manchmal ist dies etwas Einzigartiges für den Benutzer, wie ein Fingerabdruck. Der Punkt ist das haben XNUMX Erforderliche, unterschiedliche Schlüssel sind viel sicherer und viel schwerer zu stehlen. Richten Sie daher 2FA ein, wenn es auf einer Website verfügbar ist, auf der Sie sich regelmäßig anmelden (wie bei Ihrer Bank).
- Überprüfen Sie die Website-Zertifikate: Die Überprüfung der Sicherheit ist zwar nicht mehr so einfach wie die Suche nach HTTPS oder dem „grünen Balken“, der früher der Standard für die Anzeige von EV-Zertifikaten (Extended Validation) war. Es ist jedoch immer noch ein guter Schritt, nach diesen Zertifikaten zu suchen. wie wir erklärt haben vorher. Viele Websites haben sich für billige (oder kostenlose) Domain Validated (DV) -Zertifikate entschieden, die einige Sicherheiten bieten - Sie wissen, dass Ihre Kommunikation mit der Website verschlüsselt ist. DV-Zertifikate bieten jedoch nicht die erforderliche Sicherheit, dass Sie wissen, wer die Website tatsächlich betreibt. Wir haben hier erläutert, wie Sie diese Informationen für jeden Browser finden.
- Bleiben Sie mit digitalen Zertifikaten von SSL.com geschützt: Da die Welt immer digitaler vernetzt wird und immer mehr „Meetings“ online stattfinden, ist es entscheidend, Identitäten online überprüfen zu können und Betrug wie Phishing zu vermeiden. SSL.com kann helfen bei:
- S/MIME, Signieren von Dokumenten und Client-Zertifikate: Bekämpfen Sie Phishing direkt mit digital signierten E-Mails und Dokumenten, damit Ihre Kollegen und Kunden wissen, dass es sich um E-Mails oder PDFs handelt wirklich von dir. Client-Zertifikate bieten einen zusätzlichen Authentifizierungsfaktor für Remote-Mitarbeiter und andere Benutzer.
- SSL /TLS Zertifikate: Bieten Sie Ihren Besuchern und Kunden die Sicherheit und Identität Ihrer Website.
- Codesignaturzertifikate: Versichern Sie Ihren Kunden, dass Ihr herunterladbarer Code aus einer vertrauenswürdigen Quelle stammt und keine Malware enthält.
Schließlich kann jeder seinen Teil dazu beitragen und Phishing-E-Mails an melden spam@uce.gov und reportphishing@antiphishing.orgund geben Sie Organisationen, die sich imitieren, einen Kopf hoch, damit sie andere schützen können, die sich weiterentwickeln.