Lindungi Diri Anda Dari Phishing

Bagi banyak dari kita, gagasan untuk mencegah serangan cyber atau menghindari malware dapat menimbulkan stres. Bagaimanapun, meskipun sebagian besar dari kita sekarang hidup semakin online, beberapa dari kita memiliki pelatihan formal tentang masalah ini. Tapi salah satu jenis serangan yang paling umum, Phishing, mudah dicegah jika Anda tahu apa yang harus dicari.

Penipuan phishing bergantung pada target mereka yang secara sukarela menyerahkan informasi sensitif (seperti kata sandi atau nomor kartu kredit), atau memasang malware di perangkat mereka. Ini dilakukan dengan menipu orang melalui penggunaan pesan email palsu dan situs web. Biasanya, ini dimulai dengan email yang mengaku berasal dari sumber tepercaya dan mengarah ke situs web palsu yang dirancang untuk menangkap informasi pribadi yang berharga. Setelah Anda memberikan informasi Anda, sepertinya itu bisnis seperti biasa. Namun, keesokan harinya Anda mungkin akan terkejut mengetahui bahwa rekening bank Anda terkuras. Atau, Anda tidak dapat masuk ke email Anda untuk memberi tahu teman Anda bahwa, tidak, Anda tidak terdampar di sebuah pulau yang membutuhkan bantuan keuangan langsung mereka.

Bagi mereka yang melakukan penipuan, itu adalah taruhan rendah yang bergantung pada orang yang jatuh pada trik sederhana dan menyerahkan informasi yang menguntungkan. Tapi bagi siapa pun yang menjadi korban, itu taruhannya besar. Pada kuartal keempat 2019, Kelompok Kerja Anti-Phishing (APWG) diidentifikasi 162,155 situs phishing unik yang menargetkan lembaga keuangan, situs e-commerce, cloud, dan media sosial (antara lain). Pelajari cara mengenali tipuan di bawah ini dan melindungi diri Anda dari penipuan phishing.

Tanda-Tanda Bahwa Anda Mungkin Telah Menerima Email Phishing

• Alamat “dari” yang mencurigakan: Email resmi tentang kata sandi dan informasi pribadi dikirim dari alamat email resmi, bukan akun pribadi. Jika pengirim tidak memiliki alamat email yang dikaitkan dengan perusahaan, jangan percaya. Ne'er Do Wells sering membuat alamat email seperti itu menutup penjualan ke nama perusahaan, tetapi tidak tepat. Misalnya, kami baru-baru ini memperingatkan semua orang tentang email yang diduga berasal dari Pusat Pengendalian dan Pencegahan Penyakit, tetapi email berasal dari alamat yang berakhiran cdc-gov.org dan cdcgov.org, tidak ada yang digunakan oleh CDC. Kunjungan ke situs CDC menunjukkan bahwa alamat kontak mereka semuanya berakhir dengan cdc.gov.
• Nada ganjil: Jika sesuatu tentang cara email ditulis tampak "tidak aktif", dengarkan naluri Anda. Salam umum yang tidak menggunakan nama Anda, frasa aneh, salah eja, dan ajakan bertindak yang tampaknya tidak perlu semuanya memberi tahu bahwa email tersebut mungkin tidak asli. Ingat, meskipun Anda tidak memiliki bukti konkret, Anda selalu dapat menghubungi perusahaan melalui nomor telepon atau email yang Anda temukan di suatu tempat yang dapat dipercaya untuk memastikan bahwa itu nyata.
• Tautan ke situs web palsu:. Email itu, bila dilakukan dengan baik, akan membawa Anda ke URL yang meyakinkan. Namecheck.com dapat menguji URL untuk keaslian, dan memiliki daftar alamat palsu sebagai contoh paypal-secure.online alih-alih paypal.com. Beberapa penipuan yang dibuat dengan lebih baik akan membawa Anda ke halaman yang curang tetapi tautan ke halaman sah perusahaan. Cari sendiri situs webnya - jangan hanya mengklik tautan dalam surel. Dan pastikan bahwa URL untuk situs web tempat Anda memasukkan informasi sensitif adalah sah.
• Tidak ada tanda tangan digital: Jika Anda cukup beruntung bisa bekerja sama dengan perusahaan itu menandatangani email dengan S/MIME, tanda tangan itu adalah bukti identitas bahkan tanpa membuka email. Namun, penting untuk memverifikasi semua info dalam email dan apakah sertifikat itu asli, dikeluarkan oleh CA S/MIME sertifikat, apa pun itu.
  
  Jika klien email Anda mendukung S/MIME (dan kebanyakan), mudah untuk memeriksa dan memeriksa tanda tangan digital. Berikut cara melakukannya di Gmail (untuk klien lain, harap periksa dokumentasi vendor Anda):
  1. Klik segitiga di sebelah kanan nama pengirim Tampilkan detail.2. Tanda centang hijau dan Alamat email terverifikasi pesan berarti bahwa pesan telah ditandatangani oleh tanda tangan digital tepercaya. Untuk informasi lebih lanjut, klik tautan Info pengirim tautan. Jika sertifikat itu tidak Dipercaya oleh Gmail, Anda akan melihat pesannya The certificate is not trusted. Forum unsigned email, tidak ada informasi sertifikat yang akan ditampilkan.
  3. Sekarang kita dapat memeriksa alamat email penanda tangan, CA penerbit, dan masa berlaku sertifikat.
• Tidak disebutkan info kontak yang diketahui: Jika email yang meminta Anda untuk mereset kata sandi atau memberikan informasi tidak mengandung informasi tambahan yang Anda tahu adalah cara untuk menghubungi perusahaan atau organisasi, curiga. Sangat curiga. Lihatlah email-email lain yang Anda tahu berasal dari organisasi, surat-surat yang Anda terima melalui pos, atau halaman kontak di situs web mereka. Apakah Anda melihat info yang sama di email yang baru saja Anda terima? Bahkan jika tidak, gunakan saja kontak yang Anda tahu bisa dipercaya.

Tanda Anda Mungkin Ada di Situs Web Phising

• Periksa URL: Lihatlah halaman tempat Anda mengirimkan informasi. Beberapa URL palsu terlihat palsu langsung. Tetapi, seperti disebutkan di atas, banyak halaman phishing memiliki jebakan bisnis yang sah yang dipalsukan oleh pihak palsu. Jadi jangan diyakinkan jika Anda dapat mengakses beranda Chase dari URL - hati-hati memeriksa halaman tempat Anda berada. Apakah nama perusahaan dieja dengan benar? Apakah domain tingkat atas sama dengan halaman utama (.com or .de vs .org or .gov, misalnya) dan lakukan URL mulai dengan awalan yang sama (mis https://)? Salah satu cara untuk memastikan bahwa Anda pergi ke situs nyata adalah dengan menggunakan bookmark yang sudah disimpan sebelumnya atau mencari situs sendiri dengan Google setelah menutup dan membuka kembali browser Anda.
• Muncul tiba-tiba: Berhati-hatilah dengan situs yang secara agresif mencari kata sandi Anda melalui jendela sembulan. Beberapa penipuan menggunakan jendela sembulan di situs nyata, dan menggunakannya sebagai cara untuk mendapatkan kepercayaan Anda.
• Hal-hal yang tidak "terasa" benar: Beri diri Anda kredit! Kita dapat menangkap hal-hal kecil yang bahkan mungkin tidak masuk dalam pikiran sadar kita. Situs web scam seringkali memiliki warna, font, dan frasa yang sedikit berbeda. Ikuti hatimu jika semuanya tidak beres.
• Tidak terkunci!: Browser web menunjukkan kunci tertutup untuk situs aman yang menggunakan Protokol HTTPS, dan situs yang sah hanya tidak meminta Anda untuk masuk tanpa menggunakan HTTPS. Jika Anda melihat peringatan atau kunci tidak terkunci di bilah alat URL browser Anda, berhenti tepat di sana sebelum menawarkan informasi. Tanpa kunci, tanpa login. Dan jangan abaikan peringatan peramban - meskipun Anda mungkin sudah terbiasa dengannya sehingga tidak membunyikan alarm internal. Jangan mengabaikan peringatan dan hanya menerima situs web dengan sertifikat tepercaya browser. Sedihnya, kunci tidak lagi menjadi jaminan dalam dan dari dirinya sendiri bahwa sebuah situs aman, karena beberapa phisher sekarang cukup pintar untuk menggunakan protokol HTTPS, tetapi kurangnya HTTPS adalah tanda pasti bahwa Anda berada di tanah berbahaya dan harus kembali.

Cara Mengalahkan Phisher

• Tutup browser Anda: Mencurigakan karena tanda-tanda di atas? Tutup browser Anda, dan mulai lagi tanpa mengikuti tautan utama apa pun.
• Aktifkan otentikasi dua faktor (2FA): Otentikasi dua faktor berarti bahwa Anda memerlukan lebih dari satu hal untuk mengakses informasi sensitif Anda. Salah satu contoh dunia nyata adalah kartu ATM - untuk mendapatkan akses ke rekening bank Anda, Anda memerlukan kartu fisik dan PIN. Otentikasi dua faktor daring tampak seperti langkah kedua yang diambil setelah kata sandi dimasukkan - terkadang ini adalah kode yang dikirim ke perangkat lain, atau terkadang ini adalah sesuatu yang unik bagi pengguna, seperti sidik jari. Intinya adalah memiliki itu dua diperlukan, kunci yang berbeda jauh lebih aman dan lebih sulit untuk dicuri, jadi siapkan 2FA jika tersedia di situs web mana pun yang Anda masuki secara teratur (seperti milik bank Anda).
• Periksa sertifikat situs web: Walaupun memeriksa keamanan tidak lagi semudah mencari HTTPS atau "bilah hijau" yang dulunya merupakan standar dalam menunjukkan sertifikat Extended Validation (EV), masih merupakan langkah yang baik untuk mencari sertifikat ini, seperti yang sudah kami jelaskan sebelumnya. Banyak situs telah membuat pilihan untuk menggunakan sertifikat Domain (DV) murah (atau gratis) yang memberikan beberapa jaminan - Anda tahu komunikasi Anda dengan situs dienkripsi. Namun, sertifikat DV tidak memberikan jaminan yang diperlukan bahwa Anda tahu siapa yang sebenarnya mengoperasikan situs web. Kami telah menjelaskan cara menemukan info itu, untuk setiap browser, di sini.
  
• Tetap terlindungi dengan sertifikat digital dari SSL.com: Ketika dunia menjadi lebih terhubung secara digital dan lebih banyak "rapat" berlangsung online, sangat penting untuk dapat memverifikasi identitas secara online dan menghindari penipuan seperti phishing. SSL.com dapat membantu:
  • S/MIME, Penandatanganan Dokumen, dan Sertifikat Klien: Lawan phishing secara langsung dengan email dan dokumen yang ditandatangani secara digital, sehingga kolega dan pelanggan Anda tahu bahwa email atau PDF itu benar-benar darimu. Sertifikat klien menambahkan faktor otentikasi tambahan untuk pekerja jarak jauh dan pengguna lain.
  • SSL /TLS sertifikat: Berikan jaminan kepada pengunjung dan pelanggan Anda tentang identitas dan keamanan situs web Anda.
  • Sertifikat Penandatanganan Kode: Yakinkan pelanggan bahwa kode Anda yang dapat diunduh berasal dari sumber tepercaya dan tidak mengandung malware.

Akhirnya, semua orang dapat melakukan bagian mereka dan melaporkan email phishing ke spam@uce.gov dan laporkanphishing@antiphishing.org, dan memberikan kepala kepada organisasi yang sedang ditiru, sehingga mereka dapat melindungi orang lain bergerak maju.