私たちの多くにとって、サイバー攻撃を防ぐ、またはマルウェアを回避するという考えは、ストレスを誘発する可能性があります。 結局のところ、私たちのほとんどは現在ますますオンラインで生活していますが、この問題について正式なトレーニングを受けている人はほとんどいません。 しかし、最も一般的なタイプの攻撃のXNUMXつは、 フィッシング詐欺、何を探すべきか知っていれば簡単に防ぐことができます。
フィッシング詐欺は、標的に依存して機密情報(パスワードやクレジットカード番号など)を喜んで引き渡すか、デバイスにマルウェアをインストールします。 これは、偽の電子メールメッセージやWebサイトを使用して人をだますことによって行われます。 通常は、信頼できるソースからのメールで始まり、個人の貴重な情報を収集するように設計された詐欺的なWebサイトにアクセスします。 あなたがあなたの情報をあきらめると、それはいつものようにビジネスのように見えます。 ただし、翌日、銀行口座が空になっていることにショックを受けることがあります。 または、メールを受信して友達に知らせることはできません。いいえ、あなたは彼らの即時の財政援助を必要としている島に立ち往生しているわけではありません。
詐欺を実行する者にとって、これは、単純なトリックに騙され、儲かる情報を渡す人々に依存する、かなり危険な賭けです。しかし、被害者にとっては、一か八かの賭けになるのは確かだ。 以下でこれらの偽物を見つけ、フィッシング詐欺から身を守る方法を学びます。
フィッシングメールを受信した可能性のある兆候
- 疑わしい「差出人」アドレス: パスワードや個人情報に関する公式のメールは、個人のアカウントではなく、公式のメールアドレスから送信されます。 送信者が会社に関連付けられている電子メールアドレスを持っていない場合、それを信じないでください。 Ne'er Do Wellsは、 閉じる 会社名に、しかし完全に正しくない。 たとえば、最近、Googleから送信されたとされるメールについてすべてのユーザーに警告しました 疾病対策予防センター、ただしメールは末尾が
cdc-gov.org
とcdcgov.org
、どちらもCDCでは使用されません。 CDCサイトにアクセスすると、連絡先アドレスがすべてcdc.gov
. - 奇妙なトーン: 電子メールの書き方について何か問題があると思われる場合は、直感に耳を傾けてください。 あなたの名前を使用しない一般的な挨拶、奇妙なフレーズ、スペルミス、そして不要と思われる緊急の行動の呼びかけは、すべて電子メールが本物ではない可能性があることを示しています。 具体的な証拠がない場合でも、信頼できる場所で見つけた電話番号またはメールでいつでも会社に連絡して、本物であることを確認できます。
- 偽のウェブサイトへのリンク:。 その電子メールは、うまくいけば、説得力のあるURLに移動します。 ネームチェック.com URLの信頼性をテストでき、例として偽のアドレスのリストがあります。
paypal-secure.online
paypal.com
。 より巧妙に作成された詐欺では、詐欺的なページに移動しますが、会社の正当なページにリンクしています。 ウェブサイトを自分で調べます。メールのリンクをクリックするだけではありません。 また、機密情報を入力するWebサイトのURLが正当であることを確認してください。 - デジタル署名なし: 運が良ければ、その会社で働くことができれば でメールに署名する S/MIME、その署名は、電子メールを開かなくても身元を証明するものです。 ただし、メールのすべての情報を確認し、証明書が実際のCA発行のものかどうかを確認することが重要です。 S/MIME 証明書。
メールクライアントがサポートしている場合 S/MIME (そしてほとんどの場合)、デジタル署名の確認と検査は簡単です。 Gmailでの実行方法は次のとおりです(他のクライアントについては、ベンダーのドキュメントを確認してください)。
1.送信者の名前の右側にある三角形をクリックして、 詳細を表示.2.緑のチェックマークと 確認済みのメールアドレス メッセージは、メッセージが信頼できるデジタル署名によって署名されていることを意味します。 詳細については、 情報を送信する リンク。 証明書が Gmailから信頼されている場合、メッセージが表示されますThe certificate is not trusted
。 のために 署名されていない 電子メール、証明書情報は表示されません。
3.これで、署名者の電子メールアドレス、発行元のCA、および証明書の有効期間を確認できます。 - 既知の連絡先情報についての言及なし: パスワードのリセットや情報の提供を求めるメールに、会社や組織への連絡方法であることがわかっている追加情報が含まれていない場合は、疑わしいです。 非常に疑わしい。 組織から送信されたことがわかっている他のメール、メールで受け取った手紙、または彼らのWebサイトの連絡先ページを見てください。 受け取ったメールに同じ情報が表示されていますか? そうでない場合でも、信頼できる連絡先を使用してください。
フィッシングWebサイトに表示される可能性のある兆候
- URLを確認します。 情報を送信するページをご覧ください。 一部の偽のURLはまっすぐに偽のように見えます。 しかし、前述のように、多くのフィッシングページには、偽の人物が偽装している正当なビジネスの罠があります。 したがって、URLからChaseのホームページにアクセスできる場合も安心してください。現在のページを注意深く確認してください。 会社名のスペルは正しいですか? トップレベルドメインはメインページと同じですか(
.com
or.de
vs.org
or.gov
など)、URLが同じ接頭辞で始まるか(たとえばhttps://
)? 実際のサイトに確実にアクセスするXNUMXつの方法は、以前に保存したブックマークを使用するか、ブラウザーを閉じて再度開いた後に、Googleで自分でサイトを検索することです。 - ポップアップ: ポップアップウィンドウから積極的にパスワードを求めるサイトでは注意が必要です。 一部の詐欺では、実際のサイトでポップアップウィンドウを使用し、それを信頼を得るための方法として使用しています。
- 物事が正しく「感じられない」: 自分にクレジットを与えてください! 私たちは意識的にさえ登録されていないかもしれない小さなものを拾うことができます。 多くの場合、詐欺Webサイトは、色、フォント、表現が少しずれています。 物事が正しく見えない場合は、心に従ってください。
- ロックなし!: Webブラウザーは、 HTTPSプロトコル、そして合法的なサイトは、HTTPSを使用せずにログインするように要求しません。 ブラウザのURLツールバーに警告またはロックされていないロックが表示された場合は、情報を提供する前にそこで停止してください。 ロックなし、ログインなし。 また、ブラウザの警告に慣れていても、内部アラームが鳴らないようにすることはできます。 警告を無視せず、ブラウザーが信頼する証明書を使用するWebサイトのみを受け入れます。 悲しいことに、ロック もはや保証ではありません 一部のフィッシング詐欺師はHTTPSプロトコルを使用できるほど賢くなっているため、サイト自体は安全です。ただし、HTTPSの欠如は、危険な状態にあり、引き返す必要があることを示しています。
フィッシャーを倒す方法
- ブラウザを閉じます。 上記の兆候のいずれかが原因で疑わしいですか? ブラウザーを閉じて、先頭のリンクをたどらずに新たに開始します。
- 2要素認証(XNUMXFA)を有効にします。 二要素認証とは、機密情報にアクセスするために複数のものが必要であることを意味します。 実例のXNUMXつはATMカードです。銀行口座にアクセスするには、物理的なカードとPINが必要です。 オンラインのXNUMX要素認証は、パスワードが入力された後のXNUMX番目のステップのように見えます。これは、別のデバイスに送信されるコードである場合や、指紋など、ユーザーに固有の場合があります。 ポイントは 2 必要な異種の鍵は、より安全で盗むのがはるかに難しいため、定期的にログインするWebサイト(銀行など)で利用できる場合は2FAを設定します。
- ウェブサイトの証明書を確認します。 セキュリティをチェックすることは、以前は拡張検証(EV)証明書を示す際の標準であったHTTPSまたは「緑色のバー」を探すほど簡単ではありませんが、これらの証明書を探すことは依然として良い方法です。 説明したように 以前。 多くのサイトでは、いくつかの保証を提供する安価な(または無料の)ドメイン検証済み(DV)証明書を使用することを選択しています。サイトとの通信が暗号化されていることがわかります。 ただし、DV証明書は、誰が実際にWebサイトを運用しているかを知っている必要な保証を提供しません。 ここでは、ブラウザごとにその情報を見つける方法を示しています。.
- SSL.comからのデジタル証明書で保護された状態を維持します。 世界がよりデジタル的に接続され、オンラインで「会議」が行われるようになるにつれ、身元をオンラインで確認し、フィッシングなどの詐欺を回避できることが重要です。 SSL.comは次のことを支援します。
- S/MIME、ドキュメントの署名、およびクライアント証明書: デジタル署名された電子メールとドキュメントを使用してフィッシングに直接対処し、同僚や顧客がその電子メールまたはPDFが 本当に あなたから。 クライアント証明書は、リモートワーカーや他のユーザーに追加の認証要素を追加します。
- SSL /TLS 証明書: あなたの訪問者と顧客にあなたのウェブサイトのアイデンティティとセキュリティを保証してください。
- コード署名証明書: ダウンロード可能なコードが信頼できるソースからのものであり、マルウェアが含まれていないことを顧客に保証します。
最後に、誰もが自分の役割を果たし、フィッシングメールを スパム@uce.gov と reportphishing@antiphishing.org、なりすましの対象となる組織に責任を与え、前進する他の組織を保護できるようにします。