Voor velen van ons kan het idee om een cyberaanval te voorkomen of malware te vermijden, stress veroorzaken. Hoewel de meesten van ons nu steeds vaker online leven, hebben maar weinigen van ons een formele opleiding over dit onderwerp. Maar een van de meest voorkomende soorten aanvallen, Phishing, is gemakkelijk te voorkomen als je weet waar je op moet letten.
Phishing-zwendel is afhankelijk van het doelwit dat graag gevoelige informatie (zoals wachtwoorden of creditcardnummers) doorgeeft of malware op hun apparaat installeert. Dit wordt gedaan door mensen te misleiden door het gebruik van nep-e-mailberichten en websites. Meestal begint het met een e-mail die beweert afkomstig te zijn van een betrouwbare bron en leidt naar een frauduleuze website die is ontworpen om persoonlijke, waardevolle informatie vast te leggen. Zodra u uw informatie heeft opgegeven, ziet het eruit alsof het normaal is. De volgende dag zult u echter geschokt zijn als u merkt dat uw bankrekening leeg is. Of u kunt niet in uw e-mail komen om uw vrienden te laten weten dat u niet bent gestrand op een eiland dat hun onmiddellijke financiële hulp nodig heeft.
Voor degenen die deze zwendel uitvoeren: het is een vrij lage inzet waarbij mensen voor een simpele truc trappelen en lucratieve informatie overhandigen. Maar voor iedereen die het slachtoffer is, staat er zeker een hoge inzet op. Lees hieronder hoe u deze vervalsingen kunt herkennen en bescherm uzelf tegen phishing-zwendel.
Tekenen dat u mogelijk een phishing-e-mail heeft ontvangen
- Verdacht 'van'-adres: Officiële e-mails over wachtwoorden en persoonlijke informatie worden verzonden vanaf officiële e-mailadressen, niet vanaf persoonlijke accounts. Als de afzender geen e-mailadres heeft dat aan het bedrijf is gekoppeld, geloof het dan niet. Ne'er Do Wells maakt vaak e-mailadressen aan die dat wel zijn dichtbij naar een bedrijfsnaam, maar niet helemaal juist. Zo hebben we onlangs iedereen gewaarschuwd voor e-mails die naar verluidt afkomstig waren van de Centers for Disease Control en Prevention, maar de e-mails waren van adressen die eindigden op
cdc-gov.org
encdcgov.org
, geen van beide wordt gebruikt door de CDC. Een bezoek aan de CDC-site laat zien dat hun contactadressen allemaal eindigen opcdc.gov
. - Vreemde toon: Als iets aan de manier waarop een e-mail is geschreven 'niet goed' lijkt, luister dan naar je gevoel. Algemene begroetingen die uw naam niet gebruiken, rare uitdrukkingen, spelfouten en een oproep tot dringende actie die onnodig lijkt, zijn allemaal aanwijzingen dat de e-mail mogelijk niet authentiek is. Onthoud dat, zelfs als u geen concreet bewijs heeft, u altijd contact kunt opnemen met het bedrijf via een telefoonnummer of e-mailadres dat u ergens betrouwbaar heeft gevonden om er zeker van te zijn dat het echt is.
- Links naar nepwebsites:. Als die e-mail goed is gedaan, wordt u naar een overtuigende URL geleid. Naamcheck.com kan URL's testen op echtheid, en heeft een lijst met nepadressen als voorbeelden - zoals
paypal-secure.online
in plaats vanpaypal.com
. Sommige meer goed gemaakte oplichting brengt u naar een pagina die frauduleus is, maar links naar legitieme pagina's van het bedrijf. Zoek zelf de website op - klik niet zomaar op links in e-mails. En zorg ervoor dat elke URL voor een website waar u gevoelige informatie invoert legitiem is. - Geen digitale handtekeningen: Als je het geluk hebt om met een bedrijf samen te werken ondertekent e-mails met S/MIME, die handtekening is een identiteitsbewijs zonder zelfs maar de e-mail te openen. Het is echter belangrijk om alle informatie in e-mails te verifiëren en of het certificaat een echt, door de CA uitgegeven certificaat is S/MIME certificaat, ongeacht.
Als uw e-mailclient dit ondersteunt S/MIME (en de meeste doen), is het gemakkelijk om een digitale handtekening te controleren en te inspecteren. Ga als volgt te werk in Gmail (raadpleeg voor andere klanten de documentatie van uw leverancier):
1. Klik op het driehoekje rechts van de naam van de afzender Toon details.2. Het groene vinkje en Geverifieerd e-mailadres bericht betekent dat het bericht is ondertekend door een vertrouwde digitale handtekening. Klik voor meer informatie op de Afzender info koppeling. Als het certificaat is niet vertrouwd door Gmail, ziet u het berichtThe certificate is not trusted
. Voor Ongesigneerd e-mail, wordt er geen certificaatinformatie weergegeven.
3. Nu kunnen we het e-mailadres van de ondertekenaar, de uitgevende CA en de geldigheidsperiode van het certificaat controleren. - Geen vermelding van bekende contactgegevens: Als een e-mail waarin u wordt gevraagd uw wachtwoord opnieuw in te stellen of informatie te verstrekken geen aanvullende informatie bevat waarvan u weet dat het een manier is om contact op te nemen met het bedrijf of de organisatie, wees dan achterdochtig. Wees erg achterdochtig. Bekijk andere e-mails waarvan u weet dat ze afkomstig zijn van de organisatie, brieven die u per post hebt ontvangen of de contactpagina op hun website. Zie je dezelfde informatie in de e-mail die je zojuist hebt ontvangen? Zelfs als u dat niet doet, gebruikt u gewoon de contacten die u kent om betrouwbaar te zijn.
Tekenen dat u zich op een phishing-website bevindt
- Controleer de URL: Kijk op de pagina waar u uw informatie indient. Sommige nep-URL's zien er gewoon nep uit. Maar, zoals hierboven opgemerkt, veel phishing-pagina's hebben de kenmerken van het legitieme bedrijf dat de nep doet alsof hij voorstelt. Wees dus niet gerust als u de Chase-startpagina kunt openen via de URL - bekijk de pagina waarop u zich bevindt zorgvuldig. Klopt de bedrijfsnaam? Is het hoofddomein hetzelfde als de hoofdpagina (
.com
or.de
vs.org
or.gov
bijvoorbeeld) en beginnen de URL's met hetzelfde voorvoegsel (bijvhttps://
)? Een manier om ervoor te zorgen dat u naar een echte site gaat, is door een eerder opgeslagen bladwijzer te gebruiken of zelf met Google naar de site te zoeken nadat u uw browser heeft gesloten en opnieuw geopend. - Pop-ups: Wees voorzichtig met sites die agressief uw wachtwoord zoeken via pop-upvensters. Sommige oplichting gebruiken pop-upvensters boven echte sites en gebruiken dat als een manier om uw vertrouwen te winnen.
- Dingen 'voelen' niet goed: Geef jezelf wat krediet! We kunnen kleine dingen oppikken die misschien niet eens in ons bewustzijn opkomen. Zwendelwebsites zijn vaak enigszins afwijkend van kleur, lettertypen en frasering. Volg je hart als de dingen er niet goed uitzien.
- Geen slot!: Webbrowsers tonen een gesloten slot voor beveiligde sites die de HTTPS-protocolen legitieme sites vragen u niet om in te loggen zonder HTTPS te gebruiken. Als je een waarschuwing of een ontgrendeld slot ziet in de URL-werkbalk van je browser, stop dan daar voordat je informatie aanbiedt. Geen slot, geen login. En negeer browserwaarschuwingen niet - ook al bent u er misschien zo aan gewend dat ze geen interne alarmen laten afgaan. Wijs waarschuwingen niet af en accepteer alleen websites met browser-vertrouwde certificaten. Helaas een slot is niet langer een garantie op zichzelf dat een site veilig is, aangezien sommige phishers nu slim genoeg zijn om het HTTPS-protocol te gebruiken, maar het gebrek aan HTTPS is een zeker teken dat u zich op gevaarlijke grond bevindt en dat u zich zou moeten omdraaien.
Hoe phishers te verslaan
- Sluit uw browser: Verdacht vanwege een van de bovenstaande signalen? Sluit uw browser en begin opnieuw zonder enige leidende links te volgen.
- Schakel tweefactorauthenticatie in (2FA): Twee-factor-authenticatie betekent simpelweg dat u meer dan één ding nodig heeft om toegang te krijgen tot uw gevoelige informatie. Een voorbeeld uit de echte wereld is een geldautomaatkaart - om toegang te krijgen tot uw bankrekening heeft u de fysieke kaart en de pincode nodig. Online lijkt authenticatie in twee stappen een tweede stap na het invoeren van een wachtwoord - soms is dit een code die naar een ander apparaat wordt gestuurd, of soms is dit iets unieks voor de gebruiker, zoals een vingerafdruk. Het punt is dat het hebben twee vereiste, ongelijksoortige sleutels zijn veel veiliger en veel moeilijker te stelen, dus stel 2FA in als het beschikbaar is op een website waarop u regelmatig inlogt (zoals die van uw bank).
- Controleer website certificaten: Hoewel het controleren op beveiliging niet meer zo eenvoudig is als het zoeken naar HTTPS of de "groene balk" die ooit de standaard was bij het aangeven van Extended Validation (EV) -certificaten, is het nog steeds een goede zet om naar deze certificaten te zoeken, zoals we hebben uitgelegd eerder. Veel sites hebben de keuze gemaakt om goedkope (of gratis) Domain Validated (DV) -certificaten te gebruiken die enige garanties bieden - u weet dat uw communicatie met de site versleuteld is. DV-certificaten bieden echter niet de nodige zekerheid dat u weet wie de website daadwerkelijk beheert. We hebben uiteengezet hoe u die informatie voor elke browser hier kunt vinden.
- Blijf beschermd met digitale certificaten van SSL.com: Naarmate de wereld meer digitaal verbonden wordt en er meer 'vergaderingen' online plaatsvinden, is het van cruciaal belang om identiteiten online te kunnen verifiëren en oplichting zoals phishing te voorkomen. SSL.com kan helpen bij:
- S/MIME, Documentondertekening en klantcertificaten: Bestrijd phishing rechtstreeks met digitaal ondertekende e-mail en documenten, zodat uw collega's en klanten weten dat die e-mail of pdf dat is werkelijk van jou. Clientcertificaten voegen een extra authenticatiefactor toe voor externe medewerkers en andere gebruikers.
- SSL /TLS Certificeringen: Bied uw bezoekers en klanten zekerheid over de identiteit en veiligheid van uw website.
- Code Signing-certificaten: Verzeker klanten dat uw downloadbare code afkomstig is van een vertrouwde bron en geen malware bevat.
Eindelijk kan iedereen zijn steentje bijdragen en phishing-e-mails melden spam@uce.gov en reportphishing@antiphishing.orgen geef heads-up aan organisaties die worden nagebootst, zodat ze anderen kunnen beschermen die verder gaan.