Chroń się przed phishingiem

Dla wielu z nas pomysł zapobiegania cyberatakowi lub unikania złośliwego oprogramowania może wywoływać stres. W końcu, chociaż większość z nas żyje obecnie coraz bardziej online, niewielu z nas ma formalne szkolenie na ten temat. Ale jeden z najczęstszych rodzajów ataków, phishingmożna łatwo zapobiec, jeśli wiesz, czego szukać.

Oszustwa związane z wyłudzaniem informacji polegają na tym, że ich cele chętnie przekazują poufne informacje (takie jak hasła lub numery kart kredytowych) lub instalują złośliwe oprogramowanie na swoich urządzeniach. Odbywa się to poprzez kopiowanie osób za pomocą fałszywych wiadomości e-mail i stron internetowych. Zwykle zaczyna się od wiadomości e-mail, która rzekomo pochodzi z zaufanego źródła, i prowadzi do fałszywej witryny internetowej służącej do przechwytywania osobistych, cennych informacji. Gdy już zrezygnujesz z informacji, wygląda to tak, jak zwykle. Jednak następnego dnia możesz być zszokowany, gdy zobaczysz, że Twoje konto bankowe zostało wyczerpane. Lub nie możesz dostać się do swojej wiadomości e-mail, aby poinformować znajomych, że nie, nie jesteś uwięziony na wyspie, która potrzebuje natychmiastowej pomocy finansowej.

Dla tych, którzy prowadzą oszustwo, jest to gambit o niskich stawkach, który polega na tym, że ludzie wpadają na prostą sztuczkę i przekazują intratne informacje. Ale dla każdego, kto jest ofiarą, na pewno są wysokie stawki. W czwartym kwartale 2019 r. Grupa robocza ds. Zwalczania phishingu (APWG) zidentyfikowane 162,155 XNUMX unikalnych witryn phishingowych atakujących instytucje finansowe, witryny handlu elektronicznego, chmurę i media społecznościowe (między innymi). Dowiedz się, jak rozpoznać te podróbki poniżej i zabezpieczyć się przed oszustwami typu phishing.

Znaki, że możesz otrzymać e-mail wyłudzający informacje

• Podejrzany adres „z”: Oficjalne e-maile dotyczące haseł i danych osobowych są wysyłane z oficjalnych adresów e-mail, a nie kont osobistych. Jeśli nadawca nie ma adresu e-mail powiązanego z firmą, nie wierz w to. Ne'er Do Wells często tworzy takie adresy e-mail zamknięte do nazwy firmy, ale niezupełnie słusznej. Na przykład ostatnio ostrzegaliśmy wszystkich przed e-mailami, które rzekomo pochodziły z Centers for Disease Control and Prevention, ale e-maile pochodziły z adresów, które zakończyły się na cdc-gov.org i cdcgov.org, z których żaden nie jest wykorzystywany przez CDC. Wizyta na stronie CDC pokazuje, że ich adresy kontaktowe się kończą cdc.gov.
• Dziwny ton: Jeśli coś w sposobie, w jaki e-mail jest napisany, wydaje się „nieaktualne”, wysłuchaj swojego instynktu. Powitania, które nie zawierają Twojego imienia i nazwiska, dziwnych zwrotów, błędów ortograficznych i wezwania do pilnego działania, które wydaje się niepotrzebne, mówią, że e-mail może nie być autentyczny. Pamiętaj, nawet jeśli nie masz konkretnego dowodu, zawsze możesz skontaktować się z firmą za pośrednictwem numeru telefonu lub e-maila, który znalazłeś w godnym zaufania miejscu, aby upewnić się, że jest prawdziwy.
• Linki do fałszywych stron internetowych:. Ten e-mail, jeśli zostanie dobrze wykonany, przeniesie Cię do przekonującego adresu URL. Namecheck.com może testować adresy URL pod kątem autentyczności i ma listę fałszywych adresów jako przykłady - na przykład paypal-secure.online zamiast paypal.com. Niektóre bardziej spreparowane oszustwa doprowadzą Cię do strony, która jest fałszywa, ale prowadzi do legalnych stron firmy. Sprawdź stronę - nie klikaj tylko linków w e-mailach. I upewnij się, że dowolny adres URL witryny, na której wprowadzasz poufne informacje, jest zgodny z prawem.
• Brak podpisów cyfrowych: Jeśli masz szczęście współpracować z firmą, która podpisuje wiadomości e-mail za pomocą S/MIME, podpis ten jest dowodem tożsamości bez otwierania wiadomości e-mail. Ważne jest jednak zweryfikowanie wszystkich informacji w wiadomościach e-mail i sprawdzenie, czy certyfikat jest wystawiony przez właściwy organ S/MIME certyfikat, niezależnie od.
  
  Jeśli Twój klient e-mail obsługuje S/MIME (i większość z nich), łatwo jest sprawdzić i sprawdzić podpis cyfrowy. Oto jak to zrobić w Gmailu (w przypadku innych klientów zapoznaj się z dokumentacją dostawcy):
  1. Kliknij trójkąt po prawej stronie nazwy nadawcy do Pokaż szczegóły.2. Zielony znacznik wyboru i Zweryfikowany adres e-mail wiadomość oznacza, że ​​wiadomość została podpisana zaufanym podpisem cyfrowym. Aby uzyskać więcej informacji, kliknij Informacje o nadawcy połączyć. Jeśli certyfikat jest nie zaufany przez Gmaila, zobaczysz wiadomość The certificate is not trusted. Forum unsigned e-mail, informacje o certyfikacie nie będą wyświetlane.
  3. Teraz możemy sprawdzić adres e-mail osoby podpisującej, wystawiający urząd certyfikacji i okres ważności certyfikatu.
• Brak wzmianki o znanych danych kontaktowych: Jeśli wiadomość e-mail z prośbą o zresetowanie hasła lub podanie informacji nie zawiera dodatkowych informacji, o których wiesz, że to sposób na skontaktowanie się z firmą lub organizacją, bądź podejrzany. Bądź bardzo podejrzliwy. Spójrz na inne wiadomości e-mail, o których wiesz, że pochodzą od organizacji, listy otrzymane pocztą lub na stronę kontaktową w ich witrynie internetowej. Czy widzisz te same informacje w otrzymanym e-mailu? Nawet jeśli nie, skorzystaj z kontaktów, o których wiesz, że są godne zaufania.

Znaki, że możesz być na stronie phishingowej

• Sprawdź adres URL: Spójrz na stronę, na której przesyłasz swoje informacje. Niektóre fałszywe adresy URL wyglądają jak fałszywe. Ale, jak wspomniano powyżej, wiele stron phishingowych ma cechy legalnej działalności, którą fałszywy udaje, że reprezentuje. Więc nie bądź spokojny, jeśli możesz uzyskać dostęp do strony głównej Chase z adresu URL - dokładnie sprawdź stronę, na której jesteś. Czy nazwa firmy jest zapisana poprawnie? Czy domena najwyższego poziomu jest taka sama jak strona główna (.com or .de vs .org or .gov, na przykład) i czy adresy URL zaczynają się od tego samego prefiksu (np https://)? Jednym ze sposobów upewnienia się, że odwiedzasz prawdziwą witrynę, jest skorzystanie z wcześniej zapisanej zakładki lub samodzielne wyszukiwanie witryny w Google po zamknięciu i ponownym otwarciu przeglądarki.
• Wyskakujące okienka: Zachowaj ostrożność w przypadku witryn, które agresywnie szukają Twojego hasła w wyskakujących oknach. Niektóre oszustwa wykorzystują wyskakujące okienka w prawdziwych witrynach i wykorzystują to jako sposób na zdobycie zaufania.
• Rzeczy „nie czują się” dobrze: Daj sobie kredyt! Jesteśmy w stanie wychwycić małe rzeczy, które mogą nawet nie zarejestrować się w naszym świadomym umyśle. Witryny z oszustwami często są nieco pozbawione kolorów, czcionek i frazowania. Podążaj za głosem serca, jeśli coś nie wygląda dobrze.
• Brak blokady!: Przeglądarki internetowe pokazują zamkniętą blokadę dla bezpiecznych stron korzystających z Protokół HTTPS, a legalne witryny po prostu nie proszą o zalogowanie się bez użycia HTTPS. Jeśli zobaczysz ostrzeżenie lub odblokowaną blokadę na pasku narzędzi adresu URL przeglądarki, zatrzymaj się tam przed podaniem informacji. Bez blokady, bez logowania. I nie ignoruj ​​ostrzeżeń przeglądarki - nawet jeśli jesteś do nich tak przyzwyczajony, że nie emitują żadnych wewnętrznych alarmów. Nie odrzucaj ostrzeżeń i akceptuj tylko witryny z certyfikatami zaufanymi dla przeglądarki. Niestety zamek nie jest już zapewnieniem sama w sobie, że witryna jest bezpieczna, ponieważ niektórzy phisherzy są teraz wystarczająco inteligentni, aby korzystać z protokołu HTTPS, ale brak HTTPS jest pewnym znakiem, że jesteś na niebezpiecznym gruncie i powinieneś zawrócić.

Jak pokonać phisherów

• Zamknij przeglądarkę: Podejrzany z powodu któregokolwiek z powyższych znaków? Zamknij przeglądarkę i zacznij od nowa bez podążania za wiodącymi linkami.
• Włącz uwierzytelnianie dwuskładnikowe (2FA): Uwierzytelnianie dwuskładnikowe oznacza po prostu, że potrzebujesz więcej niż jednej rzeczy, aby uzyskać dostęp do poufnych informacji. Jednym z prawdziwych przykładów jest karta bankomatowa - aby uzyskać dostęp do konta bankowego, potrzebujesz karty fizycznej i kodu PIN. Uwierzytelnianie dwuskładnikowe online wygląda jak drugi krok po wprowadzeniu hasła - czasami jest to kod wysyłany do innego urządzenia, a czasem jest to coś unikalnego dla użytkownika, na przykład odcisk palca. Chodzi o to, że drugiej Wymagane, odrębne klucze są znacznie bezpieczniejsze i trudniejsze do kradzieży, więc skonfiguruj 2FA, jeśli jest dostępne na dowolnej stronie internetowej, na którą regularnie się logujesz (np. w banku).
• Sprawdź certyfikaty strony: Chociaż sprawdzanie bezpieczeństwa nie jest już tak proste, jak szukanie HTTPS lub „zielonego paska”, który niegdyś był standardem we wskazywaniu certyfikatów Extended Validation (EV), nadal dobrym pomysłem jest poszukiwanie tych certyfikatów, jak wyjaśniliśmy poprzednio. Wiele witryn zdecydowało się na użycie tanich (lub bezpłatnych) certyfikatów zweryfikowanych przez domenę (DV), które zapewniają pewne gwarancje - wiesz, że komunikacja z witryną jest szyfrowana. Jednak certyfikaty DV nie dają niezbędnej gwarancji, że wiesz, kto faktycznie prowadzi witrynę. Ustaliliśmy, jak znaleźć te informacje dla każdej przeglądarki tutaj.
  
• Zabezpiecz się dzięki cyfrowym certyfikatom z SSL.com: Ponieważ świat staje się coraz bardziej połączony cyfrowo, a więcej „spotkań” odbywa się online, niezwykle ważna jest możliwość weryfikacji tożsamości online i unikania oszustw takich jak phishing. SSL.com może pomóc w:
  • S/MIME, Podpisywanie dokumentów i certyfikaty klienta: Zwalczanie phishingu bezpośrednio za pomocą podpisanych cyfrowo wiadomości e-mail i dokumentów, aby Twoi koledzy i klienci wiedzieli, że to ten e-mail lub plik PDF naprawdę od Ciebie. Certyfikaty klienta dodają dodatkowy czynnik uwierzytelniania dla zdalnych pracowników i innych użytkowników.
  • SSL /TLS certyfikaty: Zapewnij swoim gościom i klientom tożsamość i bezpieczeństwo Twojej witryny.
  • Certyfikaty do podpisywania kodu: Zapewnij klientów, że kod do pobrania pochodzi z zaufanego źródła i nie zawiera złośliwego oprogramowania.

Wreszcie, każdy może wykonać swoją część i zgłosić wiadomość e-mail związaną z wyłudzaniem informacji spam@uce.gov i raportphishing@antiphishing.orgi daj się zwieść organizacjom, które są podszywane, aby mogły chronić innych posuwających się naprzód.