保护自己免受网上诱骗

对于我们许多人而言，防止网络攻击或避免恶意软件的想法可能会引起压力。 毕竟，尽管我们大多数人现在越来越在线生活，但很少有人接受过有关该主题的正式培训。 但是最常见的攻击类型之一 钓鱼，如果您知道要查找的内容，很容易避免。

网络钓鱼诈骗依赖于其目标，他们愿意交出敏感信息（例如密码或信用卡号），或在其设备上安装恶意软件。 这是通过使用伪造的电子邮件和网站欺骗人们来完成的。 通常，它以声称来自受信任来源的电子邮件开头，并导致一个旨在捕获个人有价值信息的欺诈性网站。 放弃信息后，一切照旧。 但是，第二天，您可能会惊讶地发现您的银行帐户已被耗尽。 或者，您无法进入电子邮件告知朋友，不，您不会被困在孤岛上，需要他们的即时经济帮助。

对于那些进行骗局的人来说，这是一个相当低赌注的诱饵，它依赖于人们陷入一个简单的骗局并提供有利可图的信息。 但是对于任何受害人来说，这无疑是高额赌注。 在2019年第四季度，反网络钓鱼工作组（APWG） 确定 162,155个独特的网络钓鱼站点，这些站点针对金融机构，电子商务站点，云和社交媒体（以及其他）。 了解如何在下面发现这些假货并保护自己免受网络钓鱼诈骗的侵害。

您可能已收到网络钓鱼电子邮件的迹象

• 可疑的“发件人”地址： 有关密码和个人信息的官方电子邮件是从官方电子邮件地址而非个人帐户发送的。 如果发件人没有与公司关联的电子邮件地址，请不要相信。 Ne'er Do Wells通常会创建以下电子邮件地址： 关闭 公司名称，但不太正确。 例如，我们最近警告所有人有关据称来自 疾病控制和预防中心，但电子邮件来自以结尾的地址 cdc-gov.org 和 cdcgov.org，而CDC都不使用。 对CDC网站的访问显示，他们的联系地址都以结尾 cdc.gov.
• 奇怪的音调： 如果关于电子邮件的编写方式似乎“不对劲”，请倾听您的直觉。 不使用您的姓名，古怪的短语，拼写错误以及似乎不必要的紧急行动电话的普通问候语都表明该电子邮件可能不是真实的。 请记住，即使您没有具体的证据，也可以始终通过可信任的电话号码或电子邮件与该公司联系，以确保它是真实的。
• 链接到虚假网站：。 如果处理得当，该电子邮件将带您进入一个令人信服的URL。 名查网 可以测试URL的真实性，并以虚假地址列表为例，例如 paypal-secure.online 而不是 paypal.com。 一些更精心设计的骗局会将您带到一个欺诈页面，但链接到该公司的合法页面。 自己查找网站-不要只单击电子邮件中的链接。 并确保您输入敏感信息的网站的任何URL都是合法的。
• 没有数字签名： 如果您有幸与一家公司合作， 与签署电子邮件 S/MIME，即使没有打开电子邮件，该签名也可以证明身份。 但是，重要的是要验证电子邮件中的所有信息以及证书是否是由CA颁发的真实证书 S/MIME 证书，不管。
  
  如果您的电子邮件客户端支持 S/MIME （大多数情况下），检查和检查数字签名很容易。 这是在Gmail中进行操作的方法（对于其他客户端，请查看供应商的文档）：
  1.单击发件人姓名右侧的三角形，以 查看详细.2.绿色复选标记和 验证电子邮件地址 消息意味着该消息已由受信任的数字签名进行了签名。 有关更多信息，请单击 发件人信息 链接。 如果证书是 不能 受Gmail信任，您将看到消息 The certificate is not trusted。 对于 无符号 电子邮件，不会显示证书信息。
  3.现在，我们可以检查签名者的电子邮件地址，签发的CA和证书的有效期。
• 没有提及已知的联系信息： 如果一封要求您重设密码或提供信息的电子邮件中没有包含您所知道的联系公司或组织的其他信息，请多加怀疑。 非常可疑。 查看您知道来自组织的其他电子邮件，您在邮件中收到的信函或网站上的联系页面。 您收到的电子邮件中是否看到相同的信息？ 即使您不这样做，也可以使用您知道可信赖的联系人。

迹象表明您可能位于网络钓鱼网站上

• 检查网址： 查看您要提交信息的页面。 一些伪造的URL看起来直截了当。 但是，如上所述，许多网络钓鱼页面都有假冒伪装代表的合法业务的陷阱。 因此，如果可以从URL访问Chase主页，请不要放心-仔细检查您所在的页面。 公司名称拼写正确吗？ 顶级域与主页是否相同（.com or .de vs .org or .gov（例如），URL是否以相同的前缀开头（例如 https://）？ 确保您访问真实网站的一种方法是使用先前保存的书签，或者在关闭并重新打开浏览器后使用Google搜索自己的网站。
• 弹出窗口： 在通过弹出窗口积极寻找您的密码的网站上请多加注意。 有些诈骗会在真实网站上使用弹出窗口，并将其用作赢得信任的一种方式。
• 事情不“感觉”正确： 给自己一些信誉！ 我们能够掌握一些甚至可能无法记入意识的小事情。 诈骗网站的颜色，字体和措辞通常略有偏离。 如果事情看起来不对劲，请跟随您的心。
• 没有锁！： 网络浏览器会为使用了 HTTPS协议，而合法网站只是不要求您不使用HTTPS进行登录。 如果您在浏览器的URL工具栏中看到警告或解锁锁，请在提供信息之前就停在此处。 没有锁，没有登录。 而且，不要忽略浏览器警告-即使您已经习惯了它们，以至于它们不会发出任何内部警报。 不要忽略警告，仅接受具有浏览器信任证书的网站。 可悲的是，一把锁 不再是保证 它本身就是一个安全的站点，因为某些网络钓鱼者现在已经足够聪明，可以使用HTTPS协议，但是缺少HTTPS无疑是您处于危险境地并应回过头来的肯定信号。

如何打败网络钓鱼者

• 关闭浏览器： 是否由于上述任何迹象可疑？ 关闭浏览器，然后重新启动，而无需遵循任何主要链接。
• 启用两因素身份验证（2FA）： 两因素身份验证仅意味着您需要一件事情来访问您的敏感信息。 一个真实的例子是ATM卡-要访问您的银行帐户，您需要实体卡和PIN。 在线双因素身份验证看起来像是输入密码后的第二步-有时这是发送到另一台设备的代码，或者有时这是用户独有的东西，例如指纹。 关键是 二 所需的完全不同的密钥更加安全，而且更难以窃取，因此，如果您经常登录的任何网站（例如您的银行）都可以使用2FA，请设置XNUMXFA。
• 检查网站证书： 尽管检查安全性不再像查找HTTPS或曾经是指示扩展验证（EV）证书的标准的“绿色标语”那样容易，但是查找这些证书仍然是一个不错的选择， 正如我们所解释的 先前。 许多站点已经选择使用便宜的（或免费的）提供某些保证的域验证（DV）证书-您知道与该站点的通信是加密的。 但是，DV证书不能提供必要的保证，即您知道谁在实际操作该网站。 我们在这里列出了如何为每个浏览器查找该信息.
  
• 保持来自SSL.com的数字证书的保护： 随着世界变得越来越数字化连接，并且越来越多的“会议”在线发生，至关重要的是能够在线验证身份并避免网络钓鱼等欺诈行为。 SSL.com可以帮助：
  • S/MIME，文档签名和客户证书: 使用数字签名的电子邮件和文档直接打击网络钓鱼，因此您的同事和客户知道电子邮件或PDF是 真 从你那里。 客户端证书为远程工作人员和其他用户添加了额外的身份验证因素。
  • SSL /TLS 证书: 为您的访问者和客户提供有关您网站的身份和安全性的保证。
  • 代码签名证书: 向客户保证您的可下载代码来自受信任的来源，并且不包含恶意软件。

最后，每个人都可以尽自己的一份力量并向其报告网络钓鱼电子邮件 垃圾邮件@uce.gov 和 举报网络钓鱼@antiphishing.org，并提请假冒的组织注意，以便它们可以保护其他人前进。