Jak uniknąć wpadnięcia w oszustwa phishingowe?

Opublikowany: 2021-05-04

Oszustwa phishingowe… Jest ich tak wiele. Cyberprzestrzeń to niesamowita granica, ale tak jak w starych zachodnich filmach, ataki mogą nadejść z dowolnego horyzontu. Większość to zasadzki.

W mojej poczcie-śmieci znajdują się teraz dwie wiadomości phishingowe. Jeden jest od Donny i hej, mam przyjaciółkę o imieniu Donna. Jednak moja przyjaciółka Donna nie powiedziałaby w temacie: „Hej, spotkaliśmy się wcześniej”. Drugi jest od firmy telefonii komórkowej, z której nie korzystam, prosząc mnie o zwrot 50 USD.

Porozmawiajmy o rodzajach oszustw związanych z wyłudzaniem informacji, ich wpływie na osoby prywatne i firmy oraz o krokach, które możesz podjąć, aby im zapobiec.

Co to jest oszustwo phishingowe?

Krótko mówiąc, te oszustwa to próby zdobycia informacji, takich jak numery kont i hasła. Informacje te są następnie najczęściej wykorzystywane do kradzieży pieniędzy lub kradzieży tożsamości.

Jak działają oszustwa phishingowe?

Każdego dnia napastnicy podejmują tysiące prób. Osoby atakujące najczęściej podszywają się pod zaufane źródło.

Na przykład ludzie biznesu korzystają z powszechnych usług dostawczych, takich jak FedEx i UPS. Mogą zamawiać przez Amazon. Do realizacji zamówień używają kart kredytowych. Ponieważ jesteśmy stałymi klientami, ufamy tym podmiotom. A oszuści o tym wiedzą i wykorzystują to na swoją korzyść.

Wymyślmy scenariusz. Właściciel małej firmy jest coraz bardziej zirytowany. Zamówiono materiały, na które liczy się czas, ale nie zostały one jeszcze dostarczone. Jeśli materiały nie dotrą wkrótce, produkcja zostanie wstrzymana na pozostałą część dnia.

Aha! Właściciel małej firmy widzi wiadomość e-mail od firmy kurierskiej z informacją o problemie z płatnością. Właściciel otwiera wiadomość e-mail i podaje wymagane informacje, w tym numer swojej karty kredytowej.

Rozumiem. Właśnie tak. Złapany w bezbronnym momencie. E-mail phishingowy zadziałał.

Istnieje wiele innych metod ataków typu phishing:

Oszustwa związane z wyłudzaniem informacji przez e-mail

Są one powszechne, ponieważ uzyskanie informacji o adresie e-mail może być łatwe. Często podajemy nasz adres e-mail jako dane kontaktowe w wielu firmach. Właśnie dlatego phishing e-mailowy jest najczęstszym atakiem przeprowadzanym przez oszustów.

Możemy zaakceptować fakt, że hakerzy mogą stosunkowo łatwo uzyskać informacje o naszym adresie e-mail. W większości przypadków łatwo jest zidentyfikować oszukańczą wiadomość.

Oto przykładowy e-mail phishingowy: Wystąpił problem z Twoim kontem i musisz potwierdzić informacje.

Oto jak odpowiedzieć: faktycznie może być problem z kontem. Nie odpowiadaj na e-mail. Zadzwoń bezpośrednio na konto.

Ataki wielorybnicze i phishingowe z włócznią

Tak jak się wydaje, są to ataki cyberprzestępców na „wielkie ryby”, takie jak firmy i/lub dyrektor generalny firmy.

Osoby atakujące w tych kampaniach phishingowych mają wyższy poziom zaawansowania. W egzekwowaniu prawa ci, którzy łamią prawo, nazywani są aktorami.

Ci przestępcy mają różne poziomy umiejętności. Wielorybnictwo i spear phishing są niezwykle dobrze zaplanowane i charakteryzują się wysokim stopniem organizacji. Nie próbują tylko zdobyć jednej osoby – wystarczająco źle. Próbują zlikwidować firmę.

Najczęściej ofiary padają ofiarą spersonalizowanych wiadomości phishingowych, które wyglądają, jakby pochodziły z firmy – od współpracownika lub szefa. E-maile phishingowe mogą wydawać się bardzo wiarygodne, a temat ich tematu jest odpowiedni dla prowadzonej działalności firmy.

Więcej popularnych technik phishingowych

Podstawowe oszustwa e-mailowe i ataki typu spear phishing mogą być głównymi rodzajami phishingu, ale istnieje wiele innych technik phishingowych, na które należy zwracać uwagę.

Oszustwa związane z kompromitacją biznesowej poczty e-mail lub oszustwo dyrektora generalnego

Gdy już wiesz, jak to działa, możesz podjąć kroki, aby temu zapobiec. To oszustwo może być najgorsze ze wszystkich, ponieważ może zniszczyć organizację.

Po pierwsze, atak z zaskoczenia rozpoczyna się, gdy infiltrator bada dyrektora generalnego lub menedżera. Następnie zazwyczaj kontaktuje się z konkretnym pracownikiem, zwykle za pośrednictwem poczty elektronicznej. Zostaje złożona oszukańcza prośba i badania pokazują – prośba pojawia się, gdy dyrektor generalny lub menedżer jest poza biurem.

Skąd o tym wiedzą? Oszuści są sprytni, nikczemnie sprytni. Część ich badań może wykazać, że dyrektor generalny weźmie udział w pewnym spotkaniu sprzedażowym lub konwencji, jak ogłoszono na stronie firmy. Mogą wybrać pracownika z tego samego źródła danych – ogłaszany jest nowy pracownik.

Ataki typu „smishing” lub fałszywe wiadomości tekstowe

Nazwa Smishing pochodzi od połączenia SMS-ów i phishingu. I tak właśnie jest. To oszustwo phishingowe za pośrednictwem wiadomości tekstowej. Odbiorcy zobaczą te same typy wiadomości phishingowych, które są używane w przypadku poczty e-mail, takie jak „problem z dostawą” lub „włamanie na kartę kredytową”. Istnieją aplikacje mobilne (apps), które skutecznie blokują spamowe wiadomości tekstowe.

Złośliwe oprogramowanie phishingowe

Ten typ wiadomości zawiera wirusy, robaki, oprogramowanie szpiegujące lub inne złośliwe oprogramowanie. Otwórz wiadomość – czy to e-mail, czy SMS – a odbiorcy szybko zamienią się w ofiary.

Wyłudzanie informacji w wyszukiwarkach

Jeśli surfujesz po Internecie – kupując materiały eksploatacyjne lub informacje – za każdym razem, gdy klikasz łącze, jesteś narażony na niebezpieczeństwo. Możesz nieumyślnie kliknąć oszukańcze strony phishingowe. Te oszukańcze witryny internetowe mogą być osadzone jako podmenu.

Witryna i/lub podmenu wyglądają na legalne, w rzeczywistości oszuści mogą sprawić, że witryny będą wyglądały na rzeczywistą firmę. Używają getty obrazów logo, aby link wyglądał realistycznie.

Oto jak to pokonać. Zanim klikniesz na jakikolwiek link, spójrz na adres URL linku. Chociaż witryna może wyglądać realistycznie, nie można sfałszować adresu URL. Łącze URL do fałszywej strony internetowej często jest mieszanką liter i cyfr.

Phishing usługi DNS

To oszustwo polega na hakowaniu serwera nazw domen. Jest to kolejny wyrafinowany atak, a oszust może infiltrować poprzez nazwy domen i faktycznie przejmować routery. Jeśli to się uda, drzwi są szeroko otwarte, aby uzyskać wszelkiego rodzaju dane, w tym hasła, informacje o koncie, numery telefonów i inne informacje. Jeśli uważasz, że tak się stało, natychmiast skontaktuj się z dostawcą usług internetowych oraz bankiem i wystawcą karty kredytowej.

Farmacja

Pharming jest podstępny. Haker wprowadza złośliwy kod do Twojego komputera. Ten kod przekierowuje Cię do linku do fałszywych witryn.

Phishing w mediach społecznościowych

To oszustwo phishingowe ma formę szpiegowania. To tak, jakby ktoś zaglądał ci przez ramię. Haker infiltruje i rejestruje, jakie naciśnięcia klawiszy wykonujesz.

Nazywa się to rejestrowaniem klawiszy. Może to być zapisywanie wprowadzonych danych, takich jak litery, cyfry i symbole hasła.

Malvertising

Nazywa się to również Clickjackingiem. Złośliwe oprogramowanie jest zawarte w reklamach internetowych, a wszyscy użytkownicy Internetu są podatni, gdy klikną łącze. Malvertising jest szczególnie skutecznym cyberatakiem, ponieważ cóż, nie możemy się oprzeć dużemu interesowi.

Człowiek w środkowym ataku

Czyste zło, którego obawiają się firmy. Wiadomości e-mail są przechwytywane przez hakerów i „zmieniane”, zanim staną się dalszymi odbiorcami. Obrazuje e-maile przesyłane tam i z powrotem między dwoma pracownikami, podczas gdy krokodyl co jakiś czas wyskakuje z wody, chwyta e-mail, okalecza go i wysyła w drogę.

Klonowanie phishingu

Podobny do Man-In-The-Middle. Przechwytywane są wiadomości między ludźmi. Jest jednak różnica. Często tworzona jest nowa wiadomość, a nowa wiadomość odnosi się do informacji z poprzedniego e-maila.

Vishing

Są to próby phishingu dostarczane za pośrednictwem połączeń telefonicznych, poczty głosowej i/lub połączeń VOIP. To samo ćwiczenie – brzmi jak wiadomości od firm obsługujących karty kredytowe, a nawet banku. Nie daj się nabrać. Ale czy to może być prawdziwe? Zadzwoń bezpośrednio do organizacji.

Przykłady ataków phishingowych

  1. Chcemy powiadomić Cię o podejrzanej aktywności na Twoim koncie karty kredytowej.
  2. Chcemy powiadomić Cię o problemach z Twoimi rachunkami bankowymi.
  3. Potwierdź informacje o swoim koncie na naszej stronie internetowej.
  4. Oto kupon na darmowe próbki. Wystarczy odwiedzić naszą stronę internetową.
  5. Masz prawo do zwrotu pieniędzy.

Oto kilka przykładów typowych przykładów ataków phishingowych. W odpowiedzi na każde z nich zadzwoń.

Jakie są oznaki phishingu?

  1. Często popełniają błąd w gramatyce lub pisowni.
  2. Adres URL witryny jest dziwny.
  3. Załącznik jest podejrzany.
  4. Powitanie jest, no cóż, dziwne. Na przykład „Cześć, kochanie”.
  5. Daje poczucie rozpaczliwej pilności.
  6. Pojawiła się prośba o szczegółowe informacje o kontach.

Zgłaszanie podejrzenia wyłudzenia informacji

Tak, jesteś zajęty, a phishing jest tak powszechny. A kiedy spojrzysz na statystyki phishingu, może to być przytłaczające i trudno nadążyć za jakąkolwiek odpowiedzią. Ale jeśli wszystkie przypadki phishingu nie zostaną zgłoszone, nigdy się nie zmniejszą, a zapobieganie atakom hakerskim jest obowiązkiem wszystkich. Ponieważ każdy raport daje władzom więcej informacji, jak powstrzymać ataki.

Przesyłaj wiadomości e-mail na adres [email protected]. Przesyłaj wiadomości do SPAM (7726).

Jak zapobiec atakom phishingowym w firmie?

  1. Użyj certyfikatów do podpisywania wiadomości e-mail.
  2. Korzystaj z najwyższej klasy oprogramowania zabezpieczającego komputer i regularnie je aktualizuj.
  3. Przeprowadź szkolenia dla pracowników.
  4. Wymagaj identyfikacji wieloskładnikowej (więcej niż 2 poświadczenia).
  5. Kopia zapasowa danych.

Czym są zestawy phishingowe?

Ponieważ phishing jest jak łowienie ryb, zestaw phishingowy jest jak pudełko na sprzęt. Jest to zbiór narzędzi programowych tworzonych przez oszusta. Jeśli jedna nie zadziała, oszust będzie miał do wyboru inne przynęty.

Czym są obecne oszustwa phishingowe?

Wow, fajnie jest mieć setki znajomych na FB. Ale obecne oszustwo polega na pozornie nieszkodliwym zaproszeniu do znajomych. Twój nowy BFF trolluje teraz twoją stronę, aby zebrać jak najwięcej danych osobowych.

Informacje te mogą zostać wykorzystane w oszustwach związanych z kompromitacją biznesowej poczty e-mail lub oszustwami naczelnymi. Uważnie obserwuj i kontroluj to, co ujawniasz na swojej stronie FB lub dowolnej witrynie publicznej, takiej jak grupa.

Jak wykryć i udaremnić wiadomość phishingową

  1. Uważaj na błędy gramatyczne i błędy ortograficzne.
  2. W razie wątpliwości skontaktuj się bezpośrednio ze „źródłem”. Nie odpowiadaj na e-mail.
  3. Pamiętaj, że renomowane firmy nie proszą o podanie danych osobowych przez e-mail (lub SMS).
  4. Nie otwieraj załączników.
  5. Jeśli e-mail dotyczy pracy, skontaktuj się z działem IT.

Jak ktoś kradnie numery Twoich kart kredytowych i używa ich?

Oto kilka sposobów:

  1. Phisherzy dzwonią lub wysyłają SMS-y i proszą o informacje. Zawsze pamiętaj, że renomowane firmy nie dzwonią do Ciebie i nie proszą o dane osobowe. Nie podawaj informacji o karcie kredytowej przez telefon, chyba że zainicjowałeś połączenie.
  2. Phisherzy wykorzystują fałszywe strony. Jeśli robisz zakupy lub zamawiasz online, poszukaj nagłówka „https” adresu URL i symbolu „kłódki” na stronie.

Jakie są dwa rodzaje metod ataku typu phishing?

Wyłudzanie wiadomości e-mail jest najczęstszą formą ataku phishingowego. Spear phishing jest taki sam, ale inny, ponieważ ofiara jest wykorzystywana do nabijania większej ryby. Oto jak.

Wiadomość phishingowa jest zazwyczaj atakiem na osobę w celu uzyskania od niej danych. Łowienie z kuszą może zaatakować osobę, ale celem jest wykorzystanie tej osoby do dotarcia do większej „ryby”, takiej jak cała firma.

Obraz: Depositphotos