“ Gratulacje^{(Congratulations)} ! Wygrałeś n milionów dolarów^(Dollars) . Prześlij nam swoje dane bankowe.” Jeśli korzystasz z Internetu^(Internet) , być może widziałeś takie e-maile w swojej skrzynce odbiorczej lub w skrzynce śmieciowej. Takie wiadomości e-mail nazywane są phishingiem: cyberprzestępczością, w ramach której przestępcy wykorzystują technologię komputerową do kradzieży danych ofiar, którymi mogą być osoby fizyczne lub firmy. Ta ściągawka do phishingu^{(Phishing cheat sheet)} jest próbą dostarczenia maksymalnej wiedzy na temat tej cyberprzestępczości, abyś nie stał się ofiarą przestępstwa. Omawiamy również rodzaje phishingu^{(types of Phishing)} .

Co to jest phishing?

Phishing to cyberprzestępczość, w ramach której przestępcy zwabiają ofiary z zamiarem kradzieży danych ofiar za pomocą fałszywych wiadomości e-mail i SMS-ów. Głównie odbywa się to poprzez masowe kampanie e-mailowe. Używają tymczasowych identyfikatorów^(IDs) e-mail i tymczasowych serwerów, więc władzom trudno jest je przechwycić. Mają ogólny szablon, który jest wysyłany do setek tysięcy odbiorców, aby przynajmniej kilku można było oszukać. Dowiedz się , jak rozpoznać ataki typu phishing^{(how to identify phishing attacks)} .

Dlaczego nazywa się to phishingiem?

Wiesz o wędkowaniu. W prawdziwym łowieniu rybak ustawia przynętę tak, aby mógł łowić ryby, gdy te są zaczepione o wędkę. Również w Internecie^(Internet) używają przynęty w postaci wiadomości, która może być przekonująca i wydaje się autentyczna. Ponieważ przestępcy używają przynęty, nazywa się to phishingiem. Oznacza łowienie haseł, które jest obecnie określane jako phishing.

Przynętą może być obietnica pieniędzy lub jakichkolwiek towarów, które mogą zmusić każdego użytkownika końcowego do kliknięcia przynęty. Czasami przynęta jest inna (na przykład groźba lub pilność) i wzywa do działania, takiego jak kliknięcie linków mówiących, że musisz ponownie autoryzować swoje konto w Amazon , Apple lub PayPal .

Jak wymówić phishing?

Jest wymawiane jako PH-ISHING. 'PH' jak w wędkarstwie^(F) .

Jak powszechny jest phishing?

Ataki phishingowe są częstsze niż złośliwe oprogramowanie. Oznacza to, że coraz więcej cyberprzestępców angażuje się w phishing w porównaniu z tymi, którzy rozpowszechniają złośliwe oprogramowanie za pomocą wiadomości e-mail, fałszywych stron internetowych lub fałszywych reklam na prawdziwych stronach internetowych.

W dzisiejszych czasach zestawy phishingowe są sprzedawane online, więc praktycznie każdy, kto ma pewną wiedzę na temat sieci, może je kupić i wykorzystać do nielegalnych zadań. Te zestawy phishingowe zapewniają wszystko, od klonowania strony internetowej po kompilację atrakcyjnej wiadomości e-mail lub tekstu.

Rodzaje phishingu

Istnieje wiele rodzajów phishingu. Niektóre z popularnych to:

1. Najczęściej stosowaną formą phishingu są zwykłe wiadomości e-mail z prośbą o podanie^(General) danych osobowych
2. Spear phishing
3. Oszustwa związane z wielorybnictwem
4. Smishing (phishing przez SMS) i Vishing
5. Oszustwa QRishing
6. Tabnabbing

1] Ogólne phishing

W najbardziej podstawowej formie phishingu napotykasz wiadomości e-mail i SMS-y ostrzegające przed czymś, prosząc o kliknięcie łącza. W niektórych przypadkach proszą o otwarcie załącznika w e-mailu, który do Ciebie wysłali.

W temacie e-maila cyberprzestępcy nakłaniają Cię do otwarcia e-maila lub SMS-a. Czasami temat brzmi, że jedno z Twoich kont internetowych wymaga aktualizacji i brzmi pilnie.

W treści wiadomości e-mail lub tekstu znajdują się przekonujące informacje, które są fałszywe, ale wiarygodne, a następnie kończą się wezwaniem do działania: prośbą o kliknięcie linku, który podają w wiadomości e-mail lub tekście phishingowym. Wiadomości tekstowe^(Text) są bardziej niebezpieczne, ponieważ używają skróconych adresów URL^(URLs) , których miejsca docelowego lub pełnego linku nie można sprawdzić bez kliknięcia w nie podczas czytania w telefonie. Wszędzie może być dowolna aplikacja, która może pomóc w sprawdzeniu pełnego adresu URL^(URL) , ale nie znam jeszcze żadnej.

2] Spear phishing

Odnosi się do ukierunkowanego phishingu, którego celem są pracownicy firm. Cyberprzestępcy uzyskują swoje identyfikatory^(IDs) miejsca pracy i wysyłają na te adresy fałszywe wiadomości phishingowe. Pojawia się jako wiadomość e-mail od kogoś znajdującego się na szczycie drabiny korporacyjnej, co powoduje wystarczająco dużo pośpiechu, by na nią odpowiedzieć… pomagając w ten sposób cyberprzestępcom włamać się do sieci firmy. Przeczytaj wszystko o spear phishingu^{( spear phishing)} tutaj. Link zawiera również kilka przykładów spear phishingu.

3] Wielorybnictwo

Wielorybnictwo^(Whaling) jest podobne do phishingu włócznią. Jedyną różnicą między wielorybnictwem^(Whaling) a spear phishingiem jest to, że spear phishing może być skierowany do dowolnego pracownika, podczas gdy wielorybnictwo jest wykorzystywane do atakowania niektórych uprzywilejowanych pracowników. Metoda jest taka sama. Cyberprzestępcy uzyskują oficjalne identyfikatory e-mail i^(IDs) numery telefonów ofiar, a następnie wysyłają im przekonujący e-mail lub tekst zawierający wezwanie do działania, które może otworzyć korporacyjny intranet^{(corporate intranet)} i umożliwić dostęp tylnymi drzwiami. Przeczytaj więcej o atakach phishingowych na wieloryby^{(Whaling phishing attacks)} .

4] Smishing i Vishing

Gdy cyberprzestępcy wykorzystują usługę krótkich wiadomości ( SMS ), aby wyłowić dane osobowe ofiar, jest to znane jako phishing SMS lub w skrócie Smishing. Przeczytaj o szczegółach Smishingu i Vishingu .

5] Oszustwa QRishing

Kody QR nie są nowe. Gdy informacje mają być krótkie i tajne, najlepiej zastosować kody QR. Być może widziałeś kody QR na różnych bramkach płatności, reklamach banków lub po prostu w WhatsApp Web . Kody te zawierają informacje w postaci kwadratu z porozrzucaną czernią. Ponieważ nie wiadomo, jakie informacje zawiera kod QR, zawsze najlepiej jest trzymać się z dala od nieznanych źródeł kodów. Oznacza to, że jeśli otrzymasz kod QR w wiadomości e-mail lub SMS-ie od podmiotu, którego nie znasz, nie skanuj go. Przeczytaj więcej o oszustwach QRishing na smartfonach.

6) Tabnabbing

Tabnabbing zmienia legalną stronę, którą odwiedzałeś, w fałszywą stronę po odwiedzeniu innej karty. Powiedzmy:

1. Przechodzisz do prawdziwej strony internetowej.
2. Otwierasz inną kartę i przeglądasz drugą stronę.
3. Po chwili wracasz do pierwszej zakładki.
4. Witają Cię nowe dane logowania, być może do Twojego konta Gmail .
5. Logujesz się ponownie, nie podejrzewając, że strona, w tym favicon, faktycznie zmieniła się za Twoimi plecami!

To jest Tabnabbing , zwany także Tabjackingiem^(Tabjacking) .

Istnieje kilka innych rodzajów phishingu, które nie są obecnie często używane. Nie wymieniłem ich w tym poście. Metody wykorzystywane do phishingu wciąż dodają nowe techniki do przestępstwa. Jeśli jesteś zainteresowany, poznaj różne rodzaje cyberprzestępczości .

Identyfikowanie wiadomości e-mail i tekstów phishingowych

Chociaż cyberprzestępcy podejmują wszelkie środki, aby nakłonić Cię do kliknięcia ich nielegalnych linków, aby móc ukraść Twoje dane, istnieje kilka wskazówek, które informują o tym, że wiadomość e-mail jest fałszywa.

W większości przypadków osoby phishingowe używają znanej Ci nazwy. Może to być nazwa dowolnego ustanowionego banku lub innego domu korporacyjnego, takiego jak Amazon , Apple , eBay itp. Poszukaj identyfikatora e-mail.

Przestępcy phishingowi nie używają stałych adresów e-mail, takich jak Hotmail , Outlook , Gmail itp. popularnych dostawców hostingu poczty e-mail. Używają tymczasowych serwerów pocztowych, więc wszystko z nieznanego źródła jest podejrzane. W niektórych przypadkach cyberprzestępcy próbują sfałszować identyfikatory^(IDs) e-mail przy użyciu nazwy firmy — na przykład [email protected] Identyfikator e-mail zawiera nazwę Amazon , ale jeśli przyjrzysz się bliżej, nie jest on z serwerów Amazona^(Amazon) , ale z jakiegoś fałszywego e-maila serwer .com.

Jeśli więc wiadomość e-mail z http://axisbank.com pochodzi z identyfikatora e-mail, który mówi [email protected] , musisz zachować ostrożność. Poszukaj też błędów ortograficznych. W przykładzie Axis Bank , jeśli identyfikator e-mail pochodzi z axsbank.com, jest to wiadomość phishingowa.

PhishTank pomoże Ci zweryfikować lub zgłosić strony phishingowe

Środki ostrożności w przypadku phishingu

Powyższa sekcja dotyczyła identyfikacji wiadomości e-mail i tekstów phishingowych. U podstaw wszystkich środków ostrożności leży potrzeba sprawdzenia pochodzenia wiadomości e-mail, zamiast zwykłego klikania linków w wiadomości e-mail. Nie podawaj nikomu swoich haseł ani pytań zabezpieczających. Spójrz na identyfikator e-mail, z którego wysłano wiadomość e-mail.

Jeśli jest to SMS od znajomego, wiesz, możesz chcieć potwierdzić, czy naprawdę go wysłał. Możesz do niego zadzwonić i zapytać, czy wysłał wiadomość z linkiem.

Nigdy nie klikaj linków w e-mailach ze źródeł, których nie znasz. Nawet w przypadku e-maili, które wyglądają na autentyczne, załóżmy, że pochodzą z Amazon , nie klikaj linku^{(do not click on the lin)} . Zamiast tego otwórz przeglądarkę i wpisz adres URL ^(URL)Amazon . Stamtąd możesz sprawdzić, czy rzeczywiście musisz wysłać do podmiotu jakieś dane.

Niektóre linki przychodzą mówiąc, że musisz zweryfikować swoją rejestrację. Sprawdź, czy ostatnio rejestrowałeś się w jakiejkolwiek usłudze. Jeśli nie pamiętasz, zapomnij o linku do e-maila.

Co się stanie, jeśli kliknę link phishingowy?

Natychmiast zamknij przeglądarkę. Nie dotykaj ani nie wprowadzaj żadnych informacji w przypadku braku możliwości zamknięcia przeglądarki, jak w domyślnej przeglądarce niektórych smartfonów. Ręcznie zamknij każdą kartę takich przeglądarek. Pamiętaj^(Remember) , aby nie logować się do żadnej ze swoich aplikacji, dopóki nie uruchomisz skanowania za pomocą BitDefender lub Malwarebytes . Istnieje również kilka płatnych aplikacji, z których możesz korzystać.

To samo dotyczy komputerów. Jeśli klikniesz link, przeglądarka zostanie uruchomiona i pojawi się jakaś zduplikowana witryna. Nie stukaj ani nie dotykaj nigdzie w przeglądarce. Wystarczy^(Just) kliknąć przycisk zamykania przeglądarki lub użyć Menedżera zadań Windows,^{(Windows Task Manager)} aby zamknąć to samo. Uruchom skanowanie w poszukiwaniu złośliwego oprogramowania przed użyciem innych aplikacji na komputerze.

Przeczytaj^(Read) : Gdzie zgłosić oszustwa internetowe, spam i witryny phishingowe ?

Proszę o komentarz i daj nam znać, jeśli coś pominąłem w tej ściągawce phishingowej.^{(Please comment and let us know if I left out anything in this phishing cheat sheet.)}

Types of Phishing - Cheat Sheet and Things you need to know

“Congratulations! You have won n million Dollars. Sеnd us your bank dеtаils.” If you are on Internet, you might haνe seen such emails in your inbox or junk mailbox. Such emails are called phishing: a cyber-crime wherein criminаls use cоmputer technology to steal data from victims that can be individualѕ or corporate business houses. This Phishing cheat sheet is an attempt to provide you with max knowledge about this cyber-crime so that you don’t become a victim of the crime. We also discuss the types of Phishing.

What is phishing?

Phishing is a cybercrime where criminals lure victims, with an intention to steal victim’s data, using fake emails and text messages. Mainly, it is done by mass email campaigns. They use temporary email IDs and temporary servers, so it becomes hard for authorities to nab them. They have a general template that is sent to hundreds of thousands of recipients so that at least a few can be tricked. Learn how to identify phishing attacks.

Why is it called phishing?

You know about fishing. In real life fishing, the fisherman sets a bait so that he can catch fish when the latter are hooked to the fishing rod. On the Internet too, they use bait in the form of a message that can be convincing and appears genuine. Since the criminals use a bait, it is called phishing. It stands for password fishing which is now referred to as phishing.

The bait could be a promise of money or any goods that could compel any end-user to click on the bait. Sometimes, the bait is different (for example, threat or urgency) and calls for action like clicking links saying you have to re-authorize your account at Amazon, Apple, or PayPal.

How to pronounce phishing?

It is pronounced as PH-ISHING. ‘PH’as in Fishing.

How common is phishing?

Phishing attacks are more common than malware. This is to say that more and more cybercriminals are engaged in phishing compared to those who spread malware using emails, fake websites, or fake advertisements on genuine websites.

These days, phishing kits are sold online so practically anyone with some knowledge of networks can buy them and use them for illegal tasks. These phishing kits provide everything from cloning a website to compiling a compelling email or text.

Types of phishing

There are many types of phishing. Some of the popular ones are:

1. General regular emails asking you your personal details are the most used form of phishing
2. Spear phishing
3. Whaling scams
4. Smishing (SMS phishing) and Vishing
5. QRishing scams
6. Tabnabbing

1] General Phishing

In its most basic form of phishing, you encounter emails and texts cautioning you about something while asking you to click a link. In some cases, they ask you to open the attachment in the email they sent to you.

In the email subject line, the cybercriminals lure you into opening the email or text. Sometimes, the subject line is that one of your online accounts needs updating and sounds urgent.

In the body of the email or text, there is some compelling information that is fake but believable and then ends with a call to action: asking you to click on the link they provide in the phishing email or text. Text messages are more dangerous because they use shortened URLs whose destination or full link can’t be checked without clicking on them when you read them on the phone. There may be any app anywhere that may help with checking out the full URL but there’s none I am aware of yet.

2] Spear phishing

Refers to targeted phishing where the targets are employees of business houses. The cybercriminals get their workplace IDs and send the fake phishing emails to those addresses. It appears as an email from someone top on the corporate ladder, creating enough hurry to reply to them… thereby helping the cybercriminals with breaking into the network of the business house. Read all about spear phishing here. The link also contains some examples of spear phishing.

3] Whaling

Whaling is similar to spear phishing. The only difference between Whaling and Spear phishing is that spear-phishing can target any employee, while whaling is used to target certain privileged employees. The method is the same. The cybercriminals get the official email IDs and phone numbers of the victims and send them a compelling email or text that involves some call for action that might open the corporate intranet to give the back-door access. Read more about Whaling phishing attacks.

4] Smishing and Vishing

When cybercriminals use short messaging service (SMS) to fish out personal details of victims, it is known as SMS phishing or Smishing for short. Read about Smishing and Vishing details.

5] QRishing scams

QR codes are not new. When information is supposed to be kept short and secret, QR codes are the best to implement. You may have seen QR codes on different payment gateways, bank adverts, or simply on WhatsApp Web. These codes contain information in the form of a square with black scattered all over it. Since it is not known what all information a QR code provides, it is always best to stay away from unknown sources of the codes. That is to say that if you receive a QR code in an email or text from an entity that you do not know, don’t scan them. Read more about QRishing scams on smartphones.

6] Tabnabbing

Tabnabbing changes a legitimate page you were visiting, to a fraudulent page, once you visit another tab. Let’s say:

1. You navigate to a genuine website.
2. You open another tab and browse the other site.
3. After a while, you come back to the first tab.
4. You are greeted with fresh login details, maybe to your Gmail account.
5. You login again, not suspecting that the page, including the favicon, has actually changed behind your back!

This is Tabnabbing, also called Tabjacking.

There are some other types of phishing that are not used much nowadays. I have not named them in this post. The methods used for phishing keep on adding new techniques to the crime. Know the different types of cybercrimes if interested.

Identifying phishing emails and texts

While the cybercriminals take all measures to trick you into clicking their illegal links so that they can steal your data, there are a few pointers that give out a message that the email is fake.

In most cases, the phishing guys use a name familiar to you. It can be the name of any established bank or any other corporate house such as Amazon, Apple, eBay, etc. Look for the email ID.

Phishing criminals do not use permanent email like Hotmail, Outlook, and Gmail, etc. popular email hosting providers. They use temporary email servers, so anything from an unknown source is suspicious. In some cases, the cybercriminals try to spoof email IDs by using a business name—for example, [email protected] The email ID contains the name of Amazon, but if you look closer, it is not from Amazon’s servers but some fakeemail.com server.

So, if a mail from http://axisbank.com comes from an email ID that says [email protected], you need to exercise caution. Also, look for spelling errors. In the Axis Bank example, if the email ID comes from axsbank.com, it is a phishing email.

PhishTank will help you verify or report Phishing websites

Precautions for phishing

The above section talked about identifying phishing emails and texts. At the base of all precautions is the need to check the origin of email instead of simply clicking on the links in the email. Do not give out your passwords and security questions to anyone. Look at the email ID from which the email was sent.

If it is a text from a friend, you know, you might want to confirm if he or she had sent it really. You could call him and ask him if he sent a message with a link.

Never click on links in emails from sources you do not know. Even for emails that appear genuine, suppose from Amazon, do not click on the link. Instead, open a browser and type out the URL of Amazon. From there, you can check if you actually need to send any details to the entity.

Some links come in saying you have to verify your sign up. See if you signed up for any service recently. If you cannot remember, forget the email link.

What if I clicked on a phishing link?

Close the browser immediately. Do not touch or enter any information in case of not being able to close the browser, like in some smartphones’ default browser. Manually close each tab of such browsers. Remember not to log in to any of your apps until you run a scan using BitDefender or Malwarebytes. There are some paid apps too that you can use.

The same goes for computers. If you clicked a link, the browser would be launched, and some sort of duplicate website would appear. Don’t tap or touch anywhere on the browser. Just click on the close browser button or use the Windows Task Manager to close the same. Run an antimalware scan before using other applications on the computer.

Read: Where to report Online Scams, Spam and Phishing websites?

Please comment and let us know if I left out anything in this phishing cheat sheet.

Related posts

• Jak uniknąć oszustw i ataków typu phishing?

• Czym są oszustwa związane z wielorybami i jak chronić swoje przedsiębiorstwo

• Co to jest phishing i jak rozpoznać ataki phishingowe?

• Co to są domeny zaparkowane i domeny wpuszczane?

• Unikaj oszustw związanych z zakupami online i oszustw w okresie świątecznym

• Karta sieciowa nie działa? 12 rzeczy do wypróbowania

• Apple Watch nie łączy się w parę? 7 rzeczy do wypróbowania

• Jak wydrukować stykówkę zdjęć w systemie Windows 11/10

• Najlepsze darmowe oprogramowanie Anti Cheat do gier w systemie Windows

• Asystent Google nie działa? 13 rzeczy do wypróbowania

• Hotspot Androida nie działa? 10 rzeczy do wypróbowania

• Koronawirus COVID-19 Phishing, oszustwa, oszustwa i schematy

• Światła Philips Hue są nieosiągalne? 7 rzeczy do wypróbowania

• Co zrobić, gdy komputer Mac zawiesza się? 9 rzeczy do wypróbowania

• Drzwi nie działają? 7 rzeczy do wypróbowania

• 5 fajnych rzeczy, które możesz zrobić dzięki aplikacji Automator na macOS

• Czym jest Internet Rzeczy - Przedstawiamy SkyNet!

• Połączenia przez Wi-Fi nie działają na Androidzie? 9 rzeczy do wypróbowania

• Mysz ciągle znika na Macu? 10 rzeczy do wypróbowania

• Zapier SMS: 5 fajnych rzeczy, które możesz zrobić