Rodzaje phishingu — ściągawka i rzeczy, które musisz wiedzieć
“ Gratulacje(Congratulations) ! Wygrałeś n milionów dolarów(Dollars) . Prześlij nam swoje dane bankowe.” Jeśli korzystasz z Internetu(Internet) , być może widziałeś takie e-maile w swojej skrzynce odbiorczej lub w skrzynce śmieciowej. Takie wiadomości e-mail nazywane są phishingiem: cyberprzestępczością, w ramach której przestępcy wykorzystują technologię komputerową do kradzieży danych ofiar, którymi mogą być osoby fizyczne lub firmy. Ta ściągawka do phishingu(Phishing cheat sheet) jest próbą dostarczenia maksymalnej wiedzy na temat tej cyberprzestępczości, abyś nie stał się ofiarą przestępstwa. Omawiamy również rodzaje phishingu(types of Phishing) .
Co to jest phishing?
Phishing to cyberprzestępczość, w ramach której przestępcy zwabiają ofiary z zamiarem kradzieży danych ofiar za pomocą fałszywych wiadomości e-mail i SMS-ów. Głównie odbywa się to poprzez masowe kampanie e-mailowe. Używają tymczasowych identyfikatorów(IDs) e-mail i tymczasowych serwerów, więc władzom trudno jest je przechwycić. Mają ogólny szablon, który jest wysyłany do setek tysięcy odbiorców, aby przynajmniej kilku można było oszukać. Dowiedz się , jak rozpoznać ataki typu phishing(how to identify phishing attacks) .
Dlaczego nazywa się to phishingiem?
Wiesz o wędkowaniu. W prawdziwym łowieniu rybak ustawia przynętę tak, aby mógł łowić ryby, gdy te są zaczepione o wędkę. Również w Internecie(Internet) używają przynęty w postaci wiadomości, która może być przekonująca i wydaje się autentyczna. Ponieważ przestępcy używają przynęty, nazywa się to phishingiem. Oznacza łowienie haseł, które jest obecnie określane jako phishing.
Przynętą może być obietnica pieniędzy lub jakichkolwiek towarów, które mogą zmusić każdego użytkownika końcowego do kliknięcia przynęty. Czasami przynęta jest inna (na przykład groźba lub pilność) i wzywa do działania, takiego jak kliknięcie linków mówiących, że musisz ponownie autoryzować swoje konto w Amazon , Apple lub PayPal .
Jak wymówić phishing?
Jest wymawiane jako PH-ISHING. 'PH' jak w wędkarstwie(F) .
Jak powszechny jest phishing?
Ataki phishingowe są częstsze niż złośliwe oprogramowanie. Oznacza to, że coraz więcej cyberprzestępców angażuje się w phishing w porównaniu z tymi, którzy rozpowszechniają złośliwe oprogramowanie za pomocą wiadomości e-mail, fałszywych stron internetowych lub fałszywych reklam na prawdziwych stronach internetowych.
W dzisiejszych czasach zestawy phishingowe są sprzedawane online, więc praktycznie każdy, kto ma pewną wiedzę na temat sieci, może je kupić i wykorzystać do nielegalnych zadań. Te zestawy phishingowe zapewniają wszystko, od klonowania strony internetowej po kompilację atrakcyjnej wiadomości e-mail lub tekstu.
Rodzaje phishingu
Istnieje wiele rodzajów phishingu. Niektóre z popularnych to:
- Najczęściej stosowaną formą phishingu są zwykłe wiadomości e-mail z prośbą o podanie(General) danych osobowych
- Spear phishing
- Oszustwa związane z wielorybnictwem
- Smishing (phishing przez SMS) i Vishing
- Oszustwa QRishing
- Tabnabbing
1] Ogólne phishing
W najbardziej podstawowej formie phishingu napotykasz wiadomości e-mail i SMS-y ostrzegające przed czymś, prosząc o kliknięcie łącza. W niektórych przypadkach proszą o otwarcie załącznika w e-mailu, który do Ciebie wysłali.
W temacie e-maila cyberprzestępcy nakłaniają Cię do otwarcia e-maila lub SMS-a. Czasami temat brzmi, że jedno z Twoich kont internetowych wymaga aktualizacji i brzmi pilnie.
W treści wiadomości e-mail lub tekstu znajdują się przekonujące informacje, które są fałszywe, ale wiarygodne, a następnie kończą się wezwaniem do działania: prośbą o kliknięcie linku, który podają w wiadomości e-mail lub tekście phishingowym. Wiadomości tekstowe(Text) są bardziej niebezpieczne, ponieważ używają skróconych adresów URL(URLs) , których miejsca docelowego lub pełnego linku nie można sprawdzić bez kliknięcia w nie podczas czytania w telefonie. Wszędzie może być dowolna aplikacja, która może pomóc w sprawdzeniu pełnego adresu URL(URL) , ale nie znam jeszcze żadnej.
2] Spear phishing
Odnosi się do ukierunkowanego phishingu, którego celem są pracownicy firm. Cyberprzestępcy uzyskują swoje identyfikatory(IDs) miejsca pracy i wysyłają na te adresy fałszywe wiadomości phishingowe. Pojawia się jako wiadomość e-mail od kogoś znajdującego się na szczycie drabiny korporacyjnej, co powoduje wystarczająco dużo pośpiechu, by na nią odpowiedzieć… pomagając w ten sposób cyberprzestępcom włamać się do sieci firmy. Przeczytaj wszystko o spear phishingu( spear phishing) tutaj. Link zawiera również kilka przykładów spear phishingu.
3] Wielorybnictwo
Wielorybnictwo(Whaling) jest podobne do phishingu włócznią. Jedyną różnicą między wielorybnictwem(Whaling) a spear phishingiem jest to, że spear phishing może być skierowany do dowolnego pracownika, podczas gdy wielorybnictwo jest wykorzystywane do atakowania niektórych uprzywilejowanych pracowników. Metoda jest taka sama. Cyberprzestępcy uzyskują oficjalne identyfikatory e-mail i(IDs) numery telefonów ofiar, a następnie wysyłają im przekonujący e-mail lub tekst zawierający wezwanie do działania, które może otworzyć korporacyjny intranet(corporate intranet) i umożliwić dostęp tylnymi drzwiami. Przeczytaj więcej o atakach phishingowych na wieloryby(Whaling phishing attacks) .
4] Smishing i Vishing
Gdy cyberprzestępcy wykorzystują usługę krótkich wiadomości ( SMS ), aby wyłowić dane osobowe ofiar, jest to znane jako phishing SMS lub w skrócie Smishing. Przeczytaj o szczegółach Smishingu i Vishingu .
5] Oszustwa QRishing
Kody QR nie są nowe. Gdy informacje mają być krótkie i tajne, najlepiej zastosować kody QR. Być może widziałeś kody QR na różnych bramkach płatności, reklamach banków lub po prostu w WhatsApp Web . Kody te zawierają informacje w postaci kwadratu z porozrzucaną czernią. Ponieważ nie wiadomo, jakie informacje zawiera kod QR, zawsze najlepiej jest trzymać się z dala od nieznanych źródeł kodów. Oznacza to, że jeśli otrzymasz kod QR w wiadomości e-mail lub SMS-ie od podmiotu, którego nie znasz, nie skanuj go. Przeczytaj więcej o oszustwach QRishing na smartfonach.
6) Tabnabbing
Tabnabbing zmienia legalną stronę, którą odwiedzałeś, w fałszywą stronę po odwiedzeniu innej karty. Powiedzmy:
- Przechodzisz do prawdziwej strony internetowej.
- Otwierasz inną kartę i przeglądasz drugą stronę.
- Po chwili wracasz do pierwszej zakładki.
- Witają Cię nowe dane logowania, być może do Twojego konta Gmail .
- Logujesz się ponownie, nie podejrzewając, że strona, w tym favicon, faktycznie zmieniła się za Twoimi plecami!
To jest Tabnabbing , zwany także Tabjackingiem(Tabjacking) .
Istnieje kilka innych rodzajów phishingu, które nie są obecnie często używane. Nie wymieniłem ich w tym poście. Metody wykorzystywane do phishingu wciąż dodają nowe techniki do przestępstwa. Jeśli jesteś zainteresowany, poznaj różne rodzaje cyberprzestępczości .
Identyfikowanie wiadomości e-mail i tekstów phishingowych
Chociaż cyberprzestępcy podejmują wszelkie środki, aby nakłonić Cię do kliknięcia ich nielegalnych linków, aby móc ukraść Twoje dane, istnieje kilka wskazówek, które informują o tym, że wiadomość e-mail jest fałszywa.
W większości przypadków osoby phishingowe używają znanej Ci nazwy. Może to być nazwa dowolnego ustanowionego banku lub innego domu korporacyjnego, takiego jak Amazon , Apple , eBay itp. Poszukaj identyfikatora e-mail.
Przestępcy phishingowi nie używają stałych adresów e-mail, takich jak Hotmail , Outlook , Gmail itp. popularnych dostawców hostingu poczty e-mail. Używają tymczasowych serwerów pocztowych, więc wszystko z nieznanego źródła jest podejrzane. W niektórych przypadkach cyberprzestępcy próbują sfałszować identyfikatory(IDs) e-mail przy użyciu nazwy firmy — na przykład [email protected] Identyfikator e-mail zawiera nazwę Amazon , ale jeśli przyjrzysz się bliżej, nie jest on z serwerów Amazona(Amazon) , ale z jakiegoś fałszywego e-maila serwer .com.
Jeśli więc wiadomość e-mail z http://axisbank.com pochodzi z identyfikatora e-mail, który mówi [email protected] , musisz zachować ostrożność. Poszukaj też błędów ortograficznych. W przykładzie Axis Bank , jeśli identyfikator e-mail pochodzi z axsbank.com, jest to wiadomość phishingowa.
PhishTank pomoże Ci zweryfikować lub zgłosić strony phishingowe
Środki ostrożności w przypadku phishingu
Powyższa sekcja dotyczyła identyfikacji wiadomości e-mail i tekstów phishingowych. U podstaw wszystkich środków ostrożności leży potrzeba sprawdzenia pochodzenia wiadomości e-mail, zamiast zwykłego klikania linków w wiadomości e-mail. Nie podawaj nikomu swoich haseł ani pytań zabezpieczających. Spójrz na identyfikator e-mail, z którego wysłano wiadomość e-mail.
Jeśli jest to SMS od znajomego, wiesz, możesz chcieć potwierdzić, czy naprawdę go wysłał. Możesz do niego zadzwonić i zapytać, czy wysłał wiadomość z linkiem.
Nigdy nie klikaj linków w e-mailach ze źródeł, których nie znasz. Nawet w przypadku e-maili, które wyglądają na autentyczne, załóżmy, że pochodzą z Amazon , nie klikaj linku(do not click on the lin) . Zamiast tego otwórz przeglądarkę i wpisz adres URL (URL)Amazon . Stamtąd możesz sprawdzić, czy rzeczywiście musisz wysłać do podmiotu jakieś dane.
Niektóre linki przychodzą mówiąc, że musisz zweryfikować swoją rejestrację. Sprawdź, czy ostatnio rejestrowałeś się w jakiejkolwiek usłudze. Jeśli nie pamiętasz, zapomnij o linku do e-maila.
Co się stanie, jeśli kliknę link phishingowy?
Natychmiast zamknij przeglądarkę. Nie dotykaj ani nie wprowadzaj żadnych informacji w przypadku braku możliwości zamknięcia przeglądarki, jak w domyślnej przeglądarce niektórych smartfonów. Ręcznie zamknij każdą kartę takich przeglądarek. Pamiętaj(Remember) , aby nie logować się do żadnej ze swoich aplikacji, dopóki nie uruchomisz skanowania za pomocą BitDefender lub Malwarebytes . Istnieje również kilka płatnych aplikacji, z których możesz korzystać.
To samo dotyczy komputerów. Jeśli klikniesz link, przeglądarka zostanie uruchomiona i pojawi się jakaś zduplikowana witryna. Nie stukaj ani nie dotykaj nigdzie w przeglądarce. Wystarczy(Just) kliknąć przycisk zamykania przeglądarki lub użyć Menedżera zadań Windows,(Windows Task Manager) aby zamknąć to samo. Uruchom skanowanie w poszukiwaniu złośliwego oprogramowania przed użyciem innych aplikacji na komputerze.
Przeczytaj(Read) : Gdzie zgłosić oszustwa internetowe, spam i witryny phishingowe ?
Proszę o komentarz i daj nam znać, jeśli coś pominąłem w tej ściągawce phishingowej.(Please comment and let us know if I left out anything in this phishing cheat sheet.)
Related posts
Jak uniknąć oszustw i ataków typu phishing?
Czym są oszustwa związane z wielorybami i jak chronić swoje przedsiębiorstwo
Co to jest phishing i jak rozpoznać ataki phishingowe?
Co to są domeny zaparkowane i domeny wpuszczane?
Unikaj oszustw związanych z zakupami online i oszustw w okresie świątecznym
Karta sieciowa nie działa? 12 rzeczy do wypróbowania
Apple Watch nie łączy się w parę? 7 rzeczy do wypróbowania
Jak wydrukować stykówkę zdjęć w systemie Windows 11/10
Najlepsze darmowe oprogramowanie Anti Cheat do gier w systemie Windows
Asystent Google nie działa? 13 rzeczy do wypróbowania
Hotspot Androida nie działa? 10 rzeczy do wypróbowania
Koronawirus COVID-19 Phishing, oszustwa, oszustwa i schematy
Światła Philips Hue są nieosiągalne? 7 rzeczy do wypróbowania
Co zrobić, gdy komputer Mac zawiesza się? 9 rzeczy do wypróbowania
Drzwi nie działają? 7 rzeczy do wypróbowania
5 fajnych rzeczy, które możesz zrobić dzięki aplikacji Automator na macOS
Czym jest Internet Rzeczy - Przedstawiamy SkyNet!
Połączenia przez Wi-Fi nie działają na Androidzie? 9 rzeczy do wypróbowania
Mysz ciągle znika na Macu? 10 rzeczy do wypróbowania
Zapier SMS: 5 fajnych rzeczy, które możesz zrobić