Jak rozpoznać e-maile phishingowe

Jeśli otrzymałeś wiadomość e-mail od Urzędu Skarbowego lub Federalnej Korporacji Ubezpieczeń Depozytów, prawdopodobnie jest to próba phishingu. Jeśli otrzymałeś e-mail z banku, PayPala lub Facebooka z prośbą o natychmiastową weryfikację informacji lub ryzyko zawieszenia konta, był to niewątpliwie phishing.

Ataki phishingowe wzrosły w tym roku, wynika z ostatnich doniesień. Grupa robocza Anti-Phishing informuje, że w pierwszej połowie 2009 roku miało miejsce ponad 55 600 ataków phishingowych. Phishing jest szczególnie niebezpieczny, ponieważ gdy przestępcy otrzymają hasło ofiary dla jednej witryny sieci Web, często mogą użyć go, by dostać się na inne konta, na których ludzie ponownie użyli hasła.

I każdy może być zagrożony. Żona dyrektora FBI Roberta Muellera zakazała mu prowadzenia bankowości internetowej po tym, jak zbliżył się do próby phishingu.

Oto kilka podstawowych informacji, które mogą pomóc ludziom uniknąć oszustw przez ataki phishingowe.

Czym jest phishing?

Phishing jest próbą, zazwyczaj za pośrednictwem poczty e-mail, nakłaniania ludzi do ujawniania poufnych informacji, takich jak nazwy użytkowników, hasła i dane dotyczące kart kredytowych poprzez udawanie banku lub innej legalnej jednostki. Wiadomości e-mail zazwyczaj zawierają link do strony internetowej, która wydaje się być zgodna z prawem i która zachęca użytkowników do podania informacji. Czasami e-mail phishingowy będzie zawierał formularz w załączniku do wypełnienia. Jednym z popularnych phishingów jest udawanie, że pochodzi z wydziału oszustw instytucji finansowej lub sprzedawcy internetowego, takiego jak PayPal, i prosić o podanie informacji, aby zapobiec oszustwom związanym z tożsamością. W jednym przypadku e-mail phishingowy, który rzekomo pochodzi z komisji loterii państwowej, poprosił odbiorców o ich dane bankowe, aby ich "wygrane" mogły zostać zdeponowane na ich kontach.

Phisherzy coraz częściej wykorzystują zainteresowanie nowościami i innymi popularnymi tematami, aby skłonić ludzi do klikania linków. Jeden e-mail rzekomo o świńskiej grypie poprosił ludzi o podanie nazwiska, adresu, numeru telefonu i innych informacji w ramach ankiety dotyczącej choroby. A użytkownicy portali społecznościowych stają się popularnymi celami. Użytkownicy Twittera zostali przekierowani na fałszywe strony logowania.

Atakujący zwracają się również do komunikatorów, aby zwabić ludzi w pułapki. W jednym z ostatnich oszustw uruchomiono okno czatu na żywo za pośrednictwem przeglądarki. Oszuści przekazywali ofiary za pośrednictwem okna czatu, udając, że pochodzą z banku i prosząc o dodatkowe informacje.

Jakie są inne niedawne przykłady ataków phishingowych?

  • Niedawne oszustwo e-mailowe prosi klientów PayPal o podanie dodatkowych informacji lub ryzyko, że ich konto zostanie usunięte z powodu zmian w umowie serwisowej. Odbiorcy są zachęcani do kliknięcia hiperłącza z napisem "Zdobądź zweryfikowane!"

  • E-maile, które wyglądają tak, jakby pochodziły z FDIC, zawierają temat: "sprawdź swój zasiłek dla depozytu w banku" lub "FDIC oficjalnie nazwał Twój bank bankiem, który się nie powiódł". E-maile zawierają link do fałszywej strony FDIC, w której użytkownicy są proszeni o otwarcie formularzy do wypełnienia. Kliknięcie linku formularza powoduje pobranie wirusa Zeus, który służy kradzieży haseł bankowych i innych informacji.

  • E-maile, które wyglądają tak, jakby pochodziły z IRS, informują odbiorców, że są uprawnieni do otrzymania zwrotu podatku i że pieniądze można uzyskać, klikając link w wiadomości e-mail. Link kieruje użytkowników do fałszywej witryny IRS, która zawiera informacje osobiste i finansowe.

  • Prawidłowo wyglądający e-mail na Facebooku prosi ludzi o podanie informacji, które pomogą sieci społecznościowej zaktualizować system logowania. Kliknięcie przycisku "aktualizuj" w wiadomości e-mail przenosi użytkowników do fałszywego ekranu logowania na Facebooku, na którym jest wypełniana nazwa użytkownika, a użytkownicy są monitowani o podanie hasła. Po wpisaniu hasła ludzie trafiają na stronę z "Narzędziem aktualizacji", które w rzeczywistości jest trojanem banku Zeus.

Jakie są oznaki próby phishingu?

Wiele prób phishingu pochodzi spoza USA, więc często mają błędy ortograficzne i błędy gramatyczne. Niektóre mają pilny ton i szukają poufnych informacji, których legalne firmy zwykle nie proszą o e-mail.

Na co powinienem zwrócić uwagę w e-mailu?

Sprawdź informacje o nadawcy, aby sprawdzić, czy wygląda to uzasadnione. Przestępcy wybierze adresy, które są podobne do tych, które fałszują. Na przykład phisherzy wykorzystali "[email protected]". Jednak prawidłowe wiadomości PayPal w Stanach Zjednoczonych pochodzą z [email protected] "i zawierają ikonę klucza. Większość wiadomości e-mail phishingowych pochodzi spoza USA, więc adres kończący się na" .uk "lub coś innego niż" .com "może wskazać, że jest to próba wyłudzenia danych.

Adres e-mail może być również ukryty. Kliknięcie "odpowiedz wszystkim" może ujawnić prawdziwy adres e-mail. Możesz również ustawić preferencje e-mail, aby wyświetlić "pełny nagłówek", aby zobaczyć pełny adres e-mail i inne informacje. Jeśli nie masz pewności, czy wiadomość e-mail jest wiarygodna, przejdź do witryny firmy, aby wyświetlić wymieniony adres.

Prawnie działające firmy często używają nazw klientów lub nazw użytkowników w wiadomościach e-mail, a banki często zawierają część numeru konta. Wiadomości phishingowe zwykle oferują ogólne pozdrowienia, np. "Drodzy klienci PayPal".

Sprawdź hiperłącza w treści wiadomości e-mail. Phisherzy zazwyczaj używają subdomen lub liter lub cyfr przed nazwą firmy, a czasami słowa w linkach są błędnie napisane. Na przykład witryna www.BankA.security.com może prowadzić do sekcji "BankA" witryny sieci Web "security". Często trudno jest stwierdzić, czy link jest uzasadniony, po prostu patrząc na niego. Po kliknięciu linku widoczny jest prawdziwy adres na dole większości przeglądarek internetowych.

Ponadto, PayPal, Amazon, banki i wiele innych firm korzysta z protokołu SSL (Secure Sockets Layer), który ma na celu zapewnienie, że klienci odwiedzają rzeczywistą stronę. Oznacza to, że // będzie widoczny na pasku adresu URL, a nie tylko // i zazwyczaj będzie inna zmiana na pasku adresu. Na przykład, PayPal wyświetla "P", a jego nazwa jest podświetlona na zielono z przodu adresu URL. Największe przeglądarki mają środki antyphishingowe przeznaczone do wykrywania złośliwych witryn. Niektórzy phisherzy próbują ukryć prawdziwy adres internetowy, na który wysyłają ofiary, korzystając ze skracania adresów URL.

Jeśli e-mail ma załącznik, bądź ostrożny wobec plików .exe. Oszuści lubią ukrywać wirusy i inne złośliwe oprogramowanie, aby zostały uruchomione po otwarciu.

Nie daj się zwieść wyglądowi strony internetowej, do której możesz być przekierowany. Witryna internetowa może wyglądać jak prawdziwa strona bankowa lub PayPal, w tym prawdziwe logo i branding. Może to być dobra fałszywa strona lub legalna strona z wyskakującym okienkiem wyłudzającym informacje.

Jak można uniknąć ataków typu phishing?

  • Staraj się trzymać z dala od list spamowych. Nie publikuj swojego adresu e-mail w witrynach publicznych. Utwórz adres e-mail, który jest mniej prawdopodobne, aby włączyć się do list spam. Na przykład, zamiast [email protected], użyj [email protected].

  • Jeśli wiadomość e-mail wygląda na rozsądną, skontaktuj się bezpośrednio z firmą, jeśli otrzymasz wiadomość e-mail z prośbą o weryfikację informacji. Wpisz adres firmy bezpośrednio na pasku adresu, a nie kliknij łącze. Lub zadzwoń do nich, ale nie używaj żadnego numeru telefonu podanego w wiadomości e-mail.

  • Nie podawaj danych osobowych wymaganych przez e-mail. Prawne firmy i agencje będą używać zwykłej poczty do ważnej komunikacji i nigdy nie będą prosić klientów o potwierdzenie loginu lub hasła poprzez kliknięcie na linki w e-mailu.

  • Przyjrzyj się uważnie adresowi internetowemu, do którego prowadzi łącze i wpisz adresy w przeglądarce dla firm, jeśli nie masz pewności.

  • Nie otwieraj załączników wiadomości e-mail, których nie oczekiwałeś. Nie otwieraj linków do pobierania w IM. I nie wpisuj danych osobowych w wyskakującym okienku lub e-mailu.

  • Upewnij się, że korzystasz z bezpiecznej witryny sieci Web podczas przesyłania informacji finansowych i poufnych.

  • Często zmieniaj hasła. Nie używaj tego samego hasła w wielu witrynach.

  • Regularnie loguj się do kont online, aby monitorować czynności i sprawdzać wyciągi.

  • Używaj oprogramowania antywirusowego, antyspamowego i zapory sieciowej, a także aktualizuj swój system operacyjny i aplikacje.

(Mój kolega Larry Magid ma więcej wskazówek i wywiad z Symantecem na temat unikania ataków typu phishing).

Co mogę zrobić, jeśli podejrzewam, że padłem ofiarą wyłudzania informacji?

Grupa robocza Anti-Phishing ma obszerną witrynę wyjaśniającą dokładnie, jakie kroki należy podjąć w zależności od rodzaju podawanych informacji.

Gdzie mogę zgłosić próby wyłudzenia informacji?

Możesz przesyłać podejrzane e-maile phishingowe na adres [email protected] i [email protected]. Firmy zazwyczaj mają adres do przekazania przykładów phishingu, takich jak "[email protected]". Zawsze dołączaj całą wiadomość e-mail dotyczącą phishingu. Skargi można składać w Centrum ds. Reklamacji Zbrodni internetowych w FBI.

Oto dodatkowe zasoby.

//apwg.org/consumer_recs.html

//www.irs.gov/newsroom/article/0,, id=154848, 00.html

//www.microsoft.com/mscorp/safety/technologies/antiphishing/guidance.mspx

Popularne Wiadomości

Jak udostępnić numer telefonu z iPhone'a na podstawowym telefonie

Jak automatycznie włączyć światła po powrocie do domu

Przeglądaj recenzje Sklepu Google Play według urządzenia lub wersji

Jak uczynić twoje transakcje Venmo prywatnymi

Zmotywuj się, rzucając wyzwanie swoim znajomym w Leap

10 rzeczy do rozważenia przy zakupie routera

 

Zostaw Swój Komentarz