Ako rozpoznať phishingové e-maily

Ak ste dostali e-mail od Interné daňové služby alebo Federálnej poisťovne pre poistenie vkladov, je pravdepodobné, že to bol pokus o neoprávnené získavanie údajov. Ak ste dostali e-mail od svojej banky, PayPal alebo Facebook, ktorý vás vyzýva, aby ste okamžite overili informácie alebo riziko, že váš účet bude pozastavený, bolo to nepochybne phishing.

Phishingové útoky sa v tomto roku zhoršili, podľa nedávnych správ. Pracovná skupina pre boj proti neoprávnenému získavaniu údajov (phishing) tvrdí, že v prvej polovici roka 2009 došlo k viac ako 55 600 pokusom o phishing. Phishing je obzvlášť nebezpečný, pretože akonáhle zločinci získajú heslo obete pre jednu webovú lokalitu, často ju môžu používať na prístup do iných účtov, kde ľudia opätovne použili heslo.

A každý môže byť ohrozený. Manželka riaditeľa FBI Robertom Muellerom ho zakázala robiť on-line bankovníctvo, keď sa priblížil k pokusu o phishing.

Tu sú niektoré základné informácie, ktoré môžu pomôcť ľuďom vyhnúť sa podvádzaniu útokmi typu phishing.

Čo je phishing?

Phishing je pokus, zvyčajne prostredníctvom e-mailu, aby sme ľudí popudili tak, že odhalili citlivé informácie, ako sú používateľské mená, heslá a údaje o kreditných kartách, a to predstieraním, že sú bankou alebo inou legitímnou entitou. E-maily zvyčajne obsahujú odkaz na webovú stránku, ktorá sa javí byť legitímna a ktorá vyzve používateľov, aby poskytli informácie. E-mail s neoprávneným získavaním údajov niekedy obsahuje formulár v prílohách, ktorý vyplní. Jedným z bežných taktických phishers použitie je predstierať, že je z podvodu oddelenia finančnej inštitúcie alebo on-line predajcu, ako je PayPal a požiadať o informácie, ktoré majú byť poskytnuté, aby sa zabránilo podvodu identity. V jednom prípade sa phishingový e-mail, ktorý údajne pochádza od štátnej lotérie, spýtal príjemcov na ich bankové informácie, aby ich "výhry" mohli byť uložené na ich účtoch.

Phishers tiež čoraz viac využívajú záujem o spravodajstvo a iné populárne témy, aby ľudí napáchali na klikanie na odkazy. Jeden e-mail údajne o prasacej chrípke požiadal ľudí, aby poskytli svoje meno, adresu, telefónne číslo a ďalšie informácie ako súčasť prieskumu o chorobe. A užívatelia sociálnych sietí sa stávajú obľúbenými cieľmi. Používatelia v službe Twitter boli presmerovaní na falošné prihlasovacie stránky.

Útočníci sa tiež obracajú na okamžité zasielanie správ, aby ľudí pritiahli do svojich pascí. V jednom nedávnom podvode bol cez prehliadač spustený live chat. Scammer komunikoval s obeťami prostredníctvom okna rozhovoru, predstiera, že je z banky a žiada ďalšie informácie.

Aké sú ďalšie nedávne príklady útokov typu phishing?

  • Nedávny podvod z elektronickej pošty vyzýva zákazníkov služby PayPal, aby poskytli dodatočné informácie alebo riziko, že ich účet zruší kvôli zmenám v zmluve o poskytovaní služieb. Príjemcovia sú vyzvaní k kliknutiu na hypertextový odkaz, ktorý hovorí "Získajte overené!"

  • E-maily, ktoré vyzerajú, že pochádzajú z FDIC, obsahujú predmetovú líniu, ktorá hovorí "skontrolujte krytie poistenia vkladov v bankách" alebo "FDIC oficiálne pomenovala vašu banku zlyhanú banku". E-maily obsahujú odkaz na falošnú stránku FDIC, kde sú návštevníci vyzvaní na vyplnenie formulárov. Kliknutím na odkaz na formulár si stiahnete vírus Zeus, ktorý je určený na ukradnutie bankových hesiel a ďalších informácií.

  • E-maily, ktoré vyzerajú, že pochádzajú z IRS, informujú príjemcov o tom, že majú nárok na vrátenie daní a že tieto peniaze môžu byť požadované kliknutím na odkaz v e-maile. Odkaz nasmeruje návštevníkov na falošnú stránku IRS, ktorá požaduje osobné a finančné informácie.

  • Legitímne vyzerajúci e-mail v službe Facebook vyzýva ľudí, aby poskytli informácie na pomoc sociálnej sieti pri aktualizácii systému prihlásenia. Kliknutím na tlačidlo "aktualizácia" v e-maile sa užívatelia dostanú na falošnú obrazovku prihlásenia do Facebooku, kde je vyplnené užívateľské meno a návštevníkom sa zobrazí výzva na zadanie hesla. Keď je heslo zadané, ľudia skončia na stránke, ktorá ponúka "nástroj na aktualizáciu", ale ktorá je vlastne Zeus bank Trojan.

Aké sú príznaky pokusu o neoprávnené získavanie údajov?

Mnoho pokusov o neoprávnené získavanie údajov pochádza z krajín mimo USA, takže často majú nesprávne napísané slová a gramatické chyby. Niektorí majú naliehavý tón a hľadajú citlivé informácie, ktoré oprávnené spoločnosti zvyčajne nepožadujú prostredníctvom e-mailu.

Čo by som mal hľadať v e-maile?

Skontrolujte informácie o odosielateľovi a zistite, či to vyzerá legitímne. Zločinci vyberú adresy, ktoré sú podobné tým, ktoré predstierajú. Napríklad phishers použili "[email protected]". Avšak legitímne správy PayPal v USA pochádzajú z [email protected] a obsahujú ikonu kľúča. Väčšina e-mailov typu phishing pochádza z krajín mimo USA, takže adresa končiaca ".uk" alebo niečo iné ako ".com" by uveďte, že ide o pokus o neoprávnené získavanie údajov.

E-mailová adresa môže byť tiež zakrytá. Stlačenie "odpovedať všetkým" môže odhaliť skutočnú e-mailovú adresu. Môžete tiež nastaviť predvoľby e-mailu, aby sa zobrazila úplná hlavička, aby ste videli celú e-mailovú adresu a ďalšie informácie. Ak si nie ste istí, či e-mail je legitímny, navštívte webovú stránku spoločnosti a pozrite si uvedenú adresu.

Legitímne spoločnosti majú tendenciu používať mená zákazníkov alebo užívateľské mená v elektronickej pošte a banky často obsahujú časť čísla účtu. Phishingové e-maily zvyčajne ponúkajú všeobecné pozdravy, ako napríklad "Drahý zákazník služby PayPal".

Skontrolujte hypertextové odkazy vo vnútri tela e-mailu. Phishers zvyčajne použijú subdomény alebo písmená alebo čísla pred názvom spoločnosti a niekedy slová v odkazoch sú nesprávne zadané. Napríklad www.BankA.security.com odkazuje na sekciu 'BankA' na webových stránkach 'security'. Často je ťažké zistiť, či je odkaz legitímny len tým, že sa na ne pozeráte. Pri posúvaní cez odkaz môžete vidieť skutočnú adresu na spodku väčšiny webových prehliadačov.

Okrem toho, PayPal, Amazon, banky a mnoho ďalších firiem používajú protokol SSL (Secure Sockets Layer), ktorý je navrhnutý tak, aby zákazníci navštívili skutočnú stránku. To znamená, že // bude vidieť v paneli s adresou URL namiesto len // a zvyčajne dôjde k nejakej inej zmene v paneli s adresou. Napríklad, PayPal zobrazí "P" a jeho názov je zvýraznený zelenou farbou na prednej strane adresy URL. Hlavné prehliadače majú antiphishingové opatrenia určené na detekciu škodlivých lokalít. Niektorí phiseri sa tiež pokúšajú skryť skutočnú webovú adresu, na ktorú zasielajú obete, pomocou služieb skrátenia adries URL.

Ak má e-mail prílohu, buďte opatrní .exe súbory. Podvodníci chcú skryť vírusy a iný škodlivý softvér, takže sa spúšťajú pri otvorení.

Nenechajte sa zmiasť vzhľadom na web, na ktorý by ste mohli byť nasmerovaní. Webová stránka môže vyzerať rovnako ako skutočná banka alebo stránka PayPal, vrátane používania skutočných log a značky. Mohlo by to byť dobrá falošná stránka, alebo by mohla byť legitímna stránka s pop-up oknom na úrovni phishingu.

Ako sa dá vyhnúť útokom typu phishing?

  • Snažte sa zostať mimo zoznamov spamov. Neukladajte svoju e-mailovú adresu na verejné stránky. Vytvorte e-mailovú adresu, ktorá je menej pravdepodobné, že sa dostane do zoznamu nevyžiadanej pošty. Napríklad namiesto [email protected] použite [email protected].

  • Ak e-mail vyzerá primerane, obráťte sa priamo na spoločnosť, ak dostanete e-mail s požiadavkou na overenie informácií. Napíšte adresu firmy priamo do adresového riadku, a nie kliknite na odkaz. Alebo ich zavolajte, ale nepoužívajte žiadne telefónne číslo uvedené v e-maile.

  • Neposkytujte osobné údaje požadované prostredníctvom e-mailu. Legitímne spoločnosti a agentúry budú používať bežnú poštovú zásielku na dôležité komunikácie a nikdy nežiadajú od zákazníkov, aby potvrdili prihlásenie alebo heslá kliknutím na odkazy v e-maile.

  • Pozrite sa pozorne na webovú adresu, na ktorú odkaz smeruje, a zadajte adresy v prehliadači pre firmy, ak si nie ste istí.

  • Neotvárajte prílohy e-mailov, ktoré ste neočakávali. Neotvárajte odkazy na stiahnutie v aplikácii IM. A nezadávajte osobné údaje v kontextovom okne alebo e-maile.

  • Počas odosielania finančných a citlivých informácií sa ubezpečte, že používate bezpečný web.

  • Heslo často meniť. Nepoužívajte rovnaké heslo na viacerých stránkach.

  • Pravidelne sa prihláste do on-line účtov, aby ste sledovali činnosť a kontrolovali výkazy.

  • Používajte antivírusový softvér, antispam a softvér brány firewall a aktualizujte operačný systém a aplikácie.

(Môj kolega Larry Magid má viac tipov a podcastový rozhovor so spoločnosťou Symantec o vyhýbaní sa útokom typu phishing.)

Čo mám robiť, ak si myslím, že som bol obeťou phishingu?

Pracovná skupina pre boj proti neoprávnenému získavaniu údajov obsahuje komplexné webové stránky, ktoré vysvetľuje presne to, aké kroky by mali ľudia podniknúť na základe informácií, ktoré poskytli.

Kde môžem oznámiť pokusy o neoprávnené získavanie údajov?

Môžete presmerovať podozrivé e-maily s phishingom na adresu [email protected] a [email protected]. Spoločnosti majú zvyčajne adresu na odosielanie príkladov neoprávneného získavania údajov, napríklad "[email protected]". Vždy zahrňte celý phishingový e-mail. Reklamácie je možné podať na internetovom stredisku pre kriminalitu na internete v FBI.

Tu sú ďalšie zdroje.

//apwg.org/consumer_recs.html

//www.irs.gov/newsroom/article/0,, id=154848, 00.html

//www.microsoft.com/mscorp/safety/technologies/antiphishing/guidance.mspx

Populárne Príspevky

Sledujte videá služby YouTube v bočnom paneli prehliadača Firefox pomocou funkcie Side Watch

Ako nastaviť klávesové skratky pre väčšinu prehrávačov médií Windows

Ako používať novú funkciu bezpečnostnej kontroly služby Facebook

8 nových funkcií v aplikácii WatchOS 4, o ktorých potrebujete vedieť

Ako aktualizovať Twitter alebo Facebook so Siri

Tip dňa: odosielanie aktualizácií Twitter na Facebook

 

Zanechajte Svoj Komentár