Apakah serangan phishing?

Satu ilustrasi sekeping kertas dengan medan nama pengguna dan kata laluan di atasnya. Tetapi dapatkan ini! Ia di cangkuk memancing! Lol.

Phishing adalah “hack” yang paling biasa digunakan untuk mencuri kata laluan, mengambil alih akaun, dan memasuki sistem tanpa kebenaran. Ini kebanyakannya serangan kejuruteraan sosial, bukannya perangkap sebenar dalam segi teknikal. Oleh itu, ia jauh lebih sukar untuk mempertahankan diri.

Phishing boleh berlaku melalui mana-mana saluran: melalui telefon, e-mel, laman web, atau bahkan secara peribadi. Pendek kata, ia merupakan cubaan untuk menipu anda untuk mendedahkan rahsia (seperti kata laluan anda atau mana-mana data lain).

Kata phishing merujuk kepada istilah memancing, seperti dalam “memancing untuk kata laluan,” dan mungkin portmanteau telefon dan memancing. Ia juga mungkin berkaitan dengan istilah penggodam awal, kerana phishing sudah menjadi taktik kejuruteraan sosial yang sama sebelum munculnya internet.

Simbol <>< digunakan untuk menandakan maklumat dicuri atau memalsukan forum dalam talian, kerana sukar untuk mengesan atau menyekatnya, berkat persamaannya terhadap kod HTML yang sah.

Bagaimana untuk mempertahankan serangan terhadap pancingan data

Inti dari serangan phishing biasanya adalah ketidakmampuan manusia untuk mengotentikasi dengan mudah. Sistem komputer juga sering tidak dibuat dengan masalah pengesahan dalam minda, dan memerlukan sejumlah besar usaha untuk mengesahkan skema tanda tangan kriptografi dengan betul..

Telefon phishing

Mengesahkan identiti pemanggil mungkin sukar. Nombor yang muncul pada ID pemanggil adalah mudah ditipu, jadi walaupun nombor telefon orang yang diberi kuasa diketahui atau disimpan di dalam buku telefon, tidak ada jaminan bahawa orang di sisi lain garis adalah siapa yang mereka katakan mereka.

Hanya memanggil semula nombor itu bukti pasti ia benar-benar milik penelepon, tetapi kemudian ia adalah penting untuk mengesahkan nombor dengan melihatnya di internet atau dalam buku telefon. Anda juga boleh menganggapnya disahkan jika ia dikumpulkan secara peribadi, contohnya melalui kad perniagaan.

Bank, kerajaan, atau mahkamah tidak akan pernah memanggil anda untuk meminta maklumat peribadi. Sekiranya mereka melakukannya, minta nama, tajuk, dan jabatan pemanggil, kemudian hubungi semula dengan nombor yang tersenarai dan tersedia oleh institusi tersebut.

E-mel

E-mel Phishing adalah ancaman yang paling biasa. Penyerang akan menghantar e-mel yang sah dari institusi kewangan, organisasi kerajaan, atau skim generik seperti loteri untuk menipu pengguna untuk melawat laman web mereka.

Penyerang mungkin membuat laman web perbankan palsu, sebagai contoh, yang kelihatan cukup nyata dan akan meminta pengguna memasukkan maklumat peribadi. Laman phishing seperti itu mungkin meminta kata laluan, butiran kad kredit, atau maklumat peribadi generik untuk digunakan dalam skim kecurian identiti.

Cara yang paling kukuh untuk mengesahkan kesahihan ialah PGP, walaupun beberapa individu dan tapak telah menubuhkannya.

Sebagai peraturan, seseorang tidak sepatutnya klik pautan dalam e-mel, terutamanya bukannya dalam surat-menyurat yang tidak dijangka. Sebaliknya, pengguna harus menavigasi ke laman web secara langsung dan ikuti arahan di sana. Gunakan borang di laman web untuk berkomunikasi dengan kakitangan sokongan.

Laman web

Laman Phishing boleh meniru tapak yang sering dikunjungi mangsa. Mereka mungkin juga hanya digunakan untuk menipu pengguna untuk memanggil nombor sokongan pelanggan palsu atau untuk mendapatkan maklumat kad kredit daripada pengguna, contohnya, dengan memberitahu mereka tentang jackpot loteri.

Mangsa laman pancingan data sering disalurkan ke laman web menggunakan empat saluran berbeza:

  • E-mel: “Pengesahan akaun diperlukan.”
  • Iklan: “Anda pemenang bertuah!”
  • Typo-squatting: googel.com bukan google.com
  • Enjin carian: “Anda mencari bank anda, di sini ialah bank anda”

Untuk mengelakkan menjadi mangsa kepada tapak pancingan data, adalah ide yang baik untuk selalu memeriksa URL tapak yang anda lawati dan, dengan ideal, hanya menavigasi ke mereka menggunakan penanda halaman yang disimpan.

Menggunakan kaedah pengesahan dua faktor perkakasan juga merupakan cara terbaik untuk melindungi diri anda dari phishing, walaupun tidak semua laman web menawarkan ini. Sesetengah pengurus kata laluan juga boleh membantu anda mengenal pasti tapak pancingan data, kerana ia hanya akan mengisi kata laluan anda secara automatik ke tapak yang sebelumnya telah disahkan.

Berhati-hati dengan maklumat peribadi anda

E-mel yang menekan anda untuk “mengesahkan akaun anda” atau untuk “menyimpan akaun anda terbuka” hampir selalu percubaan phishing yang dimaksudkan untuk memberi tekanan kepada mangsa untuk mengklik pautan dan memasukkan maklumat dengan tergesa-gesa.

Apabila menerima e-mel atau panggilan telefon sedemikian, bertenang dan menunggu sehingga anda kembali pada peranti yang anda selesa dengan, seperti komputer desktop anda di rumah atau telefon pintar utama anda.

Untuk mengurangkan kerentanan terhadap serangan pancingan data, gunakan penanda halaman, pengurus kata laluan, dan perkakasan token pengesahan dua faktor. Dan akhirnya, jangan teragak-agak untuk mengesahkan maklumat, dan sentiasa mempercayai e-mel, iklan, dan panggilan telefon.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me