Co to jest atak phishingowy?

Ilustracja skrawka papieru z polem nazwy użytkownika i hasła. Ale weź to! Jest na haku wędkarskim! Lol.

Phishing to zdecydowanie najczęstszy „hack” używany do kradzieży haseł, przejmowania kont i wchodzenia do systemów bez autoryzacji. Jest to głównie atak inżynierii społecznej, a nie prawdziwy hack w sensie technicznym. Z tego powodu o wiele trudniej jest się bronić.

Wyłudzanie informacji może odbywać się dowolnym kanałem: telefonicznie, pocztą elektroniczną, stroną internetową, a nawet osobiście. Krótko mówiąc, jest to próba nakłonienia Cię do ujawnienia tajemnicy (takiej jak hasło lub inne dane).

Słowo „phishing” odnosi się do terminu „łowienie ryb”, jak w „łowieniu haseł”, i prawdopodobnie jest to połączenie telefonu i połowów. Prawdopodobnie wiąże się to również z terminem wczesnego hakowania, phreakingiem, ponieważ phishing był już powszechną taktyką socjotechniki jeszcze przed powstaniem Internetu.

Symbol <>< był używany do oznaczania skradzionych lub phishingowych informacji na forach internetowych, ponieważ botom trudno było je wykryć lub zablokować, dzięki podobieństwu do prawidłowego kodu HTML.

Jak się bronić przed atakami phishingowymi

Rdzeniem każdego ataku phishingowego jest zazwyczaj niezdolność ludzi do łatwego uwierzytelnienia się. Systemy komputerowe również często nie są tworzone z myślą o problemach z uwierzytelnianiem i prawidłowe sprawdzenie schematów podpisów kryptograficznych wymaga znacznego wysiłku.

Phishing telefoniczny

Weryfikacja tożsamości dzwoniącego może być trudna. Numery wyświetlane na identyfikatorze dzwoniącego są łatwe do sfałszowania, więc nawet jeśli numer telefonu osoby upoważnionej jest znany lub zapisany w książce telefonicznej, nie ma gwarancji, że osoba po drugiej stronie linii jest tym, za kogo się podaje.

Tylko oddzwonienie na numer jest pewnym dowodem, że naprawdę należy do osoby dzwoniącej, ale nawet wtedy należy zweryfikować numer, wyszukując go w Internecie lub w książce telefonicznej. Możesz również uznać to za zweryfikowane, jeśli zostało zebrane osobiście, na przykład za pomocą wizytówki.

Banki, rządy lub sądy rzadko dzwonią do Ciebie z prośbą o podanie danych osobowych. Jeśli tak, poproś o nazwisko, tytuł i dział dzwoniącego, a następnie oddzwoń z publicznie dostępną i dostępną liczbą tej instytucji.

E-mail

Wiadomości phishingowe są zdecydowanie najczęstszym zagrożeniem. Atakujący będą wysyłać e-maile o uzasadnionym wyglądzie od instytucji finansowych, organizacji rządowych lub ogólnych programów, takich jak loterie, w celu nakłonienia użytkownika do odwiedzenia ich strony internetowej.

Osoby atakujące mogą na przykład założyć fałszywą witrynę bankową, która wygląda na wystarczająco rzeczywistą i zachęca użytkownika do podania danych osobowych. Taka witryna phishingowa może prosić o podanie haseł, danych karty kredytowej lub ogólnych danych osobowych do wykorzystania w programach kradzieży tożsamości.

Najsolidniejszym sposobem weryfikacji autentyczności jest PGP, choć skonfigurowało ją niewiele osób i witryn.

Z reguły nie należy klikać linków w wiadomościach e-mail, zwłaszcza nie w nieoczekiwanej korespondencji. Zamiast tego użytkownicy powinni przejść bezpośrednio do strony internetowej i postępować zgodnie z wyświetlanymi tam instrukcjami. Skorzystaj z formularzy na stronie, aby komunikować się z personelem wsparcia.

Strony internetowe

Witryny wyłudzające informacje mogą podszywać się pod witrynę regularnie odwiedzaną przez ofiarę. Można ich również po prostu oszukać użytkownika, aby zadzwonił na fałszywy numer obsługi klienta lub poprosił użytkowników o dane karty kredytowej, na przykład powiadamiając go o wygranej w loterii.

Ofiary witryn wyłudzających informacje są często kierowane do nich za pomocą czterech różnych kanałów:

  • E-maile: „Wymagana weryfikacja konta”.
  • Reklamy: „Jesteś szczęśliwym zwycięzcą!”
  • Kucanie literówek: googel.com zamiast google.com
  • Wyszukiwarki: „Szukałeś swojego banku, oto Twój„ bank ”

Aby uniknąć stania się ofiarą witryny wyłudzającej informacje, dobrze jest zawsze sprawdzać adresy URL witryn, które odwiedzasz, a najlepiej nawigować do nich tylko przy użyciu zapisanych zakładek.

Użycie sprzętowej metody uwierzytelniania dwuskładnikowego jest również doskonałym sposobem na ochronę przed phishingiem, chociaż nie wszystkie strony to oferują. Niektórzy menedżerowie haseł mogą również pomóc w identyfikacji witryn wyłudzających informacje, ponieważ automatycznie wypełnią hasła tylko w witrynach, które wcześniej uwierzytelnili.

Uważaj na swoje dane osobowe

E-maile wywierające nacisk na „weryfikację konta” lub „utrzymywanie konta otwartego” są prawie zawsze próbami phishingu mającymi na celu nakłonienie ofiar do kliknięcia linków i szybkiego wprowadzania informacji.

Odbierając takie wiadomości e-mail lub połączenia telefoniczne, zachowaj spokój i poczekaj, aż wrócisz do urządzenia, z którym czujesz się komfortowo, takiego jak komputer stacjonarny w domu lub główny smartfon.

Aby zmniejszyć podatność na ataki phishingowe, użyj zakładek, menedżerów haseł i sprzętowych tokenów uwierzytelniania dwuskładnikowego. Na koniec nie wahaj się weryfikować informacji i zawsze nie ufaj e-mailom, reklamom i rozmowom telefonicznym.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me