Karaniwang mga scam sa phishing at kung paano makilala at maiwasan ang mga ito

Mga pham scam
Ang Phishing ay isang paraan na ang mga magnanakaw ng identidad, scammers at fraudsters ay nakawin ang impormasyon. Ginagawa nila ito sa pamamagitan ng paggamit ng social engineering o panlilinlang. Ang layunin ay upang linlangin ka sa paghahayag ng pagiging kompidensiyal o personal na impormasyon na maaaring magamit para sa mapanlinlang na mga layunin, tulad ng pagnanakaw ng pagkakakilanlan..

Kailangan nilang makakuha ng sapat na impormasyon upang magkatulad o palitan ka, sa virtual na mundo ng internet o sa isang modernong bangko. Ang impormasyong ito ay maaaring maging pangunahing bilang iyong buong ligal na pangalan, numero ng seguridad sa lipunan at adres sa bahay. Maaari rin itong makakuha ng malalim na bilang ng mga numero ng bank account, mga kredensyal sa pag-login sa online banking, pangalan ng pagkadalaga ng iyong ina at maaari ring isama ang mga lihim na katanungan at sagot para sa iyong online banking o PayPal account.

Ang iba’t ibang uri ng Phishing

Mayroong maraming mga iba’t ibang mga uri ng phishing na naglalayong sa iba’t ibang mga pangkat. Ang pinaka-karaniwang uri ng phishing ay isang simpleng email na nag-aangkin na mula sa isang tao na maaaring nangangailangan ng impormasyon mula sa iyo upang maisakatuparan ang isang bagay na kapaki-pakinabang sa iyo. May mga pag-angkin ng mga pondo na kailangang ilipat sa iyong bank account, mga multa na kailangang bayaran upang mapanatili ka mula sa bilangguan, mga kahilingan para sa mga dokumento sa buwis at pinansiyal o tungkol sa anumang bagay na magreresulta sa iyo sa pagpapadala sa attacker kahit ano sila humihingi ng. Bukod sa pangkalahatang pag-atake, narito ang ilan pang mga target na variant ng pag-atake sa phishing.

Spear Phishing

Ang Spear Phishing ay isang target na form ng phishing. Sa isang sibat na pag-atake ng phishing ang nagsasalakay ay may ilang impormasyon tungkol sa iyo bago ka magpadala sa iyo ng anuman. Sinusubaybayan nila ang presensya ng iyong social media upang makita kung may nai-post ka tungkol sa mga kamakailang pagbili. Inaalagaan nila ang anumang banggitin ng mga online na nagtitingi na iyong ipinagbili, mga produktong binili online o kahit na mga site sa pakikipag-date.

Kung nag-tweet ka na binili mo lang ang pinakabagong iWatch mula sa Best Buy, mayroon silang pain para sa kanilang bitag. Dahil pinapanood na nila ang presensya ng iyong social media, medyo alam nila ang tungkol sa iyo, tulad ng iyong pangalan at marahil ang lungsod na nakatira mo para sa mga nagsisimula.

Pagkatapos ay maaari nilang gamitin ang kanilang kaalaman sa iyo upang likhain ang isang email na nag-aangkin na mula sa Best Buy. Maaaring i-claim ng email na ito na mayroong problema sa iyong credit card para sa iyong kamakailang pagbili at kailangan mong punan ang kanilang online form upang mapatunayan ang iyong impormasyon sa card. O, maaari nilang i-claim na isang kaibigan mo na nais malaman kung na-install mo na ito talagang cool na app para sa iyong bagong iWatch. Kung hindi, mayroon silang isang simpleng form ng pagpaparehistro handa na para sa iyo upang punan upang makuha ang app. Maaari rin silang magpanggap na isang tao mula sa dating site na nagsasabing ang iyong profile ay kailangang makumpleto bago ka makakuha ng anumang mga pananaw.

Ang mga posibilidad ay halos walang katapusang narito at maaari, tulad ng iniulat namin nang mas maaga sa taong ito, kasama ang blackmail.

Whaling, o CEO Phishing

Dahil ang buong punto sa phishing ay upang makakuha ng hindi awtorisadong pag-access sa impormasyon, bakit hindi phish ang mga may hawak ng mga susi sa karamihan ng impormasyon. Ang mga pag-atake na nag-target ng mga mataas na antas ng executive sa mga korporasyon ay ginagawa ito upang makakuha ng pag-access sa email account ng isang taong may awtoridad. Sa buong pag-access sa account na iyon maaari silang makakuha ng access sa impormasyon ng anumang empleyado, simulan ang mapanlinlang na mga paglilipat ng kawad o nasira sa halos anumang departamento ng kumpanya.

Hindi maraming mga tao ang dobleng suriin upang matiyak na talagang kailangan ng VP ng mga benta ang lahat ng mga file ng HR sa buong pangkat ng benta. Realistically, kailan ang huling oras na sumagot ka sa isang direktoryo mula sa iyong boss na may “Talaga? Sigurado ka bang kailangan mo iyon? ” Hindi lang ito mangyayari.

Kaugnay: Ang pandaraya ng CEO at kung paano maiwasan ito.

W2 Phishing

Ang isang mas naka-target na bersyon ng whaling ay kapag ang isang nagsasalakay ay gumagamit o nasisira ang email account ng ehekutibo para lamang makuha ang mga W2 ng mga empleyado, o ang W9 ng mga kontratista. Ang panahon ng buwis ay ang pinakamasama oras para sa mga ganitong pag-atake, dahil ang karamihan sa mga kagawaran ng payroll ng kumpanya ay ginagamit upang matanggap ang mga ganitong uri ng mga kahilingan.

Ang mga kahilingan na ito ay hindi na kailangang magmula sa isang executive ng kumpanya. Maaari silang maiiwasan upang magmula sa IRS, ang gumagawa ng isang tiyak na tatak ng tanyag na software ng buwis o kahit na mula sa isang tanggapan ng CPA. Ang mga pinaka-epektibo ay lumilitaw na nagmula sa isang mataas na antas ng ehekutibo sa loob ng kumpanya, ngunit ang lumilitaw na nagmula sa IRS ay maaaring makintal ng sapat na takot upang maiwasan ang masusing pagsisiyasat..

Phishing upang maghatid ng ransomware

Noong 2016 tinatantiya na siyamnapung porsyento ng mga phishing emails ang nagdala ng ilang anyo ng ransomware. Habang ang layunin ng phishing ay upang makakuha ng pag-access sa impormasyon, ang mga umaatake ay nagsisimula na mag-bundle ng isang package ng ransomware upang maiahon ang kanilang kita mula sa mga pag-atake na ito.

Ang tunay na nakakapang-api na bahagi dito ay ang paniniwala sa gitna ng mga umaatake na ang sinumang madaling mapili upang mabiktima sa phishing ay malamang na magbabayad ng pantubos kapag ang kanilang mga file at larawan ay nakakandado. Sa kasamaang palad, ang mga istatistika sa dulo ng artikulong ito ay sumusuporta sa paniniwala na ito.

Pagnanasa

Sa pagtaas ng katanyagan ng mga teknolohiya ng Voice over IP (VoIP), kinuha ng ilang mga phisher sa simpleng pagtawag sa mga tao upang subukang mag-phish para sa kanilang impormasyon. Ang isang VoIP server ay maaaring maging setup upang gayahin ang tungkol sa anumang nilalang na nais ipahiwatig ng isang phisher, mula sa isang bangko sa isang sangay ng gobyerno. Ang langit talaga ang hangganan dito.

Ang kakayahang baguhin ang impormasyon ng tumatawag ID na ibinigay ng server na sinamahan ng kakayahang piliin kung aling area code ang tinawag ng server mula gawin itong paglalaro ng bata para sa isang scammer upang magpanggap na ibang tao sa telepono. Ang kadahilanan sa dami ng pag-outsource sa mga araw na ito at hindi nila kailangang magkaroon ng Ingles bilang kanilang unang wika na maging matagumpay sa margin na ito.

Tingnan din: Ano ang vishing at kung paano maiwasan ito.

SMiShing

Ayon sa isang ulat mula 2010, 90 porsyento ng mga text message ang binabasa sa loob ng tatlong minuto ng pagtanggap, at 99 porsyento ng mga text message ang binabasa. Hindi kataka-taka na ang pagmemensahe ng SMS ay naging isa pang vector para sa mga scammers na mai-target ang mga biktima.

Tulad ng anumang iba pang kampanya sa phishing, ang scammer ay nagpapadala ng isang malaking mensahe ng teksto sa daan-daang o kahit libu-libong mga numero ng telepono na may mga pag-aangkin tulad ng “Ang iyong credit / debit card ay na-deactivate dahil sa kahina-hinalang aktibidad. Mangyaring tawagan ang aming walang bayad na numero upang mapatunayan ang iyong mga detalye. ” o “Napili ka upang manalo ng $ 1,000 spree shopping. Maging isa sa unang 100 mga bisita sa webpage na ito upang maangkin ang iyong premyo. ” Muli, ang mga taktika ay naglalayong makakuha ng isang mabilis na tugon at upang mangolekta ng mas maraming impormasyon tungkol sa biktima hangga’t maaari.

Kaugnay: Ano ang SMiShing at kung paano ito maiiwasan.

Ano ang mga pinaka-karaniwang taktika para sa pag-atake sa Phishing?

Ang pinakakaraniwang taktika na nagtatrabaho ay naihatid sa pamamagitan ng email, kasama ang mga email na nagpapanggap na mula sa PayPal, isa sa mga malalaking bangko, o kahit mula sa FBI, CIA o Kagawaran ng Homeland Security, upang pangalanan ang iilan. Ang mga email ay naglalaman ng lahat ng mga opisyal na naghahanap ng mga logo para sa nilalang na ipinapahiwatig, ngunit naglalaman ng dalawang napakahalagang giveaways:

  1. Magkakaroon ng isang malakas na pakiramdam ng kagyat na hinihiling sa iyo upang kumilos kaagad upang maiwasan ang isang bagay na kakila-kilabot na mangyari sa iyo, tulad ng pag-agaw ng asset, pag-lock ng account o kahit na pag-aresto
  2. Magkakaroon sila ng isang naka-attach na file na kailangan mong punan o isang link sa isang website na may mga patlang ng personal na impormasyon para sa iyo upang punan

Tandaan na ang layunin ng isang phisher ay upang mangolekta ng impormasyon na hindi mo ibibigay sa kahit sino. Upang gawin iyon, kailangan nilang isipin na nakikipag-ugnayan ka sa isang tao na may awtoridad at mayroon silang isang wastong dahilan sa pagkolekta ng impormasyong ito.

Mga halimbawa:

  1. Nagpadala sa iyo ang PayPal ng isang email na nagsasabi na nakita nila ang kahina-hinalang aktibidad sa iyong account. Bilang isang kagandahang-loob, na-lock nila ang iyong account hanggang sa oras na nagbibigay ka ng sapat na impormasyon upang mapatunayan na ikaw ang karapat-dapat na may-ari ng account na pinag-uusapan. Ang paraan mo gawin ito ay alinman sa pamamagitan ng pagpuno ng nakalakip na form at pag-click sa pindutan ng “Isumite” o sa pamamagitan ng pagtugon sa kanilang email na may mga sagot sa isang listahan ng mga katanungan, tulad ng “ano ang pangalan ng pagkadalaga ng iyong ina?” at “anong bangko ang ginagamit mo para sa iyong personal na pagsuri?” at “ano ang iyong mga numero ng account sa bangko para sa lahat ng iyong kasalukuyang mga account?”
  2. Napansin ng Wells Fargo ang ilang mga kahina-hinalang aktibidad sa iyong credit card at na-lock ang iyong account. Upang i-unlock ang iyong mga pondo, kakailanganin mong punan ang nakalakip na dokumento at i-email ito muli sa kanila gamit ang link na ibinigay sa dokumento
  3. Sinubaybayan ng FBI ang ilegal na aktibidad sa IP address ng iyong computer. Kung hindi mo pinupunan ang nakalakip na form at remit bail (karaniwang isang bitcoin) isang warrant ang ibibigay sa iyong lokal na ahensya ng pagpapatupad ng batas upang mahuli ka at hawakan ka hanggang sa iyong pagsubok.
  4. Nanalo ka ng isang loterya na hindi mo binili ng isang tiket para sa.

Ang mga website ng phishing ay isa ring epektibong paraan upang makakuha ng hindi nagtatakot na mga gumagamit na magsumite ng impormasyon na karaniwang hindi nila binibigyan. Ang mga ito ay maaaring maging pekeng mga pahina ng pag-login na idinisenyo upang eksaktong maging katulad ng isang tanyag o karaniwang kumpanya. Ayon kay Symantec, ang mga gumagamit ng isang tanyag na serbisyo sa pag-iimbak ng file ng ulap, ang Dropbox, ay iniharap sa isang pekeng pahina ng pag-login na na-host ng parehong kaparehong serbisyo ng imbakan ng ulap.

Ang isang talagang kumplikadong bersyon ng taktika na ito ay ginagamit upang makuha ang mga kredensyal sa pag-login ng gumagamit, na naitala sa pamamagitan ng pekeng pag-login na pahina sa payak na teksto para magamit sa pag-atake. Ang browser ng gumagamit ay pagkatapos ay nai-redirect sa pahina ng pag-login ng totoong site kasama ang isinumite na mga kredensyal. Ang pangkalahatang epekto ay ang gumagamit ay naka-log in nang walang anumang pag-sign na ang kanilang impormasyon ay ninakaw lamang.

Pagkatapos, ang magsasalakay ay maaaring, sa kanilang paglilibang, mag-log in sa account ng gumagamit at magkaroon ng paraan. Maaari rin nilang subukan ang mga parehong kredensyal laban sa iba pang mga online na serbisyo upang makita kung ang gumagamit ay pinag-uusapan na ginamit ang parehong username at kumbinasyon ng password kahit saan pa, tulad ng Gmail, Yahoo !, eBay o lahat ng mga pangunahing online banking sites.

Ang internet ay hindi lamang daluyan para sa phishing. Sa pagtaas ng katanyagan ng smartphone, ang paggamit ng mga mensahe ng SMS at tawag sa telepono sa mga mobile number na may mga kahilingan para sa impormasyon ay tumaas din. Posible para sa isang umaatake na baguhin ang tumatawag ID upang ipakita ang maling impormasyon o kahit na gumamit ng isang numero ng telepono ng VoIP na may isang local code sa lokal na potensyal na biktima.

Pagkatapos ay maaari nilang i-claim na isang bangko, ang kanilang credit card processor o kahit na ang lokal na pagpapatupad ng batas. Tulad ng mga ito sa negosyo ng mga nanloloko, walang pag-angkin ng labis na galit, hangga’t ito ay gumagana.

Paano maiwasan ang pag-hook

Una, huwag mag-panic. Hindi mahalaga kung ano ang sinabi ng email, tawag sa telepono o website, hindi ito masama. Kung ito ay, hindi ka makakatanggap ng paunawa tungkol sa pamamagitan ng paunang naitala na mensahe sa isang tawag sa telepono, email o mula sa isang pop-up ad habang online.

Kapag nakita ni Wells Fargo ang kahina-hinalang aktibidad sa iyong account, ang kanilang normal na patakaran ay upang tanggihan ang kahina-hinalang transaksyon at ang isang pangkat ng kanilang pag-iwas sa pandaraya ay magbibigay sa iyo ng isang tawag, sa telepono, upang malaman kung ito ay isang lehitimong pagbili.

Paminsan-minsan ay nag-freeze ang PayPal ng mga account kapag may mga problema, ngunit hindi ka nila padadalhan ng isang kalakip upang punan at bumalik sa kanila. Hinding-hindi ka nila hilingin sa iyo ng mga detalye tulad ng pangalan ng dalaga ng iyong ina, maliban na siguro bilang isang lihim na tanong para sa nalimutan mo ang iyong password.

Ang FBI ay may isang reputasyon sa pag-shut down ng mga iligal na website at palitan ang kanilang home page ng isang babala na pahina ng kanilang sarili. Gayunpaman, ang pagbisita sa isa sa mga site na iyon ay hindi isang ilegal na aktibidad, kaya hindi ka maaaring mabayaran ng multa para sa pagbisita sa isang website.

Kung ang email ay naglalaman ng isang link, mapupunta ito sa kanilang pangunahing home page o maaaring sa isang pahina ng pag-login. Upang suriin ang link, ilagay lamang ang iyong mouse arrow sa link, ngunit huwag mag-click dito. Kapag ang iyong arrow arrow “hovers” sa isang link isang maliit na pop-up ay lilitaw sa ilalim ng window na nagpapakita kung saan pupunta ang link na iyon.

Dahil nakikita mo ang PayPal sa mga asul na titik na may salungguhit sa katawan ng email, hindi nangangahulugan na ang website na magbubukas ay magiging PayPal. Maaari itong maging “Mga Sikat na Rip Off at Scams, ni Bob,”

Ang mga link na ipinahiwatig na point sa URL sa ibaba

Sa mga mobile device, habang binabasa ang email maaari mong pindutin at hawakan ang isang link sa loob ng email upang makita kung saan ito pupunta. Magkakaroon ka ng pagpipilian ng pagkopya ng URL, buksan ito sa default na browser ng iyong aparato o kanselahin ang pagpili.


Minsan, ang URL ay maaring gumamit ng mga site tulad ng bit.ly. Ang mga site na tulad nito ay nilalayon para sa paikliin ang mga URL para sa pag-angkop sa mga tweet o mga micro-blog na post kung saan mayroon kang isang limitadong halaga ng mga character para sa iyong post. Walang dahilan upang itago ang patutunguhang URL para sa isang lehitimong sulat sa pamamagitan ng email.

Para sa mga mapanlinlang na website, ang mga pangunahing bagay upang suriin ay ang aktwal na address ng site, ang pagkakaroon ng isang sertipiko ng seguridad at ang bisa ng anumang naturang sertipiko.

Ang berdeng icon ng padlock sa itaas na halimbawa ay nagpapakita na ang URL na ipinakita sa address bar ay tumutugma sa URL na naka-embed sa sertipiko ng seguridad at na ang sertipiko ng seguridad ay nagmula sa isang kagalang-galang tagapagkaloob ng sertipiko. Maaari kang magbasa nang higit pa sa kung paano makilala ang mga secure na website dito.

Sa kaso ng mga email na partikular, nakakatulong upang malaman kung paano suriin ang mga detalye ng header ng email, lalo na sa anumang email na tumatawag para sa agarang pagkilos. Kahit na ang mga bagay-bagay mula sa iyong boss ay dapat i-double check, upang maging nasa ligtas na panig. Magugulat ka sa kung gaano kadali para sa isang phisher na “maninira” ng isang email address na pagmamay-ari ng isang taong kilala mo at pinagkakatiwalaan. Ito ay higit pa sa isang pag-atake sa phishing, ngunit mas madali pa ring hilahin.

Kung ang email ay naglalaman ng isang link na mukhang lehitimo, nais mo pa ring maiwasan ang pag-click dito o pagbubukas ng anumang mga kalakip. Ang mga malalaking kumpanya tulad ng PayPal at mga pangunahing bangko ay hindi nagpapadala ng mga email na may mga kalakip. Sa halip, ang anumang mahahalagang dokumento ay maipapadala sa pamamagitan ng mail na suso o nakakabit sa iyong online account. Ang kanilang mga email ay ipapaalam lamang sa iyo na mayroong isang mensahe para sa iyo at hinihikayat ka na mag-log in sa iyong account upang malaman kung ano ang naglalaman ng mensahe na iyon.

Gayundin, tandaan kung sino ang tinutukoy ng email. Kung ito ay lehitimong mula sa iyong bangko o sinumang mayroon ka talagang account, mai-address ito sa iyo. Hindi sa “Mahal na Pinahahalagahan ng Customer” o “Mahal na Sir o Madam” o kahit “Mahal na Account Holder”.

Bagaman totoo na nagkaroon ng napakalaking data na tumutulo ng mga account, karamihan sa mga phisher at scammers ay hindi nag-abala sa pagbili ng mga database na ito. Umaasa sila sa higit na napapanahong mga pamamaraan dahil, ang nakakalungkot na katotohanan ng bagay ay, gumagana pa rin sila.

Ang pagbubukod sa ito ay sa kaso ng sibat phishing. Tatalakayin sa iyo ang mga email na iyon dahil partikular na naka-target sa iyo ang ph phisher. Huwag masyadong mag-paranoid tungkol dito. Marahil ay sinusubaybayan nila ang ilang daang tao na naghihintay lamang sa kanila na mag-post ng isang bagay, sa isang lugar na maaaring magamit bilang pain.

Kahit na makabalik lamang sila ng isang porsyento, daan-daang mga pagkakakilanlan man o kahit na ang mga credit card na ninakaw na maaari nang ibenta sa madilim na web, na ginamit upang buksan ang mga linya ng kredito, tumatakbo ang labis na galit na mga singil sa umiiral na mga linya ng kredito o kahit na target ang mga ito para sa iba pang mga scam tulad ng ngayon kamangmangan sa Nigerian 419.

Isang Buod ng Mga pulang Bandila / Mga Palatandaan ng Panganib

  • Ang isa sa mga pinakamalaking pulang watawat na maaaring magpahiwatig ng isang posibleng pag-atake sa phishing ay isang maling salita o masamang grammar. Ang lahat ng mga entidad na ginagaya ng mga scammers na ito ay gumamit ng mga propesyunal na manunulat at editor upang matiyak na ang kanilang pagsulatan at pagkakaroon ng web ay walang mga typos at tama ang gramatika. Kung maaari mong makita ang isang error, ang mga logro ay napakahusay na ang email ay hindi nagmula sa kumpanya na sinasabing nagmula ito o na ang website ay hindi talagang kumakatawan sa kumpanya na nakalista. Kung hindi mo makita ang anumang mga typo o grammatical error, hindi ito nangangahulugang maaasahan ang impormasyon.
  • Ang sinumang kumpanya na mayroon ka sa kanilang database ay makikipag-usap din sa anumang mga email nang direkta sa iyo at hindi sa isang pangkaraniwang o malabo na tatanggap. Kung mayroon kang isang PayPal account, ang anumang email na natanggap mo mula sa PayPal ay magsisimula sa isang pagbati na naglalaman ng iyong pangalan. Kung sinasabi nito na “Mahal na Sir o Madam”, “Mahal na may-hawak ng account sa PayPal” o kahit na “Sa kanino ito maaaring alalahanin” kung gayon maaari mong tiyakin na hindi ito nagmula sa PayPal. Muli, sa kaso ng sibat phishing, dahil sa iyong pangalan sa pagpupugay, hindi ito nangangahulugan na ito ay lehitimo.
  • Kung ang email ay may isang kalakip na tanggalin ito at magpatuloy sa iba pang mga bagay. Bangko, PayPal at ang FBI alam ang lahat ng mas mahusay kaysa sa upang isama ang isang kalakip sa anumang opisyal na sulat. Huwag buksan ito, huwag tumugon sa email at pinaka-tiyak na hindi mag-click sa anumang mga link sa email. Ito ay isang scam at maaaring ligtas na ma-trap. Ang mga pagbubukod lamang sa panuntunang ito ay mga pirma ng digital, na kung minsan ay maaaring lumitaw bilang mga kalakip. Bukod doon, ang mga kalakip ay dapat tratuhin bilang hindi banal sa mga unholies.
  • Ang mga header ng email ay isang talaan kung saan nagmula ang isang email, kung saan sila pinadalhan at kung anong address ang gagamitin para sa mga tugon. Marami pang impormasyon na naka-imbak sa header, ngunit ang tatlong ito ang mga mahahalagang kailangan para sa pagkilala sa isang potensyal na scam. Tunay na napakadaling gumawa ng isang hitsura ng email na nagmula sa PayPal o Bank of America, ngunit mas mahirap na itago ang aktwal na email address na nagmula. Sa Hotmail, kapag ang isang email ay na-flag ng Microsoft bilang basura, ang buong email address ng nagpadala ay awtomatikong ipinapakita sa tuktok ng email kapag binuksan. Kung ang email ay hindi nai-flag bilang basura, maaari mong suriin ang email address sa pamamagitan ng pagbubukas ng email at ilagay ang iyong arrow ng mouse sa pangalan ng nagpadala. Ang isang maliit na kahon ay pop-up na naglalaman ng buong email address ng nagpadala. Kung ito ay talagang mula sa kumpanya na sinasabing nagmula, dapat mong makita ang pangalan ng kumpanya pagkatapos ng simbolo ng ‘@’.
  • Ang parehong naaangkop sa anumang mga link sa loob ng isang email. Kung inilalagay mo ang iyong mouse arrow sa link, ngunit hindi mag-click dito, makikita mo ang isang maliit na linya sa ilalim ng iyong browser window na may patutunguhang URL ng link. Kung ang URL na iyon ay hindi naglalaman ng pangalan ng kumpanya na inaangkin ng email, huwag mag-click dito. Isara ang email na iyon, buksan ang iyong web browser at i-type ang iyong web address ng kumpanya.
  • Ang anumang pag-angkin na mayroon kang pera na darating sa iyo mula sa sinumang nasa labas ng iyong sariling bansa ay halos 100 porsyento na garantisadong mapanlinlang. Walang sinuman ang binabayaran upang dumaan sa mga lumang file upang makahanap ng mga tatanggap ng pera. Walang sinumang tagabangko o opisyal ng gobyerno ng anumang uri ang susubukan na makakuha ng pera sa kanilang bansa sa pamamagitan ng pakikipag-ugnay sa isang random na indibidwal sa internet at pag-aaklas sa isang deal. Walang bangko na hindi mo pa nakikitungo ay magkakaroon ng account sa iyong pangalan na naghihintay lamang na makuha mo.
  • Ang isang website na nagsasabing nakatagpo ng mga virus sa iyong computer. Walang mga website na may kakayahang i-scan ang iyong computer para sa mga virus. Ang mga virus ng computer ay walang kabuluhan na mga maliit na bagay na nangangailangan ng higit na higit na pag-access sa iyong computer pagkatapos ay maaaring pamahalaan lamang ang isang webpage. Ang isang tunay na programa ng anti-virus ay hindi lamang tumitingin sa mga file sa iyong hard drive para sa mga palatandaan ng impeksyon, ngunit naghanap din ito sa pamamagitan ng pagpapatakbo ng mga programa, aktibong serbisyo, nakatagong mga utility at anumang iba pang lugar kung saan ang mga bug na ito ay pinaghihinalaang pinag-uusapan. Upang suriin ang lahat ng mga lugar na ito ay tumatagal ng oras at mga mapagkukunan tulad ng lakas ng pagproseso. Hindi isang bagay na maaaring gawin mula sa isang website.
  • Ang isang pop up mula sa FBI ay fining sa iyo para sa ilegal na aktibidad sa online. Ang FBI ay hindi gumagamit ng mga popup sa mga pinong kriminal sa online. Isasara nila ang mga site na trapiko sa ilegal na kalakal o nakikibahagi sa pirata, ngunit hindi nila magagawang masarap ang mga tao para sa pagbisita sa mga nasabing site. Tanging isang hukom lamang ang may awtoridad na mag-isyu ng multa laban sa isang pinaghihinalaang kriminal. Ang FBI ay maaaring mangalap ng katibayan, bumuo ng isang kaso, maghanap ng warrant para sa pag-aresto sa isang suspect at magsagawa ng aktwal na pag-aresto kapag ang isang warrant ay nilagdaan ng isang hukom. Wala silang kapangyarihang magbayad ng multa laban sa sinuman.
  • Ang isang site na binibisita mong regular na nag-pop up at nag-uudyok para sa isang pag-login ngunit hindi ipinapakita ang berdeng padlock ay lubos na kahina-hinala. Ang isang lehitimong pag-login sa kumpanya ay magkakaroon ng sertipiko ng seguridad na tumutugma sa URL ng site na maaaring mapatunayan sa pamamagitan ng iyong browser na nagpapakita ng berdeng padlock icon na nabanggit kanina. Ang iyong pinakaligtas na mapagpipilian para sa mga pahinang ito ay upang isara ang pahina, magbukas ng isang bagong tab at i-type ang iyong sariling URL. Bilang kahalili maaari kang dumaan sa iyong listahan ng mga paborito o mga bookmark at mag-click sa link na na-save mo doon.
  • Spoofed sub-domain. Ito ay isang matalinong taktika kung saan ang scammer ay nagtatakda ng isang website na mukhang eksakto tulad ng homepage ng kumpanya o ahensya na nais nilang ibigay. Sa kasamaang palad, ang URL para sa nilalang na iyon ay nakuha na. Halimbawa, hindi nila kasalukuyang mairehistro ang domain name paypal.com dahil mayroon nang naka-lock ang domain na iyon. Ngunit, ipagpalagay na ang phisher-to-be ay mayroon nang iamascammer.com na nakarehistro bilang kanyang sariling personal na domain. Pagkatapos ay maaari niyang subukang irehistro ang sub-domain ng paypal.iamascammer.com. Pagkatapos ay lumikha sila ng isang webpage para sa sub-domain na mukhang eksaktong tulad ng PayPal, ngunit may idinagdag na twist. Kailanman ang isang uri ng gumagamit sa kanilang impormasyon sa pag-login ay ipinakita sila sa isang pahina na humihiling sa kanila upang kumpirmahin ang kanilang pagkakakilanlan. Ang scammer ay maaaring literal na humiling ng anumang impormasyon na nais niya at sapat na mahuhulog ang mga tao para sa lansihin upang bigyang-katwiran ang pagsisikap. Matapos nila ipasok ang kanilang impormasyon, ang site na nasamsam na pagkatapos ay mag-redirect sa aktwal na site ng PayPal na nagbibigay ng impormasyon sa pag-login ng gumagamit at wala silang mas marunong, ngunit marahil ay makakuha ng isang mas mahirap kaysa sa sandaling linisin ng scammer ang kanilang PayPal account.

Kung saan mag-uulat ng mga email sa phishing

Karamihan sa mga tao na tumatanggap ng mga phishing emails ay simpleng tatanggalin sila, at maayos iyon. Ngunit kung ang isang tao ay dumulas sa iyong spam filter at tila epektibo o mapanganib, o kung ikaw ay pinakain lamang at nais na kumuha ng mas aktibong papel sa paghinto ng phishing, maaari mong iulat ang mga phishing emails sa mga awtoridad.

Sa US, mayroon kang ilang mga lugar upang maiulat ang phishing. Ipasa ang email sa:

Ang tala ng FTC na kapaki-pakinabang na isama ang buong header ng email, na kasama ang mga pangalan ng pagpapakita at mga email address ng parehong nagpadala at tatanggap, petsa, at paksa. Ang ilan sa impormasyong ito ay nakatago sa pamamagitan ng default sa ilang mga kliyente ng email, kaya maaaring kailangan mong maghanap kung paano ipakita ang impormasyong ito.

Ang mga residente ng UK ay maaaring mag-ulat ng mga phishing scam sa website ng Action Fraud. Kailangang sagutin ng mga gumagamit ang ilang mga katanungan tungkol sa pagtatangka sa phishing at kung sino ang nagpahiwatig upang makuha ang naaangkop na email address upang maipasa ito sa.

Ang pag-aayos ng pinsala matapos na mai-hook

Kung na-hook ka ng ilang matalino na phishing, kailangan mong gawin ang ilang control control. Magsimula sa pamamagitan ng paggamot sa ito bilang isang kaso ng pagnanakaw ng pagkakakilanlan, pangunahin dahil iyon ang maaring humantong sa kung hindi ka kikilos.

Agad na isara ang iyong computer kung sakaling mayroong isang package ng ransomware kasama ang pag-atake sa phishing. Kung sa palagay mo malamang ang isang impeksyong ransomware, kumuha ng ilang propesyonal na tulong. Kung ang PC ay isang computer sa trabaho, ipagbigay-alam kaagad ang iyong koponan sa IT. Huwag mag-atubiling sa isang ito. Ang isang impeksyon sa ganitong uri ay maaaring kumalat nang mabilis sa mga server ng kumpanya at mga tindahan ng data ng network na nagdudulot ng tunay na kaguluhan.

Kung ito ay isang personal na computer ay kailangan mo pa rin ng tulong. Tanungin ang iyong trabaho sa koponan ng IT kung makakatulong sila Ang mga Odds ay maaaring hindi nila, ngunit magtanong pa. Kung hindi sila makakatulong, maaaring may alam silang isang tao sa iyong lugar na maaari, tulad ng isang lokal na freelancer o kontratista. Ang layunin dito ay upang makakuha ng tulong ng isang tao na maaaring maibalik ang iyong mahalagang data o maprotektahan ang hindi pa nakakandado.

Ang iyong pangalawang pagkilos ay kailangang maging kaagad. Kailangan mong makakuha ng online, gamit ang ibang computer, at simulang baguhin ang iyong mga password. Magsimula sa iyong online banking at dumaan sa lahat ng mga site na may kinalaman sa iyong pananalapi. Kapag ligtas ang iyong pananalapi, magpatuloy sa iyong mga email account, mga serbisyo sa pag-iimbak ng file, mga social media account at anumang iba pang mga site na nangangailangan ng pag-login. Kung hindi mo matandaan ang lahat ng mga site na nangangailangan ng pag-login, huwag i-on ang iyong computer upang suriin, hindi hanggang sa ito ay nawala sa pamamagitan ng isang karampatang tekniko.

Gusto mo ring makipag-ugnay sa mga pangunahing ahensya ng credit at maglagay ng alerto sa pandaraya sa iyong credit account bilang isang potensyal na biktima ng pagnanakaw ng pagkakakilanlan. Hindi nito hihinto ang isang magnanakaw ng pagkakakilanlan mula sa paggamit ng iyong pagkakakilanlan, ngunit ginagawang mas madali itong linisin ang pinsala sa iyong kredito pagkatapos ng katotohanan. Gusto mo ring simulan ang pagsubaybay sa iyong kredito nang malapit sa susunod na ilang taon. Ang mas mabilis mong reaksiyon sa isang kaso ng pagnanakaw ng pagkakakilanlan, mas madali itong makuha ang kontrol ng iyong pagkakakilanlan kapag nagkakamali ang mga bagay.

Kung ibigay mo ang iyong impormasyon sa debit o credit card, tawagan ang iyong bangko at iulat ang kard na iyon bilang ninakaw. Gusto mo ring maingat na subaybayan ang account na naka-attach sa card. Kung ang numero ng account mismo ay ibinigay sa attacker pagkatapos isara ang iyong bangko sa account na iyon at magbukas ng bago, ililipat ang iyong mga pondo sa bagong account sa proseso. Isaalang-alang ang iyong mga pahayag sa account na binabantayan ang mga kahina-hinalang o hindi awtorisadong pagbili.

Kung nasa panganib ang iyong pag-login sa PayPal o eBay, subukang mag-login sa iyong account. Kung magagawa mo, baguhin ang iyong password at lahat ng mga katanungan sa seguridad. Ang pag-set up ng dalawang factor na pagpapatunay ay lubos na inirerekomenda para sa anumang mga account na pinapayagan ito, dahil nakakatulong ito na mabawasan ang panganib ng isang attacker na ma-hijack ang iyong account, kahit na mayroon silang mga kredensyal sa pag-login.

Kung hindi ka na maka-login sa iyong account, kailangan mong makipag-ugnay sa kumpanya at mag-ulat ng isang pag-hijack ng account agad. Kung mas mahihintay kang kumilos tungkol dito, mas maraming pinsala ang maaaring gawin sa iyong mga account.

Mga Istatistika

Ang problema ng phishing at online scam ay nagkakasala na maraming mga kumpanya ang kasalukuyang nagtatrabaho upang tipunin at iulat ang mga katotohanan na may kaugnayan sa mga ganitong uri ng pag-atake. Ayon sa isang kamakailang ulat na humigit-kumulang na 30 porsyento ng mga phishing emails ay binuksan. Ito ay itinuturing na isang pagtatantya ng konserbatibo batay sa sampling data ng isang kumpanya. Mayroong iba pa na nagsasabing ang bilang na ito ay maaaring maging kasing taas ng 50 porsyento, ngunit kakulangan sa mahirap na mga numero upang mai-back up ang kanilang pag-angkin. Sa isa pang ulat, nagkaroon ng malaking pagtaas ng mga phishing emails na ipinadala noong 2016.

Ang JPMorgan Chase ay nagpatakbo ng isang pagsubok sa 2015 upang makita kung ilan sa kanilang mga empleyado ang kukuha ng isang phishing scam. Ang isang whopping 20 porsiyento ay nagbukas ng phishing email. Iyon ay isang kahanga-hangang rate ng tagumpay. Higit sa sapat upang bigyang-katwiran ang crafting ng isang solong email at pumping ito sa pamamagitan ng isang bulk email na programa sa isang listahan ng daan-daang libong mga email address.

Kinilala ng Anti Phishing Working Group ang 123,555 natatanging website ng phishing sa simula ng 2016. Noong huling quarter ng 2016 ay iniulat nila ang 95,555 natatanging mga kampanya sa email na phishing ay natanggap lamang ng kanilang mga customer. Napag-alaman din ng ulat na ang mga kumpanya sa sektor ng serbisyong pinansyal ay ang ginustong target na 19.6 porsyento ng oras sa mga kampanyang ito.

Hindi kukuha ng maraming matematika na maisakatuparan na ang isang pangunahing entity sa pagbabangko tulad ng JPMorgan ay maaaring mabiktima ng sa ilalim lamang ng 4,000 ng mga kampanyang iyon. Posible ang kaunti sa ilalim ng 4,000 matagumpay mga kampanya sa phishing sa isang bangko lamang.

Buod

Ang pangunahing patakaran tungkol sa mga email ay ang dalhin silang lahat na may isang butil ng asin. Kung kailangan talagang i-lock ng iyong bangko ang iyong account, tatawagan ka nila sa telepono. Kapag may problema ang PayPal sa aktibidad ng iyong account, inabisuhan ka nila, ngunit huwag humingi ng higit pang impormasyon kaysa sa mayroon na sila. At tiyak na hindi nila hilingin sa iyo na kumpirmahin ang iyong mga detalye ng account sa isang kalakip na kailangan mong punan at ipadala sa kanila.

Karamihan sa mga institusyon ay may mahigpit na mga patakaran laban sa pagpapadala ng anumang mga kalakip sa email. Gayundin, ang anumang email na nagmula sa aktwal na entidad ay tatalakayin sa iyo, ay maglalagay ng iyong pangalan o username ng account, at magkakaroon ng tugon-tugon na bahagi ng aktwal na pagkakaroon ng web ng entidad na iyon..

Pagdating sa mga website, mag-ingat sa anumang mga site na lumilitaw sa isang bagong window ng browser o tab. Lalo na kung nagba-browse ka sa mga site na naglalaman ng mga imahe ng mga bunnies na may pancake sa kanilang mga ulo.

Kahit sino ay maaaring mag-setup ng isang website upang tumingin nang eksakto tulad ng ibang site. Makakakuha pa sila ng isang sertipiko na inisyu na nagpapakita na ang URL ang inaangkin nito. Ngunit kung ang site ay https://www.barikofamerica.com/ kung gayon maaari mong siguraduhin na hindi talaga ito kaakibat sa Bank of America, kahit na mukhang eksakto ito sa kanilang home page.

Mangyaring tandaan na sa oras ng pagsulat na ito, ang https://www.barikofamerica.com/ ay hindi isang aktwal na website. Ginagamit ito dito bilang isang paraan upang gumamit ng isang maling impormasyon upang magkaila ng isang potensyal na site ng phishing.

Habang sinusulat ang piraso na ito ay nakakuha ako ng isang email mula sa isang G. Robert Pridemore kasama ang National Security Agency sa New York. Sinasabi ng nagpadala na siya ay ipinadala sa Nigeria ng Pamahalaang Pederal at na siya ay ibinigay ng isang file na may isang pulang krus, na nagpapahiwatig na ang aking pera ay hindi mailipat.

Ang address ng email ng nagpadala ay nagpapakita ng “[email protected]”, ang pisikal na address ng pagpapadala na ibinigay sa email ay para sa Chase Bank sa Oakland Gardens, NY, at ang numero ng telepono ay mayroong code ng San Fernando Valley, code ng lugar ng CA. Sa wakas, ang sinasabing opisyal na kinatawan ng NSA na ito ay nagbigay ng isang email address ng gmail para makipag-ugnay ako sa kanya nang direkta. Ni hindi siya gumawa ng isang pagtatangka upang maitago ang email address sa pamamagitan ng isang hindi magandang “mailto:” na link.

Nakalulungkot, ito ang pinakamababang antas ng pagiging sopistikado na kailangan para sa isang kampanya sa phishing. Habang hindi ako makikipag-ugnay kay G. Pridemore, napakaraming tao sa labas at nagtatapos na babad sa daan-daang kung hindi libu-libong dolyar ang bawat isa o ninakaw at ipinagbili ang kanilang pagkakakilanlan.

Anong uri ng mga bagay ang iyong nakita na tila napakahusay na maging totoo o sadyang paraan upang maging kahina-hinala? Mag-iwan ng komento sa ibaba at ibahagi ang iyong halimbawa ng isang pag-atake sa phishing.