BadB
Professional
- Messages
- 1,868
- Reaction score
- 1,904
- Points
- 113
Киберпреступники постоянно создают новые способы получения конфиденциальной информации. Эти хищники охотятся за любой частной информацией, которую они могут украсть, и фишинг по электронной почте является их наиболее распространенным методом нанесения ущерба. Эти фальшивые электронные письма содержат ссылку, на которую вы захотите перейти. Они могут предупредить вас о предполагаемой мошеннической деятельности, требующей вашего внимания, или могут заявить, что приготовили для вас приз. При нажатии на ссылку вам будет предложено ввести информацию - если вы введете эту информацию, она перейдет прямо к мошенникам.
Вообще говоря, существует два типа фишинговых атак. Обычный фишинг груб и широко распространен, он попадает в случайный набор адресов электронной почты, которые мошенники могут собрать вместе. Целевой фишинг более целенаправлен, и мошенники найдут время, чтобы выдать себя за человека, компанию или правительственное учреждение, от которых вы ожидаете получить электронное письмо.
Информирование - лучшая защита, и некоторые явные признаки сообщают вам о том, что вас обманывают. Ниже вы найдете краткое изложение признаков, на которые следует обратить внимание, а также ссылки на несколько викторин, которые вы можете пройти, чтобы проверить свою проницательность в отношении запаха фишинга.
Как распознать фишинговые электронные письма
:max_bytes(150000):strip_icc():format(webp)/capone1-57a5ab455f9b58974aee7526.jpg)
Пример распространенного фишингового письма.
Как только вы откроете фишинговое письмо, вы заметите, что некоторые вещи не совсем правильные. Например, сообщение здесь, похоже, от известного банковского учреждения Capital One. Однако большинство банков не отправляют электронные письма с просьбой к клиентам переходить по ссылкам или предоставлять личную информацию. То же самое и с большинством других предприятий, таких как Facebook или PayPal.
Один из способов защитить себя - по возможности настроить двухфакторную или многофакторную аутентификацию (MFA) для своих учетных записей. MFA добавляет еще один уровень защиты учетной записи. Когда делается попытка войти в свою учетную запись, автоматически создается код, который отправляется на ваш телефон в виде текста. Этот код необходимо ввести для подтверждения вашей личности, иначе вход не будет выполнен.
Внимательно изучите адреса электронной почты
:max_bytes(150000):strip_icc():format(webp)/capone2-56a50be03df78cf772860eb7.jpg)
Фишинговый адрес электронной почты.
Практически в каждом случае законные учреждения создают электронные письма из домена, связанного с их веб-сайтом.
Например, внимательно посмотрите на адрес на изображении справа. Обратите внимание, как он заканчивается на «@ online.com». Это ваша первая подсказка, что это может быть фишинговое письмо, потому что сообщение якобы отправлено Capital One. Взгляните на любые другие электронные письма от Capital One в своем почтовом ящике, и вы увидите, что настоящие электронные письма приходят с адреса, заканчивающегося на «@ capitalone.com».
Проверьте ссылки, чтобы узнать, на что указывает URL
:max_bytes(150000):strip_icc():format(webp)/capone4-56a50bdf5f9b58b7d0daa173.jpg)
Ссылка в фишинговом письме.
Глядя на ссылку в этом сообщении электронной почты, кажется, что она ведет на «onlinebanking.capitalone.com», но вы не знаете наверняка, куда именно будет отправлена ссылка. К тексту можно добавить гиперссылку, чтобы отправить вас на другой сайт. Один из способов определить, окажется ли то, что вы видите, - это навести указатель мыши на ссылку, но не нажимать на нее.
Если вы используете ноутбук или настольный компьютер, во всплывающем окне, подобном показанному на изображении выше, должен появиться реальный URL-адрес, прикрепленный к ссылке. В фишинговых письмах, этот адрес редко соответствует то, что отображается в сообщении электронной почты.
Если вы используете мобильное устройство, наведение указателя мыши невозможно. Вы по-прежнему можете проверить ссылку, нажав и удерживая ссылку, пока не появится диалоговое окно. Когда вы это сделаете, будет показан полный URL-адрес, и у вас будет возможность скопировать его.
Расширения для защиты от фишинга
Вы можете загрузить антифишинговые расширения, которые помогут обнаружить фишинг и вредоносное ПО. Это более эффективно, если вы используете почтовый веб-клиент. Имейте в виду, что эти инструменты не являются надежными, и вам все равно нужно проявлять усердие, чтобы избежать мошенничества.
Для всех типов браузеров доступно множество расширений. Вот некоторые антифишинговые расширения браузера Google Chrome в качестве примеров:
Помните о распространенных уловках, которые фишеры используют, чтобы обмануть вас
:max_bytes(150000):strip_icc():format(webp)/capone5-56a50bdf5f9b58b7d0daa170.jpg "ошибка в фишинговом письме")
Ошибка в фишинговом письме.
Фишинговые письма обычно помечаются как «Срочные». Мошенники хотят, чтобы вы действовали как можно быстрее, чтобы у вас не было времени распознавать явные признаки фишинга, такие как подозрительные адреса электронной почты. Не поддавайтесь на эту уловку. Законная организация редко - если вообще когда-либо - отмечает электронные письма как срочные.
Ошибочные действия в аккаунте
Одна из распространенных тактик фишинга заключается в том, чтобы сообщить получателям электронной почты, что «регулярное обслуживание» выявило ошибку в учете того или иного типа. Затем будет предоставлена ссылка с просьбой подтвердить информацию об учетной записи.
Если ваш провайдер кредитной карты или банк обнаружит ошибки в вашей учетной записи, вы, скорее всего, получите письмо по почте с объяснением ситуации. В редких случаях вам могут позвонить по телефону, но даже это вряд ли произойдет из-за рисков для кредитора или вовлеченных банков.
Если вы получили подозрительное электронное письмо в этом роде, не стесняйтесь обращаться в банк альтернативными способами. Позвоните по номеру, указанному на обратной стороне кредитной карты, или войдите в свою учетную запись через мобильное приложение банка и таким образом обратитесь в службу поддержки клиентов. Они сообщат вам, является ли запрос законным или нет.
Ищите неправильное правописание, синтаксис и грамматику
:max_bytes(150000):strip_icc():format(webp)/capone7-56a50bdf3df78cf772860eae.jpg)
Орфографическая ошибка в фишинговом письме.
Вы когда-нибудь видели письмо от компании-эмитента кредитной карты или банка, содержащее орфографические ошибки или опечатки? Возможно нет. Это потому, что эти компании корректируют все, что отправляют клиентам.
Точно так же эти компании не стали бы рассылать сообщения электронной почты, содержащие орфографические ошибки и ошибки пунктуации. Ошибки такого рода легко обнаружить, и они указывают на то, что дилетант пытается украсть вашу личность.
Проверьте свою способность отличать настоящее от подделки
Теперь, когда вы знаете, что искать, вы можете попрактиковаться в обнаружении фальшивых писем. Многие компании предлагают тесты на фишинг, которые позволяют проверить вашу осведомленность о распространенных тактиках фишинга. Вот несколько примеров, которые вы можете использовать, чтобы проверить свои знания:
Spear Phishing, Smishing и заполнение URL
Другие формы фишинга являются более изощренными и подрывными, что значительно затрудняет обнаружение вторжений.
Целевой фишинг
Целевой фишинг более коварен, чем обычный фишинг. Эта афера проводится с большей тактической точностью. 2 После незаконного получения подробной личной информации злоумышленники рассылают, казалось бы, безобидные электронные письма, которые якобы отправлены от доверенных лиц. Электронные письма обычно содержат вложения вредоносных программ, которые устанавливаются на компьютер пользователя без его ведома. В качестве одного из наиболее ярких примеров этой тактики представители американской разведки говорят, что целевой фишинг использовался российскими хакерами в дни, предшествовавшие выборам 2016 года.
После его установки вы можете узнать, а можете и не узнать, что вредоносное ПО существует. 9 Скрытое вредоносное ПО будет отслеживать нажатия клавиш или делать снимки экрана вашего компьютера без вашего ведома. Более очевидные вредоносные программы включают программы-вымогатели, которые делают ваш компьютер бесполезным, пока вы не заплатите выкуп.
Улыбка
Смайлинг выполняется на мобильных устройствах с использованием текстовых сервисов («SMS» относится к техническому термину для текстовых сообщений «Служба коротких сообщений»). Попытка ограбления здесь идентична попытке фишинга по электронной почте, но осуществляется посредством текстового сообщения. Текстовое сообщение якобы отправлено вашим оператором связи, Facebook или вашим банком и содержит ссылку. При нажатии на ссылку вы подвергаетесь риску взлома.
Этот сценарий разыгрывается достаточно часто, чтобы Федеральная комиссия по связи (FCC) размещала на своем веб-сайте советы, которые помогут потребителям избежать мошенничества. Вот несколько советов агентства:
Заполнение URL
С помощью этого мошенничества преступники создают ссылки, которые на первый взгляд отражают законные URL-адреса. Однако, добавив дефисы и строку текста в конце URL-адреса, мошенники могут изменить фактическое назначение URL-адреса. Хотя эта тактика будет более заметна на настольном устройстве, ее трудно заметить на мобильном устройстве. 12 Крейн Хассолд, директор по анализу угроз Phish Labs, приводит следующие примеры заполнения вредоносных URL-адресов в блоге своей компании :
thebalance.com
Вообще говоря, существует два типа фишинговых атак. Обычный фишинг груб и широко распространен, он попадает в случайный набор адресов электронной почты, которые мошенники могут собрать вместе. Целевой фишинг более целенаправлен, и мошенники найдут время, чтобы выдать себя за человека, компанию или правительственное учреждение, от которых вы ожидаете получить электронное письмо.
Информирование - лучшая защита, и некоторые явные признаки сообщают вам о том, что вас обманывают. Ниже вы найдете краткое изложение признаков, на которые следует обратить внимание, а также ссылки на несколько викторин, которые вы можете пройти, чтобы проверить свою проницательность в отношении запаха фишинга.
Как распознать фишинговые электронные письма
Пример распространенного фишингового письма.
Как только вы откроете фишинговое письмо, вы заметите, что некоторые вещи не совсем правильные. Например, сообщение здесь, похоже, от известного банковского учреждения Capital One. Однако большинство банков не отправляют электронные письма с просьбой к клиентам переходить по ссылкам или предоставлять личную информацию. То же самое и с большинством других предприятий, таких как Facebook или PayPal.
Один из способов защитить себя - по возможности настроить двухфакторную или многофакторную аутентификацию (MFA) для своих учетных записей. MFA добавляет еще один уровень защиты учетной записи. Когда делается попытка войти в свою учетную запись, автоматически создается код, который отправляется на ваш телефон в виде текста. Этот код необходимо ввести для подтверждения вашей личности, иначе вход не будет выполнен.
Внимательно изучите адреса электронной почты
Фишинговый адрес электронной почты.
Практически в каждом случае законные учреждения создают электронные письма из домена, связанного с их веб-сайтом.
Например, внимательно посмотрите на адрес на изображении справа. Обратите внимание, как он заканчивается на «@ online.com». Это ваша первая подсказка, что это может быть фишинговое письмо, потому что сообщение якобы отправлено Capital One. Взгляните на любые другие электронные письма от Capital One в своем почтовом ящике, и вы увидите, что настоящие электронные письма приходят с адреса, заканчивающегося на «@ capitalone.com».
Проверьте ссылки, чтобы узнать, на что указывает URL
Ссылка в фишинговом письме.
Глядя на ссылку в этом сообщении электронной почты, кажется, что она ведет на «onlinebanking.capitalone.com», но вы не знаете наверняка, куда именно будет отправлена ссылка. К тексту можно добавить гиперссылку, чтобы отправить вас на другой сайт. Один из способов определить, окажется ли то, что вы видите, - это навести указатель мыши на ссылку, но не нажимать на нее.
Если вы используете ноутбук или настольный компьютер, во всплывающем окне, подобном показанному на изображении выше, должен появиться реальный URL-адрес, прикрепленный к ссылке. В фишинговых письмах, этот адрес редко соответствует то, что отображается в сообщении электронной почты.
Если вы используете мобильное устройство, наведение указателя мыши невозможно. Вы по-прежнему можете проверить ссылку, нажав и удерживая ссылку, пока не появится диалоговое окно. Когда вы это сделаете, будет показан полный URL-адрес, и у вас будет возможность скопировать его.
Расширения для защиты от фишинга
Вы можете загрузить антифишинговые расширения, которые помогут обнаружить фишинг и вредоносное ПО. Это более эффективно, если вы используете почтовый веб-клиент. Имейте в виду, что эти инструменты не являются надежными, и вам все равно нужно проявлять усердие, чтобы избежать мошенничества.
Для всех типов браузеров доступно множество расширений. Вот некоторые антифишинговые расширения браузера Google Chrome в качестве примеров:
- Avast Online Security
- Браузер Avira Saftey
- Безопасность браузера Emsisoft
- Безопасный просмотр Identity Guard
- ipty.de/av
- Защита браузера Защитником Windows
Помните о распространенных уловках, которые фишеры используют, чтобы обмануть вас
Ошибка в фишинговом письме.
Фишинговые письма обычно помечаются как «Срочные». Мошенники хотят, чтобы вы действовали как можно быстрее, чтобы у вас не было времени распознавать явные признаки фишинга, такие как подозрительные адреса электронной почты. Не поддавайтесь на эту уловку. Законная организация редко - если вообще когда-либо - отмечает электронные письма как срочные.
Ошибочные действия в аккаунте
Одна из распространенных тактик фишинга заключается в том, чтобы сообщить получателям электронной почты, что «регулярное обслуживание» выявило ошибку в учете того или иного типа. Затем будет предоставлена ссылка с просьбой подтвердить информацию об учетной записи.
Если ваш провайдер кредитной карты или банк обнаружит ошибки в вашей учетной записи, вы, скорее всего, получите письмо по почте с объяснением ситуации. В редких случаях вам могут позвонить по телефону, но даже это вряд ли произойдет из-за рисков для кредитора или вовлеченных банков.
Если вы получили подозрительное электронное письмо в этом роде, не стесняйтесь обращаться в банк альтернативными способами. Позвоните по номеру, указанному на обратной стороне кредитной карты, или войдите в свою учетную запись через мобильное приложение банка и таким образом обратитесь в службу поддержки клиентов. Они сообщат вам, является ли запрос законным или нет.
Ищите неправильное правописание, синтаксис и грамматику
Орфографическая ошибка в фишинговом письме.
Вы когда-нибудь видели письмо от компании-эмитента кредитной карты или банка, содержащее орфографические ошибки или опечатки? Возможно нет. Это потому, что эти компании корректируют все, что отправляют клиентам.
Точно так же эти компании не стали бы рассылать сообщения электронной почты, содержащие орфографические ошибки и ошибки пунктуации. Ошибки такого рода легко обнаружить, и они указывают на то, что дилетант пытается украсть вашу личность.
Проверьте свою способность отличать настоящее от подделки
Теперь, когда вы знаете, что искать, вы можете попрактиковаться в обнаружении фальшивых писем. Многие компании предлагают тесты на фишинг, которые позволяют проверить вашу осведомленность о распространенных тактиках фишинга. Вот несколько примеров, которые вы можете использовать, чтобы проверить свои знания:
- Фишинг-викторина от Google
- Найдите Phish от Sophos
- Тест IQ на фишинг от SonicWall.com
Spear Phishing, Smishing и заполнение URL
Другие формы фишинга являются более изощренными и подрывными, что значительно затрудняет обнаружение вторжений.
Целевой фишинг
Целевой фишинг более коварен, чем обычный фишинг. Эта афера проводится с большей тактической точностью. 2 После незаконного получения подробной личной информации злоумышленники рассылают, казалось бы, безобидные электронные письма, которые якобы отправлены от доверенных лиц. Электронные письма обычно содержат вложения вредоносных программ, которые устанавливаются на компьютер пользователя без его ведома. В качестве одного из наиболее ярких примеров этой тактики представители американской разведки говорят, что целевой фишинг использовался российскими хакерами в дни, предшествовавшие выборам 2016 года.
После его установки вы можете узнать, а можете и не узнать, что вредоносное ПО существует. 9 Скрытое вредоносное ПО будет отслеживать нажатия клавиш или делать снимки экрана вашего компьютера без вашего ведома. Более очевидные вредоносные программы включают программы-вымогатели, которые делают ваш компьютер бесполезным, пока вы не заплатите выкуп.
Улыбка
Смайлинг выполняется на мобильных устройствах с использованием текстовых сервисов («SMS» относится к техническому термину для текстовых сообщений «Служба коротких сообщений»). Попытка ограбления здесь идентична попытке фишинга по электронной почте, но осуществляется посредством текстового сообщения. Текстовое сообщение якобы отправлено вашим оператором связи, Facebook или вашим банком и содержит ссылку. При нажатии на ссылку вы подвергаетесь риску взлома.
Этот сценарий разыгрывается достаточно часто, чтобы Федеральная комиссия по связи (FCC) размещала на своем веб-сайте советы, которые помогут потребителям избежать мошенничества. Вот несколько советов агентства:
- Никогда не переходите по ссылкам, не отвечайте на текстовые сообщения и не звоните по незнакомым номерам.
- Не отвечайте, даже если сообщение требует, чтобы вы отправили текстовое сообщение STOP для завершения сообщения.
- Удалите все подозрительные тексты.
- Убедитесь, что ваше операционное программное обеспечение и приложения безопасности обновлены до последней версии.
- Рассмотрите возможность установки антивирусного программного обеспечения на свое устройство для дополнительной безопасности.
Заполнение URL
С помощью этого мошенничества преступники создают ссылки, которые на первый взгляд отражают законные URL-адреса. Однако, добавив дефисы и строку текста в конце URL-адреса, мошенники могут изменить фактическое назначение URL-адреса. Хотя эта тактика будет более заметна на настольном устройстве, ее трудно заметить на мобильном устройстве. 12 Крейн Хассолд, директор по анализу угроз Phish Labs, приводит следующие примеры заполнения вредоносных URL-адресов в блоге своей компании :
- hxxp: //login.Comcast.net-------account-login-confirm-identity.giftcardisrael [точка] com /
- hxxp: //accounts.craigslist.org-securelogin--------------viewmessage.model104 [точка] tv / craig2 /
- hxxp: //offerup.com------------------login-confirm-account.aggly [точка] com / Login% 20-% 20OfferUp.htm
- hxxp: //icloud.com--------------------secureaccount-confirm.saldaodovidro [точка] com.br/
thebalance.com
