Korleis Kjenne att og Unngå Phishing-svindel
I denne moderne tidsalderen med globalisering, der meir enn to tredjedelar av verdas befolkning har tilgang til tekstmeldingar, mobiloppringing og e-post, ville tala gjere det enkelt å konkludere med at meir enn halvparten av jordas befolkning har vore utsett for eit forsøk på phishing. Den foreslåtte eksponeringa kjem av at phishing-angrep stort sett blir utførte gjennom eit av dei nemnde media, med e-postar som det mest vanlege. Det endelege målet med eit phishing-angrep er å få tak i offerets personlege informasjon, der bankdetaljar er gullpotten. Denne artikkelen vil fortelje deg alt om denne kybertrusselen, og vise deg korleis du kan kjenne att og unngå å bli offer for phishere.
Den Eigenarta Vegkartet av Phishing-svindlar
Det primære målet med Phishing er å skaffe personlege tilgangsdetaljar til dine finansielle kontoar. Sjølv om svindlarar har utvikla seg over åra med taktikkane som blir brukte for å lure folk, finst det likevel nokre raude flagg som kan gjere det mogleg å avsløre phishing-samtalar, tekstmeldingar eller e-postar for det dei er — svindel!
- Phishing-anrop, e-poster og tekstmeldinger fra tilsynelatende pålitelige organisasjoner. Har du noen gang mottatt en e-post som tilsynelatende er sendt fra din «kontoansvarlige», og som ber om personlig informasjon som personnummer og andre bankopplysninger? Da vil du kanskje oppdage at disse meldingene og e-postene kommer fra phishere som utgir seg for å være ekte organisasjoner.
- Phishing-e-poster og -meldinger kommer ofte med ubegrunnede historier. Trikset med slike spennende historier er å vekke lidenskap hos offeret. I et berømt phishing-angrep som flere bankbrukere ble utsatt for, ble kundene bedt om å sende inn de siste innloggingsopplysningene sine på nytt for å oppdatere bankdatabasen. Denne forespørselen kom etter at det ble fortalt hvordan hackere nylig hadde angrepet bankens datainfrastruktur.
Ein meir kjend historie, og lett å gå på, er dei som hevdar at mistenkelege innloggingsforsøk har blitt lagt merke til på kontoen din. Deretter blir brukarane råda til å tilbakestille passordet sitt ved å fylle ut nokre personlege detaljar, vanlegvis på ei falsk nettside som har blitt laga eller den faktiske nettsida som har blitt mellombels kapra.
Vanlegvis er dette korleis phishing-svindlarar lurer til seg offera sine personlege opplysningar på ein slu måte:
- De kjøper opplysninger om abonnementet ditt på nettjenester, f.eks. mobilnummer eller e-postadresser.
- Deretter lager de lokkemat i form av villedende e-poster, tekstmeldinger og falske nettsteder for å overbevise brukerne om at meldingene kommer fra organisasjoner du kjenner og stoler på.
- Svindlerne sender massevis av meldinger til de opprinnelige kontaktene, noen ganger til tusenvis av brukere på én gang.
- Phisherne bruker dataene de samler inn fra uvitende mottakere av meldingene til å foreta uautoriserte kjøp og handlinger på ofrenes konto.
Vanlege typar av phishing og korleis kjenne dei att
Phishing er på ingen måte avgrensa til dei som er lista opp nedanfor, sidan svindlarar kontinuerleg endrar taktikkane sine; likevel vil registreringar av breitt rapporterte phishing-angrep hjelpe oss med å kategorisere dei i følgjande:
1. SMS-phishing inneber å senda tekstmeldingar til mobilbrukarar, der dei blir bedne om å kontakte ein kundetenesteagent, eller å besøkje ein organisasjon via ein lenkje som er lagt inn i teksten. Å klikka på lenkja fører offera til ei innloggingsside eller ei tekstboks der det er nødvendig å skriva inn personleg informasjon før ein får full tilgang til den påståtte nettsida eller ressursen. Denne typen angrep er på frammarsj delvis fordi mobiltelefonprodusentar har kjøpt seg inn i internettrevolusjonen ved å produsera stort sett smarttelefonar.
Ein enkel måte å identifisere eit SMS-phishingangrep på er at meldinga vanlegvis blir sendt frå rare nummer eller til og med kjem med dårleg formulerte tekstar.
2. E-post-phishing meldingar vert sende via e-post til intetanande offer. E-postane vert vanlegvis sende som kringkasting (BCC) til fleire e-postadresser med logo og fotnotar stole frå den faktiske organisasjonen eller individet som vert imitert. E-post-phishing åtak endar sjeldan med meldinga i seg sjølv; mottakarane av meldinga vert ofte dirigerte til å besøkje ei populær nettside via ein tekstlenkje eller laste ned eit søppelvedlegg inkludert i e-posten. På landingssida for den vedlagte lenkja, vert offera bedne om å fylle inn personleg informasjon. Nettsida kan like eins gjere at skadevare automatisk installerer seg på ein datamaskin så snart nettsida vert lasta. Den lasta phishing-skadevaren høster personleg informasjon frå offeret sin datamaskin, smarttelefon, eller eining på ein av mange måtar:
- Registrering av brukerens tastetrykk ved utfylling av skjemaer
- Vurdering av brukerens hurtigbuffer og videresending av innholdet til den eksterne angriperen
Som med SMS-phishing vil ein grundig kikk på kjelde-e-postadressa hjelpe ein mottakar å isolere og rapportere ondsinna meldingar som eit phishing-angrep. Til dømes kan ein phisher som ønskjer å etterlikne Amazon Kundeservice bruke ein adresse som – *[email protected]*. Ein legitim e-post frå Amazon ville komme med firmaet sitt domenenamn, t.d., *[email protected]*. Dessutan vil ingen skikkeleg strukturert organisasjon be om dine personlege eller økonomiske detaljar via e-post.
3. Spear phishing er ein meir strategisk type svindel som òg nyttar e-post som ei smutthol. Samanlikna med e-postphishing, der e-postar blir sende til fleire individ som kringkastingsmeldingar, er spear phishing meir målretta. Tilsette hos nettbaserte tenesteleverandørar eller offentlege etatar som er merka som å ha tilgang til fleire brukarars personlege informasjon, er dei hyppige måla for spear phishing.
E-posten er laga for å sjå ut som om han kjem frå ein overordna, eller sjefen i selskapet, med førespurnad om tilgang til brukarane sin informasjon. I andre høve blir e-posten sendt frå tydeleg ukjende kjelder, med ein tiltrekkjande overskrift, fengjande nok til å få mottakaren til å opne meldinga. Meldinga er vanlegvis tom og kjem med eit vedlegg; nysgjerrigheit vil då få mottakaren til å opne vedlegget og installere løsepengevirus på datamaskinen.
Offer for angrep med målretta phishing kan samanliknast med hovudet på den ordspråklege Hydraen. Data som blir samla inn under slike angrep blir deretter brukt til å gjennomføre eit storskala brot på brukarkontoar som er tilknytta den aktuelle organisasjonen.
4. Klon-phishing, som namnet antyder, inneber at offeret mottar ein e-post som har nøyaktig same innhald som ein som tidlegare er sendt frå ein påliteleg organisasjon; phisheren inkluderer derimot ein intetanande lenke til eit skadeleg vedlegg eller falsk nettstad. Den einaste variasjonen er at kjelde-e-postadressa er lett forfalska og gjort veldig lik den opphavlege avsendar sitt. Denne taktikken gjer klon-phishing til den mest utfordrande typen å oppdage.
5. Whaling phishing er veldig likt Spear phishing. Målet er å få tilgang til sensitiv eller personleg informasjon frå individ som abonnerer på tenestene til ein organisasjon. Men, whaling-åtak rettar seg mot «kvalane» i organisasjonar – som toppleiarar og styremedlemmer.
6. Pop-up-phishing er veldig likt reklamepop-uppar som avbryt brukaropplevinga di medan du surfar på ei nettstad med reklame. Pop-up-phishing kjem derimot som ei åtvaring, ikkje ein reklame; pop-upen åtvarar brukaren om eit unemnt skadeleg dokument eller applikasjon som har infisert datamaskina. Deretter blir det gitt eit alternativ for å laste ned eit antivirus som vil eliminere trusselen utan kostnad. Å installere slik programvare utset datamaskina di for risikoen av å bli infisert av uønska skadevare; den påståtte trusselen er stort sett ein bløff.
Beskytte deg sjølv frå å bli eit offer for phishing
I denne tidsalderen med netthandel, for å unngå å bli eit offer eller bli brukt som ein kanal for å avsløre sensitiv informasjon relatert til organisasjonen din, er her nokre feilsikre rettleiingar å følge.
- Sikkerhetskopier dataene dine. Det er viktig å ha en sikkerhetskopi av viktige data på datamaskinen eller smarttelefonen på et eksternt lagringsmedium. Hvis du skulle bli utsatt for et løsepengevirusangrep, ligger sikkerhetskopien av dokumentene dine trygt på en skylagringstjeneste eller et eksternt lagringsmedium som ikke er koblet til datanettverket.
- Bruk flertrinns brukerautentisering. Phishere er alltid ute etter kontodetaljer som brukernavn og passord. I situasjoner der det andre autentiseringstrinnet er etablert for sensitive kontoer, er det ikke lenger nødvendig å ha passord og brukernavn. Et godt eksempel på flerstegsautentisering er bekreftelseskoden som sendes til mobilkontakten din når du foretar banktransaksjoner eller logger inn. Et biometrisk autentiseringslag, som fingeravtrykk, øyeskanning eller ansiktsskanning, er sikre metoder for å beskytte kontoene våre.
- Oppdater enheter med de nyeste sikkerhetsoppdateringene. De største produsentene av datamaskiner og smarttelefoner oppdaterer operativsystemene sine regelmessig for å rette feil og smutthull som phishere kan angripe gjennom. Ved å oppdatere disse enhetene kan teknologibrukere spare seg for mange sikkerhetsproblemer.
- Unngå å åpne mistenkelige meldinger. Vær oppmerksom på alle de nevnte feilene som kjennetegner phishing-angrep. Sjekk innholdet i e-posten nøye før du klikker på lenker, åpner vedlegg eller fyller ut medfølgende skjemaer. Hvis du er nødt til å bekrefte riktigheten av en påstand i en e-post, bør du besøke selskapets nettsted direkte i stedet for å gå via en medfølgende lenke.
Konklusjon
Ettersom den nettbaserte tilstedeværelsen til fleire organisasjonar og enkeltbrukarar veks, er det ein større tendens til at phishing vil auke i omfang og innverknad. Men med proaktive førebyggingstiltak, som føreslått i denne artikkelen, bør internettbrukarar lukkast i å ligge eit steg føre phisherane.