หากคุณได้รับอีเมลจาก Internal Revenue Service หรือ Federal Insurance Insurance Corporation โอกาสที่จะเป็นความพยายามฟิชชิ่ง หากคุณได้รับอีเมลจากธนาคาร PayPal หรือ Facebook ขอแนะนำให้คุณตรวจสอบข้อมูลหรือความเสี่ยงทันทีที่บัญชีของคุณถูกระงับการใช้งานนั้นจะเป็นการหลอกลวงอย่างไม่ต้องสงสัย
การโจมตีแบบฟิชชิงได้ถูกขัดขวางในปีนี้ตามรายงานล่าสุด คณะทำงาน Anti-Phishing รายงานว่ามีการโจมตีฟิชชิ่งมากกว่า 55, 600 รายการในช่วงครึ่งแรกของปี 2009 เพียงอย่างเดียว ฟิชชิงมีอันตรายอย่างยิ่งเพราะเมื่ออาชญากรได้รับรหัสผ่านของเหยื่อสำหรับเว็บไซต์หนึ่งพวกเขามักจะสามารถใช้มันเพื่อเข้าสู่บัญชีอื่น ๆ ที่ผู้คนได้ใช้รหัสผ่านซ้ำ
และใครก็ตามที่มีความเสี่ยง ภรรยาของผู้อำนวยการของ FBI Robert Mueller สั่งห้ามไม่ให้เขาทำธนาคารออนไลน์หลังจากเขาใกล้จะตกเพราะความพยายามฟิชชิ่ง
นี่คือข้อมูลพื้นฐานบางอย่างที่สามารถช่วยให้ผู้คนหลีกเลี่ยงการถูกหลอกลวงโดยการโจมตีแบบฟิชชิง
ฟิชชิ่งคืออะไร
ฟิชชิ่งคือความพยายามโดยปกติแล้วทางอีเมลเพื่อหลอกลวงผู้คนให้เปิดเผยข้อมูลที่ละเอียดอ่อนเช่นชื่อผู้ใช้รหัสผ่านและข้อมูลบัตรเครดิตโดยแกล้งทำเป็นธนาคารหรือนิติบุคคลอื่นที่ถูกกฎหมาย โดยทั่วไปแล้วอีเมลจะมีลิงค์ไปยังเว็บไซต์ที่ดูเหมือนว่าถูกกฎหมายและแจ้งให้ผู้ใช้ให้ข้อมูล บางครั้งอีเมลฟิชชิ่งจะมีแบบฟอร์มในสิ่งที่แนบมาเพื่อกรอก ผู้ใช้ฟิชเชอร์ชั้นเชิงทั่วไปคนหนึ่งใช้เพื่อหลอกว่ามาจากแผนกหลอกลวงของสถาบันการเงินหรือผู้ค้าปลีกออนไลน์เช่น PayPal และขอข้อมูลที่จะให้เพื่อป้องกันการฉ้อโกงข้อมูลประจำตัว ในกรณีหนึ่งอีเมลฟิชชิ่งที่อ้างว่ามาจากคณะกรรมการสลากกินแบ่งรัฐขอให้ผู้รับข้อมูลธนาคารของพวกเขาเพื่อที่จะ "ชนะ" ของพวกเขาสามารถฝากเข้าบัญชีของพวกเขาได้
ฟิชเชอร์ยังใช้ประโยชน์จากความสนใจในข่าวและหัวข้อยอดนิยมอื่น ๆ เพิ่มมากขึ้นเพื่อหลอกให้คนคลิกลิงค์ อีเมลหนึ่งฉบับเกี่ยวกับไข้หวัดหมูขอให้ผู้ใช้ระบุชื่อที่อยู่หมายเลขโทรศัพท์และข้อมูลอื่น ๆ ซึ่งเป็นส่วนหนึ่งของการสำรวจความเจ็บป่วย และผู้ใช้เครือข่ายโซเชียลกำลังกลายเป็นเป้าหมายยอดนิยม ผู้ใช้ Twitter ถูกนำไปยังหน้าลงชื่อเข้าใช้ปลอม
ผู้โจมตีก็หันไปใช้การส่งข้อความแบบทันทีเพื่อหลอกล่อผู้คนให้กลายเป็นกับดัก ในการหลอกลวงเมื่อเร็ว ๆ นี้หนึ่งหน้าต่างแชทสดเปิดตัวผ่านเบราว์เซอร์ นักต้มตุ๋นสื่อสารกับผู้ที่ตกเป็นเหยื่อผ่านทางหน้าต่างแชทโดยแกล้งทำเป็นว่ามาจากธนาคารและขอข้อมูลเพิ่มเติม
อะไรคือตัวอย่างล่าสุดของการโจมตีแบบฟิชชิง
การหลอกลวงทางอีเมลเมื่อเร็ว ๆ นี้ขอให้ลูกค้า PayPal ให้ข้อมูลเพิ่มเติมหรือเสี่ยงต่อการถูกลบบัญชีเนื่องจากการเปลี่ยนแปลงข้อตกลงการบริการ ผู้รับจะถูกกระตุ้นให้คลิกที่การเชื่อมโยงหลายมิติที่ระบุว่า "รับการตรวจสอบ!"
อีเมลที่ดูเหมือนว่ามาจาก FDIC รวมถึงหัวเรื่องที่ระบุว่า "ตรวจสอบการประกันเงินฝากธนาคารของคุณ" หรือ "FDIC ได้ตั้งชื่อธนาคารของคุณเป็นธนาคารที่ล้มเหลวอย่างเป็นทางการ" อีเมลนี้มีลิงก์ไปยังเว็บไซต์ FDIC ปลอมซึ่งผู้เยี่ยมชมจะได้รับแจ้งให้เปิดแบบฟอร์มเพื่อกรอกข้อมูล คลิกที่ลิงค์แบบฟอร์มดาวน์โหลดไวรัส Zeus ซึ่งออกแบบมาเพื่อขโมยรหัสผ่านของธนาคารและข้อมูลอื่น ๆ
อีเมลที่ดูเหมือนว่ามาจาก IRS จะบอกผู้รับว่าพวกเขามีสิทธิ์ได้รับเงินคืนภาษีและสามารถขอรับเงินคืนได้โดยคลิกที่ลิงก์ในอีเมล ลิงค์ดังกล่าวนำผู้เข้าชมไปยังเว็บไซต์ IRS ปลอมที่แจ้งข้อมูลส่วนบุคคลและการเงิน
อีเมล Facebook ที่ถูกต้องตามกฎหมายจะขอให้ผู้คนให้ข้อมูลเพื่อช่วยให้เครือข่ายสังคมอัปเดตระบบเข้าสู่ระบบ การคลิกปุ่ม "อัปเดต" ในอีเมลจะนำผู้ใช้ไปที่หน้าจอเข้าสู่ระบบ Facebook ปลอมซึ่งมีชื่อผู้ใช้กรอกไว้และผู้เยี่ยมชมจะได้รับแจ้งให้ระบุรหัสผ่าน เมื่อพิมพ์รหัสผ่านผู้คนจะจบลงด้วยหน้าเว็บที่มี "เครื่องมืออัปเดต" แต่จริงๆแล้วเป็นโทรจัน Zeus bank
อะไรคือสัญญาณบอกเล่าของความพยายามฟิชชิง?
ความพยายามฟิชชิ่งจำนวนมากเกิดขึ้นจากนอกสหรัฐอเมริกาดังนั้นพวกเขาจึงมักจะมีการสะกดผิดและข้อผิดพลาดทางไวยากรณ์ บางคนมีน้ำเสียงเร่งด่วนและพวกเขาค้นหาข้อมูลที่ละเอียดอ่อนซึ่งโดยปกติแล้ว บริษัท ที่ถูกกฎหมายจะไม่ขอผ่านทางอีเมล
ฉันควรมองหาอะไรในอีเมล
ตรวจสอบข้อมูลผู้ส่งเพื่อดูว่ามันถูกต้องหรือไม่ อาชญากรจะเลือกที่อยู่ที่คล้ายกับที่แกล้งทำ ตัวอย่างเช่นฟิชเชอร์ใช้ "[email protected]" อย่างไรก็ตามข้อความ PayPal ที่ถูกกฎหมายในสหรัฐอเมริกามาจาก [email protected] "และรวมถึงไอคอนกุญแจอีเมลฟิชชิ่งส่วนใหญ่มาจากนอกสหรัฐอเมริกาดังนั้นที่อยู่ที่ลงท้ายด้วย" .uk "หรือสิ่งอื่นที่ไม่ใช่" .com " ระบุว่าเป็นความพยายามฟิชชิง
ที่อยู่อีเมลอาจถูกบดบัง การกดปุ่ม "ตอบกลับทั้งหมด" อาจเปิดเผยที่อยู่อีเมลจริง นอกจากนี้คุณยังสามารถตั้งค่าอีเมลของคุณเพื่อแสดง "ส่วนหัวเต็ม" เพื่อดูที่อยู่อีเมลเต็มและข้อมูลอื่น ๆ หากคุณไม่แน่ใจว่าอีเมลนั้นถูกต้องหรือไม่ให้ไปที่เว็บไซต์ของ บริษัท เพื่อดูที่อยู่ในรายการ
บริษัท ที่ถูกกฎหมายมักจะใช้ชื่อลูกค้าหรือชื่อผู้ใช้ในอีเมลและธนาคารมักจะรวมส่วนหนึ่งของหมายเลขบัญชี โดยทั่วไปแล้วอีเมลฟิชชิงจะเสนอคำทักทายทั่วไปเช่น "เรียนลูกค้า PayPal"
ตรวจสอบไฮเปอร์ลิงก์ภายในเนื้อความของอีเมล โดยทั่วไปแล้วฟิชเชอร์จะใช้โดเมนย่อยหรือตัวอักษรหรือตัวเลขหน้าชื่อ บริษัท และบางครั้งคำในลิงก์จะถูกสะกดผิด ตัวอย่างเช่น www.BankA.security.com จะเชื่อมโยงไปยังส่วน 'BankA' ของเว็บไซต์ 'ความปลอดภัย' บ่อยครั้งเป็นการยากที่จะบอกว่าลิงก์นั้นถูกต้องหรือไม่โดยดูจากลิงค์นั้น โดยการวางเมาส์บนลิงค์คุณจะเห็นที่อยู่จริงที่ด้านล่างของเว็บเบราว์เซอร์ส่วนใหญ่
นอกจากนี้ PayPal, Amazon, ธนาคารและธุรกิจอื่น ๆ อีกมากมายใช้โปรโตคอล SSL (Secure Sockets Layer) ซึ่งออกแบบมาเพื่อให้แน่ใจว่าลูกค้ากำลังเยี่ยมชมเว็บไซต์จริง ซึ่งหมายความว่า // จะเห็นได้ในแถบที่อยู่ URL แทนที่จะเป็นแค่ // และโดยปกติจะมีการเปลี่ยนแปลงอื่น ๆ ในแถบที่อยู่ ตัวอย่างเช่น PayPal แสดง "P" และชื่อของมันจะถูกเน้นด้วยสีเขียวที่ด้านหน้าของ URL เบราว์เซอร์ที่สำคัญมีมาตรการการป้องกันการปลอมแปลงที่ออกแบบมาเพื่อตรวจจับไซต์ที่เป็นอันตราย ฟิชเชอร์บางคนพยายามซ่อนที่อยู่เว็บจริงที่พวกเขากำลังส่งเหยื่อไปโดยใช้บริการย่อ URL
หากอีเมลมีไฟล์แนบให้ระวังไฟล์. exe นักสแปมชอบซ่อนไวรัสและมัลแวร์อื่น ๆ ที่นั่นเพื่อที่จะทำงานเมื่อเปิด
ไม่หลงกลโดยลักษณะของเว็บไซต์ที่คุณอาจถูกนำไป เว็บไซต์อาจมีลักษณะเหมือนหน้าธนาคารจริงหรือ PayPal รวมถึงการใช้โลโก้จริงและการสร้างแบรนด์ อาจเป็นหน้าปลอมที่ดีหรืออาจเป็นหน้าที่ถูกต้องตามกฎหมายที่มีหน้าต่างป๊อปอัปฟิชชิ่งด้านบน
การโจมตีแบบฟิชชิ่งสามารถหลีกเลี่ยงได้อย่างไร?
พยายามหลีกเลี่ยงรายการสแปม อย่าโพสต์ที่อยู่อีเมลของคุณบนเว็บไซต์สาธารณะ สร้างที่อยู่อีเมลที่มีโอกาสน้อยที่จะถูกรวมอยู่ในรายการสแปม ตัวอย่างเช่นแทนที่จะใช้ [email protected] ให้ใช้ [email protected]
หากอีเมลมีเหตุผลให้ติดต่อ บริษัท โดยตรงหากคุณได้รับอีเมลที่ขอให้คุณยืนยันข้อมูล พิมพ์ที่อยู่ของ บริษัท ลงในแถบที่อยู่โดยตรงแทนที่จะคลิกที่ลิงก์ หรือโทรหาพวกเขา แต่อย่าใช้หมายเลขโทรศัพท์ที่ให้ไว้ในอีเมล
อย่าให้ข้อมูลส่วนตัวที่ร้องขอผ่านอีเมล บริษัท และเอเจนซี่ที่ถูกกฎหมายจะใช้อีเมลปกติสำหรับการสื่อสารที่สำคัญและไม่ขอให้ลูกค้ายืนยันการเข้าสู่ระบบหรือรหัสผ่านโดยคลิกที่ลิงก์ในอีเมล
ดูอย่างละเอียดถึงที่อยู่เว็บที่มีการเชื่อมโยงไปยังและพิมพ์ที่อยู่ในเบราว์เซอร์สำหรับธุรกิจหากคุณไม่แน่ใจ
อย่าเปิดไฟล์แนบอีเมลที่คุณไม่คาดว่าจะได้รับ อย่าเปิดลิงค์ดาวน์โหลดใน IM และอย่าป้อนข้อมูลส่วนบุคคลในหน้าต่างป๊อปอัปหรืออีเมล
ตรวจสอบให้แน่ใจว่าคุณกำลังใช้เว็บไซต์ที่ปลอดภัยเมื่อส่งข้อมูลทางการเงินและข้อมูลที่ละเอียดอ่อน
เปลี่ยนรหัสผ่านบ่อยๆ อย่าใช้รหัสผ่านเดียวกันในหลาย ๆ ไซต์
ลงชื่อเข้าใช้บัญชีออนไลน์เป็นประจำเพื่อตรวจสอบกิจกรรมและตรวจสอบใบแจ้งยอด
ใช้ซอฟต์แวร์ป้องกันไวรัสป้องกันสแปมและไฟร์วอลล์และปรับปรุงระบบปฏิบัติการและแอปพลิเคชั่นของคุณให้ทันสมัยอยู่เสมอ
ฉันจะทำอย่างไรถ้าฉันคิดว่าฉันตกเป็นเหยื่อจากฟิชชิง
คณะทำงาน Anti-Phishing มีเว็บไซต์ที่ครอบคลุมอธิบายว่าขั้นตอนที่ผู้คนควรปฏิบัติตามข้อมูลประเภทใดที่พวกเขาให้
ฉันจะรายงานความพยายามฟิชชิ่งได้ที่ไหน
คุณสามารถส่งต่ออีเมลหลอกลวงที่น่าสงสัยไปยัง [email protected] และ [email protected] บริษัท มักจะมีที่อยู่เพื่อส่งต่อตัวอย่างฟิชชิ่งไปยังเช่น "[email protected]" รวมอีเมลฟิชชิ่งทั้งหมดเสมอ สามารถร้องเรียนได้ที่ศูนย์รับเรื่องร้องเรียนอาชญากรรมทางอินเทอร์เน็ตที่ FBI
นี่คือแหล่งข้อมูลเพิ่มเติม
//apwg.org/consumer_recs.html
//www.irs.gov/newsroom/article/0,, id=154848, 00.html
//www.microsoft.com/mscorp/safety/technologies/antiphishing/guidance.mspx
แสดงความคิดเห็นของคุณ