Suojautuminen kalastelulta ja ääni- tai tekstiviestihuijauksilta
Tietojenkalastelu tarkoittaa identiteettivarkauteen pyrkiviä huijauksia valheellisten sivustojen, sähköpostiviestien tai muiden viestien kautta. Tietojenkalasteluhyökkäyksen tavoitteena on päästä käsiksi tiliisi ja arkaluonteisiin tietoihisi. Hyökkääjä voi luoda oman luotettavaa sivustoa jäljittelevän verkkosivuston tai lähettää viestin, joka näyttää tulevan luotettavasta lähteestä. Tietojenkalasteluviestit voivat tulla väärennetyltä tai hakkeroidulta tililtä.
Hyökkääjät voivat myös kokeilla samankaltaisia taktiikoita hakkeroidakseen tilisi ääni- ja tekstiviestihuijauksien avulla saadakseen arkaluonteisia tietoja. Älä koskaan anna arkaluonteisia tietoja puhelimitse tai klikkaa tekstiviestitse saamiasi epäilyttäviä linkkejä. Jos uskot saaneesi tietojenkalasteluun pyrkivän puhelun tai tekstiviestin, ota välittömästi yhteyttä Shopify-tukeen.
Tietojenkalasteluviesti saattaa pyytää esimerkiksi:
- avaamaan linkin
- lataamaan tiedoston
- avaamaan liitetiedoston
- antamaan vastauksessa henkilökohtaisia tietoja tai kaksivaiheisen tunnistautumisen koodeja.
Mikä tahansa näistä toimista voi tartuttaa tietokoneeseen tai mobiililaitteeseen haittaohjelman, kuten matoja, troijalaisia, botteja tai viruksia. Kun tällainen haitallinen ohjelmisto on saastuttanut laitteen, hyökkääjä voi saada pääsyn henkilökohtaisiin tietoihisi.
Tietojenkalasteluhuijaukset voivat sisältää myös suoria pyyntöjä päästä henkilökohtaisiin tietoihisi, kuten pankkitilisi kirjautumistunnuksiin.
Tietojenkalastelussa henkilökohtaisia tietojasi voidaan pyytää seuraavilla tavoilla:
- sähköpostin tai muun viestintäjärjestelmän kautta
- lomakkeen kautta
- käyttämällä vilpillistä puhelinnumeroa
- käyttämällä valheellista fyysistä osoitetta.
Jopa pyyntö sähköpostiosoitteesi antamisesta ja salasanasi nollaamisesta voi olla vaarallinen.
Tällä sivulla
- Aitojen Shopify-sähköpostien tunnistaminen
- Tunne varoitusmerkit
- Shopify ja arkaluonteisia asiakirjoja koskevat pyynnöt
- Ilmoita ongelmista käyttämällä muuta viestintätapaa
- Varmista, että yhteytesi verkkosivustoon käyttää HTTPS-protokollaa
- Avaa vain odottamiasi liitteitä tai linkkejä
- Ole varovainen julkisessa Wi-Fi-verkossa
- Noudata viranomaisten ohjeita, jos henkilötietosi ovat vaarantuneet
Aitojen Shopify-sähköpostien tunnistaminen
Shopify lähettää sähköposteja vain virallisista verkkotunnuksista, kuten @shopify.com
, @email.shopify.com
, @em.shopify.com
ja @shopify-billpay.melio.com
. Julkisista sähköpostipalveluista, kuten Gmail-, Yahoo-, Apple Mail- tai Hotmail-osoitteista, tulevat sähköpostit eivät ole Shopifylta, ja niihin tulisi suhtautua mahdollisina tietojenkalasteluyrityksinä.
Mitä pitää tehdä, jos epäilet tietojenkalastelusähköpostia?
Jos klikkasit vahingossa tietojenkalastelusähköpostissa olevaa linkkiä, toimi välittömästi:
- Vaihda Shopify-tilisi salasana.
- Ota kaksivaiheinen tunnistautuminen käyttöön tietoturvan parantamiseksi.
- Tarkista Shopify-tuelta, onko tiliäsi käytetty luvatta.
Tietojenkalastelusähköpostin merkit
Varo seuraavia yleisiä merkkejä siitä, että sähköposti voi olla tietojenkalasteluyritys:
- Odottamattomat sähköpostit ilmaisista sähköpostipalveluista.
- Henkilötietoja koskevat pyynnöt.
- Huono kielioppi ja oikeinkirjoitus.
- Kiireellisen tai uhkaavan kielen käyttö.
- Linkit tuntemattomille verkkosivuille.
Kaksivaiheisen tunnistautumisen merkitys
Kun otat Shopify-tilillesi käyttöön kaksivaiheisen tunnistautumisen, josta käytetään myös nimitystä monivaiheinen todennus, saat turvallisemman kirjautumisprosessin, sillä tiliin lisätään ylimääräinen suojaustaso ja luvattomien käyttäjien on vaikeampi päästä tilillesi, erityisesti jos epäilet saaneesi tietojenkalastelusähköpostin. Lue lisää tilisi suojaamisesta kaksivaiheisella tunnistautumisella.
Epäilyttävien sähköpostien aitouden vahvistaminen
Jos saat sähköpostin, joka näyttää tulleen Shopify-tuelta mutta tuntuu jollakin tavalla oudolta, vahvista sen aitous:
- Varmista, että sähköposti tulee virallisesta Shopify-verkkotunnuksesta, kuten
@shopify.com
,@email.shopify.com
,@em.shopify.com
tai@shopify-billpay.melio.com
. - Tarkkaile, onko sähköpostiosoitteessa epätavanomaisia merkkejä tai välimerkkejä.
- Jos olet epävarma, vahvista aitous ottamalla yhteyttä suoraan Shopify-tukeen virallisten kanavien kautta.
Tunne varoitusmerkit
Voit suojautua tietojenkalastelulta tunnistamalla varoitusmerkit. Lue viestit huolellisesti riippumatta siitä, keneltä ne näyttävät tulevan, ja tutki tutuiltakin vaikuttavat verkkosivustot tarkoin.
Epämääräinen tai yleisluonteinen kieli
Vaikka tietojenkalastelu voi olla hyvin suunniteltu ja räätälöity sinulle ja yrityksellesi, yleisluonteinen kieli on näiden huijausten tunnusmerkki. Varo viestejä, jotka näyttävät tulevan luotettavalta taholta, mutta joissa käytetään epämääräisiä ilmaisuja, kuten Hyvä tilinhaltija.
Jos viestissä myös luvataan merkittäviä liiketoiminnan tai ansioiden mahdollisuuksia ilman selkeää osoitusta lähettäjän suhteesta sinuun, viesti saattaa olla huijaus.
Olen Reino, pankkiiri.
Ota yhteyttä minuun mahdollisimman pian liittyen mahdolliseen edesmenneen sukulaisen perintöön.
Tietoa ei voi lähettää tekstiviestissä. Lähetä minulle sähköpostia alla olevaan osoitteeseen.
Yritysviestit henkilökohtaisilta tileiltä
Edistykselliset hyökkääjät voivat kerätä tietoa verkkotoiminnastasi ja luoda viestin, joka voisi uskottavasti tulla todelliselta yhteyshenkilöltä.
Tukkuhinnoittelun päivitys
Hei Katja,
lähetän sinulle päivityksen. Liitteenä on laskentataulukko nykyisistä tukkuhinnoistamme: tekstiilihinnat-lokakuu.xls.
Toivottavasti olit tyytyväinen edelliseen paitaerään. Otathan yhteyttä, jos sinulla on kysymyksiä tai muuta asiaa.
Julia Chan
Asiakkuuspäällikkö
Esimerkkikankaat
Hyökkääjät voivat murtautua yhteyshenkilösi yritystilille tai luoda valheellisen henkilökohtaisen tilin tietojenkalasteluviestin lähettämiseksi. Jos esimerkiksi yhteyshenkilösi Julian henkilökohtaisen sähköpostiosoitteen käyttäjätunnus on juliachan3857
, hyökkääjä voi lähettää sähköpostiviestin tililtä juliachan9665
. Tämä hyökkäysmuoto perustuu kahteen tyypilliseen skenaarioon:
- Ihmiset lähettävät usein sähköpostiviestejä väärältä tililtä vahingossa.
- Vaikka tiedät Julian oman sähköpostiosoitteen, et välttämättä katso tarkkaan ja huomaa eroa.
Pelotteleva tai liioitteleva sävy
Kiinnitä huomiota aikaan sidottuihin pyyntöihin, joiden tarkoitus on pelotella toimimaan harkitsematta. Esimerkiksi:
Meillä on ollut katastrofaalinen palvelinvika. Vastaa käyttäjätunnuksellasi ja salasanallasi seuraavien 24 tunnin kuluessa tai menetät pääsyn kauppaasi pysyvästi.
Sähköpostiviestit saattavat myös sisältää liian hyvältä tuntuvia tarjouksia. Sellainen on esimerkiksi matkatoimiston 90 %:n alennus, joka on saatavilla vain, jos toimit heti.
Kirjoitusvirheet, huono kielioppi ja tyylin vaihtelut
Vilpillinen verkkosivusto tai sähköpostiviesti voi näyttää ammattimaiselta mutta sisältää silti kirjoitus- tai kielioppivirheitä. Voit yrittää selvittää verkkosivuston tai viestin vilpillisyyttä etsimällä virheitä ja epäjohdonmukaisuuksia muun muassa näissä asioissa:
- oikeinkirjoitus
- isot kirjaimet
- numerot
- välimerkkien käyttö
- muotoilu
Epäilyttävät URL-osoitteet
Tietojenkalasteluyritykset voivat sisältää URL-osoitteita, jotka näyttävät kelvollisilta, jos niitä ei katso kovin tarkasti. Monissa tietojenkalasteluyrityksissä URL-osoitteet on tarkoituksellisesti valittu muistuttamaan jo tuntemiasi osoitteita. Jos esimerkiksi ostat tavallisesti uimapuvun Example Apparelin kelvollisesta URL-osoitteesta ja saat sähköpostiviestissä linkin valheelliseen URL-osoitteeseen, kyseessä on tietojenkalasteluyritys.
Todellinen URL-osoite ohjaa sinut oikealle sivustolle verkkotunnuksella example-apparel.com
, jonka omistaa Example Apparel, ja valheellinen URL-osoite ohjaa sinut haitalliselle sivustolle verkkotunnuksella com-aquatic.net
, joka on todennäköisesti rikollisten omistuksessa.
Kelvollinen URL-osoite | Valheellinen URL-osoite |
---|---|
example-apparel.com/aquatic/swimmies | example-apparel.com-aquatic.net/swimmies |
Shopify ja arkaluonteisia asiakirjoja koskevat pyynnöt
Shopify ei koskaan pyydä sinulta arkaluonteisia tietoja suoraan sähköpostiviestillä, joka on tekstinä tai kuvana, tai liitetiedostona.
Seuraavassa on esimerkkejä arkaluonteisista asiakirjoista:
- Mikä tahansa henkilötodistus
- Salasanat
- Luottokorttitiedot
- Pankkitiedot
- Kansallinen henkilötunnus, kuten sotu, tai passin numero
Shopify pyytää arkaluonteisten asiakirjojen lähettämistä ainoastaan suojatulla lataussivulla, jonka osoite alkaa app.shopify.com
tai .shopify.com
Ilmoita ongelmista käyttämällä muuta viestintätapaa
Puhu epäilyttävässä viestissä nimetylle lähettäjälle henkilökohtaisesti tai puhelimitse ja selvitä verkkosivua koskevat kysymykset juttelemalla jollekin organisaation sisällä.
Jos otat yhteyttä lähettäjään puhelimitse, käytä arkistossasi tai useissa luotettavissa verkkolähteissä näkyvää numeroa. Jos esimerkiksi saat epäilyttävän tietopyynnön verovirastolta sähköpostitse, soita virastoon edellisvuoden veroilmoituksessa annettuun numeroon. Älä soita numeroon, joka näkyy epäilyttävällä verkkosivulla tai epäilyttävässä sähköpostiviestissä.
Varmista, että yhteytesi verkkosivustoon käyttää HTTPS-protokollaa
Kun muodostat yhteyden mille tahansa verkkosivulle, jossa pyydetään käyttäjätunnusta, salasanaa tai muita arkaluonteisia tietoja, tarkista, että selaimessa näkyy URL-osoitteen vieressä lukkokuvake.
Lukkokuvake kertoo, että yhteys sivustoon on salattu HTTPS-protokollalla. Salattujen yhteyksien URL-osoitteiden alussa on https://
, eikä pelkkä http://
. Jos yhteydessä on http://
, tietoja lähetetään vain tekstinä, jolloin ne voidaan siepata ja lukea reitillä.
Ennen kuin klikkaat linkkiä mihinkään, missä syötät tietojasi, tarkista URL-osoitteen alkuosa https://
.
Avaa vain odottamiasi liitteitä tai linkkejä
Älä koske liitetiedostoihin, linkkeihin tai lomakkeisiin, ellet odota niitä ja tunne niiden sisältöä. Ne voivat uudelleenohjata haitalliseen sivustoon, joka on suunniteltu varastamaan tietosi, ja tartuttaa laitteeseen haittaohjelman.
Kun linkin teksti on URL-osoite, varmista, että se vastaa itse linkissä olevaa URL-osoitetta. Esimerkiksi linkki, joka on auki kirjoitettuna https://help.shopify.com
viestin tekstissä, saattaa ohjata sinut tietojenkalastelusivulle toisessa URL-osoitteessa.
Monissa tietojenkalasteluhyökkäyksissä hyödynnetään verkkopankkia. Jos saat pankistasi epäilyttävässä sähköpostiviestissä erikoistarjouksen luotosta, älä klikkaa linkkiä. Kirjoita sen sijaan pankin URL-osoite käsin uuteen ikkunaan ja tarkista, näkyykö tarjous tilisi dashboardissa.
Ole varovainen julkisessa Wi-Fi-verkossa
Julkinen Wi-Fi on kätevä kodin ja toimiston ulkopuolella, mutta se tarjoaa rikollisille monia tapoja päästä tietoihisi. Voit vähentää riskejä suojaamalla itsesi ja tietosi.
Tarkista tukiasemien nimet
Hyökkääjä voi luoda oman salaamattoman Wi-Fi-tukiaseman, joka on nimetty samalla tavalla kuin luotettava tukiasema esimerkiksi kahvilan verkossa. Jos muodostat yhteyden tietojenkalasteluasemaan, hyökkääjä voi ohjata sinut omalle sivulleen ja altistaa haittaohjelmille tai pyytää yksityisiä tietoja.
Ennen kuin muodostat yhteyden tukiasemaan, varmista sen luotettavuus. Jos et löydä tukiaseman nimeä ilmeisestä paikasta, kysy sijainnin työntekijältä asiasta.
Deaktivoi laitteesi tukiasemat
Vaikka olisit luonut yhteyden luotettavaan julkiseen Wi-Fi-tukiasemaan, voit silti olla samassa verkossa hyökkääjän kanssa. Julkiset Wi-Fi-verkot ovat paljon turvattomampia kuin yksityisverkot, kuten kodin tai toimiston verkot.
Suojaudu kytkemällä tiedostojen jakaminen verkossa pois käytöstä ja ottamalla palomuuri käyttöön ennen yhdistämistä. Näilläkään varotoimilla ei kannata lähettää tai vastaanottaa arkaluonteista sisältöä julkisessa Wi-Fi-verkossa.
Lähetä ja vastaanota arkaluonteisia tietoja vain VPN:n kautta
Näennäinen yksityisverkko (VPN) luo suojatun yhteyden laitteen ja VPN-yrityksen palvelimien välille. VPN-palvelimet välittävät tietosi Internetiin. Vaikka hyökkääjä pääsisi julkisen Wi-Fi-tukiaseman kautta lähettämiisi ja saamiisi tietoihin, ne salataan eivätkä näin ollen ole hyökkääjälle hyödyllisiä.
Techradar ja PC Mag ovat hyviä paikkoja tutustua VPN-vaihtoehtoihin.
Ilman VPN:ää turvallisin vaihtoehto on välttää arkaluonteisten tietojen lähettämistä julkisten Wi-Fi-verkkojen kautta.
Noudata viranomaisten ohjeita, jos henkilötietosi ovat vaarantuneet
Henkilöä koskevat tiedot (PII) tarkoittaa tietoja, joiden avulla voidaan tunnistaa tietty henkilö tai tekeytyä henkilöksi. Näitä ovat esimerkiksi:
- koko nimi
- sähköpostiosoite
- katuosoite
- puhelinnumero
- luottokortin numero
- kansallinen henkilötunnus, kuten sotu, tai passi
- ajokortti
- syntymäaika
Jos olet antanut henkilöä koskevia tietoja epäilyttävän kanavan kautta tai Shopify-tilisi on vaarantunut, seuraa viranomaisten ohjeita. Esimerkkinä Kanadan ja Yhdysvaltojen oppaat:
Kanada
Toimenpiteet:
Tee ilmoitus:
Yhdysvallat
Toimenpiteet:
Tee ilmoitus: