Lindungi akaun anda daripada phishing

Istilah phishing menerangkan penipuan kecurian identiti yang melibatkan laman web dan e-mel atau mesej palsu yang lain. Matlamat serangan phishing adalah untuk mendapatkan akses ke akaun anda dan maklumat sensitif. Seorang penyerang boleh mencipta laman web mereka sendiri yang meniru satu laman web yang bereputasi atau menghantar mesej yang kelihatannya berasal dari sumber yang dipercayai. Mesej phishing boleh datang dari akaun palsu atau akaun yang telah digodam.

Mesej pancingan data mungkin meminta anda melengkapkan tugas berikut:

  • Lawati pautan.
  • Muat turun fail.
  • Buka lampiran.

Malware — perisian berniat jahat seperti cacing, trojan, bot, dan virus — boleh menjangkiti komputer atau peranti mudah alih anda jika anda melakukan sebarang tindakan ini. Selepas peranti anda dijangkiti, penceroboh boleh mendapat akses kepada maklumat peribadi anda.

Penipuan pancingan data juga boleh memasukkan permintaan langsung untuk maklumat peribadi, seperti bukti kelayakan akaun bank anda.

Penipuan phishing mungkin meminta anda memberikan maklumat peribadi berikut:

  • Melalui e-mel atau sistem pesanan lain.
  • Melalui borang.
  • Pada nombor telefon penipuan.
  • Di alamat fizikal palsu.

Malah permintaan anda untuk memasukkan alamat e-mel anda dan menetapkan semula kata laluan anda boleh berbahaya.

Ketahui tanda-tanda amaran

Anda boleh melindungi diri daripada pancingan data dengan memahami tanda-tanda amaran. Baca mesej dengan berhati-hati tidak kira daripada mana asalnya dan meneliti laman web tidak kira betapa biasa ia kelihatan.

Bahasa yang terlalu umum

Walaupun pancingan data boleh dikaji dengan baik dan disesuaikan untuk anda dan perniagaan anda, bahasa umum merupakan ciri khas penipuan pancingan data. Berhati-hati dengan mesej yang kelihatannya datang daripada organisasi yang anda percayai tetapi bermula dengan pernyataan yang tidak jelas:

Pemegang akaun yang dihormati,

Begitu juga, jika mesej menjanjikan perniagaan penting atau peluang kewangan tetapi tidak memasukkan butiran yang cukup untuk anda mengesahkan bahawa penghantar mengenali anda, itu mungkin penipuan:

Saya Frederick, seorang jurubank. Sila hubungi saya segera tentang pewarisan saudara terdekat yang telah meninggal dunia. Tidak boleh berkongsi banyak melalui sms. E-mel saya di alamat di bawah.

Mesej perniagaan daripada akaun peribadi

Penyerang canggih boleh mengumpulkan maklumat yang cukup daripada kehadiran dalam talian anda untuk mencipta mesej yang mungkin datang daripada kenalan sebenar:

Kemas Kini Harga Borong

Hai Georgia, saya hanya mahu mengemaskinikan anda. Berikut adalah hamparan harga borong semasa kami: fabrik-harga-2016-oct.xls

Saya harap anda berpuas hati dengan kelompok baju terakhir! Sila beritahu saya jika anda mempunyai sebarang pertanyaan atau kebimbangan.

--

Julia Chan

Pengurus Akaun

Contoh Kain

Untuk menghantar serangan, mereka boleh menggodam akaun perniagaan kenalan anda atau mencipta akaun peribadi palsu. Sebagai contoh, jika nama pengguna untuk e-mel peribadi kenalan Julia anda adalah juliachan3857, maka penyerang mungkin menghantar e-mel daripada akaun dengan nama pengguna juliachan9665. Bentuk serangan ini bergantung kepada dua faktor:

  • Orang menghantar e-mel dari akaun yang salah secara tidak sengaja.
  • Walaupun jika anda tahu alamat e-mel peribadi Julia, anda mungkin tidak melihat dengan teliti.

Silap ejaan, tatabahasa yang lemah, dan variasi gaya

Penjahat tidak mengambil panduan gaya kandungan serius sebagai penulis kandungan web profesional. Serta kesilapan menaip dan tatabahasa, varian dalam kategori yang berikut pada halaman tunggal boleh menunjukkan bahawa laman web adalah penipuan:

  • ejaan.
  • penggunaan huruf besar.
  • nombor.
  • tanda baca.
  • pemformatan.

Nada yang gelisah atau terlampau teruja

Berhati-hati dengan permintaan sensitif masa yang cuba menakutkan anda untuk bertindak tanpa berfikir. Contohnya, Shopify tidak akan menghantar mesej kepada anda yang menyatakan:

Kami mempunyai kegagalan malapetaka pelayan. Respons dengan nama pengguna dan kata laluan anda dalam 24 jam yang akan datang atau anda akan kehilangan akses ke kedai anda secara kekal.

Begitu juga, menonton mesej yang membuat tawaran kelihatan terlalu baik untuk menjadi kenyataan, seperti diskaun 90% dari syarikat perjalanan yang hanya tersedia jika anda bertindak sekarang.

URL yang tidak kelihatan betul

Percubaan phishing boleh termasuk URL yang kelihatan sah jika anda tidak melihat dengan teliti. Banyak percubaan phishing menggunakan URL yang sengaja dipilih menyerupai URL yang anda kenali. Seperti yang ditunjukkan dalam jadual di bawah, jika anda biasanya membeli pakaian renang dari Example Apparel di URL yang sah dan anda menerima e-mel dengan pautan ke URL palsu, anda boleh tahu bahawa ia adalah percubaan phishing.

URL sebenar menghalakan semula anda ke tapak di domain example-apparel.com, yang dimiliki oleh Example Apparel dan URL palsu yang menghalakan semula anda ke tapak yang berniat jahat di domain com-aquatic.net, yang berkemungkinan dimiliki oleh penjenayah.

URL yang sah URL palsu
example-apparel.com/aquatic/swimmies example-apparel.com-aquatic.net/swimmies

Suarakan kebimbangan menggunakan mod komunikasi yang lain

Bercakap dengan pengirim yang dikatakan menghantar mesej yang mencurigakan itu secara peribadi atau melalui telefon dan selesaikan kebimbangan tentang halaman web dengan bercakap dengan seseorang di dalam organisasi tersebut.

Jika anda menghubungi penghantar melalui telefon, kemudian menggunakan nombor yang anda ada pada fail atau yang muncul di berbilang sumber dalam talian yang bereputasi. Sebagai contoh, jika anda menerima permintaan maklumat yang mencurigakan dari agensi cukai anda melalui e-mel, kemudian menghubungi agensi itu pada nombor pada pulangan cukai tahun lepas. Jangan hubungi nombor yang muncul di laman web atau e-mel yang mencurigakan.

Pastikan sambungan anda ke laman web menggunakan HTTPS

Apabila anda menyambung ke mana-mana laman web di mana anda boleh diminta untuk memasukkan nama pengguna dan kata laluan atau data sensitif yang lain, semak ikon kunci yang muncul di sebelah URL dalam pelayar anda:

Ikon kunci memberitahu anda bahawa sambungan ke tapak disulitkan menggunakan protokol HTTPS. URL untuk sambungan yang disulitkan bermula dengan https:// bukannya http://. Sambungan yang menggunakan http:// menghantar data dalam teks biasa, bermakna ia dapat dipintas dalam perjalanan dan dibaca.

Sebelum mengklik pautan ke mana yang anda jangkakan untuk memasukkan maklumat, pastikan bahawa URL bermula dengan https://.

Hanya buka lampiran atau pautan yang anda jangkakan

Jangan berinteraksi dengan lampiran, pautan, atau borang melainkan anda ada menjangkakan untuk menerimanya dan tahu apakah kandungannya. Bukan sahaja ia boleh mengarahkan anda ke laman web berniat jahat yang direka untuk mencuri maklumat anda, tetapi ia juga boleh menjangkiti peranti anda dengan perisian hasad.

Apabila teks pautan adalah URL, pastikan ia sepadan dengan URL dalam pautan itu sendiri. Contohnya, pautan yang ditulis sebagai https://help.shopify.com dalam badan e-mel mungkin mengarahkan anda ke laman pancingan data pada URL lain:

Banyak serangan pancingan data cuba memanfaatkan perbankan dalam talian. Jika anda menerima e-mel yang mencurigakan daripada bank anda dengan tawaran istimewa untuk perkhidmatan kredit, maka jangan klik pautan tersebut. Sebaliknya, masukkan URL bank anda secara manual dalam tetingkap baharu dan lihat jika tawaran itu muncul di papan pemuka akaun anda.

Berhati-hati dengan wi-fi awam

Wi-fi awam memudahkan apabila anda dalam perjalanan, tetapi ia memberikan banyak cara yang berbeza untuk penjenayah mendapatkan akses kepada maklumat anda. Anda boleh mengurangkan risiko anda dengan mengambil langkah-langkah untuk melindungi diri anda dan data anda.

Sahkan nama hotspot

Seorang penyerang boleh mencipta hotspot wi-fi yang tidak disulitkan yang dinamakan seperti hotspot bereputasi yang terdapat di kawasan yang sama, seperti rangkaian di kedai kopi. Jika anda menyambung ke hotspot phishing, penyerang boleh menghalakan anda ke halaman mereka sendiri, di mana anda boleh terdedah kepada perisian hasad atau diminta memasukkan maklumat peribadi.

Sebelum menyambungkan, pastikan bahawa hotspot yang anda rancang untuk gunakan adalah sah. Jika anda tidak dapat melihat nama hotspot yang dipaparkan di tempat yang jelas, maka tanya seorang pekerja.

Nyahdayakan titik akses ke peranti anda

Walaupun anda telah bersambung dengan hotspot wi-fi awam yang sah, anda masih boleh berisiko dengan berada di rangkaian yang sama dengan seorang penyerang. Rangkaian wi-fi awam jauh lebih berbahaya berbanding rangkaian peribadi seperti yang ada di rumah atau pejabat anda:

Lindungi diri anda dengan mematikan perkongsian fail dalam rangkaian anda dan mendayakan tembok api anda sebelum menyambung. Walaupun dengan langkah berjaga-jaga ini, adalah tidak digalakkan untuk menghantar atau menerima sebarang kandungan sensitif menggunakan rangkaian wi-fi awam.

Hantar dan terima data sensitif melalui VPN

Rangkaian persendirian maya menubuhkan sambungan selamat antara peranti anda dan pelayan syarikat VPN. Dari situ, pelayan VPN menyampaikan maklumat anda ke internet. Jika penyerang mendapatkan akses kepada data yang anda hantar dan terima melalui kawasan khas wi-fi awam, data tersebut disulitkan dan tidak berguna kepada mereka:

Techradar dan PC Mag adalah tempat yang baik untuk bermula jika anda ingin belajar cara memilih VPN.

Tanpa VPN, opsyen yang paling selamat adalah untuk mengelakkan penghantaran maklumat sensitif atas wi-fi awam.

Ikut panduan kerajaan sekiranya maklumat peribadi anda di kompromi

Maklumat peribadi yang dikenal pasti (PII) terdiri daripada data yang boleh digunakan untuk mengenal pasti orang tertentu, atau menyamar sebagai mereka. Jenis PII termasuk:

  • nama penuh.
  • alamat e-mel.
  • alamat jalan.
  • nombor telefon.
  • nombor kad kredit.
  • nombor identiti kebangsaan (seperti SIN, SSN atau pasport).
  • lesen memandu.
  • tarikh lahir.

Jika anda telah memberikan maklumat yang dapat dikenal pasti secara peribadi melalui saluran yang mencurigakan, atau akaun Shopify anda terjejas, maka rujuk panduan daripada kerajaan anda, seperti maklumat ini daripada kerajaan Kanada dan Amerika Syarikat:

Kanada

Perkara yang perlu dilakukan:

Failkan laporan:

Amerika Syarikat

Perkara yang perlu dilakukan:

Failkan laporan:

Sedia untuk mula menjual dengan Shopify?

Cuba secara percuma