Beskytte kontoen din mot phishing

Uttrykket phishing beskriver svindel forbundet med identitetstyveri som innebærer falske nettsteder og e-poster eller andre meldinger. Målet med et phishingangrep er å få tilgang til kontoen din og sensitiv informasjon. Angripere kan opprette egne nettsteder som etterligner et kjent nettsted eller sende deg meldinger som ser ut til å komme fra en pålitelig kilde. Phishingmeldinger kan komme fra en falsk konto eller en konto som har blitt hacket.

En phishingmelding kan be deg om å utføre følgende:

  • Besøke en kobling
  • Laste ned en fil
  • Åpne et vedlegg

Skadelig programvare, for eksempel ormer, trojanske hester, roboter og virus, kan infisere datamaskinen eller mobilenheten din hvis du utfører noen av disse handlingene. Når enheten din er infisert, kan en inntrenger få tilgang til personopplysningene dine.

Phishingsvindel kan også innebære direkte forespørsler om personopplysninger, for eksempel påloggingsinformasjon til bankkontoen din.

Phishingsvindel kan be deg om å oppgi personopplysninger på følgende måter:

  • Per e-post eller et annet meldingssystem
  • Via et skjema
  • Via et falskt telefonnummer
  • Via en falsk fysisk adresse

Til og med en forespørsel om å angi e-postadresse eller tilbakestille passordet ditt kan være farlig.

Kjenn til faresignalene

Du kan beskytte deg mot phishing ved å forstå faresignalene. Les meldingene nøye uansett hvem de ser ut til å komme fra og undersøk nettsteder uansett hvor kjente de kan se ut til å være.

Overdrevent språk

Selv om phishing kan være basert på gode undersøkelser og tilpasninger mot deg og forretningen din, er språket et kjennetegn ved phishingsvindel. Vær oppmerksom på meldinger som ser ut til å komme fra en organisasjon du stoler på, men som begynner med vage setninger:

Kjære kontoinnehaver

På samme måte, hvis en melding inneholder lovord om en viktig forretningsmulighet eller økonomisk mulighet, men ikke inneholder nok detaljer til at du kan bekrefte at senderen kjenner deg, kan det være svindel:

Jeg er Frederick, en bankmann. Kontakt meg så fort som mulig angående mulig arv fra en fjern slektning. Kan ikke dele mye via SMS. Send meg en e-post til adressen nedenfor.

Forretningsmeldinger fra personlige kontoer

Sofistikerte angripere kan innhente nok informasjon fra tilstedeværelsen din på nettet til å opprette en melding som kan se ut til å komme fra en ekte kontakt:

Oppdatering om engrospriser

Hei, Georgia, jeg vil bare oppdatere deg. Her har du et regneark med våre nåværende engrospriser: stoffpriser-2016-okt.xls

Jeg håper du var fornøyd med den siste forsendelsen med t-skjorter! Gi meg beskjed om du har noen spørsmål eller bekymringer.

--

Julia Chan

Kontoadministrator

Eksempelstoffer

For å sende et angrep kan de hacke seg inn på forretningskontoen til kontakten din eller opprette en falsk personlig konto. Hvis for eksempel brukernavnet for den personlige e-posten til kontakten din Julia er juliachan3857, sender kanskje en angriper e-post fra en konto med brukernavnet juliachan9665. Denne typen angrep er avhengig av to faktorer:

  • Folk sender e-post fra feil konto med et uhell
  • Selv om du kjenner til Julias personlige e-postadresse, ser du kanskje ikke så nøye etter

Skrivefeil, dårlig grammatikk og variasjoner i skrivestil

Kriminelle tar ikke retningslinjer for skrivestil så alvorlig som profesjonelle forfattere av nettinnhold. I tillegg til skrivefeil og grammatiske feil, kan variasjoner innenfor følgende kategorier på samme side vise at nettstedet er falskt:

  • staving
  • bruk av store og små bokstaver
  • tall
  • tegnsetting
  • formatering

Alarmerende eller overbegeistret tone

Vær på vakt hvis du får tidsbestemte forespørsler som prøver å skremme deg til å handle uten å tenke. Shopify vil for eksempel ikke sende deg en slik melding:

Vi har hatt en katastrofisk serverfeil. Svar med ditt brukernavn og passord i løpet av de neste 24 timene, ellers mister du tilgang til butikken permanent.

På samme måte må du være på vakt hvis du får meldinger med tilbud som virker for gode til å være sanne, som for eksempel 90 % rabatt fra et reisebyrå som kun er tilgjengelig hvis du handler .

URL-koblinger som ser ut til å være feilaktige

Phishingforsøk kan innebære URL-koblinger som ser ut til å være legitime så lenge du ikke ser så nøye etter. Mange phishingforsøk bruker URL-koblinger som bevisst etterligner en URL-kobling du kjenner fra før. Som vist i tabellen under, hvis du vanligvis kjøper badetøy fra Example Apparel via den legitime URL-koblingen og du mottar en e-post med henvisning til den falske URL-koblingen, vil du kunne se at det er et phishingforsøk.

Den ekte URL-koblingen sender deg til et nettsted på domenet example-apparel.com, som eies av Example Apparel, mens den falske URL-adressen sender deg til et skadelig nettsted på domenet com-aquatic.net, som trolig eies av kriminelle.

Kjennetegn for ekte og falske telefonnettadresser
Legitim URL-adresse Falsk URL-adresse
example-apparel.com/aquatic/swimmies example-apparel.com-aquatic.net/swimmies

Henvend deg via en annen kommunikasjonsmodus

Gi beskjed til avsenderen som den mistenkelige meldingen ser ut til å komme fra, enten personlig eller per telefon, og ta opp bekymringer om et nettsted ved å snakke med noen i organisasjonen.

Hvis du kontakter avsenderen per telefon, må du bruke et nummer du har lagret eller som vises på flere anerkjente kilder på nettet. Hvis du for eksempel mottar en mistenkelig forespørsel om informasjon fra skattemyndighetene per e-post, må du ringe dem på nummeret på fjorårets skattemelding. Ikke ring et nummer som vises på et mistenkelig nettsted eller e-post.

Kontroller at forbindelsen til et nettsted bruker HTTPS

Når du kobler til et nettsted der du kan bli bedt om å angi brukernavn og passord eller andre sensitive opplysninger, må du sjekke at det vises en hengelås ved siden av URL-adressen i nettleseren:

Hengelåsikonet forteller deg at tilkoblingen til nettstedet er kryptert ved hjelp av HTTPS-protokollen. URL-adressene for krypterte tilkoblinger starter med https:// i stedet for http://. Tilkoblinger som bruker http:// sender data i ren tekst, som betyr at det kan fanges opp og leses underveis.

Før du klikker på en kobling til et sted der du forventer å angi informasjon, må du kontrollere at URL-adressen begynner med https://.

Du må kun åpne vedlegg eller koblinger som du forventer deg

Du må ikke samhandle med vedlegg, koblinger eller skjemaer med mindre du forventer dem og vet hva de inneholder. De kan ikke bare omdirigere deg til et skadelige nettsted som er utformet for å stjele informasjonen din, men de kan også infisere enheten din med skadelig programvare.

Når koblingsteksten er en URL-adresse, må du kontrollere at den samsvarer med URL-adressen i selve koblingen. For eksempel kan en kobling som er angitt som https://help.shopify.com i en e-post, sende deg til et phishingnettsted fra en annen URL-adresse:

Mange phishingangrep prøver å utnytte nettbaserte banktjenester. Hvis du mottar en mistenkelig e-post fra banken med et spesialtilbud for et kredittlån, må du ikke klikke på koblingen. I stedet kan du angi bankens URL-adresse manuelt i et nytt vindu og se om tilbudet vises i kontoens instrumentbord.

Vær forsiktig ved bruk av offentlige, trådløse nettverk

Offentlige, trådløse nettverk er praktisk når du er på farten, men det gir mange ulike måter for kriminelle å få tilgang til informasjonen din på. Du kan redusere risikoen ved å gjøre tiltak for å beskytte deg og dataene dine.

Kontroller navnet på trådløse nettverkssoner

Angripere kan opprette egne, ukrypterte, trådløse nettverk med samme navn som et anerkjent nettverk i samme område, som for eksempel nettverket på en kafé. Hvis du kobler til det trådløse phishingnettverket, kan angripere sende deg til deres egen side hvor du kan bli utsatt for skadelig programvare eller bedt om å angi privat informasjon.

Før du kobler til må du kontrollere at det trådløse nettverket du skal bruke er legitimt. Hvis navnet på det trådløse nettverket ikke er publisert på en åpenbar plass, må du spørre en ansatt.

Deaktiver tilgangspunkter til enheten din

Selv om du har koblet til et legitimt, offentlig, trådløst nettverk, kan det fremdeles være fare for at du er på samme nettverk som en angriper. Offentlige, trådløse nettverk er mye mindre sikre enn private nettverk, som det du har hjemme eller på kontoret:

Beskytt deg ved å slå av fildeling på nettverket og aktivere brannmuren før du kobler til. Selv med slike forholdsregler er det fremdeles ikke en god idé å sende eller motta noe sensitivt innhold når du bruker et offentlig, trådløst nettverk.

Send og motta sensitive opplysninger via en VPN-forbindelse

Et virtuelt privat datanettverk etablerer en sikker tilkobling mellom enheten og VPN-bedriftens servere. Derfra sender VPN-serverne informasjonen via relé til Internett. Hvis en angriper får tilgang til dataene du overfører og mottar gjennom et offentlig, trådløst nettverk, er dataene krypterte og kan ikke brukes:

Techradar og PC Mag er gode steder å starte hvis du vil lære hvordan du velger en VPN.

Uten en VPN er det sikreste alternativet å unngå å overføre sensitiv informasjon over offentlig, trådløse nettverk.

Følg offentlige retningslinjer hvis personopplysningene dine kompromitteres.

Personlig identifiserbar informasjon (PII) består av data som kan brukes til å identifisere eller til og med etterligne en bestemt person. Ulike typer PII inkluderer:

  • fullt navn
  • e-postadresse
  • gateadresse
  • telefonnummer
  • kredittkortnummer
  • nasjonalt identifikasjonsnummer (for eksempel sosialforsikringsnummer (SIN), personnummer eller passnummer)
  • førerkort
  • fødselsdato

Hvis du har oppgitt personlig identifiserbar informasjon gjennom en mistenkelig kanal eller Shopify-kontoen din har blitt kompromittert, må du sjekke retningslinjene fra myndighetene. Som denne informasjonen fra myndighetene i Canada og USA:

Canada

Dette må du gjøre:

Sende inn en rapport:

USA

Dette må du gjøre:

Sende inn en rapport:

Er du klar til å begynne å selge med Shopify?

Prøv det gratis