Beskytt kontoen din mot phishing, vishing og smishing
Uttrykket phishing beskriver svindel forbundet med identitetstyveri som innebærer falske nettsteder og e-poster eller andre meldinger. Målet med et phishingangrep er å få tilgang til kontoen din og sensitiv informasjon. Angripere kan opprette egne nettsteder som etterligner et kjent nettsted eller sende deg meldinger som ser ut til å komme fra en pålitelig kilde. Phishingmeldinger kan komme fra en falsk konto eller en konto som har blitt hacket.
Angripere kan også prøve lignende taktikker for å angripe kontoen din ved hjelp av vishing, stemmebasert phishing, og smishing, SMS- eller tekstmeldingbasert phishing, for å innhente sensitive opplysninger. Du må være forsiktig med ikke å oppgi sensitiv informasjon over telefon, og ikke klikke på potensielt kompromitterende koblinger som sendes som SMS-meldinger. Hvis du mistenker at du kan ha mottatt en samtale eller SMS-melding for phishing, bør du kontakte Shopify-brukerstøtte umiddelbart.
En phishingmelding kan be deg om å utføre følgende:
- besøke en kobling
- last ned en fil
- åpne et vedlegg
- svare med personopplysninger eller koder for totrinnsautentisering
Hvis du gjennomfører noen av disse handlingene kan du smitte datamaskinen eller mobilenheten med skadelig programvare, som ormer, trojanske hester, roboter og virus. Når enheten er smittet kan angripere få tilgang til dine personopplysninger.
Phishingsvindel kan også innebære direkte forespørsler om personopplysninger, for eksempel påloggingsinformasjon til bankkontoen din.
Phishing-svindelforsøk kan be deg om å oppgi personopplysninger på følgende måter
- per e-post eller et annet meldingssystem
- gjennom et skjema
- bruke et falskt telefonnummer
- bruke en falsk fysisk adresse
Til og med en forespørsel om å angi e-postadresse eller tilbakestille passordet ditt kan være farlig.
På denne siden
- Kjenn til faresignalene
- Shopify og forespørsler om sensitive dokumenter
- Henvend deg via en annen kommunikasjonsmodus
- Bekreft at tilkoblingen din til et nettsted bruker HTTPS
- Bare åpne vedlegg eller koblinger du forventer å motta
- Vær forsiktig når du bruker offentlige trådløse nettverk
- Følg offentlige retningslinjer hvis personopplysningene dine kompromitteres
Kjenn til faresignalene
Du kan beskytte deg mot phishing ved å forstå faresignalene. Les meldingene nøye uansett hvem de ser ut til å komme fra og undersøk nettsteder uansett hvor kjente de kan se ut til å være.
Vagt eller generelt språk
Selv om phishing kan være basert på gode undersøkelser og tilpasninger mot deg og forretningen din, er språket et kjennetegn ved phishingsvindel. Vær oppmerksom på meldinger som ser ut til å komme fra en organisasjon du stoler på, men som begynner med vage setninger som Kjære kontoinnehaver.
På samme måte, hvis en melding inneholder lovord om en viktig forretningsmulighet eller økonomisk mulighet, men ikke inneholder nok detaljer til at du kan bekrefte at senderen kjenner deg, kan det være svindel.
Jeg er Frederick, en bankmann.
Kontakt meg så fort som mulig angående mulig arv fra en fjern slektning.
Kan ikke dele mye via SMS. Send meg en e-post til adressen nedenfor.
Forretningsmeldinger fra personlige kontoer
Sofistikerte angripere kan innhente nok informasjon fra tilstedeværelsen din på nettet til å opprette en melding som kan se ut til å komme fra en ekte kontakt.
Oppdatering om engrospriser
Hei Georgia:
Jeg ville bare oppdatere deg. Her er et regneark med de gjeldende engrosprisene våre: fabric-prices-october.xls
Jeg håper du var fornøyd med den siste forsendelsen med t-skjorter! Gi meg beskjed om du har noen spørsmål eller bekymringer.
Julia Chan
Kontoadministrator
Example Tekstiler
Angripere kan hacke seg inn på kontaktens firmakonto eller opprette en falsk personlig konto for å sende en e-postmelding for phishing. Hvis brukernavnet til kontakten Julias personlige e-postadresse for eksempel er juliachan3857, kan en angriper sende en e-postmelding fra en konto med brukernavnet juliachan9665. Denne typen angrep er avhengig av følgende adferd:
- Folk sender ofte e-postmeldinger fra feil konto.
- Selv om du kjenner Julias personlige e-postadresse ser du kanskje ikke så nøye etter, og legger ikke merke til forskjellen.
Alarmerende eller overbegeistret tone
Vær på vakt for tidssensitive forespørsler som prøver å skremme deg til å handle uten å tenke deg om. For eksempel:
Vi har hatt en katastrofisk serverfeil. Svar med ditt brukernavn og passord i løpet av de neste 24 timene, ellers mister du tilgang til butikken permanent.
E-postmeldinger kan komme med tilbud som virker for gode til å være sanne, som en 90 % rabatt fra et reiseselskap, men den er kun tilgjengelig hvis du handler nå.
Skrivefeil, dårlig grammatikk og variasjoner i skrivestil
Selv om et falskt nettsted eller e-postmelding kan se profesjonelt ut, kan det være stave- eller grammatikkfeil. For å avgjøre om et nettsted eller en e-postmelding kan være falsk kan du se etter feil eller inkonsekvent bruk av følgende:
- staving
- bruk av store og små bokstaver
- numre
- tegnsetting
- formatering
Mistenkelige URL-adresser
Phishingforsøk kan innebære URL-koblinger som ser ut til å være legitime så lenge du ikke ser så nøye etter. Mange phishingforsøk bruker URL-koblinger som bevisst etterligner en URL-kobling du kjenner fra før. Hvis du for eksempel vanligvis kjøper badetøy fra Example Apparel via den legitime URL-adressen og du mottar en e-postmelding med en kobling til en falsk URL-adresse, vet du at e-postmeldingen er et phishingforsøk.
Den ekte URL-koblingen sender deg til et nettsted på domenet example-apparel.com, som eies av Example Apparel, mens den falske URL-adressen sender deg til et skadelig nettsted på domenet com-aquatic.net, som trolig eies av kriminelle.
| Legitim URL-adresse | Falsk URL-adresse |
|---|---|
| example-apparel.com/aquatic/swimmies | example-apparel.com-aquatic.net/swimmies |
Shopify og forespørsler om sensitive dokumenter
Shopify ber deg aldri om sensitiv informasjon direkte gjennom en e-postmelding som er et tekst eller bilde, eller som et filvedlegg.
Følgende er eksempler på sensitive dokumenter:
- enhver form for identifikasjonsdokumenter
- passord
- kredittkortinformasjon
- bankinformasjon
- nasjonale identitetsnumre, som SIN (personnummer) eller SSN (personnummer)
Shopify ber bare om at du sender sensitive dokumenter gjennom en sikker opplastingsside som starter med app.shopify.com eller .shopify.com.
Henvend deg via en annen kommunikasjonsmodus
Gi beskjed til avsenderen som den mistenkelige meldingen ser ut til å komme fra, enten personlig eller per telefon, og ta opp bekymringer om et nettsted ved å snakke med noen i organisasjonen.
Hvis du kontakter avsenderen per telefon, må du bruke et nummer du har lagret eller som vises på flere anerkjente kilder på nettet. Hvis du for eksempel mottar en mistenkelig forespørsel om informasjon fra skattemyndighetene per e-post, må du ringe dem på nummeret på fjorårets skattemelding. Ikke ring et nummer som er oppgitt på et mistenkelig nettsted eller i en e-postmelding.
Bekreft at tilkoblingen din til et nettsted bruker HTTPS
Når du kobler til et nettsted der du kan bli bedt om å angi brukernavn og passord eller andre sensitive opplysninger, må du sjekke at det vises en hengelås ved siden av URL-adressen i nettleseren.
Hengelåsikonet forteller deg at tilkoblingen til nettstedet er kryptert ved hjelp av HTTPS-protokollen. URL-adressene for krypterte tilkoblinger starter med https:// i stedet for http://. Tilkoblinger som bruker http:// sender data i ren tekst, som betyr at det kan fanges opp og leses underveis.
Før du klikker på en kobling til et sted du forventer å oppgi informasjon må du sjekke at URL-adressen starter med https://.
Bare åpne vedlegg eller koblinger du forventer å motta
Du må ikke samhandle med vedlegg, koblinger eller skjemaer med mindre du forventer dem og vet hva de inneholder. De kan ikke bare omdirigere deg til et skadelige nettsted som er utformet for å stjele informasjonen din, men de kan også infisere enheten din med skadelig programvare.
Når koblingsteksten er en URL-adresse må du sjekke at teksten samsvarer med URL-adressen i selve koblingen. For eksempel kan en kobling som er angitt som https://help.shopify.com i en e-post, sende deg til et phishingnettsted fra en annen URL-adresse.
Mange phishingangrep prøver å utnytte nettbaserte banktjenester. Hvis du mottar en mistenkelig e-postmelding banken med et spesialtilbud for et kredittlån, må du ikke klikke på koblingen. I stedet kan du angi bankens URL-adresse manuelt i et nytt vindu og se om tilbudet vises i kontoens instrumentbord.
Vær forsiktig når du bruker offentlige trådløse nettverk
Offentlige Wi-Fi-nettverk er praktiske når du ikke er hjemme eller på jobb, men gir også angripere mange muligheter til å få tilgang til informasjonen din. Du kan redusere risikoen ved å gjøre tiltak for å beskytte deg og dataene dine.
Kontroller navnet på trådløse nettverkssoner
En angriper kan opprette sitt eget ukrypterte, trådløse nettverk hvis navn ligner på et anerkjent nettverk i samme område, for eksempel nettverket på en kafé. Hvis du kobler til det trådløse phishingnettverket, kan angripere sende deg til deres egen side hvor du kan bli utsatt for skadelig programvare eller bedt om å oppgi privat informasjon.
Før du kobler til et tilgangspunkt bør du kontrollere at tilgangspunktet du har planer om å bruke er ekte. Hvis du ikke ser navnet på tilgangspunktet på et åpenbart sted kan du spørre en ansatt på stedet.
Deaktiver tilgangspunkter til enheten din
Selv om du har koblet til et legitimt, offentlig, trådløst nettverk, kan det fremdeles være fare for at du er på samme nettverk som en angriper. Offentlige, trådløse nettverk er mye mindre sikre enn private nettverk, som det du har hjemme eller på kontoret.
Beskytt deg ved å slå av fildeling på nettverket og aktivere brannmuren før du kobler til. Selv med slike forholdsregler er det fremdeles ikke en god idé å sende eller motta noe sensitivt innhold når du bruker et offentlig, trådløst nettverk.
Bare send og motta sensitive data over VPN
Et virtuelt privat datanettverk etablerer en sikker tilkobling mellom enheten og VPN-bedriftens servere. Derfra sender VPN-serverne informasjonen via relé til Internett. Hvis en angriper får tilgang til dataene du overfører og mottar gjennom et offentlig, trådløst nettverk, er dataene krypterte og kan ikke brukes.
Techradar og PC Mag er gode steder å starte hvis du vil lære hvordan du velger en VPN.
Uten en VPN er det sikreste alternativet å unngå å overføre sensitiv informasjon over offentlig, trådløse nettverk.
Følg offentlige retningslinjer hvis personopplysningene dine kompromitteres
Personlig identifiserbar informasjon (PII) består av data som kan brukes til å identifisere eller til og med etterligne en bestemt person. PII inkluderer følgende typer informasjon:
- fullt navn
- e-postadresse
- gateadresse
- telefonnummer
- kredittkortnummer
- nasjonalt identifikasjonsnummer (for eksempel sosialforsikringsnummer (SIN), personnummer eller passnummer)
- førerkort
- fødselsdato
Hvis du har oppgitt personlig identifiserbar informasjon gjennom en mistenkelig kanal eller Shopify-kontoen din har blitt kompromittert, må du sjekke retningslinjene fra myndighetene. Som denne informasjonen fra myndighetene i Canada og USA.
Canada
Dette må du gjøre:
Sende inn en rapport:
USA
Dette må du gjøre:
Sende inn en rapport: