Zabezpiecz swoje konto przed phishingiem, vishingiem i smishingiem

Termin phishing dotyczy oszustw związanych z kradzieżą tożsamości z wykorzystaniem fałszywych stron internetowych i e-maili lub innych wiadomości. Celem ataku phishingowego jest uzyskanie dostępu do konta i poufnych informacji. Osoba atakująca może utworzyć własną stronę internetową, która przypomina renomowaną stronę internetową lub wysłać wiadomość, która wydaje się pochodzić z zaufanego źródła. Wiadomości phishingowe mogą pochodzić z fałszywego lub zhakowanego konta.

Atakujący mogą również podjąć próbę uzyskania dostępu do Twojego konta za pomocą takich metod jak vishing (phishing głosowy) i smishing (phishing tekstowy) w celu pozyskania informacji wrażliwych. Musisz uważać, aby nie podawać informacji wrażliwych przez telefon i nie klikać potencjalnie niebezpiecznych linków w wiadomościach SMS. Jeśli podejrzewasz, że odebrane połączenie lub otrzymany SMS to próba phishingu, natychmiast skontaktuj się z Pomocą techniczną Shopify.

Wiadomość phishingowa może zawierać prośbę o wykonanie następujących zadań:

• kliknięcie odsyłacza
• pobierz plik
• otwórz załącznik
• podanie danych osobowych lub kodów uwierzytelniania dwuetapowego

Jeśli wykonasz którąkolwiek z tych czynności, możesz zainfekować swój komputer lub urządzenie mobilne złośliwym oprogramowaniem, takim jak robaki, trojany, boty i wirusy. Po zainfekowaniu urządzenia atakujący może uzyskać dostęp do Twoich danych osobowych.

Oszustwa phishingowe mogą również obejmować bezpośrednie żądania podania danych osobowych, takich jak poświadczenia konta bankowego.

Phishing może wymagać podania danych osobowych w następujący sposób

• e-mailem lub za pomocą innego systemu przesyłania wiadomości
• poprzez formularz
• użycie fałszywego numeru telefonu
• użycie fałszywego adresu fizycznego

Nawet prośba o podanie adresu e-mail i zresetowanie hasła może być niebezpieczna.

Poznaj znaki ostrzegawcze

Możesz chronić się przed phishingiem, zwracając uwagę na znaki ostrzegawcze. Czytaj uważnie wiadomości, bez względu na to, od kogo pochodzą, i dokładnie sprawdzaj strony internetowe, bez względu na to, jak znajomo wyglądają.

ogólnikowe lub niejasne sformułowania

Chociaż phishing może być dobrze przygotowany i dostosowany do Ciebie i Twojej firmy, język ogólny jest znakiem rozpoznawczym oszustw phishingowych. Uważaj na wiadomości, które wydają się pochodzić od organizacji, której ufasz, ale rozpoczynają się od ogólnikowych stwierdzeń, np. Drogi właścicielu konta.

Ponadto, jeśli wiadomość przedstawia interesującą okazję biznesową lub finansową, ale nie zawiera wystarczająco dużo szczegółów potwierdzających, że nadawca Cię zna, może to być oszustwo.

Mam na imię Filip, jestem bankierem.

Proszę o jak najszybszy kontakt w sprawie ewentualnego spadku po zmarłym krewnym.

Nie mogę przesłać więcej informacji w SMS-ie. Wyślij mi e-mail na adres podany poniżej.

Wiadomości firmowe z kont osobistych

Świetnie przygotowani atakujący mogą pozyskać wystarczającą ilość informacji z Twojej działalności online, aby utworzyć wiadomość, która mogłaby pochodzić od prawdziwego kontaktu.

Aktualizacja cen hurtowych

Cześć, Georgia!

Chciałam tylko przesłać Ci aktualne informacje. Oto arkusz naszych aktualnych cen hurtowych: fabric-prices-october.xls

Mam nadzieję, że byłaś zadowolona z ostatniej partii koszulek! Daj znać, jeśli masz jakieś pytania lub wątpliwości.

Julia Chan
Account Manager
Example Fabrics

Atakujący mogą włamać się na konto firmowe osoby do kontaktu lub utworzyć fałszywe konto osobiste, aby wysłać phishingową wiadomość e-mail. Na przykład, jeśli nazwa użytkownika do osobistego adresu e-mail Julii to juliachan3857, osoba atakująca może wysłać wiadomość e-mail z konta o nazwie użytkownika juliachan9665. Ta forma ataków wykorzystuje następujące zachowania:

• Ludzie przez pomyłkę często wysyłają wiadomości e-mail z niewłaściwego konta.
• Nawet jeśli znasz adres e-mail Julii, możesz nie przyjrzeć się zbyt dokładnie i przeoczyć różnicę.

Alarmujący lub podekscytowany ton

Uważaj na żądania wymagające realizacji w krótkim czasie, które próbują wymóc na Tobie działania bez zastanowienia. Przykłady:

Mieliśmy bardzo poważną awarię serwera. Odpowiedz na tę wiadomość, podając swoją nazwę użytkownika i hasło w ciągu najbliższych 24 godzin. W przeciwnym razie utracisz na stałe dostęp do swojego sklepu.

Wiadomości e-mail mogą zawierać oferty, które wydają się zbyt dobre, aby mogły być prawdziwe, takie jak 90-procentowy rabat od firmy turystycznej, dostępny tylko wtedy, gdy podejmiesz działanie teraz.

Błędy ortograficzne, gramatyczne i różne style

Mimo że fałszywa strona internetowa lub wiadomość e-mail z pozoru wygląda profesjonalnie, może zawierać literówki i błędy gramatyczne. Aby ustalić, czy strona internetowa lub wiadomość e-mail mogą być fałszywe, sprawdź, czy nie zawiera błędów lub niespójności dotyczących następujących elementów:

• pisownia
• użycie wielkich liter
• liczby
• interpunkcja
• formatowanie

Podejrzane adresy URL

Próby phishingu mogą obejmować adresy URL, które wyglądają na prawidłowe, dopóki im się uważnie nie przyjrzysz. Wiele prób phishingu wykorzystuje adresy URL, które zostały celowo dobrane tak, aby przypominały adres URL, który już znasz. Na przykład, jeśli zazwyczaj kupujesz strój pływacki z firmy Example Apparel z prawdziwego adresu URL i otrzymasz wiadomość e-mail z linkiem do fałszywego adresu URL, możesz stwierdzić, że jest to próba phishingu.

Prawdziwy adres URL prowadzi do witryny w domenie example-apparel.com, której właścicielem jest firma Example Apparel, a fałszywy adres URL kieruje użytkownika do złośliwej witryny w domenie com-aquatic.net, która prawdopodobnie jest własnością przestępców.

Shopify i prośby o przesłanie wrażliwych dokumentów

Shopify nigdy nie prosi o przesłanie informacji wrażliwych bezpośrednio w wiadomości e-mail (w formie tekstu lub obrazu bądź załącznika).

Poniżej przedstawiono przykłady wrażliwych dokumentów:

• dokumenty umożliwiające identyfikację
• hasła
• informacje o karcie kredytowej
• informacje bankowe
• krajowe numery identyfikacyjne, takie jak numer ubezpieczenia społecznego (SIN lub SSN)

Shopify zawsze prosi o przesłanie poufnych dokumentów za pośrednictwem bezpiecznej strony przekazywania, której adres zaczyna się od app.shopify.com lub .shopify.com.

Zgłoś wątpliwości za pomocą innego środka komunikacji

Porozmawiaj z domniemanym nadawcą podejrzanej wiadomości osobiście lub przez telefon i rozwiej swoje wątpliwości dotyczące strony internetowej, rozmawiając z kimś z firmy.

Jeśli skontaktujesz się z nadawcą telefonicznie, użyj numeru, który masz zapisany lub który pojawia się w wielu potwierdzonych źródłach internetowych. Na przykład, jeśli otrzymasz e-mailem podejrzaną prośbę o informacje ze swojego urzędu skarbowego, zadzwoń do urzędu pod numer podany w zeznaniu podatkowym z poprzedniego roku. Nie dzwoń pod numer, który pojawia się na podejrzanej stronie internetowej lub w e-mailu.

Sprawdź, czy Twoje połączenie ze stroną internetową używa HTTPS

Gdy łączysz się z dowolną stroną internetową, na której możesz zostać poproszony(-a) o podanie nazwy użytkownika i hasła lub innych wrażliwych danych, sprawdź, czy obok adresu URL w przeglądarce znajduje się ikona kłódki.

Ikona kłódki informuje, że połączenie z witryną jest szyfrowane przy użyciu protokołu HTTPS. Adresy URL dla połączeń szyfrowanych rozpoczynają się od https://, a nie od http://. Połączenia, które używają http://, wysyłają dane w postaci zwykłego tekstu, co oznacza, że mogą być przechwycone i odczytane.

Zanim klikniesz link do strony, na której masz zamiar podać informacje, sprawdź, czy adres URL zaczyna się od https://.

Otwieraj tylko załączniki lub linki, których oczekujesz

Nie otwieraj załączników, linków lub formularzy, chyba że ich oczekujesz i wiesz, co zawierają. W przeciwnym razie mogą one nie tylko przekierować Cię do złośliwej strony zaprojektowanej w celu kradzieży informacji, ale także zainfekować Twoje urządzenie złośliwym oprogramowaniem.

Gdy tekst linku jest adresem URL, upewnij się, że jest zgodny z adresem URL w samym linku. Na przykład link zapisany jako https://help.shopify.com w treści wiadomości e-mail może skierować Cię na stronę phishingową pod innym adresem URL.

Wiele ataków phishingowych próbuje wykorzystać bankowość online. Jeśli otrzymasz podejrzaną wiadomość e-mail od swojego banku ze specjalną ofertą na linię kredytową, nie klikaj linku. Zamiast tego wprowadź ręcznie adres URL banku w nowym oknie i sprawdź, czy oferta pojawia się na pulpicie Twojego konta.

Zachowaj ostrożność podczas korzystania z publicznego Wi-Fi

Publiczne Wi-Fi jest wygodne, gdy jesteś poza domem lub biurem, ale daje atakującym wiele różnych możliwości uzyskania dostępu do Twoich informacji. Możesz zmniejszyć ryzyko, podejmując kroki w celu ochrony siebie i swoich danych.

Weryfikuj nazwy hotspotów

Atakujący może utworzyć swój własny niezaszyfrowany hotspot Wi-Fi, o tej samej nazwie co godny zaufania hotspot na tym samym obszarze, na przykład w kawiarni. Jeśli łączysz się z hotspotem phishingowym, atakujący może przekierować Cię na własną stronę zawierającą złośliwe oprogramowanie lub wyłudzającą prywatne informacje.

Zanim połączysz się z hotspotem, upewnij się, że hotspot, z którego chcesz skorzystać, jest godny zaufania. Jeśli nie widzisz nazwy hotspotu wyeksponowanej w widocznym miejscu, zapytaj pracownika danej lokalizacji.

Dezaktywuj punkty dostępu do swojego urządzenia

Nawet jeśli Twoje urządzenie jest podłączone do rzeczywistego publicznego hotspotu Wi-Fi, nadal istnieje ryzyko, że jesteś w tej samej sieci co atakujący. Publiczne sieci wi-fi są znacznie mniej bezpieczne niż sieci prywatne, takie jak w domu lub biurze.

Chroń się, wyłączając udostępnianie plików w sieci i aktywując zaporę przed połączeniem. Nawet przy tych środkach ostrożności nadal nie jest dobrym pomysłem wysyłanie lub odbieranie poufnych treści przy użyciu publicznej sieci Wi-Fi.

Poufne dane należy wysyłać i odbierać tylko przez VPN

Wirtualna sieć prywatna ustanawia bezpieczne połączenie między urządzeniem a serwerami VPN firmy. Stamtąd serwery VPN przekazują informacje do Internetu. Jeśli atakujący uzyska dostęp do danych, które przesyłasz i odbierasz za pośrednictwem publicznego hotspotu Wi-Fi, dane są szyfrowane i nie będą mogły zostać wykorzystane.

Techradar oraz PC Mag to zalecane serwisy, w przypadku gdy chcesz się dowiedzieć, jak wybrać VPN.

Bez VPN najbardziej bezpieczną opcją jest unikanie przesyłania poufnych informacji przez publiczne sieci Wi-Fi.

Postępuj zgodnie z wytycznymi rządowymi, jeśli Twoje dane osobowe są zagrożone

Informacje umożliwiające identyfikację osoby (PII) obejmują dane, które mogą być wykorzystane do identyfikacji konkretnej osoby, a nawet do podawania się za nią. PII obejmują następujące informacje:

• imię i nazwisko
• adres e-mail
• ulica i nr budynku
• numer telefonu
• numer karty kredytowej
• krajowy numer identyfikacyjny (taki jak SIN, SSN) lub paszport
• prawo jazdy
• data urodzenia

Jeśli podałeś(-aś) informacje umożliwiające identyfikację przez podejrzany kanał lub naruszono dostęp do Twojego konta Shopify, zapoznaj się z wytycznymi od swojego rządu, takimi jak te przygotowane przez rząd Kanady i Stanów Zjednoczonych.

Kanada

Co należy zrobić:

• RCMP - Podręcznik pomocy ofiarom kradzieży tożsamości i oszustw związanych z tożsamością

Złóż raport:

• Kanadyjskie Centrum ds. zwalczania nadużyć - Zgłoś incydent

Stany Zjednoczone

Co należy zrobić:

• FTC - zgłoś oszustwo
• FTC - Kradzież tożsamości: Kroki

Złóż raport:

• FBI Cyber Crime