Chroń swoje konto przed phishingiem

Termin phishing dotyczy oszustw związanych z kradzieżą tożsamości z wykorzystaniem fałszywych stron internetowych i e-maili lub innych wiadomości. Celem ataku phishingowego jest uzyskanie dostępu do konta i poufnych informacji. Osoba atakująca może utworzyć własną stronę internetową, która przypomina renomowaną stronę internetową lub wysłać wiadomość, która wydaje się pochodzić z zaufanego źródła. Wiadomości phishingowe mogą pochodzić z fałszywego lub zhakowanego konta.

Wiadomość phishingowa może zawierać prośbę o wykonanie następujących zadań:

  • Kliknij link.
  • Pobierz plik.
  • Otwórz załącznik.

Złośliwe oprogramowanie — oprogramowanie, takie jak robaki, trojany, boty i wirusy — może zainfekować Twój komputer lub urządzenie mobilne, jeśli podejmiesz którekolwiek z tych działań. Po zainfekowaniu urządzenia intruz może uzyskać dostęp do Twoich danych osobowych.

Oszustwa phishingowe mogą również obejmować bezpośrednie żądania podania danych osobowych, takich jak poświadczenia konta bankowego.

Oszustwa phishingowe mogą wymagać podania danych osobowych:

  • E-mailem lub za pomocą innego systemu przesyłania wiadomości.
  • Poprzez formularz.
  • Pod fałszywy numer telefonu.
  • Pod fałszywy adres fizyczny.

Nawet prośba o podanie adresu e-mail i zresetowanie hasła może być niebezpieczna.

Poznaj znaki ostrzegawcze

Możesz chronić się przed phishingiem, zwracając uwagę na znaki ostrzegawcze. Czytaj uważnie wiadomości, bez względu na to, od kogo pochodzą, i dokładnie sprawdzaj strony internetowe, bez względu na to, jak znajomo wyglądają.

Zbyt ogólny język

Chociaż phishing może być dobrze przygotowany i dostosowany do Ciebie i Twojej firmy, język ogólny jest znakiem rozpoznawczym oszustw phishingowych. Uważaj na wiadomości, które wydają się pochodzić od organizacji, której ufasz, ale rozpoczynają się od niejasnych stwierdzeń:

Drogi posiadaczu konta,

Podobnie, jeśli wiadomość przedstawia interesującą okazję biznesową lub finansową, ale nie zawiera wystarczająco dużo szczegółów potwierdzających, że nadawca Cię zna, może to być oszustwo:

Mam na imię Filip, jestem bankierem. Proszę o jak najszybszy kontakt w sprawie ewentualnego spadku po zmarłym krewnym. Nie mogę przesłać więcej informacji w SMS-ie. Wyślij mi e-mail na adres podany poniżej.

Wiadomości firmowe z kont osobistych

Świetnie przygotowani atakujący mogą pozyskać wystarczającą ilość informacji z Twojej działalności online, aby utworzyć wiadomość, która mogłaby pochodzić od prawdziwego kontaktu:

Aktualizacja cen hurtowych

Cześć Grażyna, chcieliśmy tylko przesłać Ci aktualne informacje. Oto arkusz naszych aktualnych cen hurtowych: fabric-prices-2016-oct.xls

Mam nadzieję, że byłaś zadowolona z ostatniej partii koszulek! Daj znać, jeśli masz jakieś pytania lub wątpliwości.

--

Julia Chan

Menedżer ds. klientów

Example Fabrics

Aby dokonać ataku, hakerzy mogą włamać się na konto firmowe osoby do kontaktu lub utworzyć fałszywe konto osobiste. Na przykład, jeśli nazwa użytkownika do osobistego adresu e-mail Julii to juliachan3857, to osoba atakująca może wysłać e-mail z konta o nazwie użytkownika juliachan9665. Ta forma ataku zależy od dwóch czynników:

  • Ludzie przez pomyłkę wysyłają e-maile z niewłaściwego konta.
  • Nawet jeśli znasz osobisty adres e-mail Julii, możesz nie sprawdzić go zbyt uważnie.

Błędy ortograficzne, gramatyczne i różne style

Przestępcy nie traktują przewodników po stylach zawartości tak poważnie, jak profesjonalni twórcy treści internetowych. Oprócz literówek i błędów gramatycznych, różnice w ramach poniższych kategorii występujące w obrębie jednej strony mogą wskazywać, że witryna internetowa jest fałszywa:

  • pisownia
  • użycie wielkich liter
  • liczby
  • interpunkcja
  • formatowanie

Alarmujący lub podekscytowany ton

Uważaj na żądania wymagające realizacji w krótkim czasie, które próbują wymóc na Tobie działania bez zastanowienia. Przykładowo, firma Shopify nie wyśle Ci takiej wiadomości:

Mieliśmy bardzo poważną awarię serwera. Odpowiedz na tę wiadomość, podając swoją nazwę użytkownika i hasło w ciągu najbliższych 24 godzin. W przeciwnym razie utracisz na stałe dostęp do swojego sklepu.

Zwróć również uwagę na wiadomości z ofertami, które wydają się zbyt dobre, aby mogły być prawdziwe, takie jak 90% zniżki od firmy turystycznej dostępnej tylko wtedy, gdy podejmiesz działanie teraz.

Adresy URL, które nie wyglądają prawidłowo

Próby phishingu mogą obejmować adresy URL, które wyglądają na prawidłowe, dopóki im się uważnie nie przyjrzysz. Wiele prób phishingu wykorzystuje adresy URL, które zostały celowo dobrane tak, aby przypominały adres URL, który już znasz. Jak pokazano w poniższej tabeli, jeśli zazwyczaj kupujesz strój pływacki z firmy Example Apparel z prawdziwego adresu URL i otrzymasz wiadomość e-mail z linkiem do fałszywego adresu URL, możesz stwierdzić, że jest to próba phishingu.

Prawdziwy adres URL prowadzi do witryny w domenie example-apparel.com, której właścicielem jest firma Example Apparel, a fałszywy adres URL kieruje użytkownika do złośliwej witryny w domenie com-aquatic.net, która prawdopodobnie jest własnością przestępców.

Cechy prawdziwych i fałszywych adresów URL
Prawdziwy adres URL Fałszywy URL
example-apparel.com/aquatic/swimmies example-apparel.com-aquatic.net/swimmies

Zgłoś wątpliwości za pomocą innego środka komunikacji

Porozmawiaj z domniemanym nadawcą podejrzanej wiadomości osobiście lub przez telefon i rozwiej swoje wątpliwości dotyczące strony internetowej, rozmawiając z kimś z firmy.

Jeśli skontaktujesz się z nadawcą telefonicznie, użyj numeru, który masz zapisany lub który pojawia się w wielu potwierdzonych źródłach internetowych. Na przykład, jeśli otrzymasz e-mailem podejrzaną prośbę o informacje ze swojego urzędu skarbowego, zadzwoń do urzędu pod numer podany w zeznaniu podatkowym z poprzedniego roku. Nie dzwoń pod numer, który pojawia się na podejrzanej stronie internetowej lub w e-mailu.

Upewnij się, że połączenie ze stroną internetową używa HTTPS

Gdy łączysz się z dowolną stroną internetową, na której możesz zostać poproszony(-a) o podanie nazwy użytkownika i hasła lub innych wrażliwych danych, sprawdź, czy obok adresu URL w przeglądarce znajduje się ikona kłódki:

Ikona kłódki informuje, że połączenie z witryną jest szyfrowane przy użyciu protokołu HTTPS. Adresy URL dla połączeń szyfrowanych rozpoczynają się od https://, a nie od http://. Połączenia, które używają http://, wysyłają dane w postaci zwykłego tekstu, co oznacza, że mogą być przechwycone i odczytane.

Przed kliknięciem linka do dowolnego miejsca, w którym może być niezbędne wprowadzenie informacji, upewnij się, że adres URL zaczyna się od https://.

Otwieraj tylko załączniki lub linki, których oczekujesz

Nie otwieraj załączników, linków lub formularzy, chyba że ich oczekujesz i wiesz, co zawierają. W przeciwnym razie mogą one nie tylko przekierować Cię do złośliwej strony zaprojektowanej w celu kradzieży informacji, ale także zainfekować Twoje urządzenie złośliwym oprogramowaniem.

Gdy tekst linku jest adresem URL, upewnij się, że jest zgodny z adresem URL w samym linku. Na przykład link zapisany jako https://help.shopify.com w treści wiadomości e-mail może skierować Cię na stronę phishingową pod innym adresem URL:

Wiele ataków phishingowych próbuje wykorzystać bankowość online. Jeśli otrzymasz podejrzaną wiadomość e-mail od swojego banku ze specjalną ofertą na linię kredytową, nie klikaj linku. Zamiast tego wprowadź ręcznie adres URL banku w nowym oknie i sprawdź, czy oferta pojawia się na pulpicie Twojego konta.

Uważaj na publiczne wi-fi

Publiczne wi-fi jest wygodne, gdy jesteś w podróży, ale daje przestępcom wiele różnych możliwości uzyskania dostępu do Twoich informacji. Możesz zmniejszyć ryzyko, podejmując kroki w celu ochrony siebie i swoich danych.

Weryfikuj nazwy hotspotów

Atakujący może utworzyć swój własny niezaszyfrowany hotspot wi-fi, o tej samej nazwie jak renomowany hotspot na tym samym obszarze, na przykład w kawiarni. Jeśli łączysz się z hotspotem phishingowym, atakujący może przekierować Cię na własną stronę, gdzie możesz być narażony(-a) na złośliwe oprogramowanie lub poproszony(-a) o podanie prywatnych informacji.

Przed połączeniem upewnij się, że hotspot, którego zamierzasz użyć, nie jest fałszywy. Jeśli nazwa hotspotu nie widnieje w widocznym miejscu, zapytaj pracownika.

Wyłącz punkty dostępu do urządzenia

Nawet jeśli podłączyłeś(-aś) się do prawdziwego publicznego hotspotu wi-fi, nadal możesz być zagrożony(-a), będąc w tej samej sieci, co atakujący. Publiczne sieci wi-fi są znacznie mniej bezpieczne niż sieci prywatne, takie jak w domu lub biurze:

Chroń się, wyłączając udostępnianie plików w sieci i włączając zaporę przed połączeniem. Nawet przy tych środkach ostrożności nadal nie jest dobrym pomysłem wysyłanie lub odbieranie poufnych treści przy użyciu publicznej sieci wi-fi.

Wysyłaj i odbieraj poufne dane przez VPN

Wirtualna sieć prywatna ustanawia bezpieczne połączenie między urządzeniem a serwerami VPN firmy. Stamtąd serwery VPN przekazują informacje do Internetu. Jeśli atakujący uzyska dostęp do danych, które przesyłasz i odbierasz za pośrednictwem publicznego hotspotu wi-fi, dane są szyfrowane i nie są mu przydatne:

Techradar oraz PC Mag to zalecane serwisy, w przypadku gdy chcesz się dowiedzieć, jak wybrać VPN.

Bez VPN najbardziej bezpieczną opcją jest unikanie przesyłania poufnych informacji przez publiczne sieci wi-fi.

Postępuj zgodnie z wytycznymi rządowymi, jeśli Twoje dane osobowe są zagrożone

Informacje umożliwiające identyfikację osoby (PII) składają się z danych, które mogą być wykorzystane do identyfikacji konkretnej osoby, a nawet do podszywania się pod nią. Typy informacji PII obejmują:

  • imię i nazwisko
  • adres e-mail
  • ulicę
  • numer telefonu
  • numer karty kredytowej
  • krajowy numer identyfikacyjny (taki jak SIN, SSN lub paszport)
  • prawo jazdy
  • datę urodzenia

Jeśli podałeś(-aś) informacje umożliwiające identyfikację przez podejrzany kanał lub naruszono dostęp do Twojego konta Shopify, zapoznaj się z wytycznymi od swojego rządu, takimi jak te przygotowane przez rząd Kanady i Stanów Zjednoczonych:

Kanada

Co należy zrobić:

Złóż raport:

Stany Zjednoczone

Co należy zrobić:

Złóż raport:

Gotowy(-a) do rozpoczęcia sprzedaży za pomocą Shopify?

Wypróbuj za darmo