假期即将到来,两个月的销售也随之而来:11/11 和一周中的“黑色”日子。不幸的是,网络诈骗者也可能来袭。为了确保没有人上当,今天我们将讨论网络钓鱼,考虑网络钓鱼攻击的类型,并提供有关如何避免在销售季节落入诈骗者诱饵的提示。 网络钓鱼是一种互联网欺诈行为,用于获取用户个人信息:登录名、密码、电话号码、银行卡详细信息等。 要了解网络犯罪分子的运作方式,只需将英语中的“fishing”一词翻译为“钓鱼”即可。其原理实际上与钓鱼非常相似:攻击者抛出“诱饵”(一封信、一条消息、一个网站链接)并试图“诱骗”容易上当受骗的用户。 网络钓鱼攻击可以采取多种形式,而且数量每年都在增长。例如,据统计,2021年,谷歌发现了超过200万个钓鱼网站,比2020年的数字高出2倍。而去年在俄罗斯联邦,几乎有一半的俄罗斯人遭遇过钓鱼网站。 通过视觉了解敌人并能够快速识别他的战术非常重要。因此,下面我们就来谈谈网络钓鱼的类型以及识别方法。 电子邮件网络钓鱼 最常见的网络钓鱼攻击类型。其本质是黑客打着知名品牌的幌子向用户发送电子邮件,添加虚假网站的链接或下载带有病毒的文件。 为什么网络钓鱼信息会让我们感到困惑,为什么有些人有时会相信它们并成为受害者?事实上,它们是经过专门编写的,因此看起来就像真的一样。 如何发现网络钓鱼电子邮件 识别这样的字母很难,但这是可能的。这封信的危险信号是: 信函正文或附件中的网站、文档和其他文件的链接; 俄语错误、拼写错误和其他大公司不常见的问题; 可疑的发件人地址,通常隐藏在用户的视线之外; 不专业的图形和奇怪的布局; 紧急请求确认您的地址或其他个人信息; 不寻常的公司地址,例如“尊敬的客户”或“朋友”; “最后一刻”促销和优惠,您只能在今天利用。 不要忘记,电子邮件是专业人士使用的与客户的重要沟通渠道。因此,信件中出现错误、拼写错误和结构损坏的情况很少见。 假网站 此类的主要方法是位点替换。为了访问真实帐户,攻击者创建了一个与真实品牌网站几乎没有区别的页面。 用户如何到达虚假页面?主要有以下三种场景: 电子邮件营销是全球企业最好、最有效的 高管电子邮件列表 数字营销策略之一。 电子邮件营销是商务人士的最爱。 全球有数以百万计的活跃电子邮件用户,您可以通过为他们提供直接且个性化的方式来产生潜在客户并开展营销活动,从而与您的电子邮件进行互动。 搜索引擎攻击。这些诈骗者瞄准想要购买商品的人,并要求他们输入个人信息。因此,一不留心的用户输入帐户信息,黑客就会迅速从卡中提取资金或进行其他肮脏的伎俩。 通过弹出窗口和浏览器通知进行攻击。用户只需点击“允许”按钮,他的所有数据就会进入黑客的口袋。 “攻击水坑。”何为水坑?想象一下池塘附近的一群羚羊,小心翼翼地靠近水喝。一只羚羊靠得太近而与羚羊群分开。然后一条鳄鱼从水面下跳出来,抓住受害者,然后……黑客的行为方式完全相同。他们找出公司员工经常访问的网站,并替换地址或添加恶意代码以供下载。 如何识别钓鱼网站 首先检查SSL证书:HTTP后面是否有令人垂涎的字母“s”?如果大公司没有,最好立即关闭页面。另请检查 SSL 证书类型。如果您看到面前有一个提供免费 LE 证书的网站,请考虑一下,因为诈骗者通常会选择它们来获取用户的信任。您可以在此处阅读有关此内容的更多信息。 接下来,检查域名。如果域中存在错误或拼写错误,您就会被欺骗。例如: 域名中的字母经过特殊重新排列:TIKNOFF.COM 而不是 TINKOFF.COM, 数字1与字母I一起使用:ONL1NE而不是ONLINE。 识别假冒域名的另一种方法是查看域名的注册时间。如果你来到一个历史悠久的大品牌的资源,那么很有可能这是一个安全的网站。您可以在Whois中找到该网站的年龄和所有者。 检查付款表格。如果在网站上注册时要求您提供银行卡详细信息、电子邮件的登录名和密码,请立即关闭此页面。 还要仔细研究网站的内容(文字、设计、图片)。创建网络资源是一个需要不同团队投入大量时间和精力的项目。 其他类型的网络钓鱼基于虚假网站和虚假电子邮件。因此,上述内容可以而且应该适用于其他类型的网络钓鱼攻击。 鱼叉式网络钓鱼 也称为鱼叉式网络钓鱼。在这种类型的攻击中,诈骗者不会攻击随机用户,而是有目的地选择一家公司作为受害者:他们寻找该公司的员工,研究他们在社交网络上的帐户等等。数据库收集完毕后,员工就会收到来自同事的信件,要求他们填写一份文件并按照信中的说明进行操作。 鱼叉式网络钓鱼有一个子类型 – 捕鲸(来自“捕鲸”-“捕鲸”)。正如你可能已经猜到的,他们正试图钓到一条更大的鱼——受害公司的负责人。 […]