Paano protektahan ang pera at personal na data sa Internet

2024 May -akda: Malcolm Clapton | [email protected]. Huling binago: 2023-12-17 04:13

Kung mas may kaalaman ka, mas mahirap na linlangin ka. Narito ang lahat ng kailangan mong malaman tungkol sa phishing sa Microsoft.

Maghanap ng higit pang mga tip sa kung paano protektahan ang iyong sarili mula sa mga digital na banta.

Ano ang phishing at kung gaano ito mapanganib

Ang phishing ay isang pangkaraniwang uri ng cyber fraud, ang layunin nito ay ikompromiso at i-hijack ang mga account, magnakaw ng impormasyon ng credit card o anumang iba pang kumpidensyal na impormasyon.

Kadalasan, ang mga cybercriminal ay gumagamit ng e-mail: halimbawa, nagpapadala sila ng mga liham sa ngalan ng isang kilalang kumpanya, na umaakit sa mga gumagamit sa pekeng website nito sa ilalim ng pagkukunwari ng isang kumikitang promosyon. Ang biktima ay hindi kinikilala ang pekeng, ipinasok ang pag-login at password mula sa kanyang account, at sa gayon ang gumagamit mismo ang naglilipat ng data sa mga scammer.

Kahit sino ay maaaring magdusa. Ang mga awtomatikong phishing na email ay kadalasang naka-target sa isang malawak na madla (daan-daang libo o kahit milyon-milyong mga address), ngunit mayroon ding mga pag-atake na naglalayong sa isang partikular na target. Kadalasan, ang mga layuning ito ay mga nangungunang tagapamahala o iba pang empleyado na may pribilehiyong ma-access ang data ng kumpanya. Ang personalized na diskarte sa phishing na ito ay tinatawag na panghuhuli ng balyena, na isinasalin bilang "panghuhuli ng mga balyena."

Ang mga kahihinatnan ng mga pag-atake ng phishing ay maaaring mapangwasak. Maaaring basahin ng mga manloloko ang iyong personal na sulat, magpadala ng mga mensahe sa phishing sa iyong lupon ng mga contact, mag-withdraw ng pera mula sa mga bank account, at sa pangkalahatan ay kumilos sa ngalan mo sa malawak na kahulugan. Kung nagpapatakbo ka ng isang negosyo, ang panganib ay mas malaki. Ang mga phisher ay may kakayahang magnakaw ng mga lihim ng kumpanya, sirain ang mga sensitibong file, o i-leak ang data ng iyong mga customer, na masira ang reputasyon ng kumpanya.

Ayon sa Phishing Activity Trends Report ng Anti-Phishing Working Group, sa huling quarter ng 2019 lamang, natuklasan ng mga eksperto sa cybersecurity ang mahigit 162,000 mapanlinlang na website at 132,000 email campaign. Sa panahong ito, humigit-kumulang isang libong kumpanya mula sa buong mundo ang naging biktima ng phishing. Ito ay nananatiling upang makita kung gaano karaming mga pag-atake ay hindi nakita.

Ebolusyon at mga uri ng phishing

Ang terminong "phishing" ay nagmula sa salitang Ingles na "fishing". Ang ganitong uri ng scam ay talagang kahawig ng pangingisda: ang umaatake ay naghahagis ng pain sa anyo ng isang pekeng mensahe o link at naghihintay para sa mga gumagamit na kumagat.

Ngunit sa Ingles, ang phishing ay binabaybay nang kaunti: phishing. Ginagamit ang digraph na ph sa halip na letrang f. Ayon sa isang bersyon, ito ay isang sanggunian sa salitang huwad ("manlilinlang", "manloloko"). Sa kabilang banda - sa subculture ng mga unang hacker, na tinawag na phreakers ("phreakers").

Ito ay pinaniniwalaan na ang terminong phishing ay unang ginamit sa publiko noong kalagitnaan ng 1990s sa Usenet newsgroup. Noong panahong iyon, inilunsad ng mga scammer ang unang pag-atake sa phishing na nagta-target sa mga customer ng American Internet provider na AOL. Ang mga umaatake ay nagpadala ng mga mensahe na humihiling na kumpirmahin ang kanilang mga kredensyal, na nagpapanggap bilang mga empleyado ng kumpanya.

Sa pag-unlad ng Internet, lumitaw ang mga bagong uri ng pag-atake sa phishing. Nagsimulang pekein ng mga manloloko ang buong website at pinagkadalubhasaan ang iba't ibang channel at serbisyo sa komunikasyon. Ngayon, ang mga ganitong uri ng phishing ay maaaring makilala.

• Email phishing. Ang mga manloloko ay nagrerehistro ng isang mailing address na katulad ng address ng isang kilalang kumpanya o isang kakilala ng napiling biktima, at magpadala ng mga liham mula dito. Kasabay nito, sa pangalan ng nagpadala, disenyo at nilalaman, ang isang pekeng sulat ay maaaring halos magkapareho sa orihinal. Sa loob lamang ay mayroong link sa isang pekeng site, mga nahawaang attachment o direktang kahilingang magpadala ng kumpidensyal na data.
• SMS phishing (smishing). Ang scheme na ito ay katulad ng nauna, ngunit SMS ang ginagamit sa halip na email. Nakatanggap ang subscriber ng mensahe mula sa hindi kilalang (karaniwang maikli) na numero na may kahilingan para sa kumpidensyal na data o may link sa isang pekeng site. Halimbawa, maaaring ipakilala ng isang attacker ang kanyang sarili bilang isang bangko at hilingin ang verification code na natanggap mo kanina. Sa katunayan, kailangan ng mga scammer ang code para ma-hack ang iyong bank account.
• Social media phishing. Sa pagdami ng mga instant messenger at social media, binaha na rin ng mga pag-atake ng phishing ang mga channel na ito. Maaaring makipag-ugnayan sa iyo ang mga umaatake sa pamamagitan ng mga peke o nakompromisong account ng mga kilalang organisasyon o mga kaibigan mo. Kung hindi man, ang prinsipyo ng pag-atake ay hindi naiiba sa mga nauna.
• Phone phishing (vising). Ang mga scammer ay hindi limitado sa mga text message at maaaring tumawag sa iyo. Kadalasan, ang Internet telephony (VoIP) ay ginagamit para sa layuning ito. Ang tumatawag ay maaaring magpanggap, halimbawa, isang empleyado ng serbisyo ng suporta ng iyong sistema ng pagbabayad at humiling ng data upang ma-access ang wallet - para sa pagpapatunay.
• Maghanap ng phishing. Maaari kang makakita ng phishing sa mga resulta ng paghahanap. Sapat na mag-click sa link na humahantong sa pekeng site at mag-iwan ng personal na data dito.
• Pop-up na phishing. Ang mga umaatake ay madalas na gumagamit ng mga pop-up. Sa pagbisita sa isang kahina-hinalang mapagkukunan, maaari kang makakita ng banner na nangangako ng ilang benepisyo - halimbawa, mga diskwento o libreng produkto - sa ngalan ng isang kilalang kumpanya. Sa pamamagitan ng pag-click sa link na ito, dadalhin ka sa isang site na kinokontrol ng mga cybercriminal.
• Pagsasaka. Hindi direktang nauugnay sa phishing, ngunit ang pagsasaka ay isa ring pangkaraniwang pag-atake. Sa kasong ito, niloloko ng umaatake ang data ng DNS sa pamamagitan ng awtomatikong pag-redirect ng user sa halip na ang mga orihinal na site sa mga pekeng site. Walang nakikitang kahina-hinalang mensahe at banner ang biktima, na nagpapataas sa bisa ng pag-atake.

Patuloy na umuunlad ang phishing. Nagsalita ang Microsoft tungkol sa mga bagong diskarte na natuklasan ng Microsoft 365 Advanced Threat Protection anti-phishing na serbisyo nito noong 2019. Halimbawa, natutunan ng mga scammer na mas mahusay na magkaila ng mga nakakahamak na materyales sa mga resulta ng paghahanap: ang mga lehitimong link ay ipinapakita sa itaas, na humahantong sa user sa mga phishing na site sa pamamagitan ng maraming pag-redirect.

Bilang karagdagan, ang mga cybercriminal ay nagsimulang awtomatikong bumuo ng mga link sa phishing at eksaktong mga kopya ng mga email sa isang bagong antas ng husay, na nagbibigay-daan sa kanila na mas epektibong linlangin ang mga user at i-bypass ang mga hakbang sa seguridad.

Sa turn, natutunan ng Microsoft na kilalanin at harangan ang mga bagong banta. Ginamit ng kumpanya ang lahat ng kaalaman nito sa cybersecurity upang lumikha ng Microsoft 365 package. Nagbibigay ito ng mga solusyon na kailangan mo para sa iyong negosyo, habang tinitiyak na epektibong protektado ang iyong impormasyon, kabilang ang mula sa phishing. Hinaharang ng Microsoft 365 Advanced Threat Protection ang mga nakakahamak na attachment at potensyal na mapaminsalang link sa mga email, nakakakita ng ransomware at iba pang mga banta.

Paano protektahan ang iyong sarili mula sa phishing

Pagbutihin ang iyong teknikal na karunungang bumasa't sumulat. Sabi nga sa kasabihan, armado ang napagbabalaan. Pag-aralan ang seguridad ng impormasyon nang mag-isa o kumunsulta sa mga eksperto para sa payo. Kahit na ang pagkakaroon lamang ng matibay na kaalaman sa mga pangunahing kaalaman sa digital hygiene ay makakapagtipid sa iyo ng maraming problema.

Mag-ingat ka. Huwag sundin ang mga link o buksan ang mga kalakip sa mga liham mula sa hindi kilalang mga kausap. Mangyaring maingat na suriin ang mga detalye ng contact ng mga nagpadala at ang mga address ng mga site na binibisita mo. Huwag tumugon sa mga kahilingan para sa personal na impormasyon, kahit na ang mensahe ay mukhang kapani-paniwala. Kung ang isang kinatawan ng kumpanya ay humingi ng impormasyon sa iyo, mas mahusay na tumawag sa kanilang call center at iulat ang sitwasyon. Huwag mag-click sa mga pop-up.

Gamitin ang mga password nang matalino. Gumamit ng natatangi at malakas na password para sa bawat account. Mag-subscribe sa mga serbisyong nagbabala sa mga user kung ang mga password para sa kanilang mga account ay lalabas sa Web, at agad na baguhin ang access code kung ito ay lumabas na nakompromiso.

I-set up ang multi-factor authentication. Pinoprotektahan din ng function na ito ang account, halimbawa, gamit ang isang beses na password. Sa kasong ito, sa tuwing mag-log in ka sa iyong account mula sa isang bagong device, bilang karagdagan sa password, kakailanganin mong magpasok ng apat o anim na character na code na ipinadala sa iyo sa pamamagitan ng SMS o nabuo sa isang espesyal na application. Maaaring hindi ito masyadong maginhawa, ngunit protektahan ka ng diskarteng ito mula sa 99% ng mga karaniwang pag-atake. Kung tutuusin, kung ninakaw ng mga manloloko ang password, hindi pa rin sila makakapasok nang walang verification code.

Gumamit ng mga pasilidad sa pag-log in na walang password. Sa mga serbisyong iyon, kung posible, dapat mong ganap na iwanan ang paggamit ng mga password, palitan ang mga ito ng mga hardware security key o pagpapatunay sa pamamagitan ng isang application sa isang smartphone.

Gumamit ng antivirus software. Ang napapanahon na antivirus ay bahagyang makakatulong na protektahan ang iyong computer mula sa malware na nagre-redirect sa mga phishing site o nagnanakaw ng mga login at password. Ngunit tandaan na ang iyong pangunahing proteksyon ay ang pagsunod pa rin sa mga panuntunan sa digital hygiene at pagsunod sa mga rekomendasyon sa cybersecurity.

Kung nagpapatakbo ka ng negosyo

Makakatulong din ang mga sumusunod na tip para sa mga may-ari ng negosyo at executive ng kumpanya.

Sanayin ang mga empleyado. Ipaliwanag sa mga nasasakupan kung anong mga mensahe ang dapat iwasan at kung anong impormasyon ang hindi dapat ipadala sa pamamagitan ng email at iba pang mga channel ng komunikasyon. Ipagbawal ang mga empleyado sa paggamit ng corporate mail para sa mga personal na layunin. Turuan sila kung paano gumawa ng mga password. Ito rin ay nagkakahalaga ng pagsasaalang-alang ng isang patakaran sa pagpapanatili ng mensahe: halimbawa, para sa mga layuning pangseguridad, maaari mong tanggalin ang mga mensaheng mas luma sa isang partikular na panahon.

Magsagawa ng pagsasanay sa mga pag-atake sa phishing. Kung gusto mong subukan ang reaksyon ng iyong mga empleyado sa phishing, subukang magpanggap ng pag-atake. Halimbawa, magparehistro ng isang mailing address na katulad ng sa iyo, at magpadala ng mga sulat mula dito sa mga subordinates na humihiling sa kanila na magbigay sa iyo ng kumpidensyal na data.

Pumili ng maaasahang serbisyo sa koreo. Ang mga libreng email provider ay masyadong mahina sa mga komunikasyon sa negosyo. Ang mga kumpanya ay dapat pumili lamang ng mga secure na serbisyo ng korporasyon. Halimbawa, ang mga user ng Microsoft Exchange mail service, na bahagi ng Microsoft 365 suite, ay may komprehensibong proteksyon laban sa phishing at iba pang mga banta. Upang kontrahin ang mga manloloko, sinusuri ng Microsoft ang daan-daang bilyong email bawat buwan.

Mag-hire ng eksperto sa cybersecurity. Kung pinapayagan ng iyong badyet, maghanap ng kwalipikadong propesyonal na magbibigay ng patuloy na proteksyon laban sa phishing at iba pang banta sa cyber.

Ano ang gagawin kung ikaw ay biktima ng phishing

Kung may dahilan upang maniwala na ang iyong data ay nahulog sa maling mga kamay, kumilos kaagad. Suriin ang iyong mga device para sa mga virus at baguhin ang mga password ng account. Ipaalam sa kawani ng bangko na ang iyong mga detalye ng pagbabayad ay maaaring ninakaw. Kung kinakailangan, ipaalam sa mga customer ang potensyal na pagtagas.

Upang maiwasang maulit ang mga ganitong sitwasyon, pumili ng maaasahan at modernong mga serbisyo sa pakikipagtulungan. Ang mga produktong may built-in na mekanismo ng proteksyon ay pinakaangkop: gagana ito nang maginhawa hangga't maaari at hindi mo kailangang ipagsapalaran ang digital na seguridad.

Halimbawa, ang Microsoft 365 ay may kasamang hanay ng matalinong mga feature ng seguridad, kabilang ang pagprotekta sa mga account at pag-log in mula sa kompromiso gamit ang built-in na modelo ng pagtatasa ng panganib, walang password o multi-factor na pagpapatotoo na hindi nangangailangan ng mga karagdagang lisensya.

Bilang karagdagan, ang serbisyo ay nagbibigay ng dynamic na kontrol sa pag-access na may pagtatasa ng panganib at isinasaalang-alang ang isang malawak na hanay ng mga kundisyon. Gayundin, ang Microsoft 365 ay naglalaman ng built-in na automation at data analytics, at nagbibigay-daan din sa iyong kontrolin ang mga device at protektahan ang impormasyon mula sa pagtagas.