„ Поздравления^{(Congratulations)} ! Вие спечелихте n милиона долара^(Dollars) . Изпратете ни вашите банкови данни.” Ако сте в интернет^(Internet) , може да сте виждали такива имейли във входящата си кутия или нежеланата пощенска кутия. Такива имейли се наричат ​​фишинг: киберпрестъпление, при което престъпниците използват компютърни технологии, за да откраднат данни от жертви, които могат да бъдат физически лица или корпоративни бизнес къщи. Този фишинг измамник^{(Phishing cheat sheet)} е опит да ви предостави максимални познания за това киберпрестъпление, така че да не станете жертва на престъплението. Обсъждаме и видовете фишинг^{(types of Phishing)} .

Какво е фишинг?

Фишингът е киберпрестъпление, при което престъпниците примамват жертви с намерение да откраднат данните на жертвата, като използват фалшиви имейли и текстови съобщения. Основно това се прави чрез масови имейл кампании. Те използват временни имейл идентификатори^(IDs) и временни сървъри, така че за властите става трудно да ги хванат. Те имат общ шаблон, който се изпраща до стотици хиляди получатели, за да могат поне няколко да бъдат измамени. Научете как да идентифицирате фишинг атаките^{(how to identify phishing attacks)} .

Защо се нарича фишинг?

Знаеш за риболова. При риболова в реалния живот, рибарът поставя стръв, така че да може да хване риба, когато последните са закачени за въдицата. В интернет^(Internet) също използват стръв под формата на съобщение, което може да бъде убедително и изглежда истинско. Тъй като престъпниците използват стръв, това се нарича фишинг. Това означава риболов с парола, който сега се нарича фишинг.

Примамката може да бъде обещание за пари или всякакви стоки, които биха могли да принудят всеки краен потребител да щракне върху стръвта. Понякога стръвта е различна (например заплаха или спешност) и призовава за действие, като щракване върху връзки, казвайки, че трябва да преупълномощите акаунта си в Amazon , Apple или PayPal .

Как се произнася фишинг?

Произнася се като PH-ISHING. „PH“ като в риболов^(F) .

Колко често срещан е фишингът?

Фишинг атаките са по-чести от зловреден софтуер. Това означава, че все повече и повече киберпрестъпници се занимават с фишинг в сравнение с тези, които разпространяват злонамерен софтуер чрез имейли, фалшиви уебсайтове или фалшиви реклами на истински уебсайтове.

В наши дни фишинг комплектите се продават онлайн, така че практически всеки, който има познания в мрежите, може да ги купи и да ги използва за незаконни задачи. Тези фишинг комплекти предоставят всичко - от клониране на уебсайт до съставяне на завладяващ имейл или текст.

Видове фишинг

Има много видове фишинг. Някои от популярните са:

1. Общите^(General) редовни имейли, които ви питат вашите лични данни, са най-използваната форма на фишинг
2. Фишинг с копие
3. Китоловни измами
4. Smishing (SMS фишинг) и Vishing
5. QRishing измами
6. Tabnabbing

1] Общ фишинг

В най-основната форма на фишинг срещате имейли и текстове, които ви предупреждават за нещо, докато ви молят да щракнете върху връзка. В някои случаи те молят да отворите прикачения файл в имейла, който са ви изпратили.

В реда за тема на имейла киберпрестъпниците ви подмамват да отворите имейла или текста. Понякога темата е, че един от вашите онлайн акаунти се нуждае от актуализиране и звучи спешно.

В тялото на имейла или текста има някаква завладяваща информация, която е фалшива, но правдоподобна и след това завършва с призив за действие: молба ви да щракнете върху връзката, която предоставят в фишинг имейла или текста. Текстовите^(Text) съобщения са по-опасни, защото използват съкратени URL адреси^(URLs) , чиято дестинация или пълна връзка не могат да бъдат проверени, без да щракнете върху тях, когато ги прочетете по телефона. Навсякъде може да има някакво приложение, което може да помогне при проверката на пълния URL адрес^(URL) , но все още не знам.

2] Фишинг с копие

Отнася се за насочен фишинг, където целите са служители на бизнес къщи. Киберпрестъпниците получават своите идентификационни номера^(IDs) на работното място и изпращат фалшивите фишинг имейли на тези адреси. Изглежда като имейл от някой, който е на върха на корпоративната стълбица, създава достатъчно бързане да му се отговори... като по този начин помага на киберпрестъпниците да проникнат в мрежата на бизнес къщата. Прочетете всичко за spear фишинг^{( spear phishing)} тук. Връзката също така съдържа някои примери за spear фишинг.

3] Китолов

Китоловът^(Whaling) е подобен на фишинг с копие. Единствената разлика между Whaling и Spear phishing е, че spear фишингът може да е насочен към всеки служител, докато китоловът се използва за насочване към определени привилегировани служители. Методът е същият. Киберпрестъпниците получават официалните имейл идентификатори^(IDs) и телефонни номера на жертвите и им изпращат убедителен имейл или текст, който включва някакъв призив за действие, който може да отвори корпоративния интранет^{(corporate intranet)} , за да даде достъп на задната врата. Прочетете повече за китоловни фишинг атаки^{(Whaling phishing attacks)} .

4] Smishing и Vishing

Когато киберпрестъпниците използват услуга за кратки съобщения ( SMS ), за да открият лични данни на жертвите, това е известно като SMS фишинг или накратко Smishing. Прочетете за подробностите за Smishing и Vishing .

5] QRishing измами

QR кодовете не са нови. Когато се предполага, че информацията трябва да бъде кратка и тайна, QR кодовете са най-добрите за прилагане. Може да сте виждали QR кодове на различни портали за плащане, банкови реклами или просто в WhatsApp Web . Тези кодове съдържат информация под формата на квадрат с черен цвят, разпръснат навсякъде. Тъй като не е известно каква цялата информация предоставя QR кодът, винаги е най-добре да стоите далеч от неизвестни източници на кодовете. Това означава, че ако получите QR код в имейл или текст от обект, който не познавате, не ги сканирайте. Прочетете повече за QRishing измами на смартфони.

6] Tabnabbing

Tabnabbing променя легитимна страница, която сте посещавали, в измамна страница, след като посетите друг раздел. Да речем:

1. Отивате до истински уебсайт.
2. Отваряте друг раздел и разглеждате другия сайт.
3. След известно време се връщате към първия раздел.
4. Ще бъдете посрещнати с нови данни за вход, може би във вашия акаунт в Gmail .
5. Влизате отново, без да подозирате, че страницата, включително фавиконата, всъщност се е променила зад гърба ви!

Това е Tabnabbing , наричан още Tabjacking .

Има някои други видове фишинг, които не се използват много в днешно време. Не съм ги посочил в тази публикация. Методите, използвани за фишинг, продължават да добавят нови техники към престъплението. Запознайте се с различните видове киберпрестъпления , ако се интересувате.

Идентифициране на фишинг имейли и текстове

Въпреки че киберпрестъпниците предприемат всички мерки, за да ви подмамят да щракнете върху техните незаконни връзки, така че да могат да откраднат вашите данни, има няколко указателя, които издават съобщение, че имейлът е фалшив.

В повечето случаи момците за фишинг използват име, познато за вас. Това може да бъде името на която и да е установена банка или друга корпоративна къща като Amazon , Apple , eBay и т.н. Потърсете имейл ID.

Фишинг престъпниците не използват постоянна електронна поща като Hotmail , Outlook и Gmail и др. популярни доставчици на имейл хостинг. Те използват временни имейл сървъри, така че всичко от неизвестен източник е подозрително. В някои случаи киберпрестъпниците се опитват да измамят имейл идентификатори^(IDs) , като използват име на фирма – например [email protected] Имейл ID съдържа името на Amazon , но ако погледнете по-отблизо, то не е от сървърите на Amazon , а от някакъв фалшив имейл .com сървър.

Така че, ако имейл от http://axisbank.com идва от имейл идентификатор, който казва [email protected] , трябва да внимавате. Освен това потърсете правописни грешки. В примера на Axis Bank , ако имейл ID идва от axsbank.com, това е фишинг имейл.

PhishTank ще ви помогне да потвърдите или докладвате за фишинг уебсайтове

Предпазни мерки за фишинг

Горният раздел говори за идентифициране на фишинг имейли и текстове. В основата на всички предпазни мерки е необходимостта да проверите произхода на имейла, вместо просто да щракнете върху връзките в имейла. Не давайте вашите пароли и въпроси за сигурност на никого. Вижте идентификатора на имейла, от който е изпратен имейлът.

Ако е текст от приятел, знаете, може да искате да потвърдите дали той или тя го е изпратил наистина. Можете да му се обадите и да го попитате дали е изпратил съобщение с връзка.

Никога не кликвайте върху връзки в имейли от източници, които не познавате. Дори за имейли, които изглеждат истински, да предположим от Amazon , не щракайте върху връзката^{(do not click on the lin)} k. Вместо това отворете браузър и въведете URL адреса^(URL) на Amazon . Оттам можете да проверите дали всъщност трябва да изпратите някакви подробности до субекта.

Има връзки, които казват, че трябва да потвърдите регистрацията си. Вижте дали наскоро сте се регистрирали за някоя услуга. Ако не можете да си спомните, забравете имейл връзката.

Ами ако щракна върху фишинг връзка?

Незабавно затворете браузъра. Не докосвайте и не въвеждайте никаква информация в случай, че не можете да затворите браузъра, както в браузъра по подразбиране на някои смартфони. Затворете ръчно всеки раздел на такива браузъри. Не забравяйте^(Remember) да не влизате в нито едно от вашите приложения, докато не стартирате сканиране с помощта на BitDefender или Malwarebytes . Има и някои платени приложения, които можете да използвате.

Същото важи и за компютрите. Ако щракнете върху връзка, браузърът ще се стартира и ще се появи някакъв дублиран уебсайт. Не докосвайте и не докосвайте никъде в браузъра. Просто^(Just) щракнете върху бутона за затваряне на браузъра или използвайте диспечера на задачите на Windows, за^{(Windows Task Manager)} да затворите същото. Изпълнете анти-зловреден софтуер, преди да използвате други приложения на компютъра.

Прочетете^(Read) : Къде да докладвате за уебсайтове за онлайн измами, спам и фишинг ?

Моля, коментирайте и ни уведомете, ако съм пропуснал нещо в този фишинг измамник.^{(Please comment and let us know if I left out anything in this phishing cheat sheet.)}

Types of Phishing - Cheat Sheet and Things you need to know

“Congratulations! You have won n million Dollars. Send us your bank detailѕ.” If you are on Internet, you might have seen such emaіls in your inbox or junk mailbox. Ѕυch emails are called phіshing: a сyber-crime wherein criminalѕ υse cоmputer technology to steal data from victims that can bе individuals or corporate busineѕs houses. This Phishing cheat sheet is an attempt to provide you with max knowledge about this cyber-crime so that you don’t become a victim of the crime. We also discuss the types of Phishing.

What is phishing?

Phishing is a cybercrime where criminals lure victims, with an intention to steal victim’s data, using fake emails and text messages. Mainly, it is done by mass email campaigns. They use temporary email IDs and temporary servers, so it becomes hard for authorities to nab them. They have a general template that is sent to hundreds of thousands of recipients so that at least a few can be tricked. Learn how to identify phishing attacks.

Why is it called phishing?

You know about fishing. In real life fishing, the fisherman sets a bait so that he can catch fish when the latter are hooked to the fishing rod. On the Internet too, they use bait in the form of a message that can be convincing and appears genuine. Since the criminals use a bait, it is called phishing. It stands for password fishing which is now referred to as phishing.

The bait could be a promise of money or any goods that could compel any end-user to click on the bait. Sometimes, the bait is different (for example, threat or urgency) and calls for action like clicking links saying you have to re-authorize your account at Amazon, Apple, or PayPal.

How to pronounce phishing?

It is pronounced as PH-ISHING. ‘PH’as in Fishing.

How common is phishing?

Phishing attacks are more common than malware. This is to say that more and more cybercriminals are engaged in phishing compared to those who spread malware using emails, fake websites, or fake advertisements on genuine websites.

These days, phishing kits are sold online so practically anyone with some knowledge of networks can buy them and use them for illegal tasks. These phishing kits provide everything from cloning a website to compiling a compelling email or text.

Types of phishing

There are many types of phishing. Some of the popular ones are:

1. General regular emails asking you your personal details are the most used form of phishing
2. Spear phishing
3. Whaling scams
4. Smishing (SMS phishing) and Vishing
5. QRishing scams
6. Tabnabbing

1] General Phishing

In its most basic form of phishing, you encounter emails and texts cautioning you about something while asking you to click a link. In some cases, they ask you to open the attachment in the email they sent to you.

In the email subject line, the cybercriminals lure you into opening the email or text. Sometimes, the subject line is that one of your online accounts needs updating and sounds urgent.

In the body of the email or text, there is some compelling information that is fake but believable and then ends with a call to action: asking you to click on the link they provide in the phishing email or text. Text messages are more dangerous because they use shortened URLs whose destination or full link can’t be checked without clicking on them when you read them on the phone. There may be any app anywhere that may help with checking out the full URL but there’s none I am aware of yet.

2] Spear phishing

Refers to targeted phishing where the targets are employees of business houses. The cybercriminals get their workplace IDs and send the fake phishing emails to those addresses. It appears as an email from someone top on the corporate ladder, creating enough hurry to reply to them… thereby helping the cybercriminals with breaking into the network of the business house. Read all about spear phishing here. The link also contains some examples of spear phishing.

3] Whaling

Whaling is similar to spear phishing. The only difference between Whaling and Spear phishing is that spear-phishing can target any employee, while whaling is used to target certain privileged employees. The method is the same. The cybercriminals get the official email IDs and phone numbers of the victims and send them a compelling email or text that involves some call for action that might open the corporate intranet to give the back-door access. Read more about Whaling phishing attacks.

4] Smishing and Vishing

When cybercriminals use short messaging service (SMS) to fish out personal details of victims, it is known as SMS phishing or Smishing for short. Read about Smishing and Vishing details.

5] QRishing scams

QR codes are not new. When information is supposed to be kept short and secret, QR codes are the best to implement. You may have seen QR codes on different payment gateways, bank adverts, or simply on WhatsApp Web. These codes contain information in the form of a square with black scattered all over it. Since it is not known what all information a QR code provides, it is always best to stay away from unknown sources of the codes. That is to say that if you receive a QR code in an email or text from an entity that you do not know, don’t scan them. Read more about QRishing scams on smartphones.

6] Tabnabbing

Tabnabbing changes a legitimate page you were visiting, to a fraudulent page, once you visit another tab. Let’s say:

1. You navigate to a genuine website.
2. You open another tab and browse the other site.
3. After a while, you come back to the first tab.
4. You are greeted with fresh login details, maybe to your Gmail account.
5. You login again, not suspecting that the page, including the favicon, has actually changed behind your back!

This is Tabnabbing, also called Tabjacking.

There are some other types of phishing that are not used much nowadays. I have not named them in this post. The methods used for phishing keep on adding new techniques to the crime. Know the different types of cybercrimes if interested.

Identifying phishing emails and texts

While the cybercriminals take all measures to trick you into clicking their illegal links so that they can steal your data, there are a few pointers that give out a message that the email is fake.

In most cases, the phishing guys use a name familiar to you. It can be the name of any established bank or any other corporate house such as Amazon, Apple, eBay, etc. Look for the email ID.

Phishing criminals do not use permanent email like Hotmail, Outlook, and Gmail, etc. popular email hosting providers. They use temporary email servers, so anything from an unknown source is suspicious. In some cases, the cybercriminals try to spoof email IDs by using a business name—for example, [email protected] The email ID contains the name of Amazon, but if you look closer, it is not from Amazon’s servers but some fakeemail.com server.

So, if a mail from http://axisbank.com comes from an email ID that says [email protected], you need to exercise caution. Also, look for spelling errors. In the Axis Bank example, if the email ID comes from axsbank.com, it is a phishing email.

PhishTank will help you verify or report Phishing websites

Precautions for phishing

The above section talked about identifying phishing emails and texts. At the base of all precautions is the need to check the origin of email instead of simply clicking on the links in the email. Do not give out your passwords and security questions to anyone. Look at the email ID from which the email was sent.

If it is a text from a friend, you know, you might want to confirm if he or she had sent it really. You could call him and ask him if he sent a message with a link.

Never click on links in emails from sources you do not know. Even for emails that appear genuine, suppose from Amazon, do not click on the link. Instead, open a browser and type out the URL of Amazon. From there, you can check if you actually need to send any details to the entity.

Some links come in saying you have to verify your sign up. See if you signed up for any service recently. If you cannot remember, forget the email link.

What if I clicked on a phishing link?

Close the browser immediately. Do not touch or enter any information in case of not being able to close the browser, like in some smartphones’ default browser. Manually close each tab of such browsers. Remember not to log in to any of your apps until you run a scan using BitDefender or Malwarebytes. There are some paid apps too that you can use.

The same goes for computers. If you clicked a link, the browser would be launched, and some sort of duplicate website would appear. Don’t tap or touch anywhere on the browser. Just click on the close browser button or use the Windows Task Manager to close the same. Run an antimalware scan before using other applications on the computer.

Read: Where to report Online Scams, Spam and Phishing websites?

Please comment and let us know if I left out anything in this phishing cheat sheet.

Related posts

• Как да избегнем фишинг измами и атаки?

• Какво представляват китоловните измами и как да защитите своето предприятие

• Какво е фишинг и как да разпознаем фишинг атаките?

• Какво представляват паркираните домейни и потъналите домейни?

• Избягвайте измами при онлайн пазаруване и измами в празничния сезон

• Мишката продължава да изчезва на Mac? 10 неща, които трябва да опитате

• F8 не работи в Windows 10? 5 неща, които трябва да опитате

• Google Assistant не работи? 13 неща, които да опитате

• Какво е Spear Phishing? Обяснение, примери, защита

• Защо Microsoft ми изпраща съобщения? Истински ли са или фишинг?

• Wi-Fi обаждането не работи на Android? 9 неща, които трябва да опитате

• Мрежовият адаптер не работи? 12 неща, които трябва да опитате

• Знам паролата ти. Sextortion се завръща с повече сила

• Определение на атака със спрей с парола и защита

• Apple Pay не работи? 15 неща, които трябва да опитате

• Коронавирус COVID-19 Фишинг, измами, измами и схеми

• Widgets на Windows 11 не работят? 7 неща, които да опитате

• Какво е Интернет на нещата - Представяме ви SkyNet!

• Безжичната мишка не работи? 17 неща, които трябва да проверите

• Как да вградите Excel лист във вашия уебсайт