TL;DR

  • Pikšķerēšana ir ļaunprātīga prakse, kurā uzbrucēji maskējas kā uzticamas personas, lai maldinātu personas atklāt sensitīvu informāciju.

  • Esiet modrs pret pikšķerēšanu, atpazīstot izplatītas pazīmes, piemēram, aizdomīgus URL un steidzamus personas informācijas pieprasījumus.

  • Lai stiprinātu kiberdrošības aizsardzību, izprotiet dažādas pikšķerēšanas metodes, sākot no izplatītām e-pasta krāpniecībām un beidzot ar sarežģītu pikšķerēšanu.

Ievads

Pikšķerēšana ir kaitīga taktika, kurā slikti dalībnieki izliekas par uzticamiem avotiem, lai maldinātu cilvēkus kopīgot sensitīvus datus. Šajā rakstā mēs izskaidrosim, kas ir pikšķerēšana, kā tā darbojas un ko varat darīt, lai izvairītos no šādas krāpniecības upuriem.

Kā darbojas pikšķerēšana

Pikšķerēšana galvenokārt balstās uz sociālo inženieriju — metodi, kurā uzbrucēji manipulē ar personām, lai tās izpaustu konfidenciālu informāciju. Uzbrucēji ievāc personas datus no publiskiem avotiem (piemēram, sociālajiem medijiem), lai izveidotu šķietami autentiskus e-pasta ziņojumus. Upuri bieži saņem ļaunprātīgus ziņojumus, kas, šķiet, ir no pazīstamiem kontaktiem vai cienījamām organizācijām.

Visizplatītākais pikšķerēšanas veids notiek, izmantojot e-pasta ziņojumus, kas satur ļaunprātīgas saites vai pielikumus. Noklikšķinot uz šīm saitēm, lietotāja ierīcē var instalēt ļaunprātīgu programmatūru vai novirzīt lietotājus uz viltotām vietnēm, kas paredzētas personas un finanšu informācijas zagšanai.

Lai gan ir vieglāk pamanīt slikti uzrakstītus pikšķerēšanas e-pastus, kibernoziedznieki izmanto tādus uzlabotus rīkus kā tērzēšanas roboti un AI balss ģeneratori, lai uzlabotu savu uzbrukumu autentiskumu. Tādēļ lietotājiem ir grūti atšķirt patiesu un krāpniecisku saziņu.

Pikšķerēšanas mēģinājumu atpazīšana

Pikšķerēšanas e-pastu identificēšana var būt sarežģīta, taču ir dažas pazīmes, uz kurām varat pievērst uzmanību.

Kopējās pazīmes

Esiet piesardzīgs, ja ziņojumā ir ietverti aizdomīgi vietrāži URL, tiek izmantotas publiskas e-pasta adreses, tas izraisa bailes vai steidzamību, pieprasa personas informāciju vai tajā ir pareizrakstības un gramatikas kļūdas. Vairumā gadījumu jums vajadzētu būt iespējai virzīt kursoru virs saitēm, lai pārbaudītu vietrāžus URL, faktiski uz tiem nenoklikšķinot.

Uz digitāliem maksājumiem balstīta krāpniecība

Pikšķerētāji bieži uzdodas par uzticamiem tiešsaistes maksājumu pakalpojumiem, piemēram, PayPal, Venmo vai Wise. Lietotāji saņem krāpnieciskus e-pasta ziņojumus ar aicinājumu pārbaudīt pieteikšanās informāciju. Ir ļoti svarīgi saglabāt modrību un ziņot par aizdomīgām darbībām.

Uz finansēm balstīti pikšķerēšanas uzbrukumi

Krāpnieki uzdodas par bankām vai finanšu iestādēm, pieprasot drošības pārkāpumus, lai iegūtu personas informāciju. Izplatīta taktika ietver maldinošus e-pasta ziņojumus par naudas pārskaitījumiem vai tiešo depozītu izkrāpšanu, kas vērsta uz jauniem darbiniekiem. Viņi var arī apgalvot, ka ir steidzams drošības atjauninājums.

Ar darbu saistītas pikšķerēšanas krāpniecības

Šīs personalizētās krāpniecības ietver uzbrucējus, kas uzdodas par vadītājiem, izpilddirektoriem vai finanšu direktoriem, pieprasot pārskaitījumus vai viltotus pirkumus. Balss pikšķerēšana, izmantojot AI balss ģeneratorus pa tālruni, ir vēl viena metode, ko izmanto krāpnieki.

Kā novērst pikšķerēšanas uzbrukumus

Lai novērstu pikšķerēšanas uzbrukumus, ir svarīgi izmantot vairākus drošības pasākumus. Neklikšķiniet uz jebkādām saitēm tieši. Tā vietā dodieties uz uzņēmuma oficiālo vietni vai saziņas kanāliem, lai pārbaudītu, vai saņemtā informācija ir likumīga. Apsveriet iespēju izmantot drošības rīkus, piemēram, pretvīrusu programmatūru, ugunsmūrus un surogātpasta filtrus.

Turklāt organizācijām ir jāizmanto e-pasta autentifikācijas standarti, lai pārbaudītu ienākošos e-pastus. Parasti e-pasta autentifikācijas metožu piemēri ir DKIM (DomainKeys Identified Mail) un DMARC (Domain-based Message Authentication, Reporting and Conformance).

Personām ir ļoti svarīgi informēt ģimeni un draugus par pikšķerēšanas riskiem. Uzņēmumiem ir ļoti svarīgi izglītot darbiniekus par pikšķerēšanas metodēm un nodrošināt periodiskas izpratnes apmācības, lai samazinātu riskus.

Ja jums nepieciešama papildu palīdzība un informācija, meklējiet tādas valdības iniciatīvas kā OnGuardOnline.gov un tādas organizācijas kā Anti-Phishing Working Group Inc. Tie nodrošina detalizētākus resursus un norādījumus par pikšķerēšanas uzbrukumu pamanīšanu, izvairīšanos no tiem un ziņošanu par tiem.

Pikšķerēšanas veidi

Pikšķerēšanas paņēmieni attīstās, un kibernoziedznieki izmanto dažādas metodes. Dažādi pikšķerēšanas veidi parasti tiek klasificēti pēc mērķa un uzbrukuma vektora. Apskatīsim tuvāk.

Klonēt pikšķerēšanu

Uzbrucējs izmantos iepriekš nosūtītu, likumīgu e-pastu un kopēs tā saturu līdzīgā e-pastā, kurā ir saite uz ļaunprātīgu vietni. Uzbrucējs var arī apgalvot, ka šī ir atjaunināta vai jauna saite, norādot, ka iepriekšējā saite bija nepareiza vai tai beidzies derīguma termiņš.

Šķēpu pikšķerēšana

Šāda veida uzbrukums ir vērsts uz vienu personu vai iestādi. Šķēpu uzbrukums ir sarežģītāks nekā citi pikšķerēšanas veidi, jo tas ir profilēts. Tas nozīmē, ka uzbrucējs vispirms apkopo informāciju par upuri (piemēram, draugu vai ģimenes locekļu vārdus) un izmanto šos datus, lai upuri piesaistītu ļaunprātīgas vietnes failam.

Pharming

Uzbrucējs saindēs DNS ierakstu, kas praksē novirzīs likumīgas vietnes apmeklētājus uz krāpniecisku vietni, kuru uzbrucējs ir izveidojis iepriekš. Šis ir visbīstamākais no uzbrukumiem, jo ​​DNS ieraksti nav lietotāja kontrolē, tādējādi padarot lietotāju bezpalīdzīgu, lai pret tiem aizsargātos.

Vaļu medības

Šķēpu pikšķerēšanas veids, kura mērķis ir bagāti un svarīgi cilvēki, piemēram, vadītāji un valdības ierēdņi.

E-pasta krāpšanās

Pikšķerēšanas e-pasta ziņojumi parasti krāpj saziņu no likumīgiem uzņēmumiem vai personām. Pikšķerēšanas e-pasta ziņojumos upuriem, kas to nezina, var būt saites uz ļaunprātīgām vietnēm, kurās uzbrucēji vāc pieteikšanās akreditācijas datus un PII, izmantojot gudri slēptas pieteikšanās lapas. Lapās var būt Trojas zirgi, taustiņu bloķētāji un citi ļaunprātīgi skripti, kas zog personas informāciju.

Vietņu novirzīšana

Vietņu novirzīšana novirza lietotājus uz vietrāžiem URL, kas atšķiras no tiem, kurus lietotājs bija plānojis apmeklēt. Dalībnieki, kas izmanto ievainojamības, var ievietot novirzīšanu un instalēt ļaunprātīgu programmatūru lietotāju datoros.

Typosquatting

Typosquatting novirza datplūsmu uz viltotām vietnēm, kurās tiek izmantota svešvalodu pareizrakstība, bieži sastopamas pareizrakstības kļūdas vai smalkas variācijas augstākā līmeņa domēnā. Pikšķerētāji izmanto domēnus, lai atdarinātu likumīgas vietņu saskarnes, izmantojot to lietotāju priekšrocības, kuri nepareizi ieraksta vai lasa URL.

Viltus apmaksātas reklāmas

Maksas reklāmas ir vēl viena pikšķerēšanas taktika. Šajās (viltotajās) reklāmās tiek izmantoti domēni, kurus uzbrucēji ir pārrakstījuši un samaksājuši, lai tie tiktu parādīti meklēšanas rezultātos. Vietne var pat parādīties kā populārākais meklēšanas rezultāts Google tīklā.

Laistīšanas bedres uzbrukums

Uzbrukuma gadījumā pikšķerētāji analizē lietotājus un nosaka vietnes, kuras viņi bieži apmeklē. Viņi skenē šīs vietnes, lai noteiktu ievainojamības, un mēģina ievadīt ļaunprātīgus skriptus, kas paredzēti lietotāju mērķauditorijai nākamajā reizē, kad viņi apmeklē šo vietni.

Uzdošanās un viltotas dāvanas

Uzdošanās par ietekmīgām personībām sociālajos medijos. Pikšķerētāji var uzdoties par galvenajiem uzņēmumu vadītājiem un reklamēt dāvanas vai veikt citas maldinošas darbības. Šīs viltības upuri var tikt mērķēti pat individuāli, izmantojot sociālās inženierijas procesus, kuru mērķis ir atrast lētticīgus lietotājus. Aktieri var uzlauzt verificētos kontus un modificēt lietotājvārdus, lai uzdotos par īstu personu, vienlaikus saglabājot verificēto statusu.

Pēdējā laikā pikšķerētāji lielā mērā ir mērķēti uz tādām platformām kā Discord, X un Telegram tiem pašiem mērķiem: krāpšanās tērzēšanas sarunās, uzdošanās par personām un likumīgu pakalpojumu atdarināšana.

Ļaunprātīgas lietojumprogrammas

Pikšķerētāji var arī izmantot ļaunprātīgas lietotnes, kas uzrauga jūsu uzvedību vai zog sensitīvu informāciju. Lietojumprogrammas var darboties kā cenu izsekotāji, maki un citi ar kriptovalūtu saistīti rīki (kuriem ir lietotāju bāze, kas ir nosliece uz tirdzniecību un kriptovalūtu).

SMS un balss pikšķerēšana

Uz īsziņām balstīts pikšķerēšanas veids, ko parasti veic, izmantojot SMS vai balss ziņas, kas mudina lietotājus kopīgot personisko informāciju.

Pikšķerēšana vs. Pharming

Lai gan daži uzskata, ka pharming ir pikšķerēšanas uzbrukuma veids, tas balstās uz citu mehānismu. Galvenā atšķirība starp pikšķerēšanu un pharming ir tā, ka pikšķerēšanai cietušajam ir jāpieļauj kļūda. Pretstatā tam, lai izmantotu pharming, upurim ir jāmēģina piekļūt likumīgai vietnei, kuras DNS ierakstu ir apdraudējis uzbrucējs.

Pikšķerēšana blokķēdē un kriptovaldē

Lai gan blokķēdes tehnoloģija nodrošina spēcīgu datu drošību tās decentralizētā rakstura dēļ, lietotājiem blokķēdes telpā ir jāsaglabā modrība pret sociālās inženierijas un pikšķerēšanas mēģinājumiem. Kibernoziedznieki bieži mēģina izmantot cilvēku ievainojamības, lai piekļūtu privātajām atslēgām vai pieteikšanās akreditācijas datiem. Vairumā gadījumu krāpniecība balstās uz cilvēka kļūdām.

Krāpnieki var arī mēģināt apmānīt lietotājus, lai tie atklātu savas sākotnējās frāzes vai pārskaitītu līdzekļus uz viltotām adresēm. Ir svarīgi ievērot piesardzību un ievērot drošības paraugpraksi.

Noslēguma domas

Noslēgumā jāsaka, ka izpratne par pikšķerēšanu un informētība par paņēmieniem ir ļoti svarīga, lai aizsargātu personisko un finanšu informāciju. Apvienojot stingrus drošības pasākumus, izglītību un informētību, indivīdi un organizācijas var nodrošināties pret pastāvīgi esošajiem pikšķerēšanas draudiem mūsu savstarpēji saistītajā digitālajā pasaulē. Palieciet SAFU!

Tālāka lasīšana

  • 5 padomi, kā nodrošināt savu kriptovalūtu turējumu

  • 5 veidi, kā uzlabot Binance konta drošību

  • Kā saglabāt drošību vienādranga (P2P) tirdzniecībā

Atruna: šis saturs jums tiek piedāvāts “tāds, kāds tas ir” tikai vispārīgai informācijai un izglītojošiem nolūkiem, bez jebkāda veida pārstāvniecības vai garantijas. To nevajadzētu interpretēt kā finansiālu, juridisku vai citu profesionālu padomu, kā arī tas nav paredzēts, lai ieteiktu iegādāties kādu konkrētu produktu vai pakalpojumu. Jums jālūdz savs padoms no atbilstošiem profesionāliem konsultantiem. Ja rakstu ir pievienojis trešās puses līdzautors, lūdzu, ņemiet vērā, ka šie paustie viedokļi pieder trešās puses līdzautoram un ne vienmēr atspoguļo Binance Academy uzskatus. Lūdzu, izlasiet mūsu pilno atrunu šeit, lai iegūtu sīkāku informāciju. Digitālo aktīvu cenas var būt nepastāvīgas. Jūsu ieguldījuma vērtība var samazināties vai pieaugt, un jūs, iespējams, neatgūsit ieguldīto summu. Jūs esat pilnībā atbildīgs par saviem ieguldījumu lēmumiem, un Binance Academy nav atbildīgs par jebkādiem zaudējumiem, kas jums var rasties. Šo materiālu nevajadzētu uzskatīt par finansiālu, juridisku vai citu profesionālu padomu. Lai iegūtu papildinformāciju, skatiet mūsu lietošanas noteikumus un brīdinājumu par risku.