(图片:伤风/ wk1003mike)
为了赚钱,企业需要赚的比花的多,即使是犯罪的企业也是如此。要创建一种新的勒索软件或一种新的数据窃取木马,需要大量的研究和编码工作。另一方面,相比之下,创建一个假冒的PayPal或银行网站几乎是毫不费力的。网络钓鱼诈骗者通过最小化支出来最大化利润。他们所需要做的就是欺骗足够多的人,让他们在假网站上放弃自己的证书。有了窃取来的证书,他们就可以清空银行账户,窃取个人信息,或者直接将这些证书批发卖给其他不法分子。你不会想成为网络钓鱼骗局的受害者吧。这里有一些建议可以帮助你避免这种不幸的命运。
新冠肺炎如何影响网络骗局?
大量的人被困在那里在家工作在疫情最严重的时候,在互联网上寻求娱乐的网络钓鱼骗子们简直是“猪天堂”。首先,他们只是为普通的证书窃取欺诈行为赢得了更多的受众。但是,恐惧、不确定和怀疑这场前所未有的大流行为新型骗局提供了完美的素材。
据谷歌报道,甚至早在2020年4月阻止了1800万个病毒相关骗局每一天。谷歌做得很好;据估计,它可以拦截99.9%的垃圾邮件和网络钓鱼邮件。这意味着,每天有一万八千条不受欢迎的信息被发送给了未知数量的受害者。
病毒骗子不仅会窃取你的密码;他们想要你的钱。骗局和骗局自人类诞生以来就一直存在,它们在网络上和在现实生活中一样有效。要警惕任何与大流行有关的电子邮件,特别是如果它敦促你立即点击链接或下载文件。如果虚假邮件的紧迫感让你担心,直接找到邮件的源头,而不是使用提供的链接。
有关保护自己免受这类威胁的具体建议,请阅读如何发现和避免COVID-19骗局.
网络钓鱼骗局是如何运作的?
运行证书窃取网络钓鱼骗局的关键是创建一个安全网站的副本,足够好,可以骗过大多数人,甚至只是一部分人。对于最经典的赝品,每个链接都指向真正的网站。除了那个把你的用户名和密码提交给罪犯的链接。作为锦上添花,欺诈者可能会尝试创建一个看起来至少有点合法的URL。而不是paypal。com,也许是pyapal.com,或者paypal。security。reset.com。
然而,并不是每个钓鱼页面都做得很好。有些人使用了错误的颜色,或者与他们模仿的页面不匹配。其他一些网站的url则完全不可信,比如seblakenakkalikalaudimakan.crabdance.com或X8el87.journal.com。很显然,即使是这些蹩脚的冒牌货也能钓到几个上钩的人,否则骗子就会放弃。
我们的顶级防病毒工具
当你在钓鱼网站上输入你的用户名和密码时,网站所有者就会获得对你账户的完全访问权限。为了不让你意识到你被骗了,他们可能会把凭据传递到真正的网站,这样看起来就像你正常登录了。当你发现你的银行账户空了,或者你无法登录你的电子邮件,而你的朋友说他们从你那里收到了垃圾邮件时,你唯一的线索可能会出现。那么,如何抵御这种攻击呢?
消除明显的问题
一些虚假网站执行得太糟糕,无法说服任何关注它的人。如果你链接到一个网站,它看起来就像垃圾,按Ctrl+F5完全重新加载页面,以防糟糕的外观是侥幸的。但如果看起来还是不对,那就离它远点。
查看上面的页面。为什么所有的输入字段都在一边?大多数现代网站都会根据你的浏览器窗口大小进行调整。现在你的怀疑已经被提出了,你更有可能看到地址栏中的网站名称缺少最重要的锁图标。
当你创建一个钓鱼页面时,逼真是必不可少的。使用免费的Web托管服务在你的页面上留下它的横幅或在你的URL中留下它的域名是一种赠品。即便如此,每次我运行一个网络钓鱼防护测试时,我都会遇到一些这样的冒牌货。谁会相信雅虎还在运转拥有?
你能从地址栏学到什么?
现代web浏览器正在远离对地址栏的关注。至少现在是搜索+地址栏了。但是当你盯着一个页面确认它的合法性时,地址栏是一个非常重要的资源。最优秀的网络钓鱼嗅探者可以毫不费力地发现一个不正常的网址。
有时候很简单。没有多少人看到“placebook”后会想,哦,是的,那是Facebook。但其他骗子使用更狡猾的假货,比如亚马逊的Arnazon。
注意试图模糊URL的实际域名部分。这就是部分立即在最后的。com,。net,。org之前,等等。在域之前的任何东西都只是子域。如果URL fakery.paypal.com存在,它将是paypal.com的子域名。如果你看到的是paypal.fakery.com,那就是纯粹的造假!
对Dropbox账户或其他在线存储账户的网络钓鱼攻击,并没有窃贼通过捕获银行登录获取的价值保证。相反,人们对这些账户不一定要保持同样的警惕。任何东西都可能出现在在线存储中,从女童军饼干订单列表到火星任务的秘密计划。同样地,获取流媒体的登录也没有太多明显的收入潜力,但访问该帐户可能会导致一些具有相同证书的更重要的帐户受到损害。看看上面图片中的地址栏。即使你是在欺骗凭证从一个白痴朋友,你肯定不会看到“白痴朋友”的URL!
还有一件怪事。显然,这个URL并不代表Xfinity、康卡斯特或任何相关品牌。但除此之外,浏览器还挥舞着一个巨大的红旗,指出该网站的安全证书已被撤销。是的,有效网站的网站管理员偶尔会搞砸,让他们的证书失效,但这个页面显然是一个欺诈。
HTTPS锁重要吗?
的超文本传输协议用于基本互联网通信的HTTP通信系统是万维网早期的遗留产物。这并不安全,因为没人会想到其他人会这么做坏新兴互联网上的东西。好吧,坏家伙在这里,唯一明智的连接方式是使用安全的HTTPS协议。Web浏览器显示HTTPS页面的锁定图标。Chrome更进一步,主动将HTTP网站标记为“不安全”。千万不要登录任何不使用HTTPS的网站。
如果您没有注意到这个奇怪的域,那么这个页面可能看起来像一个合法的Wells Fargo登录页面。但是请注意,这里没有锁,并且地址以HTTP:开头,而不是HTTPS:。不要碰这一页;这是邪恶的!
“但是等等,”你可能会说,“如果一个合法的网站还没有采取安全措施呢?”对不起,我不相信。在这个时代HTTPS无处不在(在一个新窗口中打开)没有借口。一个网站想让你不使用HTTPS登录,即使它不是欺诈,也是不合法的。
有时候,光看是看不出来的。联邦银行网站称其网上银行系统为Netbank。上图所示的netbank.com安全页面看起来合法的。如果您不确定,快速查看该域的whois数据可能有助于您的决定。我想我们都同意,联邦银行的网站不太可能把它的主机放在CrazyDomains.com上。
电子邮件诈骗从何而来?
你已经听过无数次了。不要点击不认识的人发来的电子邮件中的链接。不要点击与你有联系的人发来的信息中的链接做因为他们可能被黑了。这是个好建议!点击一个随机链接可能会把你带到一个恶意软件托管网站,或者一个诈骗网站。当链接将您带到登录页面时,特别重要的是要考虑其来源。
可以想象,你可能会收到银行的电子邮件信息,尽管许多银行都避免这种通信形式。如果你在一个不相关的网站上点击了一个链接,结果看到的是阿莫里卡银行的登录页面,很有可能这是一个假链接。
让自己在网上变得更安全其实很容易但如果你的银行、国税局或PayPal真的因为你的账户问题而试图联系你呢?解决方案很简单——跳过链接,像平常一样直接登录到服务上。
还要注意那些看起来需要你紧急处理的页面或邮件。上面显示的页面表明,你的Facebook帐户将被禁用,除非你登录防止它。但是看看地址栏;这当然不是Facebook。还是那句话,像往常一样登录Facebook,看看你是否遇到了什么麻烦。
寻求帮助打击网络钓鱼
战胜骗子,发现他们最狡猾的诡计,肯定会让你感觉很好。但明天你可能就不会那么聪明了,所以在打击网络钓鱼骗局时,争取一些帮助是值得的。现代浏览器内置了针对欺诈网站的保护功能,而且做得不错。大多数抗病毒和安全套件产品增加了自身对网络钓鱼的保护;其中最好的在我们的测试中获得了高达100%的保护。
我们的顶级密码管理器选择
见全部(4项)
使用一个密码管理器还能让你远离欺诈。使用大多数这类产品,您可以访问一个安全站点并通过一次点击登录。如果你设法访问了一个欺诈网站,你的密码管理器不会填写保存的登录凭证的事实是一个大的危险信号。
最精明的网民使用虚拟专用网络VPN他们的网上活动。使用VPN在传输过程中保护数据,因为数据以加密的形式传输到VPN服务器。它还提供了一些防止网络跟踪的保护,因为您的流量看起来来自VPN服务器,而不是来自您的本地IP地址。但是通过VPN路由网络流量对防止网络钓鱼毫无帮助。当你把你的证书给钓鱼网站的所有者时,他们是如何到达那里的并不重要。网络钓鱼攻击目标你而不是你的设备或通讯系统。
我们的最佳VPN选择
见全部(6项)
网络钓鱼比你想象的要普遍得多。为了获得本文的图片,我从一个流行的网络钓鱼追踪网站上抓取了最新的五六打经过验证的欺诈行为,并对它们进行了研究,以寻找好的例子。是的,欺诈页面很快就会被列入黑名单,但骗子们只是关闭了,然后弹出一个新的欺诈页面。
保护自己免受网络钓鱼
为了避免被骗走你急需的现金的痛苦,或者把你的敏感数据泄露给骗子的尴尬,请利用可用的资源,如密码管理器和反病毒软件中的钓鱼检测系统。但你要睁大眼睛,发现任何通过的欺诈行为。如果一个页面来自一个可疑的链接,如果地址栏没有HTTPS锁,如果它看起来在任何方面都是错误的,不要碰它!你的警惕会有回报的。
