Tipos de phishing - folha de dicas e coisas que você precisa saber

"Parabéns! Você ganhou n milhões de dólares. Envie-nos os seus dados bancários.”Se você estiver na Internet, pode ter visto esses e-mails em sua caixa de entrada ou caixa de correio de lixo eletrônico. Esses e-mails são chamados de phishing: um crime cibernético em que os criminosos usam tecnologia de computador para roubar dados de vítimas, que podem ser pessoas físicas ou jurídicas. Esta Folha de dicas de phishing é uma tentativa de fornecer a você o máximo de conhecimento sobre este crime cibernético para que você não se torne uma vítima do crime. Também discutimos o tipos de phishing.

O que é phishing?

Phishing é um crime cibernético em que os criminosos atraem as vítimas, com a intenção de roubar os dados da vítima, usando e-mails e mensagens de texto falsos. Principalmente, é feito por campanhas de e-mail em massa. Eles usam IDs de e-mail temporários e servidores temporários, então fica difícil para as autoridades prendê-los. Eles têm um modelo geral que é enviado a centenas de milhares de destinatários para que pelo menos alguns possam ser enganados. Aprenda a identificar ataques de phishing.

Por que isso é chamado de phishing??

Voce sabe sobre pesca. Na pesca da vida real, o pescador lança uma isca para que possa pescar quando este for fisgado na vara de pescar. Também na Internet, eles usam iscas na forma de uma mensagem que pode ser convincente e parecer genuína. Como os criminosos usam uma isca, isso é chamado de phishing. Significa a pesca de senha, agora conhecida como phishing.

A isca pode ser uma promessa de dinheiro ou qualquer bem que possa obrigar qualquer usuário final a clicar na isca. Às vezes, a isca é diferente (por exemplo, ameaça ou urgência) e apela à ação, como clicar em links, dizendo que você precisa reautorizar sua conta na Amazon, Apple ou PayPal.

Como pronunciar phishing?

É pronunciado como PH-ISHING. 'PH' como em Fishing.

Quão comum é o phishing?

Ataques de phishing são mais comuns do que malware. Isso quer dizer que cada vez mais cibercriminosos estão envolvidos em phishing em comparação com aqueles que espalham malware usando e-mails, sites falsos ou anúncios falsos em sites genuínos.

Atualmente, os kits de phishing são vendidos online para que praticamente qualquer pessoa com algum conhecimento de redes possa comprá-los e usá-los para tarefas ilegais. Esses kits de phishing oferecem tudo, desde clonar um site até compilar um e-mail ou texto atraente.

Tipos de phishing

Existem muitos tipos de phishing. Alguns dos mais populares são:

1. E-mails regulares em geral perguntando sobre seus dados pessoais são a forma mais usada de phishing
2. Spear Phishing
3. Golpes de baleia
4. Smishing (SMS phishing) e Vishing
5. Golpes de QRishing
6. Tabnabbing

1] Phishing geral

Em sua forma mais básica de phishing, você encontra e-mails e mensagens de texto avisando sobre algo e pedindo para clicar em um link. Em alguns casos, eles pedem que você abra o anexo do e-mail que enviaram para você.

Na linha de assunto do e-mail, os cibercriminosos induzem você a abrir o e-mail ou texto. Às vezes, o assunto é que uma de suas contas online precisa ser atualizada e parece urgente.

No corpo do e-mail ou texto, há algumas informações convincentes que são falsas, mas verossímeis e terminam com uma frase de chamariz: pedindo que você clique no link fornecido no e-mail ou texto de phishing. As mensagens de texto são mais perigosas porque usam URLs encurtados cujo destino ou link completo não podem ser verificados sem clicar neles ao lê-los no telefone. Pode haver qualquer aplicativo em qualquer lugar que possa ajudar a verificar o URL completo, mas não há nenhum que eu conheça ainda.

2] Spear phishing

Refere-se a phishing direcionado em que os alvos são funcionários de empresas. Os cibercriminosos obtêm suas identificações de trabalho e enviam os e-mails de phishing falsos para esses endereços. Ele aparece como um e-mail de alguém no topo da escada corporativa, criando pressa o suficiente para respondê-lo ... ajudando assim os cibercriminosos a invadir a rede da casa de negócios. Leia tudo sobre spear phishing aqui. O link também contém alguns exemplos de spear phishing.

3] Baleeira

Whaling é semelhante ao spear phishing. A única diferença entre Whaling e Spear phishing é que o spear-phishing pode atingir qualquer funcionário, enquanto o caça às baleias é usado para atingir determinados funcionários privilegiados. O método é o mesmo. Os cibercriminosos obtêm os IDs de e-mail oficiais e números de telefone das vítimas e enviam-lhes um e-mail ou texto atraente que envolve alguma ação que pode abrir o intranet corporativa para dar acesso à porta dos fundos. Leia mais sobre ataques de Whaling Phishing.

4] Smishing e Vishing

Quando os cibercriminosos usam o serviço de mensagens curtas (SMS) para pescar detalhes pessoais das vítimas, isso é conhecido como phishing de SMS ou Smishing para abreviar. Leia sobre os detalhes de Smishing e Vishing.

5] Golpes de QRishing

Códigos QR não são novos. Quando as informações devem ser mantidas curtas e secretas, os códigos QR são os melhores para implementar. Você pode ter visto códigos QR em diferentes gateways de pagamento, anúncios bancários ou simplesmente no WhatsApp Web. Esses códigos contêm informações na forma de um quadrado com preto espalhado por toda parte. Como não se sabe quais são as informações que um código QR fornece, é sempre melhor ficar longe de fontes desconhecidas dos códigos. Ou seja, se você receber um código QR em um e-mail ou texto de uma entidade que você não conhece, não os escaneie. Leia mais sobre golpes de QRishing em smartphones.

6] Tabnabbing

O Tabnabbing muda uma página legítima que você estava visitando para uma página fraudulenta, assim que você visita outra guia. Digamos:

1. Você navega para um site genuíno.
2. Você abre outra guia e navega no outro site.
3. Depois de um tempo, você volta para a primeira guia.
4. Você é recebido com novos detalhes de login, talvez na sua conta do Gmail.
5. Você faz login novamente, sem suspeitar que a página, incluindo o favicon, realmente mudou nas suas costas!

Isso é Tabnabbing, também chamado de Tabjacking.

Existem alguns outros tipos de phishing que não são muito usados ​​hoje em dia. Eu não os citei neste post. Os métodos usados ​​para phishing continuam adicionando novas técnicas ao crime. Conheça os diferentes tipos de crimes cibernéticos, se estiver interessado.

Identificar e-mails e textos de phishing

Embora os cibercriminosos tomem todas as medidas para induzi-lo a clicar em seus links ilegais para que possam roubar seus dados, existem alguns indicadores que transmitem uma mensagem de que o e-mail é falso.

Na maioria dos casos, os caras do phishing usam um nome familiar para você. Pode ser o nome de qualquer banco estabelecido ou qualquer outra empresa, como Amazon, Apple, eBay, etc. Procure o ID do e-mail.

Os criminosos de phishing não usam e-mail permanente como Hotmail, Outlook e Gmail, etc. provedores de hospedagem de e-mail populares. Eles usam servidores de e-mail temporários, então qualquer coisa de uma fonte desconhecida é suspeita. Em alguns casos, os cibercriminosos tentam falsificar IDs de e-mail usando um nome comercial - por exemplo, [email protegido] O ID de e-mail contém o nome da Amazon, mas se você olhar mais de perto, não é dos servidores da Amazon, mas de alguns e-mails falsos.com servidor.

Portanto, se um e-mail de http: // axisbank.com vem de um ID de e-mail que diz [e-mail protegido], você precisa ter cuidado. Além disso, procure erros de ortografia. No exemplo do Axis Bank, se o ID do e-mail vier do axsbank.com, é um e-mail de phishing.

PhishTank ajudará você a verificar ou denunciar sites de phishing

Precauções para phishing

A seção acima falou sobre como identificar e-mails e textos de phishing. Na base de todos os cuidados está a necessidade de verificar a origem do e-mail em vez de simplesmente clicar nos links do e-mail. Não divulgue suas senhas e perguntas de segurança a ninguém. Veja o ID do e-mail de onde o e-mail foi enviado.

Se for uma mensagem de texto de um amigo, você pode querer confirmar se ele ou ela realmente a enviou. Você poderia ligar para ele e perguntar se ele enviou uma mensagem com um link.

Nunca clique em links de e-mails de fontes que você não conhece. Mesmo para e-mails que parecem genuínos, suponha que da Amazon, não clique no link. Em vez disso, abra um navegador e digite a URL da Amazon. A partir daí, você pode verificar se realmente precisa enviar algum detalhe para a entidade.

Alguns links chegam dizendo que você precisa verificar sua inscrição. Veja se você se inscreveu em algum serviço recentemente. Se você não consegue se lembrar, esqueça o link do e-mail.

E se eu clicar em um link de phishing?

Feche o navegador imediatamente. Não toque ou insira nenhuma informação caso não consiga fechar o navegador, como no navegador padrão de alguns smartphones. Feche manualmente cada guia desses navegadores. Lembre-se de não logar em nenhum de seus aplicativos até que você execute uma análise usando BitDefender ou Malwarebytes. Existem alguns aplicativos pagos que você também pode usar.

O mesmo vale para computadores. Se você clicar em um link, o navegador será iniciado e algum tipo de site duplicado aparecerá. Não toque ou toque em qualquer lugar do navegador. Basta clicar no botão Fechar do navegador ou usar o Gerenciador de Tarefas do Windows para fechar o mesmo. Execute uma verificação antimalware antes de usar outros aplicativos no computador.

Leitura: Onde denunciar sites de golpes online, spam e phishing?

Comente e nos informe se eu omiti algo nesta folha de dicas de phishing.