Pengelabuan adalah cara yang sangat populer untuk mencuri data dari pengguna Internet, karena tidak memerlukan biaya finansial yang besar dan merupakan alat universal - lebih bersifat sosial daripada teknologi. Berkat ini, penipu atau sekelompok individu serupa dapat dengan cepat beradaptasi dengan cara kerja baru. Penipu saat ini juga tahu banyak dan terus meningkatkan keterampilan mereka.
Saya yakin sebagian besar dari Anda pernah mendengar dan menemukan phishing, tetapi dalam banyak kasus Anda melewatinya tanpa menyadari apa itu dan betapa berbahayanya itu. Hari ini saya akan mencoba memperluas pengetahuan Anda, dan saya akan memberi tahu Anda betapa berbahayanya phishing, bagaimana mengenalinya dan bagaimana melindungi diri Anda darinya.
Apa itu phising?
Definisi paling sederhana dari phishing adalah bahwa itu adalah metode penipuan di mana penjahat, berpura-pura menjadi perwakilan dari lembaga yang dapat diandalkan, menuntut data rahasia, paling sering - kata sandi untuk memasuki layanan perbankan elektronik, jaringan internal perusahaan, serta nomor kartu pembayaran dan email alamat. surat
Untuk ini, penyerang menggunakan program jahat dan mencoba menggunakan rekayasa sosial untuk memaksa korban mengambil tindakan tertentu yang akan membantu mereka mendapatkan hasil yang diinginkan. Serangan yang menargetkan pengguna biasa relatif sederhana, tetapi penjahat dunia maya semakin banyak menggunakan teknik phishing yang lebih canggih yang membutuhkan pengumpulan informasi tentang korban untuk meninabobokan mereka agar bermain sesuai aturan mereka.
Bagaimana cara kerja phishing?
Phishing, yang biasanya kami tangani, terdiri dari pengiriman email atau SMS yang dibuat khusus ke calon korban. Mereka berisi tautan ke situs web jahat di mana pengguna Internet diharuskan memberikan informasi sensitif, yang biasanya merupakan login dan kata sandi untuk situs web perbankan elektronik. Dengan demikian, Anda mengizinkan penipu mencuri uang dari akun Anda. Membuat korban melakukan ini adalah tantangan terbesar, sehingga penjahat dunia maya terus-menerus datang dengan skema baru untuk melaksanakan rencana mereka. Baru-baru ini, metode phishing yang paling umum adalah pembayaran mikro.
Dalam pesan jahat, Anda dapat "mencari tahu" tentang paket layanan yang ditangguhkan, lelang yang diblokir di situs penawaran, perbedaan dalam jumlah tagihan, tunggakan dengan inspektorat pajak atau dengan pemasok energi, yang akan memiliki konsekuensi yang tidak menyenangkan. untukmu. Dana yang tidak mencukupi dapat ditransfer melalui situs pembayaran cepat yang ditautkan dalam pesan. Namun, itu dialihkan ke situs yang terlihat mirip dengan situs populer seperti PayPal atau DotPay. Dan data yang dimasukkan ke dalamnya pergi ke penjahat, yang memungkinkan mereka untuk memasukkan akun korban di layanan transaksi dan mentransfer dana keuangan ke akun mereka sendiri.
Seperti yang Anda lihat, mekanisme ini sangat sederhana, tetapi masalah terbesar penipu adalah membuat korban memberikan data, jadi kami terus-menerus berurusan dengan kampanye phishing baru. Penjahat dunia maya tidak selalu mengancam konsekuensi yang tidak menyenangkan. Metode populer juga untuk menyebarkan kesadaran melalui iklan yang ditempatkan di situs web dan jejaring sosial dengan hadiah menarik, dengan kemungkinan menghasilkan banyak uang dengan cepat atau bahkan menerima warisan dari beberapa miliarder Kenya, Amerika, atau Skotlandia (pilih negara Anda) yang sudah meninggal. , siapa kerabat jauh Anda. Dalam kasus terakhir, gambar tokoh terkenal (tentu saja, tanpa persetujuan mereka) sering digunakan untuk meyakinkan keaslian penipuan.
Namun, phishing bukan hanya pencurian data pribadi pengguna internet biasa. Dengan cara ini, penipu semakin berusaha meyakinkan karyawan perusahaan untuk memberi mereka login dan kata sandi untuk jaringan internal perusahaan atau untuk menginstal perangkat lunak berbahaya. Ini akan memberi mereka akses terbuka ke database perusahaan atau organisasi dan mengarah pada pencurian berbagai informasi.
Baca juga: 5 tips sederhana: cara membuat dan mengelola kata sandi
Phishing bertarget yang disebutkan di atas paling sering digunakan untuk tujuan tertentu. Metode ini terdiri dari fakta bahwa penjahat memilih orang tertentu dari staf perusahaan dan memusatkan perhatian mereka padanya, memaksanya untuk bermain di bidangnya. Akuntan, sekretaris, dan karyawan yang memiliki akses ke database berada dalam zona risiko khusus. Penjahat menghabiskan waktu berbulan-bulan untuk mengumpulkan informasi tentang orang ini dan menggunakannya untuk membuat penipuan terlihat sepercaya mungkin. Terkadang scammer bahkan berpura-pura menjadi supervisor atau staf pendukung, memaksa pengguna untuk menginstal malware di PC mereka. Jenis phishing ini lebih sulit untuk diuraikan karena bersifat personal, yang tentunya membuat lebih sulit untuk menemukan penyerangnya.
Baca juga: Edward Snowden: siapa dia dan apa yang diketahui tentang dia?
Semakin banyak organisasi menghadapi masalah ini. Cara terbaik untuk meminimalisir ancaman tersebut adalah dengan tetap melatih dan menginformasikan kepada karyawan agar tidak menjadi korban kejahatan yang canggih. Saat ini, ini adalah metode perlindungan terbaik terhadap phishing, karena program antivirus terkadang dapat mendeteksi lampiran berbahaya dalam pesan email atau memblokir situs web palsu, tetapi mereka tidak melakukannya dalam semua kasus. Akal sehat dan prinsip kepercayaan terbatas adalah senjata terbaik dalam memerangi penipuan.
Bagaimana cara mengenali pesan phishing?
Tidak selalu mudah untuk memprediksi tindakan penipu, tetapi jika kita tidak membiarkan diri kita terburu-buru dan dengan tenang mendekati setiap pesan yang mencurigakan, periksa beberapa elemennya, maka kita memiliki peluang bagus untuk tidak menjadi korban phishing. Di bawah ini adalah beberapa contoh pesan berbahaya. Mereka akan mencantumkan elemen utama serangan phishing yang akan membantu Anda mengenalinya.
Perhatikan pengirim pesan
Dalam kebanyakan kasus, scammers tidak berusaha menyembunyikan alamat dari mana pesan berbahaya itu datang, atau dengan kikuk menyamar sebagai penyedia layanan tepercaya. Contoh yang diberikan dengan jelas menunjukkan bahwa bidang "Dari" tidak berisi alamat dari domain bank, seperti yang diklaim oleh penjahat dunia maya. Sebagai gantinya, Anda dapat menemukan domain *.com.ua atau *.org.ua alih-alih *.ua, yang digunakan oleh lembaga keuangan yang beroperasi di Ukraina. Terkadang penipu lebih licik dan menggunakan alamat yang mirip dengan layanan yang mereka tiru, tetapi berbeda dari aslinya dalam detail kecil, seperti isi surat atau anotasi kepada mereka.
Periksa alamat halaman tertaut
Perhatian khusus harus diberikan dalam pesan email ke alamat halaman yang mereka rujuk. Berlawanan dengan penampilan, Anda tidak perlu mengkliknya untuk melihat ke mana mereka membawa Anda. Cukup arahkan kursor ke tautan dan tunggu browser atau program email Anda menampilkan URL yang tersembunyi di bawah teks. Perhatian khusus harus diberikan pada situs yang tidak terkait dengan layanan yang disediakan.
Gunakan waktumu
Tergesa-gesa tidak pernah menjadi penolong yang baik. Hal yang sama berlaku untuk analisis pesan yang diterima yang masuk ke email kami. Penjahat sering mencoba membuat calon korban terburu-buru dan, tentu saja, untuk memprovokasi kesalahan. Mereka mencoba yang terbaik untuk membatasi jangka waktu promosi atau undian ketika Anda akan menerima hadiah atau hadiah uang tunai Anda.
Dalam beberapa kasus, penipu bahkan mengancam untuk memblokir akun di layanan apa pun. Jangan tertipu oleh ini dan selalu periksa pesan yang mencurigakan secara menyeluruh. Ingatlah bahwa keju gratis hanya dapat ditemukan di perangkap tikus. Selain itu, penyelenggara undian dan promosi tidak mungkin memblokir akun Anda. Mereka membutuhkan pelanggan dan penggemar untuk promosi lain seperti ini.
Meminta data rahasia selalu scam
Prinsip utama keamanan dalam komunikasi elektronik penyedia layanan dan pelanggannya adalah tidak mengirimkan data rahasia dalam korespondensi. Jika Anda diminta memasukkan login dan kata sandi untuk suatu layanan karena akun Anda terkunci atau sejenisnya, Anda dapat yakin bahwa pesan itu dikirim oleh penjahat. Namun, jika Anda memiliki keraguan, harap hubungi penyedia Anda, misalnya penyedia layanan telepon Anda, yang akan mengklarifikasi keraguan yang mungkin Anda miliki. Ingat, baik bank, maupun operator seluler, atau layanan lain tidak berhak memaksa Anda untuk mengirimkan data pribadi kepada mereka.
Baca juga: Mengapa saat ini lebih baik tidak online tanpa VPN
Kesulitan terjemahan
Sebagian besar kampanye phishing disiapkan oleh penjahat asing yang tidak tahu bahasa kita. Mereka menggunakan layanan online untuk menerjemahkan isi email ke dalam bahasa Rusia atau Ukraina, yang seringkali ternyata cukup lucu. Pesan semacam itu bukannya tanpa kesalahan tata bahasa, mereka kekurangan tanda baca dan banyak kata-kata yang ditulis dengan salah. Jika Anda melihat sesuatu seperti ini, jangan ragu untuk menghapus pesan tersebut.
Waspadalah terhadap lampiran
Penjahat juga menggunakan malware untuk mencuri data sensitif atau meretas komputer dan seluruh jaringan. Mekanisme kerjanya sama, dan merupakan upaya untuk meyakinkan korban agar membuka lampiran jahat. Paling sering, mereka disembunyikan di arsip ZIP atau RAR dan dalam bentuk file EXE atau BAT yang dapat dieksekusi. Namun, kode berbahaya juga dapat disembunyikan di makro dokumen program Microsoft Office atau Google Docs, jadi Anda harus memperhatikannya dan memindainya dengan program anti-virus sebelum dijalankan.
Jika Anda memperhatikan elemen-elemen ini saat menganalisis pesan yang mencurigakan, kemungkinan besar Anda tidak akan tertipu oleh penjahat.
Bagaimana cara melindungi diri Anda dari phishing?
Sayangnya, tidak ada alat seperti itu yang akan menjamin perlindungan tingkat tinggi terhadap scammers semacam ini. Untuk menghindari phishing, Anda perlu menggunakan beberapa elemen. Yang paling penting adalah akal sehat dan kepercayaan yang terbatas pada setiap pesan. Ingat, kami berada di garis depan perang melawan penjahat dan itu hanya bergantung pada Anda seberapa efektif Anda dapat melawan mereka.
Program anti-virus juga disarankan, meskipun mereka tidak akan dapat mengetahui apakah email yang dilihat adalah phishing. Tetapi mereka akan dapat memblokir beberapa situs dan lampiran berbahaya. Saya yakin perangkat lunak antivirus pasti akan membantu Anda melindungi komputer dan data pribadi.
Baca juga: 10 program terbaik untuk menyimpan kata sandi
Penting juga untuk menggunakan perangkat lunak terbaru, khususnya sistem operasi, karena kerentanan baru dan masalah keamanan terus-menerus ditemukan oleh pengembang dan dinetralisir. Ingatlah bahwa hanya menggunakan versi OS terbaru yang menjamin pembaruan keamanan tepat waktu.
Ini juga merupakan praktik yang baik untuk menggunakan verifikasi dua langkah identitas pengguna di layanan web. Ini banyak digunakan dalam perbankan elektronik, tetapi tersedia di semakin banyak layanan dan situs web. Verifikasi dua langkah (atau dua komponen) terdiri dari memasukkan kode tambahan selain kata sandi dan login tradisional
Kode login dapat dikirimkan kepada Anda melalui email, SMS, atau dibuat oleh aplikasi yang disediakan oleh penyedia layanan Anda. Ada juga aplikasi pihak ketiga yang memungkinkan Anda menautkan akun dengan banyak situs web dan menghasilkan kode di satu tempat, misalnya, di ponsel cerdas Anda.
Namun, bentuk verifikasi dua langkah yang paling nyaman adalah kunci keamanan fisik U2F, yang menghilangkan kebutuhan untuk menuliskan kata sandi dan kode di buku catatan. Cukup masukkan kunci ke port USB komputer, sehingga menghubungi layanan yang didukung untuk otorisasi.
Phishing adalah ancaman besar karena, menurut beberapa penelitian, bukan hanya alasan banyak pengguna kehilangan uang, tetapi juga alasan utama kebocoran data perusahaan. Namun, seperti yang telah kami tunjukkan dalam artikel ini, dalam banyak kasus niat penjahat dunia maya mudah dikenali dan dicegah.
Baca juga: Google Chrome Seluler dengan steroid: aktifkan 5 fitur tersembunyi