Hur man undviker phishing-bedrägerier

"Hej, vill du tjäna lite pengar? Så här gör vi. Du skriver ett trojansk hästprogram som går förbi antivirusprogram och stjäl bankkontoinloggningar. Jag får det distribuerat till tusentals datorer och vi delar upp ta. Vad? Du kodar inte? Hmm, det gör jag inte heller. Jag vet! Vi kan bara bygga några nätfiskewebbplatser och få ammar för att bara ge oss sina lösenord!"

Variationer på denna konversation sker varje dag. Att skriva skadlig kod är svårt. Att skriva ett skadligt program som kan överleva i en antivirusfylld miljö är svårare. I stället för att försöka lura operativsystemet och dess säkerhetsläge vänder artister med snabba pengar till att lura användaren med phishing-bedrägerier, vilket är mycket, mycket lättare.

Hur phishing-bedrägerier fungerar

Nyckeln till att köra en phishing-bedrägeri är att skapa en kopia av en säker webbplats som är tillräckligt bra för att lura de flesta. Med de klassiskaste förfalskningarna går varje länk till den verkliga webbplatsen. Tja, varje länk utom den som skickar in ditt användarnamn och lösenord till gärningsmännen. Som isläggning på kakan kan bedrägerierna försöka skapa en URL som ser åtminstone lite legitim ut. I stället för paypal.com, kanske pyapal.com eller paypal.security.reset.com.

Men inte varje nätfiske är bra gjort. Vissa använder fel färger eller på annat sätt matchar inte den sida de imiterar. Andra har helt övertygande webbadresser, saker som admin.dentistry.com/forms eller X8el87.journal.com. Även dessa luta bedrägerier kan uppenbarligen få några suckers, tycks annars, eller bedrägerna skulle ge upp.

När du anger ditt användarnamn och lösenord på en bedräglig webbplats får bedrägerierna full tillgång till ditt konto. För att förhindra att du inser att du har blivit lurad kan de kanske överlämna referenser till den riktiga webbplatsen, så det ser ut som om du loggade in normalt. Din enda ledtråd kan komma när du upptäcker att ditt bankkonto är tomt eller att du inte kan logga in på din e-post och dina vänner säger att de får skräppost från dig. Så hur rustar du dig mot den här typen av attack?

Eliminera det uppenbara

Vissa falska webbplatser är alldeles för dåligt implementerade för att övertyga alla som är uppmärksamma. Om du länkar till en webbplats och det bara ser ut som skräp, tryck på Ctrl + F5 för att ladda om sidan helt, i händelse av att det dåliga utseendet var ett lust. Men om det fortfarande inte ser bra ut, håll dig borta.

Kolla in sidan ovan. Formateringen är konstig och bilden till höger om e-postadressrutan är defekt. Uppenbarligen tycker någon någonstans att den här sidan kommer att lura användare av OurTime, en datingsida för över 50 personer. Hur de skulle tjäna pengar på de stulna kontona har jag ingen aning om, men denna varningssida misslyckas med att övertyga.

När du skapar en phishing-sida är verisimilitude viktigt. Att använda en gratis webbhotelltjänst som lämnar dess banner på din sida är en typ av giveaway. Trots det, varje gång jag kör ett phishing-skyddstest, stöter jag på en handfull icke-jämnförsök som denna.

Kontrollera adressen

Moderna webbläsare flyttar sig bort från ett stort fokus på adressfältet. Nu är det åtminstone sök-plus-adressfältet. Men adressfältet är en oerhört viktig resurs när du ögonbollar en sida för att bekräfta att den är legitim. De bästa phish-sniffarna kan upptäcka en off-kilter URL ur hörnet av ett öga, utan att ens tänka på det.

Se upp för försök att dölja den faktiska domändelen av webbadressen. Det är den del som omedelbart föregick den slutliga.com,.net,.co.uk, och så vidare. Allt som kommer före domänen är bara ett underdomän. Om URL fakery.paypal.com fanns skulle det vara ett underdomän till paypal.com. Om du istället ser paypal.fakery.com, det är rent fejd!

Phishing-attacker på Dropbox-konton eller andra online-lagringskonton har inte det garanterade värdet som tjuvar får från att fånga bankinloggningar. Omvänt tillämpar människor inte nödvändigtvis samma vaksamhetsnivå på dessa konton. Allt kan dyka upp i online-lagring, från en lista med Girl Scout-cookieorder till hemliga planer för nästa tekniska genombrott. Men titta på adressfältet i bilden ovan. När du loggar in på ditt eget Dropbox-konto ser du säkert inte orden "behöver kontant pengar" i URL: n!

Du kanske har hört talas om Sberbank i diskussioner om Trump-organisationens ryska bankförbindelser, eller som ett offer för ATM-hacking. Men du är förmodligen inte en kund, så en phishing-sida i Sberbank är inte en verklig oro. Men för våra ryska vänner, det faktum att den faktiska domänen för URL i adressfältet är "kaffe" borde säkert vara en giveaway.

Leta efter låset

Kommunikationssystemet HyperText Transfer Protocol (HTTP) som används för grundläggande internetkommunikation är en övergång från början av världen. Det är inte säkert, för ingen kunde föreställa sig att andra gjorde dåliga saker på det framväxande internet. De dåliga människorna är här, och det enda förnuftiga sättet att ansluta är att använda det säkra HTTPS-protokollet. Webbläsare visar en låsikon för HTTPS-sidor. Chrome tar ett steg längre och markerar aktivt HTTP-webbplatser "Inte säker." Du bör aldrig logga in på någon webbplats som inte använder

"Men vänta, " kanske du argumenterar, "hur är det med en legitim webbplats som bara inte har kommit till att bli säker?" Tyvärr, jag köper inte det. I denna ålder av HTTPS Everywhere finns det ingen ursäkt. En webbplats som vill att du ska logga in utan att använda HTTPS, även om det inte är något bedrägeri, är helt enkelt inte legitimt.

Båda sidorna i bilden ovan vill att du loggar in med dina PayPal-referenser. Båda är bedrägerier. Men den i bakgrunden är mer ondskapsfull. Ja, domänen är "jljq", vilket är tillräckligt misstänkt. Men bristen på ett lås låter dig veta att det bara inte kan vara legitimt.

Det finns en annan ledtråd här för de visuellt orienterade. Titta på färgen på den stora inloggningsknappen; det är inte detsamma på de två sidorna. Förgrundssidan matchar färgen från den faktiska PayPal-webbplatsen; bakgrunden gör man inte.

Ibland kan du bara inte berätta genom att titta. Commonwealth Banks webbplats kallar sitt nätbank för Netbank. Den säkra sidan på netbank.com som visas ovan ser legitim ut. Om du inte är säker kan en snabb titt på whois-data för domänen hjälpa ditt beslut. Jag tror att vi kan komma överens, det är mycket osannolikt att själva Commonwealth Banks webbplats skulle parkera sin värd hos CrazyDomains.com.

Tänk på källan

Du har hört det en miljon gånger. Klicka inte på länkar i e-postmeddelanden från personer du inte känner. Klicka inte på länkar i meddelanden från personer du känner, eftersom de kan ha hackats. Det här är bra råd! Om du klickar på en slumpmässig länk kan du ta dig till en webbplats som är värd för skadlig programvara eller till ett bedrägeri. När länken tar dig till en inloggningssida är det särskilt viktigt att ta hänsyn till källan.

Det kan tänkas att du kan få ett e-postmeddelande från din bank, även om många banker undviker den formen för kommunikation. Om du klickade på en länk på en oberoende webbplats och likviderade vid inloggningen för Bank of Karabraxos, är chansen mycket bra att det är en falsk.

Men vad händer om din bank, IRS eller PayPal verkligen försöker få tag på dig om ett problem med ditt konto? Lösningen är enkel - hoppa över länken och logga in på tjänsten direkt, som du normalt skulle göra.

Få hjälp att bekämpa phishing

Att överlista bedrägerierna och upptäcka sina vackraste vänner ger dig en bra känsla, säkert. Men du kanske inte är så skarp i morgon, så det lönar sig att få hjälp i kampen mot phishing-bedrägerier. Moderna webbläsare har skydd mot bedrägliga webbplatser inbyggda och de gör ett anständigt jobb. De flesta antivirusprodukter och säkerhetssvitprodukter ger sitt eget skydd mot nätfiske det bästa av dessa tjänar poäng så högt som 100 procent skydd i våra tester.

Att använda en lösenordshanterare hjälper dig också att hålla dig borta från bedrägerier. Med de flesta sådana produkter kan du besöka en säker webbplats och logga in med ett enda klick. Och om du på något sätt lyckas nå en bedräglig webbplats är det faktum att din lösenordshanterare inte fyller i de sparade inloggningsuppgifterna en stor röd flagga.

• Hur man undviker Scareware Hur man undviker Scareware
• 7 tecken du har skadlig programvara och hur du kan bli av med det 7 tecken du har skadlig programvara och hur du kan bli av med det
• Enkla trick att komma ihåg Sinnligt säkra lösenord Enkla trick att komma ihåg Sinnligt säkra lösenord
• 12 enkla saker du kan göra för att vara säkrare online 12 enkla saker du kan göra för att vara säkrare online

De savviest netizens använder ett virtuellt privat nätverk, eller VPN för sina online-aktiviteter. Att använda en VPN skyddar dina data under transporten eftersom uppgifterna reser i krypterad form till VPN-servern. Det erbjuder också ett visst skydd mot cyber-stalking, eftersom din trafik verkar komma från VPN-servern, inte från din lokala IP-adress. Men att dirigera webbtrafik via ett VPN hjälper inte alls mot phishing. När du ger dina uppgifter till ägarna till en phishing-webbplats spelar det ingen roll hur de kom dit. Phishing-attacker riktar dig , inte dina enheter eller kommunikationssystem.

Phishing är vanligare än du kanske inser. För att få bilderna för den här artikeln tog jag bara de senaste fem eller sex dussin verifierade bedrägerierna från en populär phish-spårningswebbplats och arbetade igenom dem och letade efter bra exempel. Ja, falska sidor svartlistas snabbt, men svindlarna stänger bara av och dyker upp med en ny bedrägerisida.

Skydda dig från phishing

För att undvika förlägenhet med att ge bort dina känsliga uppgifter till ett bedrägeri, använd tillgängliga resurser som lösenordshanterare och phishing-detekteringssystem i ditt antivirusprogram. Men håll dina egna ögon öppna för att upptäcka eventuella bedrägerier som kommer igenom. Om en sida kommer från en misstänkt länk, om det inte finns något HTTPS-lås i adressfältet, om det ser fel ut på något sätt, rör inte vid det! Din vaksamhet kommer att betala sig.