Si të mbroni paratë dhe të dhënat personale në internet

2024 Autor: Malcolm Clapton | [email protected]. E modifikuara e fundit: 2023-12-17 04:10

Sa më mirë të jeni të informuar, aq më e vështirë është t'ju mashtrojë. Këtu keni gjithçka që duhet të dini për phishing me Microsoft.

Gjeni edhe më shumë këshilla se si të mbroheni nga kërcënimet dixhitale.

Çfarë është phishing dhe sa i rrezikshëm është

Phishing është një lloj i zakonshëm i mashtrimit kibernetik, qëllimi i të cilit është kompromisi dhe rrëmbimi i llogarive, vjedhja e informacionit të kartës së kreditit ose çdo informacion tjetër konfidencial.

Më shpesh, kriminelët kibernetikë përdorin e-mail: për shembull, ata dërgojnë letra në emër të një kompanie të njohur, duke joshur përdoruesit në faqen e saj të rreme me pretekstin e një promovimi fitimprurës. Viktima nuk e njeh falsifikimin, fut hyrjen dhe fjalëkalimin nga llogaria e tij, dhe kështu vetë përdoruesi i transferon të dhënat te mashtruesit.

Çdokush mund të vuajë. Email-et e automatizuara të phishing më së shpeshti synohen në një audiencë të gjerë (qindra mijëra apo edhe miliona adresa), por ka edhe sulme që synojnë një objektiv specifik. Më shpesh, këto synime janë menaxherët e lartë ose punonjës të tjerë që kanë akses të privilegjuar në të dhënat e korporatës. Kjo strategji e personalizuar e phishing quhet gjueti balenash, që përkthehet si "kapja e balenave".

Pasojat e sulmeve të phishing mund të jenë shkatërruese. Mashtruesit mund të lexojnë korrespondencën tuaj personale, të dërgojnë mesazhe phishing në rrethin tuaj të kontakteve, të tërheqin para nga llogaritë bankare dhe në përgjithësi të veprojnë në emrin tuaj në një kuptim të gjerë. Nëse drejtoni një biznes, rreziku është edhe më i madh. Phishers janë në gjendje të vjedhin sekretet e korporatës, të shkatërrojnë skedarë të ndjeshëm ose të nxjerrin të dhënat e klientëve tuaj, duke dëmtuar reputacionin e kompanisë.

Sipas Raportit të Trendeve të Aktivitetit të Phishing të Grupit të Punës Anti-Phishing, vetëm në tremujorin e fundit të 2019-ës, ekspertët e sigurisë kibernetike zbuluan më shumë se 162,000 faqe interneti mashtruese dhe 132,000 fushata emaili. Gjatë kësaj kohe, rreth një mijë kompani nga e gjithë bota janë bërë viktima të phishing. Mbetet për t'u parë se sa sulme nuk u zbuluan.

Evolucioni dhe llojet e phishing

Termi "phishing" vjen nga fjala angleze "fishing". Ky lloj mashtrimi i ngjan me të vërtetë peshkimit: sulmuesi hedh karremin në formën e një mesazhi ose lidhjeje të rreme dhe pret që përdoruesit të kafshojnë.

Por në anglisht phishing shkruhet pak më ndryshe: phishing. Digrafi ph përdoret në vend të shkronjës f. Sipas një versioni, kjo është një referencë për fjalën e rremë ("mashtrues", "mashtrues"). Nga ana tjetër - në nënkulturën e hakerëve të hershëm, të cilët quheshin phreakers ("phreakers").

Besohet se termi phishing u përdor për herë të parë publikisht në mesin e viteve 1990 në grupet e lajmeve Usenet. Në atë kohë, mashtruesit filluan sulmet e para të phishing që synonin klientët e ofruesit amerikan të internetit AOL. Sulmuesit dërguan mesazhe duke kërkuar të konfirmonin kredencialet e tyre, duke u paraqitur si punonjës të kompanisë.

Me zhvillimin e internetit, janë shfaqur lloje të reja të sulmeve phishing. Mashtruesit filluan të falsifikojnë faqe interneti të tëra dhe zotëruan kanale dhe shërbime të ndryshme komunikimi. Sot, lloje të tilla të phishing mund të dallohen.

• Email phishing. Mashtruesit regjistrojnë një adresë postare të ngjashme me adresën e një kompanie të njohur ose të një të njohuri të viktimës së përzgjedhur dhe dërgojnë letra prej saj. Në të njëjtën kohë, me emrin e dërguesit, dizajnin dhe përmbajtjen, një letër e rreme mund të jetë pothuajse identike me origjinalin. Vetëm brenda ka një lidhje me një faqe të rreme, bashkëngjitje të infektuara ose një kërkesë të drejtpërdrejtë për të dërguar të dhëna konfidenciale.
• SMS phishing (smishing). Kjo skemë është e ngjashme me atë të mëparshme, por SMS përdoret në vend të emailit. Abonenti merr një mesazh nga një numër i panjohur (zakonisht i shkurtër) me një kërkesë për të dhëna konfidenciale ose me një lidhje në një faqe të rreme. Për shembull, një sulmues mund të prezantohet si bankë dhe të kërkojë kodin e verifikimit që keni marrë më parë. Në fakt, mashtruesit kanë nevojë për kodin për të hakuar llogarinë tuaj bankare.
• Fishing në rrjetet sociale. Me përhapjen e lajmëtarëve të çastit dhe mediave sociale, sulmet e phishing kanë vërshuar edhe këto kanale. Sulmuesit mund t'ju kontaktojnë përmes llogarive të rreme ose të komprometuara të organizatave të njohura ose miqve tuaj. Përndryshe, parimi i sulmit nuk ndryshon nga ato të mëparshme.
• Phishing (vishing) në telefon. Mashtruesit nuk janë të kufizuar në mesazhe me tekst dhe mund t'ju telefonojnë. Më shpesh, telefonia e internetit (VoIP) përdoret për këtë qëllim. Telefonuesi mund të imitojë, për shembull, një punonjës të shërbimit mbështetës të sistemit tuaj të pagesave dhe të kërkojë të dhëna për të hyrë në portofolin - gjoja për verifikim.
• Kërko për phishing. Mund të hasni phishing pikërisht në rezultatet e kërkimit. Mjafton të klikoni në lidhjen që të çon në faqen e rreme dhe të lini të dhëna personale në të.
• Fishing pop-up. Sulmuesit shpesh përdorin pop-ups. Duke vizituar një burim të dyshimtë, mund të shihni një baner që premton disa përfitime - për shembull, zbritje ose produkte falas - në emër të një kompanie të njohur. Duke klikuar në këtë lidhje, do të çoheni në një faqe të kontrolluar nga kriminelët kibernetikë.
• Bujqësia. Nuk lidhet drejtpërdrejt me phishing, por bujqësia është gjithashtu një sulm shumë i zakonshëm. Në këtë rast, sulmuesi mashtron të dhënat DNS duke ridrejtuar automatikisht përdoruesin në vend të faqeve origjinale te ato të rreme. Viktima nuk sheh mesazhe dhe pankarta të dyshimta, gjë që rrit efektivitetin e sulmit.

Phishing vazhdon të zhvillohet. Microsoft foli për teknikat e reja që shërbimi i tij i mbrojtjes së avancuar nga kërcënimet Microsoft 365 anti-phishing zbuloi në 2019. Për shembull, mashtruesit kanë mësuar të maskojnë më mirë materialet me qëllim të keq në rezultatet e kërkimit: lidhjet legjitime shfaqen në krye, të cilat e çojnë përdoruesin në faqet e phishing përmes ridrejtimeve të shumta.

Për më tepër, kriminelët kibernetikë filluan të gjenerojnë automatikisht lidhje phishing dhe kopje të sakta të emaileve në një nivel cilësor të ri, gjë që u lejon atyre të mashtrojnë në mënyrë më efektive përdoruesit dhe të anashkalojnë masat e sigurisë.

Nga ana tjetër, Microsoft ka mësuar të identifikojë dhe bllokojë kërcënimet e reja. Kompania ka përdorur të gjitha njohuritë e saj për sigurinë kibernetike për të krijuar paketën Microsoft 365. Ajo ofron zgjidhjet që ju nevojiten për biznesin tuaj, ndërkohë që siguron që informacioni juaj të mbrohet në mënyrë efektive, duke përfshirë nga phishing. Microsoft 365 Advanced Threat Protection bllokon bashkëngjitjet me qëllim të keq dhe lidhjet potencialisht të dëmshme në email, zbulon ransomware dhe kërcënime të tjera.

Si të mbroheni nga phishing

Përmirësoni njohuritë tuaja teknike. Siç thuhet, ai që është paralajmëruar është i armatosur. Studioni vetë sigurinë e informacionit ose konsultohuni me ekspertë për këshilla. Edhe vetëm të kesh një njohuri solide të bazave të higjienës dixhitale mund t'ju kursejë shumë telashe.

Bej kujdes. Mos ndiqni lidhjet ose hapni bashkëngjitjet në letra nga bashkëbisedues të panjohur. Ju lutemi kontrolloni me kujdes detajet e kontaktit të dërguesve dhe adresat e faqeve që vizitoni. Mos iu përgjigjni kërkesave për informacion personal, edhe kur mesazhi duket i besueshëm. Nëse një përfaqësues i kompanisë ju kërkon informacion, është më mirë të telefononi qendrën e tyre të thirrjeve dhe të raportoni situatën. Mos klikoni në pop-ups.

Përdorni fjalëkalimet me mençuri. Përdorni një fjalëkalim unik dhe të fortë për çdo llogari. Abonohuni në shërbimet që paralajmërojnë përdoruesit nëse fjalëkalimet për llogaritë e tyre shfaqen në ueb dhe ndryshoni menjëherë kodin e hyrjes nëse rezulton se është i komprometuar.

Konfiguro vërtetimin me shumë faktorë. Ky funksion mbron gjithashtu llogarinë, për shembull, duke përdorur fjalëkalime një herë. Në këtë rast, sa herë që hyni në llogarinë tuaj nga një pajisje e re, përveç fjalëkalimit, do t'ju duhet të vendosni një kod me katër ose gjashtë karaktere të dërguar me SMS ose të krijuar në një aplikacion të veçantë. Mund të mos duket shumë e përshtatshme, por kjo qasje do t'ju mbrojë nga 99% e sulmeve të zakonshme. Në fund të fundit, nëse mashtruesit vjedhin fjalëkalimin, ata ende nuk do të jenë në gjendje të hyjnë pa një kod verifikimi.

Përdorni pajisje identifikimi pa fjalëkalim. Në këto shërbime, kur është e mundur, duhet të braktisni plotësisht përdorimin e fjalëkalimeve, duke i zëvendësuar ato me çelësa sigurie harduerike ose vërtetim nëpërmjet një aplikacioni në një smartphone.

Përdorni softuer antivirus. Antivirusi i përditësuar pjesërisht do të ndihmojë në mbrojtjen e kompjuterit tuaj nga programet keqdashëse që ridrejtojnë në sajtet e phishing ose vjedhin hyrje dhe fjalëkalime. Por mbani mend se mbrojtja juaj kryesore është ende respektimi i rregullave të higjienës dixhitale dhe respektimi i rekomandimeve të sigurisë kibernetike.

Nëse drejtoni një biznes

Këshillat e mëposhtme do të jenë gjithashtu të dobishme për pronarët e bizneseve dhe drejtuesit e kompanive.

Trajnoni punonjësit. Shpjegojuni vartësve se cilat mesazhe duhet të shmangin dhe çfarë informacioni nuk duhet të dërgohen përmes postës elektronike dhe kanaleve të tjera të komunikimit. Ndaloni punonjësit të përdorin postën e korporatës për qëllime personale. Udhëzojini ata se si të punojnë me fjalëkalime. Vlen gjithashtu të merret parasysh një politikë e ruajtjes së mesazheve: për shembull, për qëllime sigurie, mund të fshini mesazhe më të vjetra se një periudhë e caktuar.

Kryeni sulme phishing trajnimi. Nëse doni të testoni reagimin e punonjësve tuaj ndaj phishing, provoni të falsifikoni një sulm. Për shembull, regjistroni një adresë postare të ngjashme me tuajën dhe dërgoni letra prej saj vartësve duke u kërkuar atyre t'ju japin të dhëna konfidenciale.

Zgjidhni një shërbim postar të besueshëm. Ofruesit e postës elektronike falas janë shumë të prekshëm ndaj komunikimeve të biznesit. Kompanitë duhet të zgjedhin vetëm shërbime të sigurta korporative. Për shembull, përdoruesit e shërbimit të postës Microsoft Exchange, i cili është pjesë e paketës së Microsoft 365, kanë mbrojtje të plotë kundër phishing dhe kërcënimeve të tjera. Për të luftuar mashtruesit, Microsoft analizon qindra miliarda emaile çdo muaj.

Punësoni një ekspert të sigurisë kibernetike. Nëse buxheti juaj ju lejon, gjeni një profesionist të kualifikuar i cili do të sigurojë mbrojtje të vazhdueshme kundër phishing dhe kërcënimeve të tjera kibernetike.

Çfarë duhet të bëni nëse jeni viktimë e phishing

Nëse ka arsye për të besuar se të dhënat tuaja kanë rënë në duar të gabuara, veproni menjëherë. Kontrolloni pajisjet tuaja për viruse dhe ndryshoni fjalëkalimet e llogarisë. Informoni stafin e bankës se të dhënat tuaja të pagesës mund të jenë vjedhur. Nëse është e nevojshme, informoni klientët për rrjedhjen e mundshme.

Për të parandaluar përsëritjen e situatave të tilla, zgjidhni shërbime bashkëpunimi të besueshme dhe moderne. Produktet me mekanizma mbrojtës të integruar janë më të përshtatshmet: do të funksionojë sa më lehtë që të jetë e mundur dhe nuk do t'ju duhet të rrezikoni sigurinë dixhitale.

Për shembull, Microsoft 365 përfshin një sërë veçorish inteligjente të sigurisë, duke përfshirë mbrojtjen e llogarive dhe hyrjet nga kompromisi me një model të integruar të vlerësimit të rrezikut, vërtetim pa fjalëkalim ose me shumë faktorë që nuk kërkon licenca shtesë.

Përveç kësaj, shërbimi ofron kontroll dinamik të aksesit me vlerësimin e rrezikut dhe duke marrë parasysh një gamë të gjerë kushtesh. Gjithashtu, Microsoft 365 përmban automatizimin e integruar dhe analitikën e të dhënave, dhe gjithashtu ju lejon të kontrolloni pajisjet dhe të mbroni informacionin nga rrjedhjet.