“ Gratulujem^{(Congratulations)} ! Vyhrali ste n miliónov dolárov^(Dollars) . Pošlite nám svoje bankové údaje.” Ak ste na internete^(Internet) , možno ste takéto e-maily videli vo svojej doručenej pošte alebo nevyžiadanej poštovej schránke. Takéto e-maily sa nazývajú phishing: počítačová kriminalita, pri ktorej zločinci používajú počítačovú technológiu na kradnutie údajov obetiam, ktorými môžu byť jednotlivci alebo firmy. Tento podvodný hárok^{(Phishing cheat sheet)} na phishing je pokusom poskytnúť vám maximálne vedomosti o tomto kyberzločine, aby ste sa nestali obeťou trestného činu. Diskutujeme aj o typoch phishingu^{(types of Phishing)} .

čo je phishing?

Phishing je počítačová kriminalita, pri ktorej zločinci lákajú obete s úmyslom ukradnúť ich údaje pomocou falošných e-mailov a textových správ. Predovšetkým sa to deje prostredníctvom hromadných e-mailových kampaní. Používajú dočasné e-mailové ID^(IDs) a dočasné servery, takže pre orgány je ťažké ich získať. Majú všeobecnú šablónu, ktorá sa posiela státisícom príjemcov, aby sa aspoň zopár dalo oklamať. Zistite , ako identifikovať phishingové útoky^{(how to identify phishing attacks)} .

Prečo sa to nazýva phishing?

Vieš o rybolove. Pri skutočnom rybolove rybár nastavuje návnadu tak, aby mohol chytiť rybu, keď je ryba prichytená na udicu. Aj na internete^(Internet) používajú návnadu vo forme správy, ktorá môže byť presvedčivá a pôsobí autenticky. Keďže zločinci používajú návnadu, nazýva sa to phishing. Je to skratka pre rybolov hesiel, ktorý sa teraz označuje ako phishing.

Návnadou môže byť prísľub peňazí alebo akéhokoľvek tovaru, ktorý by mohol prinútiť akéhokoľvek koncového užívateľa kliknúť na návnadu. Niekedy je návnada iná (napríklad hrozba alebo naliehavosť) a vyžaduje akciu, ako je kliknutie na odkazy, ktoré hovorí, že musíte znova autorizovať svoj účet na Amazon , Apple alebo PayPal .

Ako vysloviť phishing?

Vyslovuje sa ako PH-ISHING. „PH“ ako pri rybolove^(F) .

Ako časté je phishing?

Phishingové útoky sú bežnejšie ako malvér. To znamená, že čoraz viac počítačových zločincov sa zaoberá phishingom v porovnaní s tými, ktorí šíria malvér pomocou e-mailov, falošných webových stránok alebo falošných reklám na skutočných webových stránkach.

V súčasnosti sa phishingové súpravy predávajú online, takže si ich môže kúpiť prakticky každý, kto má nejaké znalosti o sieťach, a použiť ich na nelegálne úlohy. Tieto phishingové súpravy poskytujú všetko od klonovania webovej stránky až po zostavenie pôsobivého e-mailu alebo textu.

Typy phishingu

Existuje mnoho druhov phishingu. Niektoré z populárnych sú:

1. Bežné^(General) e-maily, ktoré od vás žiadajú vaše osobné údaje, sú najpoužívanejšou formou phishingu
2. Spear phishing
3. Veľrybárske podvody
4. Smishing (SMS phishing) a Vishing
5. QRishing podvody
6. Tabnabbing

1] Všeobecné phishing

Vo svojej najzákladnejšej forme phishingu narazíte na e-maily a texty, ktoré vás pred niečím upozorňujú, pričom vás žiadajú kliknúť na odkaz. V niektorých prípadoch vás požiadajú, aby ste otvorili prílohu v e-maile, ktorý vám poslali.

V predmete e-mailu vás počítačoví zločinci lákajú na otvorenie e-mailu alebo textu. Niekedy je predmetom, že jeden z vašich online účtov potrebuje aktualizáciu a znie to naliehavo.

V tele e-mailu alebo textovej správy sú nejaké presvedčivé informácie, ktoré sú falošné, ale vierohodné a končia výzvou na akciu: požiadaním vás, aby ste klikli na odkaz, ktorý poskytujú v e-maile alebo texte na neoprávnené získavanie údajov. Textové^(Text) správy sú nebezpečnejšie, pretože používajú skrátené adresy URL^(URLs) , ktorých cieľovú adresu alebo úplný odkaz nemožno skontrolovať bez kliknutia na ne pri čítaní v telefóne. Všade môže byť akákoľvek aplikácia, ktorá môže pomôcť pri kontrole úplnej adresy URL^(URL) , ale zatiaľ o žiadnej neviem.

2] Spear phishing

Týka sa cieleného phishingu, ktorého cieľom sú zamestnanci obchodných domov. Kyberzločinci získajú svoje pracovné ID^(IDs) a posielajú falošné phishingové e-maily na tieto adresy. Objavuje sa ako e-mail od niekoho, kto je na vrchole podnikového rebríčka, čo spôsobuje, že sa dosť ponáhľa, aby sme mu odpovedali... a tým pomáha kyberzločincom preniknúť do siete obchodného domu. Prečítajte si všetko o spear phishing tu. Odkaz tiež obsahuje niekoľko príkladov spear phishingu.

3] Lov veľrýb

Lov veľrýb^(Whaling) je podobný spear phishingu. Jediný rozdiel medzi Whalingom^(Whaling) a Spear phishingom je ten, že spear-phishing sa môže zamerať na akéhokoľvek zamestnanca, zatiaľ čo lov veľrýb sa používa na zameranie sa na určitých privilegovaných zamestnancov. Metóda je rovnaká. Kyberzločinci získajú oficiálne e-mailové ID^(IDs) a telefónne čísla obetí a pošlú im presvedčivý e-mail alebo textovú správu, ktorá zahŕňa výzvu na akciu, ktorá môže otvoriť podnikový intranet^{(corporate intranet)} a poskytnúť zadné vrátka. Prečítajte si viac o phishingových útokoch na lov veľrýb^{(Whaling phishing attacks)} .

4] Smishing a Vishing

Keď kyberzločinci používajú službu krátkych správ ( SMS ) na získanie osobných údajov obetí, nazýva sa to SMS phishing alebo skrátene Smishing. Prečítajte si o podrobnostiach Smishing a Vishing .

5] QRishing podvody

QR kódy nie sú nové. Keď sa predpokladá, že informácie budú krátke a tajné, najlepšie sa implementujú QR kódy. QR kódy ste možno videli na rôznych platobných bránach, bankových reklamách alebo jednoducho na webe WhatsApp^{(WhatsApp Web)} . Tieto kódy obsahujú informácie vo forme štvorca s čiernou farbou. Keďže nie je známe, aké všetky informácie poskytuje QR kód, je vždy najlepšie držať sa ďalej od neznámych zdrojov kódov. To znamená, že ak dostanete QR kód v e-maile alebo texte od subjektu, ktorý nepoznáte, neskenujte ho. Prečítajte si viac o podvodoch QRishing na smartfónoch.

6] Tabnabbing

Tabnabbing zmení legitímnu stránku, ktorú ste navštívili, na podvodnú stránku, keď navštívite inú kartu. Povedzme:

1. Prejdete na skutočnú webovú stránku.
2. Otvoríte ďalšiu kartu a prehliadate inú stránku.
3. Po chvíli sa vrátite na prvú kartu.
4. Uvítajú vás nové prihlasovacie údaje, možno do vášho účtu Gmail .
5. Znova sa prihlásite bez podozrenia, že stránka vrátane favicon sa skutočne zmenila za vaším chrbtom!

Toto je Tabnabbing , tiež nazývaný Tabjacking .

Existujú aj iné typy phishingu, ktoré sa v súčasnosti príliš nepoužívajú. V tomto príspevku som ich nemenoval. Metódy používané na phishing neustále pridávajú do zločinu nové techniky. Ak máte záujem, spoznajte rôzne druhy počítačovej kriminality .

Identifikácia phishingových e-mailov a textových správ

Aj keď kyberzločinci prijímajú všetky opatrenia, aby vás prinútili kliknúť na ich nelegálne odkazy, aby mohli ukradnúť vaše údaje, existuje niekoľko ukazovateľov, ktoré oznamujú, že e-mail je falošný.

Vo väčšine prípadov používajú phishingoví ľudia meno, ktoré je vám známe. Môže to byť názov akejkoľvek etablovanej banky alebo akéhokoľvek iného podnikového domu, ako je Amazon , Apple , eBay atď. Vyhľadajte e-mailové ID.

Zločinci využívajúci neoprávnené získavanie údajov nepoužívajú trvalé e-maily, ako sú Hotmail , Outlook a Gmail atď. populárnych poskytovateľov e-mailového hostingu. Používajú dočasné e-mailové servery, takže čokoľvek z neznámeho zdroja je podozrivé. V niektorých prípadoch sa počítačoví zločinci pokúšajú sfalšovať e-mailové ID^(IDs) použitím obchodného mena – napríklad [email protected] E-mailové ID obsahuje názov Amazon , no ak sa pozriete bližšie, nepochádza zo serverov Amazonu^(Amazon) , ale z nejakého falošného e-mailu. server .com.

Ak teda e-mail z http://axisbank.com pochádza z e-mailového ID, ktoré hovorí [email protected] , musíte byť opatrní. Hľadajte aj pravopisné chyby. V príklade Axis Bank , ak e-mailové ID pochádza z axsbank.com, ide o phishingový e-mail.

PhishTank vám pomôže overiť alebo nahlásiť phishingové webové stránky

Preventívne opatrenia proti phishingu

Vyššie uvedená časť hovorila o identifikácii phishingových e-mailov a textov. Základom všetkých opatrení je potreba kontrolovať pôvod e-mailu namiesto jednoduchého klikania na odkazy v e-maile. Nikomu neprezrádzajte svoje heslá a bezpečnostné otázky. Pozrite sa na ID e-mailu, z ktorého bol e-mail odoslaný.

Ak ide o textovú správu od priateľa, možno budete chcieť potvrdiť, či ju skutočne poslal on alebo ona. Môžete mu zavolať a opýtať sa ho, či poslal správu s odkazom.

Nikdy neklikajte na odkazy v e-mailoch zo zdrojov, ktoré nepoznáte. Dokonca aj v prípade e-mailov, ktoré sa zdajú byť pravé, predpokladajme, že z Amazonu^(Amazon) , neklikajte na odkaz^{(do not click on the lin)} . Namiesto toho otvorte prehliadač a zadajte adresu URL ^(URL)Amazonu^(Amazon) . Odtiaľ môžete skontrolovať, či skutočne potrebujete subjektu odoslať nejaké podrobnosti.

Niektoré odkazy hovoria, že musíte overiť svoju registráciu. Zistite, či ste sa nedávno prihlásili do nejakej služby. Ak si nepamätáte, zabudnite na e-mailový odkaz.

Čo ak som klikol na phishingový odkaz?

Okamžite zatvorte prehliadač. Nedotýkajte sa ani nezadávajte žiadne informácie v prípade, že nemôžete zatvoriť prehliadač, ako je to v predvolenom prehliadači niektorých smartfónov. Ručne zatvorte každú kartu takýchto prehliadačov. Nezabudnite^(Remember) sa neprihlasovať do žiadnej zo svojich aplikácií, kým nespustíte kontrolu pomocou BitDefender alebo Malwarebytes . Existujú aj platené aplikácie, ktoré môžete použiť.

To isté platí pre počítače. Ak kliknete na odkaz, spustí sa prehliadač a objaví sa nejaký druh duplicitnej webovej stránky. Nikde sa nedotýkajte prehliadača. Stačí^(Just) kliknúť na tlačidlo zavrieť prehliadač alebo použiť Správcu úloh systému Windows^{(Windows Task Manager)} na zatvorenie. Pred použitím iných aplikácií v počítači spustite antimalvérovú kontrolu.

Prečítajte si^(Read) : Kde nahlásiť webové stránky s online podvodmi, spamom a neoprávneným získavaním údajov ?

Prosím, komentujte a dajte nám vedieť, či som niečo vynechal v tomto phishingovom cheat sheete.^{(Please comment and let us know if I left out anything in this phishing cheat sheet.)}

Types of Phishing - Cheat Sheet and Things you need to know

“Congratulations! You have won n million Dollars. Send us your bank details.” If you are on Internet, you might have seen sυch emails in your inbox or junk mailbox. Such emails are called phishing: a cybеr-crime whеrein criminals use computer tеchnology to steal data from victims that can be individuals or corporate business houses. This Phishing cheat sheet is an attempt to provide you with max knowledge about this cyber-crime so that you don’t become a victim of the crime. We also discuss the types of Phishing.

What is phishing?

Phishing is a cybercrime where criminals lure victims, with an intention to steal victim’s data, using fake emails and text messages. Mainly, it is done by mass email campaigns. They use temporary email IDs and temporary servers, so it becomes hard for authorities to nab them. They have a general template that is sent to hundreds of thousands of recipients so that at least a few can be tricked. Learn how to identify phishing attacks.

Why is it called phishing?

You know about fishing. In real life fishing, the fisherman sets a bait so that he can catch fish when the latter are hooked to the fishing rod. On the Internet too, they use bait in the form of a message that can be convincing and appears genuine. Since the criminals use a bait, it is called phishing. It stands for password fishing which is now referred to as phishing.

The bait could be a promise of money or any goods that could compel any end-user to click on the bait. Sometimes, the bait is different (for example, threat or urgency) and calls for action like clicking links saying you have to re-authorize your account at Amazon, Apple, or PayPal.

How to pronounce phishing?

It is pronounced as PH-ISHING. ‘PH’as in Fishing.

How common is phishing?

Phishing attacks are more common than malware. This is to say that more and more cybercriminals are engaged in phishing compared to those who spread malware using emails, fake websites, or fake advertisements on genuine websites.

These days, phishing kits are sold online so practically anyone with some knowledge of networks can buy them and use them for illegal tasks. These phishing kits provide everything from cloning a website to compiling a compelling email or text.

Types of phishing

There are many types of phishing. Some of the popular ones are:

1. General regular emails asking you your personal details are the most used form of phishing
2. Spear phishing
3. Whaling scams
4. Smishing (SMS phishing) and Vishing
5. QRishing scams
6. Tabnabbing

1] General Phishing

In its most basic form of phishing, you encounter emails and texts cautioning you about something while asking you to click a link. In some cases, they ask you to open the attachment in the email they sent to you.

In the email subject line, the cybercriminals lure you into opening the email or text. Sometimes, the subject line is that one of your online accounts needs updating and sounds urgent.

In the body of the email or text, there is some compelling information that is fake but believable and then ends with a call to action: asking you to click on the link they provide in the phishing email or text. Text messages are more dangerous because they use shortened URLs whose destination or full link can’t be checked without clicking on them when you read them on the phone. There may be any app anywhere that may help with checking out the full URL but there’s none I am aware of yet.

2] Spear phishing

Refers to targeted phishing where the targets are employees of business houses. The cybercriminals get their workplace IDs and send the fake phishing emails to those addresses. It appears as an email from someone top on the corporate ladder, creating enough hurry to reply to them… thereby helping the cybercriminals with breaking into the network of the business house. Read all about spear phishing here. The link also contains some examples of spear phishing.

3] Whaling

Whaling is similar to spear phishing. The only difference between Whaling and Spear phishing is that spear-phishing can target any employee, while whaling is used to target certain privileged employees. The method is the same. The cybercriminals get the official email IDs and phone numbers of the victims and send them a compelling email or text that involves some call for action that might open the corporate intranet to give the back-door access. Read more about Whaling phishing attacks.

4] Smishing and Vishing

When cybercriminals use short messaging service (SMS) to fish out personal details of victims, it is known as SMS phishing or Smishing for short. Read about Smishing and Vishing details.

5] QRishing scams

QR codes are not new. When information is supposed to be kept short and secret, QR codes are the best to implement. You may have seen QR codes on different payment gateways, bank adverts, or simply on WhatsApp Web. These codes contain information in the form of a square with black scattered all over it. Since it is not known what all information a QR code provides, it is always best to stay away from unknown sources of the codes. That is to say that if you receive a QR code in an email or text from an entity that you do not know, don’t scan them. Read more about QRishing scams on smartphones.

6] Tabnabbing

Tabnabbing changes a legitimate page you were visiting, to a fraudulent page, once you visit another tab. Let’s say:

1. You navigate to a genuine website.
2. You open another tab and browse the other site.
3. After a while, you come back to the first tab.
4. You are greeted with fresh login details, maybe to your Gmail account.
5. You login again, not suspecting that the page, including the favicon, has actually changed behind your back!

This is Tabnabbing, also called Tabjacking.

There are some other types of phishing that are not used much nowadays. I have not named them in this post. The methods used for phishing keep on adding new techniques to the crime. Know the different types of cybercrimes if interested.

Identifying phishing emails and texts

While the cybercriminals take all measures to trick you into clicking their illegal links so that they can steal your data, there are a few pointers that give out a message that the email is fake.

In most cases, the phishing guys use a name familiar to you. It can be the name of any established bank or any other corporate house such as Amazon, Apple, eBay, etc. Look for the email ID.

Phishing criminals do not use permanent email like Hotmail, Outlook, and Gmail, etc. popular email hosting providers. They use temporary email servers, so anything from an unknown source is suspicious. In some cases, the cybercriminals try to spoof email IDs by using a business name—for example, [email protected] The email ID contains the name of Amazon, but if you look closer, it is not from Amazon’s servers but some fakeemail.com server.

So, if a mail from http://axisbank.com comes from an email ID that says [email protected], you need to exercise caution. Also, look for spelling errors. In the Axis Bank example, if the email ID comes from axsbank.com, it is a phishing email.

PhishTank will help you verify or report Phishing websites

Precautions for phishing

The above section talked about identifying phishing emails and texts. At the base of all precautions is the need to check the origin of email instead of simply clicking on the links in the email. Do not give out your passwords and security questions to anyone. Look at the email ID from which the email was sent.

If it is a text from a friend, you know, you might want to confirm if he or she had sent it really. You could call him and ask him if he sent a message with a link.

Never click on links in emails from sources you do not know. Even for emails that appear genuine, suppose from Amazon, do not click on the link. Instead, open a browser and type out the URL of Amazon. From there, you can check if you actually need to send any details to the entity.

Some links come in saying you have to verify your sign up. See if you signed up for any service recently. If you cannot remember, forget the email link.

What if I clicked on a phishing link?

Close the browser immediately. Do not touch or enter any information in case of not being able to close the browser, like in some smartphones’ default browser. Manually close each tab of such browsers. Remember not to log in to any of your apps until you run a scan using BitDefender or Malwarebytes. There are some paid apps too that you can use.

The same goes for computers. If you clicked a link, the browser would be launched, and some sort of duplicate website would appear. Don’t tap or touch anywhere on the browser. Just click on the close browser button or use the Windows Task Manager to close the same. Run an antimalware scan before using other applications on the computer.

Read: Where to report Online Scams, Spam and Phishing websites?

Please comment and let us know if I left out anything in this phishing cheat sheet.

Related posts

• Ako sa vyhnúť phishingovým podvodom a útokom?

• Čo sú to veľrybárske podvody a ako chrániť svoj podnik

• Čo je phishing a ako identifikovať phishingové útoky?

• Čo sú to parkované domény a sinkhole domény?

• Vyhnite sa podvodom pri nakupovaní online a podvodom v období sviatkov

• Čo je Spear Phishing? Vysvetlenie, Príklady, Ochrana

• Asistent Google nefunguje? 13 vecí, ktoré môžete vyskúšať

• iPhone sa zahrieva? 8 opráv na schladenie vecí

• SMS Zapier: 5 skvelých vecí, ktoré môžete urobiť

• Apple Pay nefunguje? 15 vecí, ktoré môžete vyskúšať

• Phishing, podvody, podvody a schémy súvisiace s koronavírusom COVID-19

• Najlepší bezplatný softvér Anti Cheat pre hry Windows

• Vizuálne vyhľadávanie Bing: 10 skvelých vecí, ktoré s ním môžete robiť

• 5 zábavných a bláznivých vecí, ktoré môžete robiť s klientom Telnet

• Widgety Windows 11 nefungujú? 7 vecí, ktoré môžete vyskúšať

• Nefunguje hotspot Android? 10 vecí, ktoré môžete vyskúšať

• Internet vecí (IoT) – často kladené otázky (FAQ)

• Microsoft Excel namiesto súboru otvorí prázdny hárok

• Nefunguje baterka na vašom iPade Pro? 9 vecí, ktoré môžete vyskúšať

• Bezdrôtová myš nefunguje? 17 vecí, ktoré je potrebné skontrolovať