“ Честитам^{(Congratulations)} ! Освојили сте н милиона долара^(Dollars) . Пошаљите нам своје банковне податке.” Ако сте на Интернету^(Internet) , можда сте видели такве е-поруке у пријемном сандучету или нежељеном сандучету. Такве е-поруке се називају пхисхинг: сајбер криминал у којем криминалци користе компјутерску технологију да украду податке од жртава које могу бити појединци или пословне куће. Ова пхисхинг варалица^{(Phishing cheat sheet)} је покушај да вам пружи максимално знање о овом сајбер криминалу како не бисте постали жртва злочина. Такође разговарамо о врстама пхисхинг-а^{(types of Phishing)} .

Шта је пхисхинг?

Пхисхинг је сајбер злочин у којем криминалци намамљују жртве, са намером да украду податке жртве, користећи лажне е-поруке и текстуалне поруке. Углавном, то се ради масовним емаил кампањама. Они користе привремене ИД^(IDs) -ове е-поште и привремене сервере, тако да властима постаје тешко да их ухвате. Имају општи шаблон који се шаље стотинама хиљада прималаца тако да се бар неколицина може преварити. Научите како да идентификујете пхисхинг нападе^{(how to identify phishing attacks)} .

Зашто се то зове пхисхинг?

Знаш о пецању. У стварном пецању, рибар поставља мамац тако да може ухватити рибу када се она закачи за штап за пецање. И на Интернету^(Internet) користе мамац у облику поруке која може бити убедљива и која изгледа искрено. Пошто криминалци користе мамац, то се зове пхисхинг. То је скраћеница за пецање помоћу лозинке које се сада назива пхисхинг.

Мамац би могао бити обећање новца или било које робе које би могло натерати крајњег корисника да кликне на мамац. Понекад је мамац другачији (на пример, претња или хитност) и позива на акцију попут кликања на линкове који говоре да морате поново да овластите свој налог на Амазон^(Amazon) , Аппле^(Apple) или ПаиПал^(PayPal) .

Како се изговара пхисхинг?

Изговара се као ПХ-ИСХИНГ. 'ПХ' као у риболову^(F) .

Колико је уобичајена пхисхинг?

Пецајући напади су чешћи од малвера. То значи да се све више сајбер криминалаца бави пхисхингом у поређењу са онима који шире злонамерни софтвер користећи е-пошту, лажне веб странице или лажне рекламе на правим веб локацијама.

Ових дана, комплети за крађу идентитета се продају на мрежи, тако да практично свако ко има неко знање о мрежама може да их купи и користи за незаконите задатке. Ови комплети за пхисхинг обезбеђују све, од клонирања веб локације до састављања убедљиве е-поште или текста.

Врсте пхисхинга

Постоји много врста пхисхинга. Неки од популарних су:

1. Уобичајене^(General) е-поруке у којима се од вас траже ваши лични подаци су најчешће коришћени облик пхисхинга
2. Спеар пхисхинг
3. Китоловне преваре
4. Смисхинг (СМС пхисхинг) и Висхинг
5. КРисхинг преваре
6. Табнаббинг

1] Опште пхисхинг

У свом најосновнијем облику пхисхинга, наилазите на е-пошту и текстове који вас упозоравају на нешто док се од вас тражи да кликнете на везу. У неким случајевима од вас траже да отворите прилог у е-поруци коју су вам послали.

У пољу за тему е-поште, сајбер криминалци вас маме да отворите е-пошту или текст. Понекад је тема да је једном од ваших онлајн налога потребно ажурирање и звучи хитно.

У телу е-поште или текста налазе се неке убедљиве информације које су лажне, али уверљиве, а затим се завршавају позивом на акцију: тражењем да кликнете на везу коју они дају у е-поруци или тексту за „пецање“. Текстуалне^(Text) поруке су опасније јер користе скраћене УРЛ адресе^(URLs) чије одредиште или пуна веза не може да се провери без клика на њих када их читате на телефону. Можда постоји било која апликација било где која би могла да помогне да проверите пуну УРЛ адресу^(URL) , али још увек немам ниједну коју знам.

2] Спеар пхисхинг

Односи се на циљану пхисхинг где су мете запослени у пословним кућама. Сајбер криминалци добијају своје ИД^(IDs) -ове на радном месту и шаљу лажне пхисхинг мејлове на те адресе. Појављује се као имејл од некога на врху корпоративне лествице, стварајући довољно журбе да им се одговори... чиме се помаже сајбер криминалцима да продру у мрежу пословне куће. Прочитајте све о спеар пхисхингу^{( spear phishing)} овде. Веза такође садржи неке примере спеар пхисхинга.

3] Лов на китове

Лов на китове^(Whaling) је сличан лову на копље. Једина разлика између Вхалинг^(Whaling) -а и Спеар^(Spear) пхисхинг-а је у томе што спеар-пхисхинг може циљати сваког запосленог, док се китолов користи за циљање одређених привилегованих запослених. Метода је иста. Сајбер-криминалци добијају званичне ИД^(IDs) -ове е-поште и бројеве телефона жртава и шаљу им убедљиву е-пошту или текст који укључује неки позив на акцију који би могао да отвори корпоративни интранет^{(corporate intranet)} да би се омогућио приступ са стражњих врата. Прочитајте више о пхисхинг нападима лова на китове^{(Whaling phishing attacks)} .

4] Смисхинг и Висхинг

Када сајбер криминалци користе услугу кратких порука ( СМС^(SMS) ) да би открили личне податке жртава, то је познато као СМС^(SMS) пхисхинг или скраћено Смисхинг. Прочитајте о детаљима о Смисхингу и Висхингу .

5] КРисхинг преваре

КР кодови нису нови. Када би информације требало да буду кратке и тајне, КР кодови су најбољи за имплементацију. Можда сте видели КР кодове на различитим гејтвејима за плаћање, банковним огласима или једноставно на ВхатсАпп вебу^{(WhatsApp Web)} . Ови кодови садрже информације у облику квадрата са црним расутим по целом њему. Пошто није познато које све информације КР код пружа, увек је најбоље да се држите даље од непознатих извора кодова. То значи да ако добијете КР код у е-поруци или тексту од ентитета који не познајете, немојте их скенирати. Прочитајте више о КРисхинг преварама на паметним телефонима.

6] Табнаббинг

Табнаббинг мења легитимну страницу коју сте посећивали у лажну страницу, када посетите другу картицу. Рецимо:

1. Долазите до праве веб странице.
2. Отворите другу картицу и претражујете други сајт.
3. Након неког времена, враћате се на прву картицу.
4. Дочекују вас нови подаци за пријаву, можда на ваш Гмаил^(Gmail) налог.
5. Поново се пријављујете, не сумњајући да се страница, укључујући фавицон, заправо променила иза ваших леђа!

Ово је Табнаббинг^(Tabnabbing) , такође се зове Табјацкинг^(Tabjacking) .

Постоје неке друге врсте пхисхинга које се данас не користе много. Нисам их именовао у овом посту. Методе које се користе за пхисхинг настављају да додају нове технике злочину. Знајте различите врсте сајбер злочина ако сте заинтересовани.

Препознавање пхисхинг е-поште и текстова

Иако сајбер криминалци предузимају све мере да вас преваре да кликнете на њихове илегалне везе како би могли да украду ваше податке, постоји неколико назнака који одају поруку да је е-пошта лажна.

У већини случајева, пхисхинг момци користе име које вам је познато. То може бити име било које успостављене банке или било које друге корпоративне куће као што су Амазон^(Amazon) , Аппле^(Apple) , еБаи, итд. Потражите ИД е-поште.

Криминалци за пецање не користе сталну е-пошту као што су Хотмаил^(Hotmail) , Оутлоок^(Outlook) и Гмаил^(Gmail) , итд. популарни провајдери хостинга за е-пошту. Они користе привремене сервере е-поште, тако да је све из непознатог извора сумњиво. У неким случајевима, сајбер криминалци покушавају да лажирају ИД^(IDs) -ове е-поште користећи назив предузећа—на пример, [емаил протецтед] ИД е-поште садржи име Амазона^(Amazon) , али ако боље погледате, није са Амазон^(Amazon) -ових сервера, већ неке лажне е-поште .цом сервер.

Дакле, ако пошта са хттп://акисбанк.цом долази са ИД-а е-поште који каже [емаил протецтед] , морате бити опрезни. Такође, потражите правописне грешке. У примеру Акис Банке^{(Axis Bank)} , ако ИД е-поште долази са аксбанк.цом, то је е-порука за крађу идентитета.

ПхисхТанк ће вам помоћи да верификујете или пријавите пхисхинг веб локације

Мере предострожности за пхисхинг

Горњи одељак је говорио о идентификацији е-поште и текстова за крађу идентитета. У основи свих мера предострожности је потреба да се провери порекло е-поште уместо да једноставно кликнете на везе у е-поруци. Не дајте никоме своје лозинке и безбедносна питања. Погледајте ИД е-поште са које је порука послата.

Ако је то порука од пријатеља, знате, можда бисте желели да потврдите да ли га је он или она заиста послала. Можете га назвати и питати да ли је послао поруку са везом.

Никада не кликајте на везе у имејловима из извора које не познајете. Чак и за мејлове који изгледају као оригинални, претпоставимо од Амазона^(Amazon) , немојте кликнути на везу^{(do not click on the lin)} . Уместо тога, отворите претраживач и откуцајте УРЛ адресу ^(URL)Амазон^(Amazon) -а . Одатле можете проверити да ли заиста треба да пошаљете било какве детаље ентитету.

Долазе неке везе које говоре да морате да верификујете своју регистрацију. Погледајте да ли сте се недавно пријавили за неку услугу. Ако не можете да се сетите, заборавите везу е-поште.

Шта ако сам кликнуо на пхисхинг линк?

Одмах затворите претраживач. Немојте додиривати нити уносити никакве информације у случају да не можете да затворите претраживач, као у подразумеваном претраживачу неких паметних телефона. Ручно затворите сваку картицу таквих претраживача. Не заборавите^(Remember) да се не пријављујете ни на једну од својих апликација док не покренете скенирање користећи БитДефендер^{(BitDefender)} или Малваребитес^{(Malwarebytes)} . Постоје и неке плаћене апликације које можете користити.

Исто важи и за рачунаре. Ако кликнете на везу, претраживач би се покренуо и појавила би се нека врста дуплиране веб странице. Не додирујте нити додирујте било где у прегледачу. Само^(Just) кликните на дугме за затварање претраживача или користите Виндовс Таск Манагер^{(Windows Task Manager)} да затворите исто. Покрените антималвер скенирање пре употребе других апликација на рачунару.

Прочитајте^(Read) : Где пријавити веб локације за преваре, нежељену пошту и пхисхинг ?

Молимо вас да коментаришете и обавестите нас ако сам нешто изоставио у овој варалици за пхисхинг.^{(Please comment and let us know if I left out anything in this phishing cheat sheet.)}

Types of Phishing - Cheat Sheet and Things you need to know

“Congratulations! You have won n million Dollаrs. Send us your bank details.” If you are on Internet, you might have seen such еmails in yоur inbox or junk mailbox. Sυch emails are called phishing: a cyber-crime wherein criminals υse cоmputer technologу tо steal data from νictims that can be individuals оr corporate business houѕes. This Phishing cheat sheet is an attempt to provide you with max knowledge about this cyber-crime so that you don’t become a victim of the crime. We also discuss the types of Phishing.

What is phishing?

Phishing is a cybercrime where criminals lure victims, with an intention to steal victim’s data, using fake emails and text messages. Mainly, it is done by mass email campaigns. They use temporary email IDs and temporary servers, so it becomes hard for authorities to nab them. They have a general template that is sent to hundreds of thousands of recipients so that at least a few can be tricked. Learn how to identify phishing attacks.

Why is it called phishing?

You know about fishing. In real life fishing, the fisherman sets a bait so that he can catch fish when the latter are hooked to the fishing rod. On the Internet too, they use bait in the form of a message that can be convincing and appears genuine. Since the criminals use a bait, it is called phishing. It stands for password fishing which is now referred to as phishing.

The bait could be a promise of money or any goods that could compel any end-user to click on the bait. Sometimes, the bait is different (for example, threat or urgency) and calls for action like clicking links saying you have to re-authorize your account at Amazon, Apple, or PayPal.

How to pronounce phishing?

It is pronounced as PH-ISHING. ‘PH’as in Fishing.

How common is phishing?

Phishing attacks are more common than malware. This is to say that more and more cybercriminals are engaged in phishing compared to those who spread malware using emails, fake websites, or fake advertisements on genuine websites.

These days, phishing kits are sold online so practically anyone with some knowledge of networks can buy them and use them for illegal tasks. These phishing kits provide everything from cloning a website to compiling a compelling email or text.

Types of phishing

There are many types of phishing. Some of the popular ones are:

1. General regular emails asking you your personal details are the most used form of phishing
2. Spear phishing
3. Whaling scams
4. Smishing (SMS phishing) and Vishing
5. QRishing scams
6. Tabnabbing

1] General Phishing

In its most basic form of phishing, you encounter emails and texts cautioning you about something while asking you to click a link. In some cases, they ask you to open the attachment in the email they sent to you.

In the email subject line, the cybercriminals lure you into opening the email or text. Sometimes, the subject line is that one of your online accounts needs updating and sounds urgent.

In the body of the email or text, there is some compelling information that is fake but believable and then ends with a call to action: asking you to click on the link they provide in the phishing email or text. Text messages are more dangerous because they use shortened URLs whose destination or full link can’t be checked without clicking on them when you read them on the phone. There may be any app anywhere that may help with checking out the full URL but there’s none I am aware of yet.

2] Spear phishing

Refers to targeted phishing where the targets are employees of business houses. The cybercriminals get their workplace IDs and send the fake phishing emails to those addresses. It appears as an email from someone top on the corporate ladder, creating enough hurry to reply to them… thereby helping the cybercriminals with breaking into the network of the business house. Read all about spear phishing here. The link also contains some examples of spear phishing.

3] Whaling

Whaling is similar to spear phishing. The only difference between Whaling and Spear phishing is that spear-phishing can target any employee, while whaling is used to target certain privileged employees. The method is the same. The cybercriminals get the official email IDs and phone numbers of the victims and send them a compelling email or text that involves some call for action that might open the corporate intranet to give the back-door access. Read more about Whaling phishing attacks.

4] Smishing and Vishing

When cybercriminals use short messaging service (SMS) to fish out personal details of victims, it is known as SMS phishing or Smishing for short. Read about Smishing and Vishing details.

5] QRishing scams

QR codes are not new. When information is supposed to be kept short and secret, QR codes are the best to implement. You may have seen QR codes on different payment gateways, bank adverts, or simply on WhatsApp Web. These codes contain information in the form of a square with black scattered all over it. Since it is not known what all information a QR code provides, it is always best to stay away from unknown sources of the codes. That is to say that if you receive a QR code in an email or text from an entity that you do not know, don’t scan them. Read more about QRishing scams on smartphones.

6] Tabnabbing

Tabnabbing changes a legitimate page you were visiting, to a fraudulent page, once you visit another tab. Let’s say:

1. You navigate to a genuine website.
2. You open another tab and browse the other site.
3. After a while, you come back to the first tab.
4. You are greeted with fresh login details, maybe to your Gmail account.
5. You login again, not suspecting that the page, including the favicon, has actually changed behind your back!

This is Tabnabbing, also called Tabjacking.

There are some other types of phishing that are not used much nowadays. I have not named them in this post. The methods used for phishing keep on adding new techniques to the crime. Know the different types of cybercrimes if interested.

Identifying phishing emails and texts

While the cybercriminals take all measures to trick you into clicking their illegal links so that they can steal your data, there are a few pointers that give out a message that the email is fake.

In most cases, the phishing guys use a name familiar to you. It can be the name of any established bank or any other corporate house such as Amazon, Apple, eBay, etc. Look for the email ID.

Phishing criminals do not use permanent email like Hotmail, Outlook, and Gmail, etc. popular email hosting providers. They use temporary email servers, so anything from an unknown source is suspicious. In some cases, the cybercriminals try to spoof email IDs by using a business name—for example, [email protected] The email ID contains the name of Amazon, but if you look closer, it is not from Amazon’s servers but some fakeemail.com server.

So, if a mail from http://axisbank.com comes from an email ID that says [email protected], you need to exercise caution. Also, look for spelling errors. In the Axis Bank example, if the email ID comes from axsbank.com, it is a phishing email.

PhishTank will help you verify or report Phishing websites

Precautions for phishing

The above section talked about identifying phishing emails and texts. At the base of all precautions is the need to check the origin of email instead of simply clicking on the links in the email. Do not give out your passwords and security questions to anyone. Look at the email ID from which the email was sent.

If it is a text from a friend, you know, you might want to confirm if he or she had sent it really. You could call him and ask him if he sent a message with a link.

Never click on links in emails from sources you do not know. Even for emails that appear genuine, suppose from Amazon, do not click on the link. Instead, open a browser and type out the URL of Amazon. From there, you can check if you actually need to send any details to the entity.

Some links come in saying you have to verify your sign up. See if you signed up for any service recently. If you cannot remember, forget the email link.

What if I clicked on a phishing link?

Close the browser immediately. Do not touch or enter any information in case of not being able to close the browser, like in some smartphones’ default browser. Manually close each tab of such browsers. Remember not to log in to any of your apps until you run a scan using BitDefender or Malwarebytes. There are some paid apps too that you can use.

The same goes for computers. If you clicked a link, the browser would be launched, and some sort of duplicate website would appear. Don’t tap or touch anywhere on the browser. Just click on the close browser button or use the Windows Task Manager to close the same. Run an antimalware scan before using other applications on the computer.

Read: Where to report Online Scams, Spam and Phishing websites?

Please comment and let us know if I left out anything in this phishing cheat sheet.

Related posts

• Како избећи пхисхинг преваре и нападе?

• Шта су китоловске преваре и како заштитити своје предузеће

• Шта је пхисхинг и како препознати пхисхинг нападе?

• Шта су паркирани домени и понорни домени?

• Избегавајте преваре у куповини на мрежи и преваре у празничној сезони

• Да ли да купим или направим рачунар? 10 ствари које треба узети у обзир

• Коронавирус ЦОВИД-19 пхисхинг, преваре, преваре и шеме

• Лампа не ради на вашем иПад Про-у? 9 ствари које треба пробати

• Ви-Фи позивање не ради на Андроиду? 9 ствари које треба пробати

• Запиер СМС: 5 цоол ствари које можете учинити

• Пхилипс Хуе светла недостижна? 7 ствари које треба пробати

• Миш стално нестаје на Мац-у? 10 ствари које треба пробати

• Мрежни адаптер не ради? 12 ствари које треба пробати

• Бинг визуелна претрага: 10 сјајних ствари које можете да урадите са њим

• Шта је Интернет ствари - Представљамо СкиНет!

• Како да уградите Екцел лист на своју веб локацију

• Аппле Паи не ради? 15 ствари које треба пробати

• Мицрософт Екцел отвара празан лист уместо датотеке

• 5 цоол ствари које можете учинити са старим РАМ-ом

• Дефиниција напада спрејом лозинком и одбрана