Cách nhận biết e-mail lừa đảo

Nếu bạn đã nhận được e-mail từ Dịch vụ doanh thu nội bộ hoặc Tổng công ty bảo hiểm tiền gửi liên bang, rất có thể đó là một nỗ lực lừa đảo. Nếu bạn nhận được e-mail từ ngân hàng, PayPal hoặc Facebook kêu gọi bạn ngay lập tức xác minh thông tin hoặc có nguy cơ tài khoản của bạn bị treo, chắc chắn đó là lừa đảo.

Các cuộc tấn công lừa đảo đã tăng đột biến trong năm nay, theo các báo cáo gần đây. Nhóm làm việc chống lừa đảo báo cáo rằng đã có hơn 55.600 vụ tấn công lừa đảo chỉ trong nửa đầu năm 2009. Lừa đảo đặc biệt nguy hiểm vì một khi bọn tội phạm lấy được mật khẩu của nạn nhân cho một trang Web, chúng thường có thể sử dụng nó để vào các tài khoản khác nơi mọi người đã sử dụng lại mật khẩu.

Và bất cứ ai cũng có thể gặp rủi ro. Vợ của Giám đốc FBI Robert Mueller đã cấm anh ta làm ngân hàng trực tuyến sau khi anh ta suýt rơi vào một vụ lừa đảo.

Dưới đây là một số thông tin cơ bản có thể giúp mọi người tránh bị lừa bởi các cuộc tấn công lừa đảo.

Lừa đảo là gì?

Lừa đảo là một nỗ lực, thường là qua e-mail, để lừa mọi người tiết lộ thông tin nhạy cảm như tên người dùng, mật khẩu và dữ liệu thẻ tín dụng bằng cách giả vờ là một ngân hàng hoặc một thực thể hợp pháp khác. Các e-mail thường bao gồm một liên kết đến một trang web có vẻ hợp pháp và nhắc nhở người dùng cung cấp thông tin. Đôi khi, e-mail lừa đảo sẽ bao gồm một biểu mẫu trong tệp đính kèm để điền vào. Một kẻ lừa đảo chiến thuật phổ biến sử dụng là giả vờ đến từ bộ phận lừa đảo của tổ chức tài chính hoặc nhà bán lẻ trực tuyến như PayPal và yêu cầu cung cấp thông tin để ngăn chặn gian lận danh tính. Trong một trường hợp, một email lừa đảo có ý định từ một ủy ban xổ số nhà nước đã yêu cầu người nhận cung cấp thông tin ngân hàng của họ để "tiền thắng" của họ có thể được gửi vào tài khoản của họ.

Những kẻ lừa đảo cũng đang ngày càng khai thác sự quan tâm đến tin tức và các chủ đề phổ biến khác để lừa mọi người nhấp vào liên kết. Một e-mail có chủ đích về cúm lợn yêu cầu mọi người cung cấp tên, địa chỉ, số điện thoại và các thông tin khác như một phần của cuộc khảo sát về căn bệnh này. Và người dùng mạng xã hội đang trở thành mục tiêu phổ biến. Người dùng Twitter đã được chuyển đến các trang đăng nhập giả mạo.

Những kẻ tấn công cũng đang chuyển sang nhắn tin tức thời để dụ mọi người vào bẫy của chúng. Trong một vụ lừa đảo gần đây, một cửa sổ trò chuyện trực tiếp đã được đưa ra thông qua trình duyệt. Kẻ lừa đảo đã liên lạc với nạn nhân thông qua cửa sổ trò chuyện, giả vờ đến từ ngân hàng và yêu cầu thêm thông tin.

Các ví dụ gần đây khác của các cuộc tấn công lừa đảo là gì?

  • Một vụ lừa đảo qua email gần đây yêu cầu khách hàng của PayPal cung cấp thêm thông tin hoặc có nguy cơ bị xóa tài khoản vì những thay đổi trong thỏa thuận dịch vụ. Người nhận được khuyến khích nhấp vào một siêu liên kết có nội dung "Nhận xác minh!"

  • Các email trông giống như chúng đến từ FDIC bao gồm một dòng tiêu đề có nội dung "kiểm tra Bảo hiểm tiền gửi ngân hàng của bạn" hoặc "FDIC đã chính thức đặt tên ngân hàng của bạn là ngân hàng thất bại". Các e-mail bao gồm một liên kết đến một trang web FDIC giả, nơi khách truy cập được nhắc mở biểu mẫu để điền vào. Nhấp vào biểu mẫu liên kết tải xuống virus Zeus, được thiết kế để đánh cắp mật khẩu ngân hàng và các thông tin khác.

  • Các email trông giống như chúng đến từ IRS nói với người nhận rằng họ đủ điều kiện nhận tiền hoàn thuế và tiền có thể được yêu cầu bằng cách nhấp vào liên kết trong email. Liên kết này hướng khách truy cập đến một trang IRS giả mạo để nhắc thông tin cá nhân và tài chính.

  • Một email Facebook có giao diện hợp pháp yêu cầu mọi người cung cấp thông tin để giúp mạng xã hội cập nhật hệ thống đăng nhập. Nhấp vào nút "cập nhật" trong e-mail sẽ đưa người dùng đến màn hình đăng nhập Facebook giả mạo, nơi tên người dùng được điền và khách truy cập được nhắc cung cấp mật khẩu của họ. Khi mật khẩu được nhập vào, mọi người kết thúc trên một trang cung cấp "Công cụ cập nhật", nhưng thực ra đó là Trojan ngân hàng Zeus.

Một số dấu hiệu nhận biết về một nỗ lực lừa đảo là gì?

Nhiều nỗ lực lừa đảo bắt nguồn từ bên ngoài Hoa Kỳ nên chúng thường có lỗi chính tả và lỗi ngữ pháp. Một số người có giọng điệu khẩn cấp và họ tìm kiếm thông tin nhạy cảm mà các công ty hợp pháp thường không yêu cầu qua e-mail.

Tôi nên tìm kiếm gì trong một email?

Kiểm tra thông tin người gửi để xem nếu nó trông hợp pháp. Tội phạm sẽ chọn địa chỉ tương tự như địa chỉ mà họ đang giả mạo. Chẳng hạn, những kẻ lừa đảo đã sử dụng "[email protected]." Tuy nhiên, tin nhắn PayPal hợp pháp ở Hoa Kỳ đến từ [email protected] "và bao gồm một biểu tượng chính. Hầu hết các email lừa đảo đến từ bên ngoài Hoa Kỳ nên một địa chỉ kết thúc bằng" .uk "hoặc một cái gì đó không phải là" .com "có thể cho thấy đó là một nỗ lực lừa đảo.

Địa chỉ email cũng có thể bị che khuất. Đánh "trả lời tất cả" có thể tiết lộ địa chỉ e-mail thật. Bạn cũng có thể đặt tùy chọn e-mail của mình để hiển thị "tiêu đề đầy đủ" để xem địa chỉ e-mail đầy đủ và thông tin khác. Nếu bạn không chắc chắn liệu e-mail có hợp pháp hay không, hãy truy cập trang web của công ty để xem địa chỉ được liệt kê.

Các công ty hợp pháp có xu hướng sử dụng tên khách hàng hoặc tên người dùng trong e-mail và các ngân hàng thường sẽ bao gồm một phần của số tài khoản. Các email lừa đảo thường cung cấp lời chào chung chung, như "Kính gửi khách hàng PayPal".

Kiểm tra các siêu liên kết bên trong cơ thể của e-mail. Những kẻ lừa đảo thường sẽ sử dụng tên miền phụ hoặc chữ cái hoặc số trước tên công ty và đôi khi các từ trong liên kết bị sai chính tả. Ví dụ: www.BankA.security.com sẽ liên kết đến phần 'BankA' trên trang web 'bảo mật'. Thông thường, thật khó để biết liệu liên kết có hợp pháp hay không chỉ bằng cách nhìn vào nó. Bằng cách di chuyển qua liên kết, bạn có thể thấy địa chỉ thực ở dưới cùng của hầu hết các trình duyệt Web.

Ngoài ra, PayPal, Amazon, ngân hàng và nhiều doanh nghiệp khác sử dụng giao thức SSL (Lớp cổng bảo mật) được thiết kế để đảm bảo khách hàng truy cập trang web thực. Điều đó có nghĩa là // sẽ được nhìn thấy trong thanh địa chỉ URL thay vì chỉ // và thường sẽ có một số thay đổi khác trong thanh địa chỉ. Chẳng hạn, PayPal hiển thị chữ "P" và tên của nó được tô sáng màu xanh lá cây ở phía trước URL. Các trình duyệt chính có các biện pháp chống lừa đảo được thiết kế để phát hiện các trang web độc hại. Một số kẻ lừa đảo cũng cố gắng che giấu địa chỉ Web thực mà chúng đang gửi nạn nhân bằng cách sử dụng các dịch vụ rút ngắn URL.

Nếu e-mail có tệp đính kèm, hãy cảnh giác với các tệp .exe. Những kẻ lừa đảo muốn ẩn virus và phần mềm độc hại khác ở đó để nó thực thi khi được mở.

Đừng để bị đánh lừa bởi giao diện của trang Web mà bạn có thể được hướng đến. Trang web có thể trông giống như một ngân hàng hoặc trang PayPal thực sự, bao gồm cả việc sử dụng logo và nhãn hiệu thực sự. Nó có thể là một trang giả mạo tốt hoặc nó có thể là một trang hợp pháp với cửa sổ bật lên lừa đảo trên đầu trang.

Làm thế nào có thể tránh được các cuộc tấn công lừa đảo?

  • Cố gắng tránh xa danh sách thư rác. Không đăng địa chỉ e-mail của bạn trên các trang web công cộng. Tạo một địa chỉ email ít có khả năng được đưa vào danh sách thư rác. Ví dụ: thay vì [email protected], hãy sử dụng [email protected].

  • Nếu một email có vẻ hợp lý, hãy liên hệ trực tiếp với công ty nếu bạn nhận được e-mail yêu cầu bạn xác minh thông tin. Nhập địa chỉ của công ty vào thanh địa chỉ trực tiếp thay vì nhấp vào liên kết. Hoặc gọi cho họ, nhưng không sử dụng bất kỳ số điện thoại nào được cung cấp trong e-mail.

  • Đừng đưa ra thông tin cá nhân được yêu cầu qua e-mail. Các công ty và cơ quan hợp pháp sẽ sử dụng thư thường xuyên cho các liên lạc quan trọng và không bao giờ yêu cầu khách hàng xác nhận đăng nhập hoặc mật khẩu bằng cách nhấp vào liên kết trong e-mail.

  • Hãy xem kỹ địa chỉ Web một liên kết hướng đến và nhập địa chỉ trong trình duyệt cho các doanh nghiệp nếu bạn không chắc chắn.

  • Đừng mở tệp đính kèm e-mail mà bạn không muốn nhận. Đừng mở các liên kết tải xuống trong IM. Và không nhập thông tin cá nhân trong cửa sổ bật lên hoặc e-mail.

  • Hãy chắc chắn rằng bạn đang sử dụng một trang web an toàn khi gửi thông tin tài chính và thông tin nhạy cảm.

  • Thay đổi mật khẩu thường xuyên. Đừng sử dụng cùng một mật khẩu trên nhiều trang web.

  • Thường xuyên đăng nhập vào tài khoản trực tuyến để theo dõi hoạt động và kiểm tra báo cáo.

  • Sử dụng phần mềm chống vi-rút, chống thư rác và tường lửa và luôn cập nhật hệ điều hành và ứng dụng của bạn.

(Đồng nghiệp của tôi, Larry Magid, có nhiều lời khuyên hơn và một cuộc phỏng vấn podcast với Symantec về việc tránh các cuộc tấn công lừa đảo.)

Tôi có thể làm gì nếu tôi nghĩ mình đã là nạn nhân của lừa đảo?

Nhóm làm việc chống lừa đảo có một trang web toàn diện giải thích chính xác những bước mọi người nên thực hiện dựa trên loại thông tin họ đã đưa ra.

Tôi có thể báo cáo các nỗ lực lừa đảo ở đâu?

Bạn có thể chuyển tiếp các email bị nghi ngờ lừa đảo đến [email protected][email protected]. Các công ty thường có một địa chỉ để chuyển tiếp các ví dụ lừa đảo đến, chẳng hạn như "[email protected]." Luôn bao gồm toàn bộ e-mail lừa đảo. Khiếu nại có thể được gửi đến Trung tâm Khiếu nại Tội phạm Internet tại FBI.

Dưới đây là các tài nguyên bổ sung.

//apwg.org/consumer_recs.html

//www.irs.gov/newsroom/article/0,, id=154848, 00.html

//www.microsoft.com/mscorp/safe/technology/antiphishing/guidance.mspx

Bài ViếT Phổ BiếN

Kích hoạt trình phát Web của Spotify ngay bây giờ

Sử dụng thiết bị di động của bạn với Xbox One và PS4

5 ứng dụng giúp bạn phục hồi từ chi tiêu kỳ nghỉ

Những cách rẻ tiền để cải thiện loa TV của bạn

Amazon Prime Day 2018: 14 loại thực phẩm toàn phần, được xếp hạng

Murphy Brown 2018: Mọi thứ bạn cần biết về sự trở lại

 

Để LạI Bình LuậN CủA BạN