「おめでとうございます(Congratulations)!あなたはn百万ドル(Dollars)を獲得しました。銀行の詳細をお送りください。」インターネット(Internet)を使用している場合は、受信トレイまたは迷惑メールボックスにそのような電子メールが表示されている可能性があります。このような電子メールはフィッシングと呼ばれます。犯罪者がコンピューター技術を使用して、個人または企業の企業である可能性のある被害者からデータを盗むサイバー犯罪です。このフィッシングチートシート(Phishing cheat sheet)は、犯罪の被害者にならないように、このサイバー犯罪に関する最大限の知識を提供することを目的としています。また、フィッシング(types of Phishing)の種類についても説明します。
フィッシングとは何ですか?
フィッシングは、偽の電子メールやテキストメッセージを使用して、犯罪者が被害者のデータを盗むことを目的として被害者を誘惑するサイバー犯罪です。主に、それは大量の電子メールキャンペーンによって行われます。それらは一時的な電子メールID(IDs)と一時的なサーバーを使用するため、当局がそれらを取得することは困難になります。少なくとも数人をだますことができるように、数十万の受信者に送信される一般的なテンプレートがあります。フィッシング攻撃を特定する方法を(how to identify phishing attacks)学びます。
なぜフィッシングと呼ばれるのですか?
あなたは釣りについて知っています。実生活での釣りでは、釣り竿に引っ掛けられたときに魚を捕まえることができるように、漁師は餌を設定します。インターネット(Internet)でも、彼らは説得力があり、本物のように見えるメッセージの形で餌を使用しています。犯罪者は餌を使うので、フィッシングと呼ばれます。これは、現在フィッシングと呼ばれているパスワードフィッシングの略です。
餌は、エンドユーザーに餌をクリックするように強いるお金や商品の約束である可能性があります。場合によっては、餌が異なり(たとえば、脅威や緊急性)、Amazon、Apple、またはPayPalでアカウントを再承認する必要があることを示すリンクをクリックするなどのアクションが必要になります。
フィッシングの発音は?
PH-ISHINGと発音されます。フィッシング(F)のように「PH」。
フィッシングはどのくらい一般的ですか?
フィッシング攻撃はマルウェアよりも一般的です。つまり、電子メール、偽のWebサイト、または本物のWebサイトでの偽の広告を使用してマルウェアを拡散するサイバー犯罪者と比較して、フィッシングに関与するサイバー犯罪者はますます増えています。
最近、フィッシングキットはオンラインで販売されているため、ネットワークの知識があれば、事実上誰でもフィッシングキットを購入して、違法なタスクに使用できます。これらのフィッシングキットは、Webサイトのクローン作成から、説得力のある電子メールやテキストのコンパイルまで、すべてを提供します。
フィッシングの種類
フィッシングには多くの種類があります。人気のあるもののいくつかは次のとおりです。
- (General)個人情報を尋ねる一般的な通常の電子メールは、フィッシングの最もよく使用される形式です
- スピアフィッシング
- 捕鯨詐欺
- スミッシング(SMSフィッシング)とビッシング
- QRishing詐欺
- タブナビング
1]一般的なフィッシング
フィッシングの最も基本的な形式では、リンクをクリックするように求めているときに、何かについて警告する電子メールやテキストが表示されます。場合によっては、送信したメールの添付ファイルを開くように求められます。
電子メールの件名では、サイバー犯罪者があなたを誘惑して電子メールまたはテキストを開きます。時々、件名はあなたのオンラインアカウントの1つが更新を必要としそして緊急に聞こえるということです。
電子メールまたはテキストの本文には、偽物であるが信頼できるいくつかの説得力のある情報があり、その後、行動の呼びかけで終わります。フィッシング電子メールまたはテキストで提供されているリンクをクリックするように求められます。テキストメッセージは短縮(Text)URL(URLs)を使用しているため、電話で読んだときにクリックしないと宛先または完全なリンクを確認できないため、より危険です。完全なURL(URL)をチェックするのに役立つアプリはどこにでもあるかもしれませんが、私がまだ知っているアプリはありません。
2]スピアフィッシング
ターゲットがビジネスハウスの従業員であるターゲットフィッシングを指します。サイバー犯罪者は職場ID(IDs)を取得し、それらのアドレスに偽のフィッシングメールを送信します。これは、企業のはしごのトップからの電子メールのように見え、彼らに返信するのに十分な速さを生み出します…それによって、サイバー犯罪者がビジネスハウスのネットワークに侵入するのを助けます。ここでスピアフィッシング( spear phishing)に関するすべてをお読みください。このリンクには、スピアフィッシングの例もいくつか含まれています。
3]捕鯨
捕鯨(Whaling)はスピアフィッシングに似ています。捕鯨(Whaling)とスピア(Spear)フィッシングの唯一の違いは、スピアフィッシングはすべての従業員を標的にすることができるのに対し、捕鯨は特定の特権を持つ従業員を標的にするために使用されることです。方法は同じです。サイバー犯罪者は、被害者の公式の電子メールIDと電話番号を取得し、(IDs)企業のイントラネット(corporate intranet)を開いてバックドアアクセスを提供する可能性のある行動を促すような説得力のある電子メールまたはテキストを送信します。捕鯨フィッシング攻撃(Whaling phishing attacks)についてもっと読む。
4]スミッシングとビッシング
サイバー犯罪者がショートメッセージングサービス(SMS)を使用して被害者の個人情報を盗み出す場合、これは略してSMSフィッシングまたはスミッシングと呼ばれます。(SMS)スミッシングとビッシングの詳細についてお読みください。
5]QRishing詐欺
QRコードは新しいものではありません。情報を短く秘密にすることになっている場合は、QRコードを実装するのが最適です。さまざまな支払いゲートウェイ、銀行の広告、または単にWhatsAppWeb(WhatsApp Web)でQRコードを見たことがあるかもしれません。これらのコードには、黒が全体に散らばっている正方形の形式の情報が含まれています。QRコードが提供するすべての情報がわからないため、コードの不明なソースに近づかないことが常に最善です。つまり、知らないエンティティから電子メールまたはテキストでQRコードを受け取った場合は、それらをスキャンしないでください。スマートフォンでのQRishing詐欺についてもっと読む。
6]タブナビング
タブナビングは、別のタブにアクセスすると、アクセスしていた正当なページを不正なページに変更します。まあ言ってみれば:
- 本物のウェブサイトに移動します。
- 別のタブを開いて、他のサイトを閲覧します。
- しばらくすると、最初のタブに戻ります。
- Gmailアカウントなど、新しいログイン情報が表示されます。
- ファビコンを含むページが実際に背後で変更されたことを疑うことなく、再度ログインします。
これはTabnabbingであり、 (Tabnabbing)Tabjackingとも呼ばれます。
最近はあまり使用されていないフィッシングの種類が他にもいくつかあります。この投稿では名前を付けていません。フィッシングに使用される方法は、犯罪に新しい技術を追加し続けます。興味があれば、さまざまな種類のサイバー犯罪を知ってください。
フィッシングメールとテキストの識別
サイバー犯罪者は、あなたをだまして違法なリンクをクリックさせ、あなたのデータを盗むことができるようにあらゆる手段を講じていますが、電子メールが偽物であるというメッセージを出すポインターがいくつかあります。
ほとんどの場合、フィッシング詐欺師はあなたに馴染みのある名前を使用します。これは、確立された銀行またはAmazon(Amazon)、Apple 、eBayなどの他の企業の名前にすることができます。電子メールIDを探します。
フィッシング犯罪者は、 Hotmail(Hotmail)、Outlook、Gmailなどの人気のある電子メールホスティングプロバイダーのような永続的な電子メールを使用しません。彼らは一時的な電子メールサーバーを使用しているので、未知のソースからのものは疑わしいものです。場合によっては、サイバー犯罪者は会社名を使用して電子メールID(IDs)を偽装しようとします。たとえば、[電子メール保護]電子メールIDにはAmazonの名前が含まれていますが、よく見ると、Amazonのサーバーからではなく偽の電子メールです。 .comサーバー。
したがって、http://axisbank.comからのメールが[email protected]というメールIDからのものである場合は、注意が必要です。また、スペルミスを探します。Axis Bankの例では、電子メールIDがaxsbank.comからのものである場合、それはフィッシング電子メールです。
PhishTankは、フィッシングWebサイトの検証または報告に役立ちます
フィッシングに関する注意事項
上記のセクションでは、フィッシングメールとテキストの識別について説明しました。すべての予防策の基本は、単に電子メール内のリンクをクリックするのではなく、電子メールの発信元を確認する必要があることです。パスワードやセキュリティの質問を誰にも教えないでください。メールの送信元のメールIDを確認します。
友人からのテキストの場合は、友人が本当に送信したかどうかを確認することをお勧めします。あなたは彼に電話して、彼がリンク付きのメッセージを送ったかどうか尋ねることができます。
知らないソースからの電子メールのリンクは絶対にクリックしないでください。本物のように見える電子メールであっても、Amazonからの場合は、リンクをクリックしない(do not click on the lin)でください。代わりに、ブラウザを開いてAmazonの(Amazon)URLを入力してください。そこから、実際にエンティティに詳細を送信する必要があるかどうかを確認できます。
サインアップを確認する必要があるというリンクがいくつかあります。最近サービスにサインアップしたかどうかを確認します。思い出せない場合は、メールリンクを忘れてください。
フィッシングリンクをクリックした場合はどうなりますか?
すぐにブラウザを閉じます。一部のスマートフォンのデフォルトブラウザのように、ブラウザを閉じることができない場合は、情報をタッチしたり入力したりしないでください。そのようなブラウザの各タブを手動で閉じます。BitDefenderまたはMalwarebytes(Remember)を使用してスキャンを実行するまで、どのアプリにもログインしないでください(Malwarebytes)。使用できる有料アプリもいくつかあります。
同じことがコンピューターにも当てはまります。リンクをクリックすると、ブラウザが起動し、ある種の重複したWebサイトが表示されます。ブラウザのどこもタップしたりタッチしたりしないでください。ブラウザ(Just)を閉じるボタンをクリックするか、Windowsタスクマネージャ(Windows Task Manager)を使用してブラウザを閉じます。コンピューターで他のアプリケーションを使用する前に、ウイルス対策スキャンを実行します。
読む(Read):オンライン詐欺、スパム、フィッシングのWebサイトをどこで報告するか?
コメントして、このフィッシングに関するチートシートに何かを残した場合はお知らせください。(Please comment and let us know if I left out anything in this phishing cheat sheet.)
Types of Phishing - Cheat Sheet and Things you need to know
“Congratulations! You have won n million Dollars. Send us your bаnk detаilѕ.” If you are on Intеrnet, you might have seen such emails in your inbox or junk mailbox. Such emails are called phіshing: a cyber-crime wherein criminals uѕe computer technology to steal data from viсtims that can be іndividuals or corporate business hoυѕes. This Phishing cheat sheet is an attempt to provide you with max knowledge about this cyber-crime so that you don’t become a victim of the crime. We also discuss the types of Phishing.
What is phishing?
Phishing is a cybercrime where criminals lure victims, with an intention to steal victim’s data, using fake emails and text messages. Mainly, it is done by mass email campaigns. They use temporary email IDs and temporary servers, so it becomes hard for authorities to nab them. They have a general template that is sent to hundreds of thousands of recipients so that at least a few can be tricked. Learn how to identify phishing attacks.
Why is it called phishing?
You know about fishing. In real life fishing, the fisherman sets a bait so that he can catch fish when the latter are hooked to the fishing rod. On the Internet too, they use bait in the form of a message that can be convincing and appears genuine. Since the criminals use a bait, it is called phishing. It stands for password fishing which is now referred to as phishing.
The bait could be a promise of money or any goods that could compel any end-user to click on the bait. Sometimes, the bait is different (for example, threat or urgency) and calls for action like clicking links saying you have to re-authorize your account at Amazon, Apple, or PayPal.
How to pronounce phishing?
It is pronounced as PH-ISHING. ‘PH’as in Fishing.
How common is phishing?
Phishing attacks are more common than malware. This is to say that more and more cybercriminals are engaged in phishing compared to those who spread malware using emails, fake websites, or fake advertisements on genuine websites.
These days, phishing kits are sold online so practically anyone with some knowledge of networks can buy them and use them for illegal tasks. These phishing kits provide everything from cloning a website to compiling a compelling email or text.
Types of phishing
There are many types of phishing. Some of the popular ones are:
- General regular emails asking you your personal details are the most used form of phishing
- Spear phishing
- Whaling scams
- Smishing (SMS phishing) and Vishing
- QRishing scams
- Tabnabbing
1] General Phishing
In its most basic form of phishing, you encounter emails and texts cautioning you about something while asking you to click a link. In some cases, they ask you to open the attachment in the email they sent to you.
In the email subject line, the cybercriminals lure you into opening the email or text. Sometimes, the subject line is that one of your online accounts needs updating and sounds urgent.
In the body of the email or text, there is some compelling information that is fake but believable and then ends with a call to action: asking you to click on the link they provide in the phishing email or text. Text messages are more dangerous because they use shortened URLs whose destination or full link can’t be checked without clicking on them when you read them on the phone. There may be any app anywhere that may help with checking out the full URL but there’s none I am aware of yet.
2] Spear phishing
Refers to targeted phishing where the targets are employees of business houses. The cybercriminals get their workplace IDs and send the fake phishing emails to those addresses. It appears as an email from someone top on the corporate ladder, creating enough hurry to reply to them… thereby helping the cybercriminals with breaking into the network of the business house. Read all about spear phishing here. The link also contains some examples of spear phishing.
3] Whaling
Whaling is similar to spear phishing. The only difference between Whaling and Spear phishing is that spear-phishing can target any employee, while whaling is used to target certain privileged employees. The method is the same. The cybercriminals get the official email IDs and phone numbers of the victims and send them a compelling email or text that involves some call for action that might open the corporate intranet to give the back-door access. Read more about Whaling phishing attacks.
4] Smishing and Vishing
When cybercriminals use short messaging service (SMS) to fish out personal details of victims, it is known as SMS phishing or Smishing for short. Read about Smishing and Vishing details.
5] QRishing scams
QR codes are not new. When information is supposed to be kept short and secret, QR codes are the best to implement. You may have seen QR codes on different payment gateways, bank adverts, or simply on WhatsApp Web. These codes contain information in the form of a square with black scattered all over it. Since it is not known what all information a QR code provides, it is always best to stay away from unknown sources of the codes. That is to say that if you receive a QR code in an email or text from an entity that you do not know, don’t scan them. Read more about QRishing scams on smartphones.
6] Tabnabbing
Tabnabbing changes a legitimate page you were visiting, to a fraudulent page, once you visit another tab. Let’s say:
- You navigate to a genuine website.
- You open another tab and browse the other site.
- After a while, you come back to the first tab.
- You are greeted with fresh login details, maybe to your Gmail account.
- You login again, not suspecting that the page, including the favicon, has actually changed behind your back!
This is Tabnabbing, also called Tabjacking.
There are some other types of phishing that are not used much nowadays. I have not named them in this post. The methods used for phishing keep on adding new techniques to the crime. Know the different types of cybercrimes if interested.
Identifying phishing emails and texts
While the cybercriminals take all measures to trick you into clicking their illegal links so that they can steal your data, there are a few pointers that give out a message that the email is fake.
In most cases, the phishing guys use a name familiar to you. It can be the name of any established bank or any other corporate house such as Amazon, Apple, eBay, etc. Look for the email ID.
Phishing criminals do not use permanent email like Hotmail, Outlook, and Gmail, etc. popular email hosting providers. They use temporary email servers, so anything from an unknown source is suspicious. In some cases, the cybercriminals try to spoof email IDs by using a business name—for example, [email protected] The email ID contains the name of Amazon, but if you look closer, it is not from Amazon’s servers but some fakeemail.com server.
So, if a mail from http://axisbank.com comes from an email ID that says [email protected], you need to exercise caution. Also, look for spelling errors. In the Axis Bank example, if the email ID comes from axsbank.com, it is a phishing email.
PhishTank will help you verify or report Phishing websites
Precautions for phishing
The above section talked about identifying phishing emails and texts. At the base of all precautions is the need to check the origin of email instead of simply clicking on the links in the email. Do not give out your passwords and security questions to anyone. Look at the email ID from which the email was sent.
If it is a text from a friend, you know, you might want to confirm if he or she had sent it really. You could call him and ask him if he sent a message with a link.
Never click on links in emails from sources you do not know. Even for emails that appear genuine, suppose from Amazon, do not click on the link. Instead, open a browser and type out the URL of Amazon. From there, you can check if you actually need to send any details to the entity.
Some links come in saying you have to verify your sign up. See if you signed up for any service recently. If you cannot remember, forget the email link.
What if I clicked on a phishing link?
Close the browser immediately. Do not touch or enter any information in case of not being able to close the browser, like in some smartphones’ default browser. Manually close each tab of such browsers. Remember not to log in to any of your apps until you run a scan using BitDefender or Malwarebytes. There are some paid apps too that you can use.
The same goes for computers. If you clicked a link, the browser would be launched, and some sort of duplicate website would appear. Don’t tap or touch anywhere on the browser. Just click on the close browser button or use the Windows Task Manager to close the same. Run an antimalware scan before using other applications on the computer.
Read: Where to report Online Scams, Spam and Phishing websites?
Please comment and let us know if I left out anything in this phishing cheat sheet.
