So vermeiden Sie Phishing-Betrug
Veröffentlicht: 2022-01-29Das Schreiben von Malware ist heutzutage nur ein weiterer Programmierjob, aber es ist ein schwieriger. Legitime Programmierer müssen Programme erstellen, die das tun, was sie tun sollen, in Zusammenarbeit mit dem Betriebssystem und anderen Prozessen. Malware-Codierer haben die zusätzliche Aufgabe, Programme zu erstellen, die ihre schändlichen Taten vor dem Betriebssystem und vor Antivirenprogrammen verbergen können. Es ist kein einfacher Weg, Geld zu verdienen. Kein Wunder also, dass einige Übeltäter den Versuch, das Betriebssystem auszutricksen, überspringen und zu einem viel einfacheren Ziel wechseln … Ihnen! Sie erstellen betrügerische Kopien beliebter Websites und warten darauf, dass sich die Opfer anmelden. Wenn Sie Ihre Anmeldeinformationen auf einer dieser Fälschungen eingeben, haben Sie Ihr Konto an die Betrüger weitergegeben. Halten Sie jedoch die Augen offen, damit Sie nicht betrogen werden.
Der COVID-19-Faktor
Da eine große Anzahl von Menschen zu Hause festsitzt und im Internet nach Unterhaltung sucht, sind Phishing-Betrüger im Himmel der Schweine. Für den Anfang haben sie gerade ein größeres Publikum für gewöhnliche Betrügereien zum Diebstahl von Anmeldeinformationen gewonnen. Aber die Angst, Unsicherheit und Zweifel, die diese beispiellose Pandemie mit sich bringt, sind das perfekte Futter für brandneue Arten von Betrug.
Bereits im April 2020 berichtete Google, dass täglich 18 Millionen virenbezogene Betrügereien blockiert wurden. Google leistet gute Arbeit; Schätzungen zufolge blockiert es 99,9 Prozent der Spam- und Phishing-E-Mails. Das bedeutet jedoch, dass jeden Tag 18.000 unerwünschte Nachrichten an eine unbekannte Anzahl von Opfern durchkamen.
Virenbetrüger sind nicht nur auf Ihre Passwörter aus; sie wollen dein geld. Betrügereien und Betrügereien gibt es schon so lange wie die Menschheit, und sie funktionieren online genauso gut wie persönlich. Seien Sie vorsichtig bei E-Mails, die einen Zusammenhang mit der Pandemie enthalten, insbesondere wenn Sie darin aufgefordert werden, auf einen Link zu klicken oder eine Datei herunterzuladen. Wenn Sie die Dringlichkeit der gefälschten E-Mail beunruhigt, gehen Sie direkt zur Quelle, anstatt einen bereitgestellten Link zu verwenden.
Denken Sie auch daran, dass der Scheck, den Sie von Uncle Sam erwarten, als „Wirtschaftsstimuluszahlung“ bezeichnet wird. Wenn Sie einen Ausdruck wie „Stimulus-Check“ sehen, handelt es sich um einen Betrug.
Ich bin persönlich auf keinen Betrug oder Betrug im Zusammenhang mit COVID-19 gestoßen, vielleicht dank Google. Und die Websites, die ich durchforste, um reale Phishing-Betrügereien zum Testen zu finden, konzentrieren sich auf den Diebstahl von Anmeldeinformationen, nicht auf andere Arten von Betrug. Aber ich zweifle keine Sekunde daran, dass die Virus-Betrüger da draußen sind, in Kraft.
Spezifische Tipps zum Schutz vor dieser Art von Bedrohung finden Sie unter Erkennen und Vermeiden von COVID-19-Betrug.
Wie Phishing-Betrug funktioniert
Der Schlüssel zum Ausführen eines Phishing-Betrugs zum Diebstahl von Anmeldeinformationen besteht darin, eine Kopie einer sicheren Website zu erstellen, die gut genug ist, um die meisten Menschen oder sogar nur einige Menschen zu täuschen. Bei den nobelsten Fälschungen führt jeder Link zur echten Seite. Nun, jeder Link außer dem, der Ihren Benutzernamen und Ihr Passwort an die Täter übermittelt. Als i-Tüpfelchen können die Betrüger versuchen, eine URL zu erstellen, die zumindest ein wenig legitim aussieht. Statt paypal.com vielleicht pyapal.com oder paypal.security.reset.com.
Allerdings ist nicht jede Phishing-Seite gut gemacht. Einige verwenden die falschen Farben oder stimmen auf andere Weise nicht mit der Seite überein, die sie imitieren. Andere haben völlig unüberzeugende URLs, Dinge wie admin.dentistry.com/forms oder X8el87.journal.com. Selbst diese lahmen Fälschungen können anscheinend ein paar Trottel abholen, sonst würden die Betrüger aufgeben.
Wenn Sie Ihren Benutzernamen und Ihr Passwort auf einer Phishing-Website eingeben, erhalten die Eigentümer der Website vollen Zugriff auf Ihr Konto. Damit Sie nicht bemerken, dass Sie betrogen wurden, können sie die Anmeldeinformationen an die echte Website weitergeben, sodass es so aussieht, als hätten Sie sich normal angemeldet. Ihr einziger Hinweis kommt möglicherweise, wenn Sie feststellen, dass Ihr Bankkonto leer ist oder Sie sich nicht in Ihre E-Mail-Adresse einloggen können und Ihre Freunde sagen, dass sie Spam von Ihnen erhalten. Wie rüstet man sich also gegen diese Art von Angriff?
Eliminiere das Offensichtliche
Einige gefälschte Websites sind einfach zu schlecht implementiert, um jeden zu überzeugen, der aufpasst. Wenn Sie auf eine Website verlinken und diese nur wie Müll aussieht, drücken Sie Strg+F5, um die Seite komplett neu zu laden, falls das schlechte Erscheinungsbild ein Zufall war. Aber wenn es immer noch nicht richtig aussieht, bleiben Sie weg.
Schauen Sie sich die Seite oben an. Die Formatierung ist seltsam, und sie wird noch seltsamer, wenn Sie die Breite des Browserfensters ändern. Die Bezeichnungen für die E-Mail- und Passwortfelder bewegen sich anders als die entsprechenden Dateneingabefelder. Wie schwer wäre es gewesen, den gesamten Inhalt einfach zu zentrieren?
Wenn Sie eine Phishing-Seite erstellen, ist Wahrhaftigkeit unerlässlich. Die Verwendung eines kostenlosen Webhosting-Dienstes, der sein Banner auf Ihrer Seite oder seine Domain in Ihrer URL hinterlässt, ist eine Art Werbegeschenk. Trotzdem stoße ich jedes Mal, wenn ich einen Phishing-Schutztest durchführe, auf eine Handvoll solcher Fälschungen, die es nicht einmal versuchen. Wer würde glauben, dass Facebook 000webhostapp.com verwendet?
Überprüfen Sie die Adresse
Moderne Webbrowser entfernen sich von einem großen Fokus auf die Adressleiste. Es ist jetzt zumindest die Such-plus-Adressleiste. Aber diese Adressleiste ist eine äußerst wichtige Ressource, wenn Sie eine Seite prüfen, um zu bestätigen, dass sie legitim ist. Die besten Phish-Sniffer können eine ungewöhnliche URL aus dem Augenwinkel erkennen, ohne darüber nachzudenken.
Achten Sie auf Versuche, den tatsächlichen Domänenteil der URL zu verschleiern. Das ist der Teil unmittelbar vor dem abschließenden .com, .net, .org und so weiter. Alles, was vor der Domain steht, ist nur eine Subdomain. Gäbe es die URL fakery.paypal.com, wäre sie eine Subdomain von paypal.com. Wenn Sie stattdessen paypal.fakery.com sehen, ist das reine Fälschung!
Phishing-Angriffe auf Dropbox-Konten oder andere Online-Speicherkonten haben nicht den garantierten Wert, den Diebe durch das Erfassen von Bank-Logins erhalten. Umgekehrt wenden die Leute bei diesen Konten nicht unbedingt die gleiche Wachsamkeit an. Im Online-Speicher kann alles auftauchen, von einer Liste mit Keksbestellungen für Pfadfinderinnen bis hin zu geheimen Plänen für eine Mission zum Mars. Ebenso gibt es kein offensichtliches Einkommenspotenzial beim Erfassen von Anmeldungen für Streaming-Medien, aber der Zugriff auf dieses Konto kann dazu führen, dass ein wichtigeres Konto mit denselben Anmeldeinformationen kompromittiert wird. Sehen Sie sich die Adressleiste im obigen Bild an. Selbst wenn Sie sich bei Netflix anmelden, indem Sie die Anmeldeinformationen eines idiotischen Freundes betrügen, werden Sie sicherlich nicht „idiotfriend“ in der URL sehen!
Hier ist eine weitere Kuriosität. Die URL repräsentiert eindeutig nicht Xfinity oder Comcast oder eine verwandte Marke. Aber darüber hinaus schwenkt der Browser eine große rote Fahne und weist darauf hin, dass das Sicherheitszertifikat der Seite widerrufen wurde. Ja, Webmaster für gültige Websites vermasseln es gelegentlich und lassen ihre Zertifikate verfallen, aber diese Seite ist eindeutig ein Betrug.
Suchen Sie nach dem Schloss
Das Kommunikationssystem HyperText Transfer Protocol (HTTP), das für die grundlegende Internetkommunikation verwendet wird, ist ein Überbleibsel aus den Anfängen des World Wide Web. Es ist nicht sicher, weil niemand sich vorgestellt hat, dass andere im aufstrebenden Internet schlechte Dinge tun. Nun, die bösen Leute sind hier, und der einzig vernünftige Weg, eine Verbindung herzustellen, ist die Verwendung des sicheren HTTPS-Protokolls. Webbrowser zeigen ein Schloss-Symbol für HTTPS-Seiten. Chrome geht noch einen Schritt weiter und markiert HTTP-Sites aktiv als „nicht sicher“. Sie sollten sich niemals bei Websites anmelden, die kein HTTPS verwenden.
„Aber warten Sie“, mögen Sie argumentieren, „was ist mit einer legitimen Website, die es einfach nicht geschafft hat, sicher zu werden?“ Tut mir leid, ich kaufe es nicht. Im Zeitalter von HTTPS Everywhere gibt es keine Entschuldigung. Eine Website, die Sie ohne Verwendung von HTTPS anmelden möchte, ist einfach nicht legitim, auch wenn es sich nicht um Betrug handelt.
Wenn Sie die .ru-Domain nicht bemerken, sieht diese Seite möglicherweise wie eine legitime Amazon-Anmeldeseite aus. Beachten Sie jedoch, dass es kein Schloss gibt und dass die Adresse mit http: beginnt, nicht mit https:. Berühren Sie diese Seite nicht; es ist böse!
Von unseren Redakteuren empfohlen
Manchmal kann man es einfach nicht erkennen, wenn man es anschaut. Die Website der Commonwealth Bank nennt ihr Online-Banking-System Netbank. Die oben gezeigte sichere Seite bei netbank.com sieht legitim aus. Wenn Sie sich nicht sicher sind, kann ein kurzer Blick auf die Whois-Daten der Domain bei Ihrer Entscheidung helfen. Ich denke, wir sind uns einig, dass es sehr unwahrscheinlich ist, dass die Website der Commonwealth Bank ihr Hosting bei CrazyDomains.com parkt.
Betrachten Sie die Quelle
Du hast es schon eine Million Mal gehört. Klicken Sie nicht auf Links in E-Mail-Nachrichten von Personen, die Sie nicht kennen. Klicken Sie nicht auf Links in Nachrichten von Personen, die Sie kennen , da diese möglicherweise gehackt wurden. Das ist ein guter Rat! Wenn Sie auf einen zufälligen Link klicken, können Sie zu einer Malware-Hosting-Site oder zu einem Betrugsversuch gelangen. Wenn Sie der Link zu einer Anmeldeseite führt, ist es besonders wichtig, die Quelle zu berücksichtigen.
Es ist denkbar, dass Sie eine E-Mail-Nachricht von Ihrer Bank erhalten, obwohl viele Banken diese Form der Kommunikation meiden. Wenn Sie auf einen Link auf einer nicht verwandten Website geklickt haben und beim Login für die Bank of Armorica gelandet sind, stehen die Chancen sehr gut, dass es sich um eine Fälschung handelt.
Unsere am besten bewerteten Antivirus-Dienstprogramme
Alle anzeigen (4 Artikel)
Aber was ist, wenn Ihre Bank, der IRS oder PayPal wirklich versucht, Sie wegen eines Problems mit Ihrem Konto zu erreichen? Die Lösung ist einfach: Überspringen Sie den Link und melden Sie sich direkt beim Dienst an, wie Sie es normalerweise tun würden.
Holen Sie sich Hilfe beim Kampf gegen Phishing
Die Betrüger auszutricksen, ihre heimtückischsten Tricks zu entdecken, gibt Ihnen sicher ein gutes Gefühl. Aber morgen sind Sie vielleicht nicht mehr so scharfsinnig, also lohnt es sich, Hilfe im Kampf gegen Phishing-Betrug in Anspruch zu nehmen. Moderne Browser haben einen eingebauten Schutz vor betrügerischen Seiten und leisten gute Arbeit. Die meisten Antiviren- und Sicherheitssuite-Produkte fügen ihren eigenen Schutz gegen Phishing hinzu; Die besten von ihnen erzielen in unseren Tests Bewertungen von bis zu 100 Prozent Schutz.
Die Verwendung eines Passwort-Managers hilft Ihnen auch, sich vor Betrug zu schützen. Bei den meisten dieser Produkte können Sie eine sichere Website besuchen und sich mit einem einzigen Klick anmelden. Und wenn Sie es irgendwie schaffen, auf eine betrügerische Seite zu gelangen, ist die Tatsache, dass Ihr Passwort-Manager die gespeicherten Anmeldeinformationen nicht ausfüllt, ein großes Warnsignal.
Die klügsten Internetnutzer verwenden ein virtuelles privates Netzwerk oder VPN für ihre Online-Aktivitäten. Die Verwendung eines VPN schützt Ihre Daten während der Übertragung, da die Daten in verschlüsselter Form zum VPN-Server gelangen. Es bietet auch einen gewissen Schutz vor Cyber-Stalking, da Ihr Datenverkehr anscheinend vom VPN-Server und nicht von Ihrer lokalen IP-Adresse kommt. Aber das Leiten des Webverkehrs über ein VPN hilft überhaupt nicht gegen Phishing. Wenn Sie den Besitzern einer Phishing-Site Ihre Zugangsdaten geben, spielt es keine Rolle, wie sie dorthin gelangt sind. Phishing-Angriffe zielen auf Sie ab, nicht auf Ihre Geräte oder Kommunikationssysteme.
Phishing ist weiter verbreitet, als Sie vielleicht denken. Um die Bilder für diesen Artikel zu erhalten, habe ich mir einfach die letzten fünf oder sechs Dutzend verifizierter Betrugsversuche von einer beliebten Phish-Tracking-Site geholt und sie durchgearbeitet, um nach guten Beispielen zu suchen. Ja, betrügerische Seiten werden schnell auf die schwarze Liste gesetzt, aber die Betrüger schließen einfach und tauchen mit einer neuen Betrugsseite auf.
Schützen Sie sich vor Phishing
Nutzen Sie verfügbare Ressourcen wie Passwort-Manager und das Phishing-Erkennungssystem in Ihrem Antivirenprogramm, um den Schmerz zu vermeiden, dass Sie Ihr dringend benötigtes Geld betrügen, oder die Peinlichkeit, Ihre sensiblen Daten einem Betrüger preiszugeben. Aber halten Sie Ihre eigenen Augen offen, um jeden Betrug zu erkennen, der durchkommt. Wenn eine Seite von einem verdächtigen Link kommt, wenn es keine HTTPS-Sperre in der Adressleiste gibt, wenn es in irgendeiner Weise falsch aussieht, berühren Sie es nicht! Ihre Wachsamkeit wird sich auszahlen.