“ Xin chúc mừng^{(Congratulations)} ! Bạn đã giành được n triệu đô la^(Dollars) . Gửi cho chúng tôi chi tiết ngân hàng của bạn. ” Nếu bạn đang sử dụng Internet^(Internet) , bạn có thể đã thấy những email như vậy trong hộp thư đến hoặc hộp thư rác của mình. Những email như vậy được gọi là lừa đảo: một tội phạm mạng, trong đó bọn tội phạm sử dụng công nghệ máy tính để đánh cắp dữ liệu từ nạn nhân có thể là cá nhân hoặc nhà kinh doanh công ty. Bảng lừa đảo lừa đảo^{(Phishing cheat sheet)} này là một nỗ lực cung cấp cho bạn kiến ​​thức tối đa về tội phạm mạng này để bạn không trở thành nạn nhân của tội phạm. Chúng tôi cũng thảo luận về các loại Lừa đảo^{(types of Phishing)} .

Lừa đảo là gì?

Phishing là một loại tội phạm mạng mà bọn tội phạm dụ dỗ nạn nhân, với ý định đánh cắp dữ liệu của nạn nhân, sử dụng email và tin nhắn văn bản giả mạo. Chủ yếu, nó được thực hiện bằng các chiến dịch email hàng loạt. Họ sử dụng các ID^(IDs) email tạm thời và máy chủ tạm thời, vì vậy chính quyền khó có thể truy bắt họ. Họ có một mẫu chung được gửi đến hàng trăm nghìn người nhận để ít nhất một vài người có thể bị lừa. Tìm hiểu cách xác định các cuộc tấn công lừa đảo^{(how to identify phishing attacks)} .

Tại sao nó được gọi là lừa đảo?

Bạn biết về câu cá. Trong câu cá ngoài đời thực, người câu cá đặt một cái mồi để anh ta có thể bắt cá khi những con cá sau mắc vào cần câu. Trên Internet cũng vậy, họ sử dụng mồi nhử dưới dạng một thông điệp có thể thuyết phục và có vẻ chân thực. Kể từ khi bọn tội phạm sử dụng một mồi, nó được gọi là lừa đảo. Nó là viết tắt của câu mật khẩu mà bây giờ được gọi là lừa đảo.

Mồi có thể là một lời hứa về tiền hoặc bất kỳ hàng hóa nào có thể buộc bất kỳ người dùng cuối nào nhấp vào mồi. Đôi khi, mồi nhử là khác nhau (ví dụ: đe dọa hoặc khẩn cấp) và các yêu cầu hành động như nhấp vào liên kết nói rằng bạn phải ủy quyền lại tài khoản của mình tại Amazon , Apple hoặc PayPal .

Làm thế nào để phát âm lừa đảo?

Nó được phát âm là PH-ISHING. 'PH' có trong F ishing.

Lừa đảo phổ biến như thế nào?

Các cuộc tấn công lừa đảo phổ biến hơn phần mềm độc hại. Điều này nói lên rằng ngày càng có nhiều tội phạm mạng tham gia vào hoạt động lừa đảo so với những kẻ phát tán phần mềm độc hại bằng cách sử dụng email, trang web giả mạo hoặc quảng cáo giả mạo trên các trang web chính hãng.

Ngày nay, bộ dụng cụ lừa đảo được bán trực tuyến nên thực tế bất kỳ ai có một số kiến ​​thức về mạng đều có thể mua chúng và sử dụng chúng cho các nhiệm vụ bất hợp pháp. Các bộ công cụ lừa đảo này cung cấp mọi thứ, từ sao chép trang web đến soạn email hoặc văn bản hấp dẫn.

Các loại lừa đảo

Có nhiều kiểu lừa đảo. Một số trong số những cái phổ biến là:

1. Các^(General) email thông thường thường hỏi bạn chi tiết cá nhân của bạn là hình thức lừa đảo được sử dụng nhiều nhất
2. Spear lừa đảo
3. Lừa đảo cá voi
4. Smishing (lừa đảo qua SMS) và Vishing
5. QRTD lừa đảo
6. Tabnabbing

1] Lừa đảo chung

Trong hình thức lừa đảo cơ bản nhất, bạn gặp phải email và tin nhắn cảnh báo bạn về điều gì đó trong khi yêu cầu bạn nhấp vào liên kết. Trong một số trường hợp, họ yêu cầu bạn mở tệp đính kèm trong email mà họ đã gửi cho bạn.

Trong dòng tiêu đề email, tội phạm mạng dụ bạn mở email hoặc văn bản. Đôi khi, dòng tiêu đề là một trong những tài khoản trực tuyến của bạn cần cập nhật và có vẻ khẩn cấp.

Trong phần nội dung của email hoặc văn bản, có một số thông tin hấp dẫn tuy giả mạo nhưng đáng tin cậy và sau đó kết thúc bằng lời kêu gọi hành động: yêu cầu bạn nhấp vào liên kết mà họ cung cấp trong email hoặc văn bản lừa đảo. Tin^(Text) nhắn văn bản nguy hiểm hơn vì chúng sử dụng các URL^(URLs) rút gọn có liên kết đích hoặc liên kết đầy đủ không thể kiểm tra được nếu không nhấp vào chúng khi bạn đọc chúng trên điện thoại. Có thể có bất kỳ ứng dụng nào ở bất kỳ đâu có thể giúp kiểm tra URL đầy đủ nhưng tôi vẫn chưa biết gì.

2] Phishing Spear

Đề cập đến hành vi lừa đảo có mục tiêu trong đó mục tiêu là nhân viên của các nhà kinh doanh. Tội phạm mạng lấy ID^(IDs) nơi làm việc của họ và gửi các email lừa đảo giả mạo đến các địa chỉ đó. Nó xuất hiện dưới dạng một email từ một người nào đó đứng đầu trong bậc thang của công ty, tạo ra đủ nhanh để trả lời họ… do đó giúp tội phạm mạng đột nhập vào mạng của doanh nghiệp. Đọc tất cả về lừa đảo trực tuyến^{( spear phishing)} tại đây. Liên kết cũng chứa một số ví dụ về lừa đảo trực tuyến.

3] Cá voi

Whaling tương tự như trò lừa đảo bằng giáo. Sự khác biệt duy nhất giữa lừa đảo trực tuyến Whaling và Spear là lừa đảo trực tuyến có thể nhắm mục tiêu vào bất kỳ nhân viên nào, trong khi đánh cá voi được sử dụng để nhắm mục tiêu một số nhân viên có đặc quyền. Phương pháp cũng giống nhau. Tội phạm mạng lấy được ID^(IDs) email chính thức và số điện thoại của các nạn nhân rồi gửi cho họ một email hoặc văn bản hấp dẫn liên quan đến một số lời kêu gọi hành động có thể mở mạng nội bộ của công ty^{(corporate intranet)} để cấp quyền truy cập cửa sau. Đọc thêm về các cuộc tấn công lừa đảo trực tuyến Whaling^{(Whaling phishing attacks)} .

4] Đánh và nhìn

Khi tội phạm mạng sử dụng dịch vụ nhắn tin ngắn ( SMS ) để tìm thông tin cá nhân của nạn nhân, nó được gọi là SMS lừa đảo hoặc Smishing. Đọc chi tiết về Smishing và Vishing .

5] Đánh lừa lừa đảo

Mã QR không phải là mới. Khi thông tin được cho là được giữ bí mật và ngắn gọn, mã QR là cách tốt nhất để thực hiện. Bạn có thể đã thấy mã QR trên các cổng thanh toán khác nhau, quảng cáo của ngân hàng hoặc đơn giản là trên WhatsApp Web . Các mã này chứa thông tin dưới dạng một hình vuông với màu đen nằm rải rác trên đó. Vì không thể biết tất cả thông tin mã QR cung cấp là gì, nên tốt nhất bạn nên tránh xa các nguồn không xác định của mã. Điều đó có nghĩa là nếu bạn nhận được mã QR trong email hoặc văn bản từ một thực thể mà bạn không biết, đừng quét chúng. Đọc thêm về trò gian lận QRTD trên điện thoại thông minh.

6] Tabnabbing

Tabnab sẽ thay đổi một trang hợp pháp mà bạn đang truy cập, thành một trang lừa đảo, khi bạn truy cập vào một tab khác. Hãy cùng nói nào:

1. Bạn điều hướng đến một trang web chính hãng.
2. Bạn mở một tab khác và duyệt qua trang web khác.
3. Sau một lúc, bạn quay lại tab đầu tiên.
4. Bạn được chào đón với các chi tiết đăng nhập mới, có thể vào tài khoản Gmail của bạn .
5. Bạn đăng nhập lại, không nghi ngờ rằng trang, bao gồm cả biểu tượng yêu thích, đã thực sự thay đổi sau lưng bạn!

Đây là Tabnabbing , còn được gọi là Tabjacking .

Có một số hình thức lừa đảo khác không được sử dụng nhiều hiện nay. Tôi đã không nêu tên chúng trong bài đăng này. Các phương pháp được sử dụng để lừa đảo tiếp tục bổ sung các kỹ thuật mới cho tội phạm. Biết các loại tội phạm mạng khác nhau nếu quan tâm.

Xác định email và văn bản lừa đảo

Mặc dù tội phạm mạng thực hiện mọi biện pháp để lừa bạn nhấp vào các liên kết bất hợp pháp của chúng để chúng có thể lấy cắp dữ liệu của bạn, nhưng có một số gợi ý đưa ra thông báo rằng email đó là giả mạo.

Trong hầu hết các trường hợp, những kẻ lừa đảo sử dụng một cái tên quen thuộc với bạn. Nó có thể là tên của bất kỳ ngân hàng đã thành lập nào hoặc bất kỳ công ty nào khác như Amazon , Apple , eBay, v.v. Hãy tìm ID email.

Tội phạm lừa đảo không sử dụng email vĩnh viễn như Hotmail , Outlook và Gmail , v.v. các nhà cung cấp dịch vụ lưu trữ email phổ biến. Họ sử dụng máy chủ email tạm thời, vì vậy bất kỳ thứ gì từ một nguồn không xác định đều đáng ngờ. Trong một số trường hợp, tội phạm mạng cố gắng giả mạo ID^(IDs) email bằng cách sử dụng tên doanh nghiệp — ví dụ: [email được bảo vệ] ID email chứa tên của Amazon , nhưng nếu bạn nhìn kỹ hơn, nó không phải từ máy chủ của Amazon mà là một số email giả mạo. Máy chủ .com.

Vì vậy, nếu một thư từ http://axisbank.com đến từ một ID email cho biết [email được bảo vệ] , bạn cần phải thận trọng. Ngoài ra, hãy tìm lỗi chính tả. Trong ví dụ về Ngân hàng Axis^{(Axis Bank)} , nếu ID email đến từ axsbank.com thì đó là email lừa đảo.

PhishTank sẽ giúp bạn xác minh hoặc báo cáo các trang web Lừa đảo

Đề phòng lừa đảo

Phần trên đã nói về việc xác định email và văn bản lừa đảo. Cơ sở của tất cả các biện pháp phòng ngừa là cần phải kiểm tra nguồn gốc của email thay vì chỉ cần nhấp vào các liên kết trong email. Không cung cấp mật khẩu và câu hỏi bảo mật của bạn cho bất kỳ ai. Xem ID email mà email đã được gửi đi.

Nếu đó là tin nhắn từ một người bạn, bạn biết đấy, bạn có thể muốn xác nhận xem họ có thực sự gửi nó hay không. Bạn có thể gọi cho anh ấy và hỏi anh ấy xem anh ấy có gửi tin nhắn kèm theo đường dẫn liên kết hay không.

Không bao giờ nhấp vào các liên kết trong email từ các nguồn mà bạn không biết. Ngay cả đối với những email có vẻ chính hãng, giả sử từ Amazon , đừng nhấp vào lin^{(do not click on the lin)} k. Thay vào đó, hãy mở trình duyệt và nhập URL của Amazon . Từ đó, bạn có thể kiểm tra xem bạn có thực sự cần gửi bất kỳ thông tin chi tiết nào cho thực thể hay không.

Một số liên kết đến nói rằng bạn phải xác minh đăng ký của mình. Xem gần đây bạn có đăng ký bất kỳ dịch vụ nào không. Nếu bạn không thể nhớ, hãy quên liên kết email.

Điều gì sẽ xảy ra nếu tôi nhấp vào một liên kết lừa đảo?

Đóng trình duyệt ngay lập tức. Không chạm hoặc nhập bất kỳ thông tin nào trong trường hợp không thể đóng trình duyệt, như trong trình duyệt mặc định của một số điện thoại thông minh. Đóng từng tab của các trình duyệt như vậy theo cách thủ công. Hãy nhớ^(Remember) không đăng nhập vào bất kỳ ứng dụng nào của bạn cho đến khi bạn quét bằng BitDefender hoặc Malwarebytes . Có một số ứng dụng trả phí mà bạn có thể sử dụng.

Đối với máy tính cũng vậy. Nếu bạn nhấp vào một liên kết, trình duyệt sẽ được khởi chạy và một số loại trang web trùng lặp sẽ xuất hiện. Không nhấn hoặc chạm vào bất kỳ đâu trên trình duyệt. Chỉ cần^(Just) nhấp vào nút đóng trình duyệt hoặc sử dụng Trình quản lý tác vụ Windows^{(Windows Task Manager)} để đóng lại. Chạy quét phần mềm chống phần mềm độc hại trước khi sử dụng các ứng dụng khác trên máy tính.

Đọc^(Read) : Báo cáo các trang web Lừa đảo, Thư rác và Lừa đảo Trực tuyến ở đâu?

Vui lòng bình luận và cho chúng tôi biết nếu tôi bỏ sót bất cứ điều gì trong trang gian lận lừa đảo này.^{(Please comment and let us know if I left out anything in this phishing cheat sheet.)}

Types of Phishing - Cheat Sheet and Things you need to know

“Сongratulations! You have won n million Dollars. Send υѕ your bank details.” If you are on Internet, you might havе seen such emails in уour inbox or junk mailbоx. Such emails are called phishing: a cyber-crime wherein criminals use cоmputer technology to steal data from victims that can be individuals оr corporate business houseѕ. This Phishing cheat sheet is an attempt to provide you with max knowledge about this cyber-crime so that you don’t become a victim of the crime. We also discuss the types of Phishing.

What is phishing?

Phishing is a cybercrime where criminals lure victims, with an intention to steal victim’s data, using fake emails and text messages. Mainly, it is done by mass email campaigns. They use temporary email IDs and temporary servers, so it becomes hard for authorities to nab them. They have a general template that is sent to hundreds of thousands of recipients so that at least a few can be tricked. Learn how to identify phishing attacks.

Why is it called phishing?

You know about fishing. In real life fishing, the fisherman sets a bait so that he can catch fish when the latter are hooked to the fishing rod. On the Internet too, they use bait in the form of a message that can be convincing and appears genuine. Since the criminals use a bait, it is called phishing. It stands for password fishing which is now referred to as phishing.

The bait could be a promise of money or any goods that could compel any end-user to click on the bait. Sometimes, the bait is different (for example, threat or urgency) and calls for action like clicking links saying you have to re-authorize your account at Amazon, Apple, or PayPal.

How to pronounce phishing?

It is pronounced as PH-ISHING. ‘PH’as in Fishing.

How common is phishing?

Phishing attacks are more common than malware. This is to say that more and more cybercriminals are engaged in phishing compared to those who spread malware using emails, fake websites, or fake advertisements on genuine websites.

These days, phishing kits are sold online so practically anyone with some knowledge of networks can buy them and use them for illegal tasks. These phishing kits provide everything from cloning a website to compiling a compelling email or text.

Types of phishing

There are many types of phishing. Some of the popular ones are:

1. General regular emails asking you your personal details are the most used form of phishing
2. Spear phishing
3. Whaling scams
4. Smishing (SMS phishing) and Vishing
5. QRishing scams
6. Tabnabbing

1] General Phishing

In its most basic form of phishing, you encounter emails and texts cautioning you about something while asking you to click a link. In some cases, they ask you to open the attachment in the email they sent to you.

In the email subject line, the cybercriminals lure you into opening the email or text. Sometimes, the subject line is that one of your online accounts needs updating and sounds urgent.

In the body of the email or text, there is some compelling information that is fake but believable and then ends with a call to action: asking you to click on the link they provide in the phishing email or text. Text messages are more dangerous because they use shortened URLs whose destination or full link can’t be checked without clicking on them when you read them on the phone. There may be any app anywhere that may help with checking out the full URL but there’s none I am aware of yet.

2] Spear phishing

Refers to targeted phishing where the targets are employees of business houses. The cybercriminals get their workplace IDs and send the fake phishing emails to those addresses. It appears as an email from someone top on the corporate ladder, creating enough hurry to reply to them… thereby helping the cybercriminals with breaking into the network of the business house. Read all about spear phishing here. The link also contains some examples of spear phishing.

3] Whaling

Whaling is similar to spear phishing. The only difference between Whaling and Spear phishing is that spear-phishing can target any employee, while whaling is used to target certain privileged employees. The method is the same. The cybercriminals get the official email IDs and phone numbers of the victims and send them a compelling email or text that involves some call for action that might open the corporate intranet to give the back-door access. Read more about Whaling phishing attacks.

4] Smishing and Vishing

When cybercriminals use short messaging service (SMS) to fish out personal details of victims, it is known as SMS phishing or Smishing for short. Read about Smishing and Vishing details.

5] QRishing scams

QR codes are not new. When information is supposed to be kept short and secret, QR codes are the best to implement. You may have seen QR codes on different payment gateways, bank adverts, or simply on WhatsApp Web. These codes contain information in the form of a square with black scattered all over it. Since it is not known what all information a QR code provides, it is always best to stay away from unknown sources of the codes. That is to say that if you receive a QR code in an email or text from an entity that you do not know, don’t scan them. Read more about QRishing scams on smartphones.

6] Tabnabbing

Tabnabbing changes a legitimate page you were visiting, to a fraudulent page, once you visit another tab. Let’s say:

1. You navigate to a genuine website.
2. You open another tab and browse the other site.
3. After a while, you come back to the first tab.
4. You are greeted with fresh login details, maybe to your Gmail account.
5. You login again, not suspecting that the page, including the favicon, has actually changed behind your back!

This is Tabnabbing, also called Tabjacking.

There are some other types of phishing that are not used much nowadays. I have not named them in this post. The methods used for phishing keep on adding new techniques to the crime. Know the different types of cybercrimes if interested.

Identifying phishing emails and texts

While the cybercriminals take all measures to trick you into clicking their illegal links so that they can steal your data, there are a few pointers that give out a message that the email is fake.

In most cases, the phishing guys use a name familiar to you. It can be the name of any established bank or any other corporate house such as Amazon, Apple, eBay, etc. Look for the email ID.

Phishing criminals do not use permanent email like Hotmail, Outlook, and Gmail, etc. popular email hosting providers. They use temporary email servers, so anything from an unknown source is suspicious. In some cases, the cybercriminals try to spoof email IDs by using a business name—for example, [email protected] The email ID contains the name of Amazon, but if you look closer, it is not from Amazon’s servers but some fakeemail.com server.

So, if a mail from http://axisbank.com comes from an email ID that says [email protected], you need to exercise caution. Also, look for spelling errors. In the Axis Bank example, if the email ID comes from axsbank.com, it is a phishing email.

PhishTank will help you verify or report Phishing websites

Precautions for phishing

The above section talked about identifying phishing emails and texts. At the base of all precautions is the need to check the origin of email instead of simply clicking on the links in the email. Do not give out your passwords and security questions to anyone. Look at the email ID from which the email was sent.

If it is a text from a friend, you know, you might want to confirm if he or she had sent it really. You could call him and ask him if he sent a message with a link.

Never click on links in emails from sources you do not know. Even for emails that appear genuine, suppose from Amazon, do not click on the link. Instead, open a browser and type out the URL of Amazon. From there, you can check if you actually need to send any details to the entity.

Some links come in saying you have to verify your sign up. See if you signed up for any service recently. If you cannot remember, forget the email link.

What if I clicked on a phishing link?

Close the browser immediately. Do not touch or enter any information in case of not being able to close the browser, like in some smartphones’ default browser. Manually close each tab of such browsers. Remember not to log in to any of your apps until you run a scan using BitDefender or Malwarebytes. There are some paid apps too that you can use.

The same goes for computers. If you clicked a link, the browser would be launched, and some sort of duplicate website would appear. Don’t tap or touch anywhere on the browser. Just click on the close browser button or use the Windows Task Manager to close the same. Run an antimalware scan before using other applications on the computer.

Read: Where to report Online Scams, Spam and Phishing websites?

Please comment and let us know if I left out anything in this phishing cheat sheet.

Related posts

• Làm thế nào để Tránh Phishing Scams and Attacks?

• Lừa đảo Whaling & cách bảo vệ doanh nghiệp của bạn là gì

• Lừa đảo là gì và làm thế nào để xác định các cuộc tấn công lừa đảo?

• Thế nào là Đỗ Domains and Sinkhole Domains?

• Avoid Online Shopping Fraud & Holiday Season Scams

• Đèn pin không hoạt động trên iPad Pro của bạn? 9 điều nên thử

• Cách tạo Video Contact Sheet trong Windows 10

• 5 điều thú vị bạn có thể làm với ứng dụng Automator trên macOS

• Chuột không dây không hoạt động? 17 điều cần kiểm tra

• Những điều hữu ích mà bạn không biết có thể làm với tính năng Chạm ngược trên iPhone

• Trợ lý Google không hoạt động? 13 điều nên thử

• F8 không hoạt động trong Windows 10? 5 điều nên thử

• Zapier SMS: 5 Cool Things Bạn có thể làm

• Tại sao Microsoft texting tôi? Họ chính hãng hay lừa đảo?

• Tại sao điện thoại của tôi Hot? 8 điều quá nóng điện thoại của bạn

• Các tiện ích Windows 11 không hoạt động? 7 điều nên thử

• Cách nhúng Excel Sheet trên trang web của bạn

• Cách in Contact Sheet của Photos trong Windows 10

• Coronavirus COVID-19 Phishing, Scams, Frauds and Schemes

• Best Anti Cheat software miễn phí cho Windows gaming