“ Parabéns^{(Congratulations)} ! Você ganhou n milhões de dólares^(Dollars) . Envie-nos seus dados bancários.” Se você estiver na Internet , talvez tenha visto esses e-mails em sua caixa de entrada ou caixa de correio de lixo eletrônico. Esses e-mails são chamados de phishing: um crime cibernético em que os criminosos usam tecnologia de computador para roubar dados de vítimas que podem ser pessoas físicas ou empresas. Esta folha de dicas de phishing^{(Phishing cheat sheet)} é uma tentativa de fornecer a você o máximo de conhecimento sobre esse crime cibernético para que você não se torne uma vítima do crime. Também discutimos os tipos de Phishing^{(types of Phishing)} .

O que é phishing?

Phishing é um crime cibernético em que os criminosos atraem as vítimas, com a intenção de roubar os dados da vítima, usando e-mails e mensagens de texto falsos. Principalmente, é feito por campanhas de e-mail em massa. Eles usam IDs^(IDs) de e -mail temporários e servidores temporários, então fica difícil para as autoridades capturá-los. Eles têm um modelo geral que é enviado para centenas de milhares de destinatários para que pelo menos alguns possam ser enganados. Saiba como identificar ataques de phishing^{(how to identify phishing attacks)} .

Por que é chamado de phishing?

Você sabe sobre a pesca. Na pesca da vida real, o pescador coloca uma isca para poder pegar os peixes quando estes estiverem enganchados na vara de pescar. Na Internet também, eles usam a isca na forma de uma mensagem que pode ser convincente e parece genuína. Como os criminosos usam uma isca, isso é chamado de phishing. Significa pesca de senha, que agora é chamada de phishing.

A isca pode ser uma promessa de dinheiro ou qualquer mercadoria que possa obrigar qualquer usuário final a clicar na isca. Às vezes, a isca é diferente (por exemplo, ameaça ou urgência) e exige ação, como clicar em links dizendo que você precisa autorizar novamente sua conta na Amazon , Apple ou PayPal .

Como pronunciar phishing

É pronunciado como PH-ISHING. 'PH' como em Pescaria^(F) .

Quão comum é o phishing?

Ataques de phishing são mais comuns que malware. Isso quer dizer que cada vez mais cibercriminosos estão envolvidos em phishing em comparação com aqueles que espalham malware usando e-mails, sites falsos ou anúncios falsos em sites genuínos.

Atualmente, os kits de phishing são vendidos on-line para que praticamente qualquer pessoa com algum conhecimento de redes possa comprá-los e usá-los para tarefas ilegais. Esses kits de phishing fornecem tudo, desde a clonagem de um site até a compilação de um e-mail ou texto atraente.

Tipos de phishing

Existem muitos tipos de phishing. Alguns dos mais populares são:

1. E-mails regulares gerais^(General) solicitando seus dados pessoais são a forma mais usada de phishing
2. Spear phishing
3. Golpes de caça às baleias
4. Smishing (phishing SMS) e Vishing
5. Golpes de QRishing
6. Tabnabbing

1] Phishing geral

Em sua forma mais básica de phishing, você encontra e-mails e textos alertando você sobre algo enquanto pede para você clicar em um link. Em alguns casos, eles pedem que você abra o anexo no e-mail que eles enviaram para você.

Na linha de assunto do e-mail, os cibercriminosos atraem você para abrir o e-mail ou texto. Às vezes, o assunto é que uma de suas contas online precisa ser atualizada e parece urgente.

No corpo do e-mail ou texto, há algumas informações convincentes que são falsas, mas críveis, e terminam com um apelo à ação: solicitando que você clique no link fornecido no e-mail ou texto de phishing. As mensagens de texto^(Text) são mais perigosas porque usam URLs abreviados cujo destino ou link completo não podem ser verificados sem clicar neles quando você os lê no telefone. Pode haver qualquer aplicativo em qualquer lugar que possa ajudar a verificar o URL completo , mas ainda não conheço nenhum.

2] Spear phishing

Refere-se ao phishing direcionado em que os alvos são funcionários de casas comerciais. Os cibercriminosos obtêm seus IDs de local de trabalho e enviam os e-mails de phishing falsos para esses endereços. Ele aparece como um e-mail de alguém no topo da escada corporativa, criando pressa suficiente para respondê-los... ajudando assim os cibercriminosos a invadir a rede da casa de negócios. Leia tudo sobre spear phishing aqui. O link também contém alguns exemplos de spear phishing.

3] Baleação

Whaling é semelhante ao spear phishing. A única diferença entre Whaling e Spear phishing é que o spear phishing pode atingir qualquer funcionário, enquanto o Whaling é usado para atingir determinados funcionários privilegiados. O método é o mesmo. Os cibercriminosos obtêm os IDs de e-mail oficiais e os números de telefone das vítimas e enviam a eles um e-mail ou texto convincente que envolve algum pedido de ação que pode abrir a intranet corporativa^{(corporate intranet)} para dar acesso à porta dos fundos. Leia mais sobre ataques de phishing Whaling^{(Whaling phishing attacks)} .

4] Smishing e Vishing

Quando os cibercriminosos usam o serviço de mensagens curtas ( SMS ) para pescar detalhes pessoais das vítimas, isso é conhecido como SMS phishing ou Smishing. Leia sobre os detalhes de Smishing e Vishing .

5] Golpes de QRishing

Os códigos QR não são novos. Quando as informações devem ser mantidas curtas e secretas, os códigos QR são os melhores para implementar. Você já deve ter visto códigos QR em diferentes gateways de pagamento, anúncios bancários ou simplesmente no WhatsApp Web . Esses códigos contêm informações na forma de um quadrado com preto espalhado por toda parte. Como não se sabe todas as informações que um código QR fornece, é sempre melhor ficar longe de fontes desconhecidas dos códigos. Ou seja, se você receber um código QR em um e-mail ou texto de uma entidade que você não conhece, não os digitalize. Leia mais sobre fraudes QRishing em smartphones.

6] Tabnabbing

Tabnabbing altera uma página legítima que você estava visitando, para uma página fraudulenta, quando você visita outra guia. Digamos:

1. Você navega para um site genuíno.
2. Você abre outra guia e navega no outro site.
3. Depois de um tempo, você volta para a primeira guia.
4. Você é recebido com novos detalhes de login, talvez para sua conta do Gmail .
5. Você faz login novamente, sem suspeitar que a página, incluindo o favicon, realmente mudou pelas suas costas!

Isso é Tabnabbing , também chamado de Tabjacking^(Tabjacking) .

Existem alguns outros tipos de phishing que não são muito usados ​​hoje em dia. Eu não os nomeei neste post. Os métodos usados ​​para phishing continuam adicionando novas técnicas ao crime. Conheça os diferentes tipos de crimes cibernéticos se estiver interessado.

Identificando e-mails e textos de phishing

Embora os cibercriminosos tomem todas as medidas para induzi-lo a clicar em seus links ilegais para que possam roubar seus dados, existem alguns indicadores que informam que o e-mail é falso.

Na maioria dos casos, os caras do phishing usam um nome familiar para você. Pode ser o nome de qualquer banco estabelecido ou qualquer outra casa corporativa, como Amazon , Apple , eBay, etc. Procure o ID de e-mail.

Os criminosos de phishing não usam e-mails permanentes como Hotmail , Outlook e Gmail , etc. provedores de hospedagem de e-mail populares. Eles usam servidores de e-mail temporários, então qualquer coisa de uma fonte desconhecida é suspeita. Em alguns casos, os cibercriminosos tentam falsificar os IDs de e-mail usando um nome comercial – por exemplo, [email protected] O ID do e-mail contém o nome da Amazon , mas se você olhar mais de perto, não é dos servidores da Amazon , mas de algum e-mail falso servidor .com.

Portanto, se um e-mail de http://axisbank.com vier de um ID de e-mail que diz [email protected] , você precisa ter cuidado. Além disso, procure por erros de ortografia. No exemplo do Axis Bank , se o ID do email vier de axsbank.com, é um email de phishing.

PhishTank irá ajudá-lo a verificar ou denunciar sites de Phishing

Precauções para phishing

A seção acima falou sobre a identificação de e-mails e textos de phishing. Na base de todas as precauções está a necessidade de verificar a origem do e-mail em vez de simplesmente clicar nos links do e-mail. Não forneça suas senhas e perguntas de segurança a ninguém. Veja o ID de e-mail do qual o e-mail foi enviado.

Se for uma mensagem de um amigo, você sabe, você pode querer confirmar se ele realmente enviou. Você pode ligar para ele e perguntar se ele enviou uma mensagem com um link.

Nunca clique em links em e-mails de fontes que você não conhece. Mesmo para e-mails que pareçam genuínos, suponhamos da Amazon , não clique no link^{(do not click on the lin)} . Em vez disso, abra um navegador e digite o URL do Amazon . A partir daí, você pode verificar se realmente precisa enviar algum dado para a entidade.

Alguns links vêm dizendo que você precisa verificar sua inscrição. Veja se você se inscreveu em algum serviço recentemente. Se não se lembrar, esqueça o link do e-mail.

E se eu clicar em um link de phishing?

Feche o navegador imediatamente. Não toque ou insira nenhuma informação caso não consiga fechar o navegador, como no navegador padrão de alguns smartphones. Feche manualmente cada guia desses navegadores. Lembre^(Remember) -se de não fazer login em nenhum de seus aplicativos até que você execute uma varredura usando BitDefender ou Malwarebytes . Existem alguns aplicativos pagos também que você pode usar.

O mesmo vale para computadores. Se você clicar em um link, o navegador será iniciado e algum tipo de site duplicado aparecerá. Não toque ou toque em qualquer lugar no navegador. Basta^(Just) clicar no botão fechar o navegador ou usar o Gerenciador de Tarefas do Windows^{(Windows Task Manager)} para fechar o mesmo. Execute uma verificação antimalware antes de usar outros aplicativos no computador.

Leia^(Read) : Onde denunciar sites de fraudes online, spam e phishing ?

Por favor, comente e deixe-nos saber se eu deixei de fora alguma coisa nesta folha de dicas de phishing.^{(Please comment and let us know if I left out anything in this phishing cheat sheet.)}

Types of Phishing - Cheat Sheet and Things you need to know

“Congratulations! You hаve won n million Dollars. Send us your bаnk detailѕ.” If you are on Internet, you might have seen such emails in your inbox or junk mailbox. Such emails are called phishing: a cyber-crime wherein criminals use computer technоlogу to steal data from victims that can be individuals or corporate business houseѕ. Thіs Phishing cheat sheet is an attempt to provide you with max knowledge about this cyber-crime so that you don’t become a victim of the crime. We also discuss the types of Phishing.

What is phishing?

Phishing is a cybercrime where criminals lure victims, with an intention to steal victim’s data, using fake emails and text messages. Mainly, it is done by mass email campaigns. They use temporary email IDs and temporary servers, so it becomes hard for authorities to nab them. They have a general template that is sent to hundreds of thousands of recipients so that at least a few can be tricked. Learn how to identify phishing attacks.

Why is it called phishing?

You know about fishing. In real life fishing, the fisherman sets a bait so that he can catch fish when the latter are hooked to the fishing rod. On the Internet too, they use bait in the form of a message that can be convincing and appears genuine. Since the criminals use a bait, it is called phishing. It stands for password fishing which is now referred to as phishing.

The bait could be a promise of money or any goods that could compel any end-user to click on the bait. Sometimes, the bait is different (for example, threat or urgency) and calls for action like clicking links saying you have to re-authorize your account at Amazon, Apple, or PayPal.

How to pronounce phishing?

It is pronounced as PH-ISHING. ‘PH’as in Fishing.

How common is phishing?

Phishing attacks are more common than malware. This is to say that more and more cybercriminals are engaged in phishing compared to those who spread malware using emails, fake websites, or fake advertisements on genuine websites.

These days, phishing kits are sold online so practically anyone with some knowledge of networks can buy them and use them for illegal tasks. These phishing kits provide everything from cloning a website to compiling a compelling email or text.

Types of phishing

There are many types of phishing. Some of the popular ones are:

1. General regular emails asking you your personal details are the most used form of phishing
2. Spear phishing
3. Whaling scams
4. Smishing (SMS phishing) and Vishing
5. QRishing scams
6. Tabnabbing

1] General Phishing

In its most basic form of phishing, you encounter emails and texts cautioning you about something while asking you to click a link. In some cases, they ask you to open the attachment in the email they sent to you.

In the email subject line, the cybercriminals lure you into opening the email or text. Sometimes, the subject line is that one of your online accounts needs updating and sounds urgent.

In the body of the email or text, there is some compelling information that is fake but believable and then ends with a call to action: asking you to click on the link they provide in the phishing email or text. Text messages are more dangerous because they use shortened URLs whose destination or full link can’t be checked without clicking on them when you read them on the phone. There may be any app anywhere that may help with checking out the full URL but there’s none I am aware of yet.

2] Spear phishing

Refers to targeted phishing where the targets are employees of business houses. The cybercriminals get their workplace IDs and send the fake phishing emails to those addresses. It appears as an email from someone top on the corporate ladder, creating enough hurry to reply to them… thereby helping the cybercriminals with breaking into the network of the business house. Read all about spear phishing here. The link also contains some examples of spear phishing.

3] Whaling

Whaling is similar to spear phishing. The only difference between Whaling and Spear phishing is that spear-phishing can target any employee, while whaling is used to target certain privileged employees. The method is the same. The cybercriminals get the official email IDs and phone numbers of the victims and send them a compelling email or text that involves some call for action that might open the corporate intranet to give the back-door access. Read more about Whaling phishing attacks.

4] Smishing and Vishing

When cybercriminals use short messaging service (SMS) to fish out personal details of victims, it is known as SMS phishing or Smishing for short. Read about Smishing and Vishing details.

5] QRishing scams

QR codes are not new. When information is supposed to be kept short and secret, QR codes are the best to implement. You may have seen QR codes on different payment gateways, bank adverts, or simply on WhatsApp Web. These codes contain information in the form of a square with black scattered all over it. Since it is not known what all information a QR code provides, it is always best to stay away from unknown sources of the codes. That is to say that if you receive a QR code in an email or text from an entity that you do not know, don’t scan them. Read more about QRishing scams on smartphones.

6] Tabnabbing

Tabnabbing changes a legitimate page you were visiting, to a fraudulent page, once you visit another tab. Let’s say:

1. You navigate to a genuine website.
2. You open another tab and browse the other site.
3. After a while, you come back to the first tab.
4. You are greeted with fresh login details, maybe to your Gmail account.
5. You login again, not suspecting that the page, including the favicon, has actually changed behind your back!

This is Tabnabbing, also called Tabjacking.

There are some other types of phishing that are not used much nowadays. I have not named them in this post. The methods used for phishing keep on adding new techniques to the crime. Know the different types of cybercrimes if interested.

Identifying phishing emails and texts

While the cybercriminals take all measures to trick you into clicking their illegal links so that they can steal your data, there are a few pointers that give out a message that the email is fake.

In most cases, the phishing guys use a name familiar to you. It can be the name of any established bank or any other corporate house such as Amazon, Apple, eBay, etc. Look for the email ID.

Phishing criminals do not use permanent email like Hotmail, Outlook, and Gmail, etc. popular email hosting providers. They use temporary email servers, so anything from an unknown source is suspicious. In some cases, the cybercriminals try to spoof email IDs by using a business name—for example, [email protected] The email ID contains the name of Amazon, but if you look closer, it is not from Amazon’s servers but some fakeemail.com server.

So, if a mail from http://axisbank.com comes from an email ID that says [email protected], you need to exercise caution. Also, look for spelling errors. In the Axis Bank example, if the email ID comes from axsbank.com, it is a phishing email.

PhishTank will help you verify or report Phishing websites

Precautions for phishing

The above section talked about identifying phishing emails and texts. At the base of all precautions is the need to check the origin of email instead of simply clicking on the links in the email. Do not give out your passwords and security questions to anyone. Look at the email ID from which the email was sent.

If it is a text from a friend, you know, you might want to confirm if he or she had sent it really. You could call him and ask him if he sent a message with a link.

Never click on links in emails from sources you do not know. Even for emails that appear genuine, suppose from Amazon, do not click on the link. Instead, open a browser and type out the URL of Amazon. From there, you can check if you actually need to send any details to the entity.

Some links come in saying you have to verify your sign up. See if you signed up for any service recently. If you cannot remember, forget the email link.

What if I clicked on a phishing link?

Close the browser immediately. Do not touch or enter any information in case of not being able to close the browser, like in some smartphones’ default browser. Manually close each tab of such browsers. Remember not to log in to any of your apps until you run a scan using BitDefender or Malwarebytes. There are some paid apps too that you can use.

The same goes for computers. If you clicked a link, the browser would be launched, and some sort of duplicate website would appear. Don’t tap or touch anywhere on the browser. Just click on the close browser button or use the Windows Task Manager to close the same. Run an antimalware scan before using other applications on the computer.

Read: Where to report Online Scams, Spam and Phishing websites?

Please comment and let us know if I left out anything in this phishing cheat sheet.

Related posts

• Como evitar o Phishing Scams and Attacks?

• O que são golpes baleando e como proteger sua empresa

• O que é phishing e como identificar ataques de phishing?

• O que estão estacionados Domains and Sinkhole Domains?

• Avoid Online Shopping Fraud & Holiday Season Scams

• Apple Pay não funciona? 15 coisas para tentar

• 5 coisas legais que você pode fazer com RAM antiga

• Google Assistente não está funcionando? 13 coisas para tentar

• Como criar Video Contact Sheet em Windows 10

• 5 coisas divertidas e nerds que você pode fazer com o cliente Telnet

• Como imprimir um Contact Sheet de Photos em Windows 10

• Devo comprar ou construir um PC? 10 coisas a considerar

• 5 coisas legais que você pode fazer com o aplicativo Automator no macOS

• 13 coisas legais que você pode fazer com o Google Chromecast

• O que é phishing de spear? Explicação, Examples, Protection

• Mouse sem fio não funciona? 17 coisas a verificar

• Internet de Things (IoT) - Perguntas frequentes (FAQ)

• iPhone ficando quente? 8 correções para esfriar as coisas

• Lanterna não funciona no seu iPad Pro? 9 coisas para tentar

• Coisas úteis que você não sabia que poderia fazer com o toque traseiro no iPhone