无国界记者数字服务站(四):账号安全之钓鱼防范

2020-12-31 作者: 2049post 原文 #火光 的其它文章

无国界记者数字服务站(四):账号安全之钓鱼防范 ——

原文链接

钓鱼是指对手试图在未经用户同意的情况下获取用户的凭证,如账号登录信息。例如,可以发送电子邮件要求用户提供登录信息;或者引诱用户点击一个伪装成账户相关服务的恶意网站,但实际上该网站是对手开办的。

使得网络钓鱼攻击更加困难的关键步骤


如果你想让对手更难在网络钓鱼攻击中得逞,你可以用以下方式配置你的电子邮件程序。

  1. 禁用远程图像和元素: 对手可以使用远程图像来检测你是否以及何时打开电子邮件。当你的电子邮件程序支持时,你应该禁止显示远程元素,如图像。
  2. 禁止显示HTML邮件: 对手使用HTML格式来隐藏URL的真实地址和使用跟踪像素。如果您的电子邮件程序支持,您可以完全禁用HTML电子邮件的显示,或者启用为显示无格式文本。
  3. 启用显示完整地址: 有些电子邮件程序默认只显示显示名称,如“无国界记者”,而不是电子邮件地址。当你启用显示完整的电子邮件地址时,当显示名称与电子邮件地址不匹配时,你就更有可能侦测到。但请记住,电子邮件地址也是可以伪造的。
  4. 侦测网络钓鱼的培训 (看这里)

最后,作为一般规则: 良好的做法是永远不要点击电子邮件中的链接,而是用手输入链接指向的地址。如果你决定打破这个规则,有时是完全合理的,你应该避免在链接指向的网站上输入个人信息或密码。如果您必须这样做,您应该在点击链接之前仔细查看该链接。如果有疑问,你也可以尝试联系给你发送这个链接的人或公司,询问它是否安全! 不过,最好还是通过一些其他的沟通方式,比如电话或 messenger 来联系作者。

侦测网络钓鱼的关键问题


如果记者收到一条消息,应该问自己一些问题。

这是你正在等待的消息吗?

你不会在等待钓鱼邮件。如果发件人在你不完全期待他们的信息时与你联系,你应该始终保持怀疑。

该信息是否利用情感来引发行动?

对手只有在你做了某些事情的情况下才会成功:例如,如果你在一个虚假的网站上输入密码,或者把钱转到错误的银行账户上。为了实现这种行动,对手可能会操纵你的情绪,让你采取非理性的行动。

这是怎么发生的?下面是几个例子:

  • 恐惧:对手试图让你相信你的账户已经被黑客入侵,你必须立即做出反应以减少伤害。然后你可能会惊慌失措,没有意识到是一个假网站让你重设了密码。
  • 成功:你写了一个好故事,有人为此祝贺你。通过让你点击恶意链接或打开恶意附件,他们承诺向你展示新工作机会的细节。
  • 友谊:你收到一条自称来自好友的信息,并提到了你们最近一起做的事情。实际上,发件人是一个对手,他检查了你在社交媒体上的公共档案,因此知道你的朋友是谁。

显示名称是你所知道的地址吗?

特别是对于电子邮件,对手可以选择一个与电子邮件地址完全不同的显示名称。例如,“无国界记者”的显示名称可以很容易地加到电子邮件地址adversary@email.com。一定要检查电子邮件地址是否准确,要知道,即使是电子邮件地址也可能被对手伪造。

是否有拼写错误

通常,对手会犯拼写错误。这可能是在信息本身或地址中。例如,对手可以使用support@rnadrid.com 而不是 support@madrid.com。你看不出有什么不同吗?第一个地址说’r n a d r i d’而不是’m a d r i d’。

链接是否准确

通常情况下,对手会创建看似链接到真实网站的链接,但实际上是恶意的。例如,https://google.com.adversary.com/help/journalists/password-stolen 并不是指 google.com ,而是指对手的 .com。敌手有时也会试图隐藏HTML邮件中链接的真实地址。要想知道真正的地址,你可以将鼠标光标悬停在链接上,或者右击链接,选择“复制链接地址”,然后将其粘贴在文本编辑器中。如果你必须要点击一个链接,你应该在点击之前真的仔细看一下。你应该在钓鱼问答中训练一下。

真的需要点击附件吗?

对手可以在附件中隐藏恶意软件。只有打开恶意附件才有可能是游戏的终点。如果你不能百分之百确定附件是合法的,就千万不要点击它。

网络钓鱼测试

侦测钓鱼信息的最好方法是定期训练。有一些测验对你有帮助,例如:

● by Google

● by OpenDNS

● by SonicWall


文章版权归原作者所有。
二维码分享本站