网上诈骗
网络世界可能永远不会有完全摆脱罪犯的一天, 黑客和小偷. 你能做的最好的事情就是学会识别他们的策略,这样你就不会成为以下事情的受害者:
- 信用卡盗窃
- 弹出式广告,安装间谍软件,以获取您的个人信息
- 网络钓鱼 网站冒充真实的东西来引诱你进入他们的骗局
- 垃圾邮件, 即时消息, 以及向你的电脑传送间谍软件、危害你电脑安全的虚假网站
- 贷款欺诈, 抵押贷款欺诈, 信用额度欺诈, 信用卡诈骗, 利用消费者信用的商品和服务欺诈
网络钓鱼诈骗
骗子越来越擅长让他们的电子邮件看起来是合法的. 很难区分真实信息和危险的假信息. 这里有一些简单的事情,你可以做,以保护自己免受钓鱼者谁是出来窃取你的身份, 你的钱或你的安全:
- 学习如何区分合法的公司URL和冒名顶替的公司URL.
- 在点击链接之前,将鼠标放在所有链接上. 将鼠标悬停在链接上, 您应该看到实际的URL显示在鼠标箭头旁边或窗口的角落里. 如果实际的URL不是你认识和信任的,不要点击! 即使邮件的其他部分看起来是合法的. 不要点击未知的电子邮件链接.
- 注意电子邮件的“回复地址”. 即使这封邮件看起来是你认识的人发来的,也要看一下实际的地址.
- 永远不要点击网页登录的链接. 相反,打开一个新的浏览器窗口,自己输入公司的地址.
- 谨防恐吓战术,通知您帐户重新验证过程或配额限制. 大多数在线服务不会通过电子邮件询问你的用户名和密码.
- 不要被诱人的“奖金”、“采购订单”或“工作机会”骗局所迷惑. 你不是第999999个访客.
商业电子邮件入侵攻击(BEC)
BEC是一种高度集中的网络钓鱼攻击,网络犯罪分子冒充公司高管,试图获得员工, 客户或供应商转移资金或敏感信息. 犯罪分子通常会RESEARCH公司最近的网站登录或在社交媒体上调查员工,以便制作一个非常有说服力的信息, 让垃圾邮件过滤器(和受害者)更难发现假货.
BEC攻击可能来自已被成功钓鱼的电子邮件帐户, 或者它可能来自与真实地址相差一两个字母的类似域名. 这些紧急请求通常要求提供资金或敏感数据.
在汇款或发送数据之前一定要仔细检查, 不管邮件是谁发来的,也不管请求看起来有多重要.
欲了解更多信息,请访问 www.ic3.政府 /媒体/ 2018/180611.
比特币勒索/勒索诈骗
小心那些声称拥有你的信息并要求用比特币(或任何加密货币)付款的人的电子邮件。. 骗子可能会说他有你网络摄像头里的视频, 或者他说你访问过的下流网站的链接. 他甚至可能会拿出你的旧密码作为“证据”(这可能是他从以前的数据泄露中得到的)。. 如果你不付钱,他可能会威胁你,把这些令人尴尬的信息发给你联系人名单上的每一个人.
这是个骗局. 不要支付赎金. 当然, 如果您仍然使用显示的密码, 绝对不要再用那个密码了,马上改. 但是不要以任何方式回复邮件.
更多信息:
- http://www.消费者.联邦贸易委员会.政府 /博客/ 2018/08 / how-avoid-bitcoin-blackmail-scam
- http://www.eff.org/deeplinks/2018/07/sextortion-scam-what-do-if-you-get-latest-phishing-spam-demanding-bitcoin
礼品卡诈骗
特殊情况(如流行病), 当前事件或假日)给攻击者提供了尝试诈骗的额外机会. 在ODU, 攻击者最近模仿了我们认识的人, 创建假电子邮件账户,发送信息骗取个人信息. 下面是如何做到这一点的一个例子:
假设蓝色巨人在ITS领域工作. 攻击者可能会创建一个像bblue这样的电子邮件帐户.odu@gmail.com, 在我们的网站上找到ITS的员工名单, 然后给这些员工发邮件,索要他们的私人电话号码. 蓝色巨人的同事认出了他的名字,并做出了回应, 不知道自己把个人信息给了陌生人.
一旦攻击者有了手机号码, 员工们开始收到关于紧急事项的短信,需要用礼品卡支付. 这是个骗局. 而且原始邮件中没有恶意软件, 我们没有办法系统地发现它们是骗局.
保护自己, 总是验证你发送个人信息的人的身份, 永远不要用礼品卡付款.
如果你成为骗局的受害者,请向ODU警察局(police@aieryuwei.net or 683-4000). 你也可以在互联网犯罪投诉中心向FBI投诉, www.IC3.政府 . 如果你不小心点击了一个可疑的链接,或者认为你可能已经感染了恶意软件, 联系 ITS服务台.
其他形式的社会工程
社会工程是一种心理攻击,攻击者欺骗人们在交出个人信息时犯错误.
电话窃听丑闻
攻击者为了增加获取信息或引发不良行为的机会,会编造一个貌似可信的故事.
辩护:直接问真正的消息来源. 如果一封看似来自同事的邮件显得很可疑, 在邮件之外直接与个人核实.
鱼叉式网络钓鱼
一种有针对性的网络钓鱼攻击,旨在欺骗个人而不是广大受众. 攻击者通常在公司网站上进行RESEARCH,然后引用该公司的当前事件或活动来欺骗员工.
防御:即使消息看起来像是来自同事或其他可信任的伙伴, 在采取紧急要求的行动之前暂停一下. 寻找任何不正确的迹象——也许“来自:”的地址是你从未见过的, 或者是交流的方式和平时有点不同.
引诱
攻击者使用虚假承诺或激励贷款减免, 薪资RESEARCH, 免费的音乐, 或内部消息-作为诱骗收件人打开恶意文件或网站的诱饵.
防御:不要打开文档或点击电子邮件中的URL,除非你绝对确定它来自一个可信的合法来源.
交换条件
许诺以某种利益换取信息或行动. 一种常见的方法是冒充一个IT支持人员,他承诺提供一些支持好处,以换取密码, 执行附件或禁用防病毒功能.
防御:与诱饵类似,在执行请求之前验证来源.
百
将恶意软件注入目标个人或团体的计算机的攻击方式,将目标个人或团体定向到已被攻破的可信网站(或者可能是网站上的广告已被攻破).
防御:除了不回复可疑邮件的常规预防措施之外, 确保你的操作系统, 网络浏览器和应用程序都打了补丁,并且是最新的, 并启用可以检测恶意软件何时试图下载或执行的防病毒或端点保护.
流氓
使用伪装成杀毒软件或恶意软件删除工具的恶意软件, 通常是在错误地声称检测到恶意软件之后, 使目标因恐惧而做出反应.
防御:防病毒或端点保护可以增强信心并降低成为恶意攻击受害者的可能性.
避免社会工程计划的建议:
- 不要打开电子邮件,打开附件或遵循来自不受信任来源的电子邮件中的url. If 任何东西 看起来不太正常或者不像寄件人, 直接联系此人, 电子邮件之外, 核实消息来源.
- 不相信陌生人的提议. 如果一个提议看起来好得令人难以置信,那么它很可能是真的.
- 遵循安全的电脑操作方法和良好的电脑卫生习惯.
身份盗窃
用于身份盗窃的间谍软件可能是最有害和最难清除的间谍软件类型. 你可以做几件事来保护自己:
- 不断检查个人文件的准确性,并立即处理任何不符之处.
- 练习安全的电子邮件协议:
- 不要打开来自未知发件人的信息.
- 立即删除您怀疑是垃圾邮件的邮件.
- 避免使用免费软件.
- 获取最新的Windows补丁.
- 使用公共电脑时要格外小心.
- 当心点对点文件共享服务.
- 使用杀毒软件和防火墙.
- 获得反间谍软件保护.
针对大学的诈骗
互联网犯罪投诉中心(IC3)已经意识到针对大学的多种诈骗行为, 全国各地的大学员工和学生. 这些骗局的范围从网络欺诈到入侵. 以下是常见的场景: