Ano ang Phishing?
๐ 6 min basahin
Quick Answer
Ang phishing, na nanlilinlang sa iyo na ibigay ang mga password o key sa pamamagitan ng mga pekeng email at website, ay ang nag-iisang pinakakaraniwang paraan ng pag-hack ng mga tao, kabilang ang mga may hawak ng crypto. Ang magandang balita: karamihan sa phishing ay may mga teknikal na nagsasabi na matututunan mong makita sa ilang segundo. Ang pag-alam sa mga ito ay nagiging pinakamabisang pag-atake ng internet sa karaniwan mong nakikitang darating.
๐ก Ang mental model
Ang phishing ay isang con artist sa isang pekeng uniporme. Ang email o website ay nakaayos upang magmukhang eksaktong katulad ng iyong bangko, exchange o wallet, ngunit ito ay isang costume. Ang iyong pagtatanggol ay hindi mas mahusay na mga kandado; ito ay pag-aaral upang suriin ang badge, ang address, at ang kuwento bago ka kailanman ibigay ang anumang bagay.
Ano ang phishing
Ang phishing ay isang mapanlinlang na mensahe o website na nagpapanggap bilang isang pinagkakatiwalaang pinagmulan, ang iyong palitan, bangko, isang serbisyo sa paghahatid, kahit isang kaibigan, na idinisenyo upang linlangin ka sa pagbubunyag ng mga password, code, o iyong seed na parirala, o sa pag-click sa isang nakakahamak na link. Umaasa ito sa pagkamadalian at pagpapanggap sa halip na sirain ang anumang teknolohiya.
Mga spoofed URL at kamukhang domain
Ang pinakamalaking sabihin ay ang web address. Ang mga umaatake ay nagrerehistro ng mga lookalikes (binance-support.com, o "homograph" na mga domain gamit ang mga banyagang letra na magkapareho ang hitsura) at itinago ang mga ito sa likod ng magandang tingnan na teksto ng link. Palaging suriin ang totoong domain, mag-hover bago mag-click, mag-type ng mga kilalang address sa iyong sarili o gumamit ng mga bookmark, at maghinala sa anumang link sa isang hindi inaasahang mensahe.
Ang padlock myth at iba pang nagsasabi
Ang isang padlock (HTTPS) ay nangangahulugan lamang na ang koneksyon ay naka-encrypt, hindi na ang site ay tunay, ang mga scam site ay may mga padlock din. Iba pang mga red flag: mga kagyat na banta ("kumilos ngayon o mawalan ng access"), mga kahilingan para sa mga code o seed na parirala (walang lehitimong serbisyo ang hinihiling), mahinang grammar, bahagyang-off na mga logo, at email "mula sa" mga address na hindi tumutugma sa totoong domain.
Paano protektahan ang iyong sarili
Huwag kailanman maglagay ng mga password o seed na parirala sa pamamagitan ng isang link sa isang mensahe, mag-navigate sa mga site nang mag-isa. Gumamit ng tagapamahala ng password (tumanggi itong mag-autofill sa mga pekeng domain, isang mahusay na maagang babala). I-enable ang app- o hardware-based na two-factor authentication. Magdahan-dahan kapag ang isang mensahe ay lumilikha ng pangangailangan ng madaliang pagkilos, ang pressure ay ang pag-atake. Kapag hindi sigurado, makipag-ugnayan sa kumpanya sa pamamagitan ng opisyal na site nito.
๐ Key takeaway
Nililinlang ka ng phishing na ibigay ang mga password, code o seed na parirala sa pamamagitan ng mga pekeng email at website na nagpapanggap bilang mga pinagkakatiwalaang serbisyo. Makita ito sa pamamagitan ng pagsuri sa totoong domain (mag-ingat sa mga lookalikes), pag-alala na ang isang padlock ay nagpapatunay na hindi lehitimo ang pag-encrypt, at itinuturing ang pagkaapurahan at mga kahilingan para sa mga code/seed na parirala bilang mga pulang bandila. Mag-navigate sa mga site nang mag-isa, gumamit ng tagapamahala ng password, at paganahin ang malakas na 2FA.
Bakit ito mahalaga para sa iyo
Laganap ang phishing sa buong Asia, na tumatama sa banking, messaging-app at lalo na sa mga gumagamit ng crypto, kung saan ang isang solong ninakaw na seed na parirala ay nangangahulugang hindi maibabalik na pagkawala. Ang teknikal na sinasabi dito, ang mga kamukhang domain, ang padlock myth, hindi kailanman nagbabahagi ng mga code, ay praktikal, unibersal na depensa na nagpoprotekta sa lahat mula sa araw-araw na pagnanakaw ng account hanggang sa pagbabago ng buhay ng crypto loss.
Mga madalas itanong
Paano ko makikita ang isang website ng phishing?โผ
Suriin ang eksaktong domain sa address bar para sa mga hitsura o kakaibang character; tandaan ang isang padlock (HTTPS) ay nangangahulugan lamang ng pag-encrypt, hindi pagiging lehitimo. Maghinala sa pagkaapurahan, mga kahilingan para sa mga password/code/seed phrase, at mga link sa mga hindi inaasahang mensahe. Mag-navigate sa mga site sa halip na mag-click.
Bakit hindi sapat ang padlock (HTTPS) para magtiwala sa isang site?โผ
Ang padlock ay nangangahulugan lamang na ang iyong koneksyon sa site ay naka-encrypt, sinuman, kabilang ang mga scammer, ay makakakuha ng isa nang libre. Maaaring magpakita ng padlock ang isang phishing site habang peke pa rin. Palaging i-verify ang aktwal na domain name, hindi lang ang padlock.
Ano ang hindi ko dapat gawin bilang tugon sa isang mensahe?โผ
Huwag kailanman ilagay ang iyong password o seed na parirala sa pamamagitan ng isang link sa isang email o text, at huwag kailanman ibahagi ang isang beses na code o ang iyong parirala sa pagbawi sa sinuman, walang lehitimong serbisyo ang humihingi sa kanila. Kung ang isang mensahe ay apurahan, ang apurahang iyon ay mismong isang babala; i-verify sa pamamagitan ng opisyal na site.
Patuloy na matuto
๐ Mga mapagkukunan at karagdagang pagbabasa
Mga awtoritatibong sanggunian at pangunahing mapagkukunan na ginamit sa gabay na ito.