Com sé si un correu electrònic és phishing?

Comproveu l'adreça real del remitent (no només el nom visualitzat), passeu el cursor per sobre dels enllaços per veure l'URL real, cerqueu la gramàtica i el format que no coincideixin amb l'estil normal de l'organització. El signe més fort: us demana que actueu amb urgència en alguna cosa que impliqui credencials. Les organitzacions reals gairebé mai ho fan mitjançant un enllaç de correu electrònic.

Una VPN protegeix contra el phishing?

No. El phishing opera a la capa d'aplicació: l'usuari introdueix les credencials voluntàriament en un lloc fals. Una VPN canvia la vostra identitat de xarxa, però no filtra el contingut ni avalua si la pàgina és autèntica. La lluita contra la pesca requereix un mecanisme d'autenticació vinculat al lloc (clau de maquinari) o vigilància.

Què és el spear phishing?

Suplantació d'identitat dirigida a una persona concreta o a un grup reduït, sovint utilitzant noms reals, projectes o esdeveniments recents per afegir credibilitat. La pesca massiva pot utilitzar "Estimat client"; Spear phishing utilitza el vostre nom, el vostre equip, el vostre client. Molt més difícil de filtrar automàticament.

Si he fet clic en un enllaç de pesca i no he introduït res, tinc problemes?

Probablement no, però comproveu. Una pàgina pot intentar exploits d'explotació, empremta el vostre navegador o establir galetes de seguiment només des de carregar-se. Si heu utilitzat un navegador totalment pegat i no heu concedit cap permís, el risc és baix. Si heu iniciat sessió o heu baixat un fitxer, tracteu aquest compte com a compromès i gireu la contrasenya.

Quina diferència hi ha entre phishing i pharming?

El phishing enganya l'usuari perquè visiti un lloc fals. Pharming canvia el DNS de l'usuari de manera que els URL legítims es resolen en llocs falsos, normalment mitjançant programari maliciós d'encaminador, segrest de DNS o edicions de fitxers d'amfitrió. El pharming és més rar perquè requereix un accés més profund al sistema, però és més eficaç quan funciona perquè l'usuari mai veu un URL incorrecte.

Phishing explicat: l'anatomia de l'atac que segueix funcionant

El phishing és l'atac escalable d'Internet més antic i encara el més reeixit. No aprofita el programari sinó la concordança de patrons humans: un logotip familiar, un remitent plausible, una sol·licitud que sembla rutina. Entendre el llibre de jugades és la major part de la defensa; els pegats tècnics tanquen només la petita fracció que no depèn dels clics de la gent.

El cos complet de l'article es proporciona en anglès a continuació.

Phishing és la pràctica de suplantar la identitat d'una entitat de confiança (un banc, un empresari, un proveïdor de tecnologia) per enganyar un objectiu perquè reveli credencials, instal·li programari maliciós o enviï diners. El mitjà s'ha expandit del correu electrònic a SMS ("smishing"), trucades de veu ("vishing"), codis QR ("quishing") i anuncis, però l'estructura és constant: remitent enganyós, context urgent, acció de poca fricció. pattern:

Pretext. Un motiu plausible per al missatge: "el vostre compte estarà bloquejat", "un paquet necessita confirmació de lliurament", "signar aquest document". avís."
Identitat falsificada. Nom del remitent, logotip i format que imita l'organització real. Les capçaleres del correu electrònic es poden falsificar fàcilment; el nom visible és el que tria el remitent.
Action target. Un enllaç a una pàgina de recollida de credencials, un fitxer adjunt amb programari maliciós o un número de telèfon per trucar.

L'habilitat és subtilesa. El phishing més cru (anglès trencat, adreçament genèric) es filtra. El millor phishing està dirigit ("spear phishing") i utilitza terminologia interna real, noms reals i temps contextual.

On van les credencials

A pàgina de pesca que captura un nom d'usuari i una contrasenya utilitza normalment una de les tres arquitectures: credencial

Rel-time relay (Adversary-in-the-Middle). La pàgina reenvia cada pulsació de tecla al lloc real en temps real, capturant la contrasenya i el segon factor a mesura que les introduïu. Frameworks com Evilginx ho automatitzen. La clau de maquinari 2FA la derrota; TOTP i SMS no.
Robo de testimoni de sessió. En combinació amb l'anterior, l'atacant captura la galeta de sessió posterior a l'autenticació i la torna a reproduir des del seu navegador, evitant completament 2FA fins que caduca la sessió. tècnicament
L'atacant no necessita cap explotació. Necessiten un domini que sembli com l'objectiu. Tres armes:
- LDominis semblants: secure-paypa1.com en lloc de paypal.com, o atacs homoglifs amb caràcters ciríl·lics que representen (аpple.com amb una 'a' ciríl·lica).
- Subdomain farcit: microsoft.com.update-fr.tk — molts usuaris només llegeixen la paraula reconeguda més a l'esquerra. hosting: pàgines de phishing allotjades a Google Sites, Microsoft OneDrive, el nivell gratuït de Cloudflare o llocs legítims compromesos. El certificat TLS és real; l'URL passa comprovacions superficials.
Endards d'autenticació de correu electrònic (SPF, DKIM, DMARC) verifiquen que el servidor d'enviament estigui autoritzat per al domini De. No verifiquen el nom de visualització de que veu el destinatari, que és el que realment llegeix la majoria dels usuaris.
El que defensa contra el phishing
LDefensa en capes, amb la capa de més apalancament primer:
- Hardware-key 2FA (FIDO2). L'única intervenció tècnica que derrota el phishing de Adversary-in-the-Middle perquè la signatura de la clau està lligada al domini real. El lloc fals no pot produir una signatura vàlida per al domini real.
- Gestors de contrasenyes amb emplenament coincident amb l'origen. Un gestor de contrasenyes es nega a omplir les credencials del domini incorrecte. Si no podeu omplir, això és un senyal.
- DMARC enforcement. Quan les organitzacions publiquen una política DMARC de p=reject, els servidors de correu deixen correu no autenticat que diuen ser d'ells. Elimina una classe important de suplantació d'identitat.
- Browser anti-phishing. Navegació segura a Chrome, Smart Screen a Edge, els equivalents a Firefox i Safari: bloquegeu els URL de pesca coneguts. La cobertura és reactiva (primer s'ha d'informar de l'URL), però redueix els danys dels kits més habituals.
- Consciència de l'usuari. El canvi més lent, però importa. El millor hàbit: quan alguna cosa sembli urgent, no feu clic a l'enllaç del missatge: navegueu directament al servei mitjançant un marcador desat o escrivint l'URL.
La frontera actual
La IA generativa ha eliminat les indicacions lingüístiques de la pesca de baixa qualitat. Els correus electrònics orientats ara tenen una prosa amb fluïdesa nativa, referències contextuals extretes de fonts públiques i una personalització persuassiva a escala. La clonació de veu permet la pesca de telèfons on el "CEO" sona exactament com el CEO real. Els defensors responen amb una 2FA més forta, una adopció més àmplia de DMARC i millors advertències del navegador, però la diferència entre la qualitat de l'atac i la defensa és més estreta que en qualsevol moment del passat.
L'hàbit més fiable a nivell d'usuari segueix sent: si un missatge us demana que actueu sota la pressió del temps amb una credencial, alentiu-vos. La majoria de la pesca mor en el moment en què comproveu un segon canal.

Preguntes freqüents

Com sé si un correu electrònic és phishing?: Comproveu l'adreça real del remitent (no només el nom visualitzat), passeu el cursor per sobre dels enllaços per veure l'URL real, cerqueu la gramàtica i el format que no coincideixin amb l'estil normal de l'organització. El signe més fort: us demana que actueu amb urgència en alguna cosa que impliqui credencials. Les organitzacions reals gairebé mai ho fan mitjançant un enllaç de correu electrònic.
Una VPN protegeix contra el phishing?: No. El phishing opera a la capa d'aplicació: l'usuari introdueix les credencials voluntàriament en un lloc fals. Una VPN canvia la vostra identitat de xarxa, però no filtra el contingut ni avalua si la pàgina és autèntica. La lluita contra la pesca requereix un mecanisme d'autenticació vinculat al lloc (clau de maquinari) o vigilància.
Què és el spear phishing?: Suplantació d'identitat dirigida a una persona concreta o a un grup reduït, sovint utilitzant noms reals, projectes o esdeveniments recents per afegir credibilitat. La pesca massiva pot utilitzar "Estimat client"; Spear phishing utilitza el vostre nom, el vostre equip, el vostre client. Molt més difícil de filtrar automàticament.
Si he fet clic en un enllaç de pesca i no he introduït res, tinc problemes?: Probablement no, però comproveu. Una pàgina pot intentar exploits d'explotació, empremta el vostre navegador o establir galetes de seguiment només des de carregar-se. Si heu utilitzat un navegador totalment pegat i no heu concedit cap permís, el risc és baix. Si heu iniciat sessió o heu baixat un fitxer, tracteu aquest compte com a compromès i gireu la contrasenya.
Quina diferència hi ha entre phishing i pharming?: El phishing enganya l'usuari perquè visiti un lloc fals. Pharming canvia el DNS de l'usuari de manera que els URL legítims es resolen en llocs falsos, normalment mitjançant programari maliciós d'encaminador, segrest de DNS o edicions de fitxers d'amfitrió. El pharming és més rar perquè requereix un accés més profund al sistema, però és més eficaç quan funciona perquè l'usuari mai veu un URL incorrecte.

On van les credencials

El que defensa contra el phishing

La frontera actual

Preguntes freqüents