防止网络钓鱼攻击

By January 20, 2016 未分类 No Comments

认为网络钓鱼已经是一种过时的攻击方式吗?再想想。尽管垃圾邮件过滤功能越来越智能化,但是 反网络钓鱼工作小组 报告称,2014 年最后一个季度的独立网络钓鱼报告事件增加了 18%,而安全专家预测迈入 2016 年后,该数字只会继续攀升。

因此,对于盗取密码、安全代码、信用卡号等敏感信息,以及向个人设备和公司系统塞入恶意软件等攻击行为,网络钓鱼仍然是一种流行的手段。甚至连 LastPass 帐户都可能成为网络钓鱼攻击的目标。要防范网络钓鱼,一方面需要让我们使用的软件完成更智能的检测,另一方面,作为第一道防线,还需要人们自身做好防御准备。

下面将介绍 LastPass 如何抵御网络钓鱼、如何提升您的网络钓鱼检测能力,以及在无防备的情况下受到钓鱼攻击时如何保护您最敏感的信息。

什么是网络钓鱼?

网络钓鱼攻击的形式多种多样。有些电子邮件会冒充银行邮件,要求确认账户操作。或者,要求您下载附件文档以确认您的买单的假发票。还可能是社交媒体中的恶意广告或链接。攻击者甚至还可能引导您打开某个登录页面,该页面与您常用的某个众所周知的网站页面几乎一模一样,从而骗取您的信任。

鱼叉式的网络钓鱼会更具体地针对个人。攻击者会发送假装来自合作伙伴、上司或您的 IT 部门的电子邮件。他们利用对您的了解使要求看似正当合理,随之请求获得更多信息,或让您下载恶意文件或电汇金钱。

如何发现网络钓鱼攻击

许多网络钓鱼攻击都可简单轻松地发现,不过有些却要复杂得多,因此需要怀有合理程度的怀疑去识别可疑电子邮件、链接和通知。下面介绍如何发现最基本的网络钓鱼攻击:

  • 检查 URL: 查看您所打开网站的地址栏,或将鼠标悬停在链接上,查看浏览器左下角的 URL,确认其是受信任的 URL 还是假链接,然后再决定是否打开。例如,对于 LastPass,您始终会看到 https://lastpass.comhttps://subdomain.lastpass.com. 但是,网络钓鱼 URL 可能看起来像 http://lastpass.otherdomain.com. 在这种情况下,域实际为“otherdomain.com”,应回避。
    Image credit: Lifehacker

    Image credit: Lifehacker

  • 检查称呼: 注意发送给“尊敬的客户”或没有称呼的电子邮件。如今大多数零售商都会在邮件中称呼您的姓名。但是鱼叉式网络钓鱼攻击往往会专门针对您,因此这也并非始终万无一失。
  • 自己打开网址: 如果您不确定,只需在浏览器中打开新的标签或窗口,直接键入 URL(或从密码管理器打开),这样您就能确保访问的是合法站点。Screen Shot 2016-01-20 at 9.14.38 AM (2)
  • 检查您的密码管理器是否显示了一致的登录信息: LastPass 可避免让在钓鱼网站上自动填写登录信息,从而保护您免受网络钓鱼攻击。由于域与 LastPass 所存储的域不一致,因此不会填写您的数据。如果出现这种情况,请检查 URL。
  • 当看到制造紧张感的语言时,不要着急: 任何让催促您迅速采取行动之类的内容,都可能是在试图诱使您轻率行事。
  • 问问自己: 我是否有要求此人给我发一份附件?这封邮件是否并不针对您自身,发送给其他人也不会显得不适合?当持怀疑态度时,请保持怀疑并尽管提问。
  • 检查 HTTPS:// 和挂锁: 打开一个网站后,始终检查 URL 栏,确定通过 HTTPS 连接以建立安全连接,并且出现了挂锁图标,这表示该网站已经过第三方安全公司验证。 Screen Shot 2016-01-20 at 9.16.41 AM (2)

当您的密码管理器成为网络钓鱼攻击目标时

网络钓鱼攻击不再局限于恶意电子邮件、广告或社交媒体上的链接。某些网络钓鱼攻击甚至可能尝试以您浏览器中的扩展组件为目标,包括冒充密码管理器。

例如,恶意网站可能会显示要求您提供用户名、密码和双因素验证代码等信息的通知 冒充您的浏览器扩展。 要区分通知是来自恶意网站而还是浏览器扩展组件,可能十分困难。

LastPass 如何保护您免受网络钓鱼攻击

  • 警告主密码输入了非 LastPass 页面: 即使是在您向网页提交主密码之前,LastPass 也会弹出严重警告。只要您在非 LastPass 页面上输入了您的 LastPass 主密码,都会弹出这种警告。您会立即知道主密码可能已泄露,并立即将其更改。
  • 要求验证来自未知地点或设备的登录: 只要您尝试从未知地点或设备登录,LastPass 都会要求验证。因此,如果您不知情地输入了主密码和双因素数据,电子邮件验证步骤会拒绝攻击者使用这些数据的任何尝试。攻击者还需要获得对您电子邮件帐户的访问权限,这也可能被电子邮件帐户的双因素验证抵御。如果看到您未曾发起的验证请求,可以安全地忽略它并在 LastPass Vault“帐户设置”中更改主密码。
  • 阻止注销: 恶意网页可能显示虚假的 LastPass 通知,告诉您您已注销,需要重新登录,您应确认您是否仍然登录在 LastPass 扩展组件中,而且仅通过该扩展组件登录。

除了这些安全措施,我们还鼓励 Google 和其他浏览器帮助我们保护用户,即提供在浏览器视区外的显示通知的各种安全方式。

如何帮助保护您的 LastPass 帐户

除了我们所提供的安全措施,您还可以通过以下最佳实践让您的机密信息安全无虞:

  • 始终通过 LastPass 扩展组件登录. 最安全的登录方式是点击浏览器工具栏中的扩展组件图标。 Screen Shot 2016-01-20 at 9.24.22 AM (2)
  • 切勿重复使用您的主密码. 重复使用主密码会增加他人盗取您机密信息的风险。始终为 LastPass 使用唯一的主密码,如果在除登录 LastPass 以外的任何地方键入主密码,请注意我们的警告。
  • 注意 LastPass 下载站点. 仅从 LastPass.com 下载 LastPass,或从您的浏览器或设备提供的插件商店下载。绝不使用第三方下载站点,即使在插件商店也要小心看起来像 LastPass 但实际具有不同的发布者名称且无评级的产品。
  • 切勿透露您的主密码. LastPass 团队决不会询问您的主密码。小心声称来自 LastPass 并询问您主密码的任何人。永远不要透露您的密码。.
  • 添加双因素验证. 安全性的强弱完全取决于能够减弱风险的防护有多少层 双因素验证 还会要求登录者提供其他信息,否则仍无法访问您的帐户。尽管它不是什么高招,但却大大有助于保护您的帐户。
  • 通过强密码和双因素验证保护您的电子邮件. 您的电子邮件帐户通常握有进入您的世界的钥匙。好好保护它,就好像它是您的数字生活至关重要的靠山一样,而事实确实如此。LastPass 可为您的电子邮件生成复杂但却“易读”的密码,稍微花点时间,记住它并不难。只要电子邮件供应商支持,务必开启双因素验证。

安全上网需要我们每个人持之以恒地为之努力。LastPass 也不例外。我们致力于不断改进产品以应对新的威胁,并与安全研究社团合作,强化我们的产品。而作为用户,我们也需要继续致力于遵守安全最佳实践。