En e-mail med en .html-vedhæftet fil kan være et tomt billed-phishing-svindel. Sådan genkender du en.
Phishing er en social ingeniør-taktik, der har til formål at få dine private oplysninger. Og cyberkriminelle udvikler løbende nye phishing-angreb for at fange flere brugere på vagt. En sådan metode er phishing-svindel med tomme billeder. Sådan identificerer og beskytter du dig selv mod det.
Blank Image Phishing-svindel Forklaret
Personer, der er målrettet af phishing-svindel med tomme billeder, modtager e-mails med .html- eller .htm-vedhæftede filer, som kun indeholder tomme billeder. Men når enkeltpersoner klikker på dem, bliver de omdirigeret til ondsindede websteder.
Undersøgelse af den vedhæftede HTML-fil afslører en SVG-fil med Base64-kodning. Javascript indlejret i det tomme billede forårsager en automatisk omdirigering til en farlig URL.
Det er nok at sige, du bør aldrig indtaste nogen detaljer. Ellers giver du oplysninger til hackerne.
Foranstaltninger til at forsvare sig mod phishing-svindel med tomme billeder
Avanan, forskerne, der identificerede denne fidus, advarer om, at den omgår virusdetektionsværktøjer. Det betyder, at du ikke kan stole på, at scannere fra e-mail-udbydere eller din arbejdsgiver opdager det.
Derudover skjuler denne fidus filerne i tilsyneladende legitime e-mails. Forskernes eksempel var en besked, der så ud til at komme fra DocuSign. Navnet på den ondsindede vedhæftede fil var "Scanned Remittance Advice."
Linket "Se dokument" i e-mailen fører folk til en faktisk DocuSign-side, men problemerne starter, når folk klikker på den medfølgende vedhæftede fil.
Dette eksempel fremhæver, hvorfor du aldrig bør engagere dig i uventede e-mails eller vedhæftede filer, selvom de virker autentiske eller gør dig nysgerrig efter indholdet. Phishing-svindel forårsager adskillige problemer for ofrene. De kan føre til dig at give hackere følsomme oplysninger, såsom dine bankoplysninger.
Så hvad kan du gøre? Virksomhedsadministratorer kunne ændre e-mail-indstillinger for at blokere .html-vedhæftede filer. Mange virksomheder gør det allerede med .exe-filer for at gøre e-mail-systemer sikrere.
En anden mulighed for autoriteter er at køre en phishing-simulering for at se, hvordan folk reagerer. Phishing-simuleringer kan vise, hvilke teammedlemmer der har brug for mere cybersikkerhedstræning. De hjælper også med at forhindre reelle angreb ved at øge arbejdernes beredskab.
Den generelle regel er ikke at indsende nogen private oplysninger eller at downloade vedhæftede filer fra personer, du ikke kender eller helt stoler på. Hvis du får en mistænkelig e-mail fra nogen, skal du kontakte vedkommende via en anden platform og kontrollere, at linket eller den vedhæftede fil virkelig er fra vedkommende.
Phishing-angreb udvikler sig løbende
Phishing-svindel med tomme billeder er en rettidig påmindelse om, at hackere ofte udvikler nye måder at narre deres ofre for at fange dem på en uoverskuelig måde. Formatet af denne tilgang er særligt problematisk, da det farligste aspekt fremstår som blot en tom besked. Der er ingen stavefejl, billeder eller andet, der kan tippe dig til et typisk phishing-angreb.
Vær altid mistænksom over for uventede e-mails, selvom de i første omgang virker legitime.