Phishing and Social Engineering

  • What is social engineering?

    在社会工程攻击中,攻击者将使用人类交互(社会技能) 获取或泄露北卡大学或其计算机系统的信息. An attacker 可能看起来谦逊而可敬,可能自称是新员工,修理 个人或研究人员,甚至提供证书来支持该身份. However, 通过提问,他或她可能能够拼凑出足够的信息 infiltrate UNC’s  network. 如果攻击者无法收集到足够的信息 从一个来源,他或她可以联系另一个来源在联合国军司令部,并依靠信息 从第一个来源增加他或她的可信度.  

  • 我如何保护自己和UNC免受社会工程攻击?
    • 如果您怀疑自己可能参与了社会工程攻击,请参考 individual to your supervisor immediately.  If your supervisor isn’t available, let 这个人知道你会让你的主管回到他/她身边.
    • 不要向任何人提供敏感信息,除非你确定他们是真的 他们声称自己是谁,他们应该有权获得这些信息.
    • 对来自个人的不请自来的电话、拜访或电子邮件保持警惕 询问员工或其他内部信息. If an unknown individual claims 若要来自合法组织,请尝试直接与 the company.
    • 不提供个人信息或有关UNC的信息,包括其结构 或者网络,除非你确定某人有权获得这些信息.
  • What is phishing?

    Phishing is a form of social engineering. Phishing attacks use email or malicious 网站冒充值得信赖的机构索取个人信息. 例如,攻击者可能会发送看似来自信誉良好的信用卡公司的电子邮件 或者要求提供账户信息的金融机构,通常建议 there is a problem. 当用户响应请求的信息时,攻击者可以 use it to gain access to the accounts. Phishing attacks may also appear to come from 其他类型的组织,如慈善机构. Attackers often take advantage of 时事和一年中的特定时间,例如:

    • Natural disasters (e.g.,Hurricane Katrina, Indonesian tsunami)
    • Epidemics and health scares (e.g.,H1N1)
    • Tax season
    • Economic concerns (e.g., IRS scams)
    • Major political elections
    • Holidays
    • Death of high profile person
  • 如何保护自己免受网络钓鱼的攻击?

    安装并维护反病毒程序、反恶意软件程序和个人防火墙 for your computer. 学生可以下载Symantec Endpoint或Microsoft Security Essentials for free via Ursa 哪个包含所有这三个关键组件.

    • 利用您的电子邮件程序和web提供的任何反网络钓鱼功能 browser.
    • 在您的电子邮件程序中将可疑项目标记为垃圾邮件或垃圾邮件.
  • How would I spot a phishing scam?
    • 通用的电子邮件问候语——典型的网络钓鱼电子邮件会有一个通用的问候语,比如 as “Dear User.”
    • 错误的紧迫感——“如果你的账户在三年内不更新,就会被禁用。 (3) business days!”
    • 虚假链接——许多网络钓鱼邮件都有一个看起来有效的链接,但会把你送到一个欺诈网站 site. Example: www.secure-paypal.com
    • 附件-与虚假链接类似,附件可用于网络钓鱼电子邮件和 are dangerous.
    • 发件人的电子邮件地址——“发件人”一栏可以包括一个看起来很正式的电子邮件地址 这可能是真品的复制品. However, the email address can easily 被修改——这并不能表明任何电子邮件沟通的有效性.
    • 糟糕的英语或拼写错误——“你想要hamblurger,我知道一个好地方。?"
    • Deceptive URLs-Examples:

    http://signin.paypal.com@ http://www.paypal.com/=cmd_login_access

  • But what if the email is genuine?

    如果你觉得电子邮件是有效的,但不确定,最好的办法是打开一个 新的浏览器窗口,并手动输入您信任的网站的地址. Or contact 所谓的电子邮件发件人的电话号码公布在他们的公司所有 website to verify the legitimacy of the email.

  • What if the email has an attachment?

    尽可能避免点击电子邮件附件,尤其是在你不知道的情况下 the sender! 它可能导致你下载间谍软件或病毒.

  • 有没有什么地方可以让我提前发现网络钓鱼骗局 it happens to me?

    Yes! 用这个有趣的OnGuard互动游戏测试一下自己.

  • How do I know if a website is secure?


    Look at the website address. http:// means the site is secure. If it only has http://, that is not secure. 不要在网站上输入任何个人信息(包括用户名) and password) if the site is not secure.
    的右下角的状态栏中出现安全锁图标 the browser window, the site is secure. Many fake sites will put this icon inside the main window to deceive you.

  • 微软技术支持部门会因为我感染病毒或电脑运行缓慢而打电话给我吗?

    No. 博天堂官方信息安全小组接到通知,有一家公司在冒充 微软技术支持部门说你的电脑有病毒或者运行速度太慢 would like to help.  然后支持人员想要访问您的计算机 via a remote meeting. 这时,他们想在你的电脑上安装软件 and may offer to sell you an Antivirus program.  

    他们真正在做的是试图对您进行网络钓鱼或使用社会工程 进入你的信用卡和银行账户.

    Do not purchase any software or services.
    除非你能确认,否则不要把电脑的控制权交给第三方 您是否已经是计算机支持团队的合法代表 a customer.
    请记下来电者的信息,并立即向当地报告 authorities.
    永远不要把你的信用卡或财务信息提供给自称是 from Microsoft tech support.