Som jeg sorterte gjennom flere dusin nylig ankomne e-postmeldinger denne morgenen la jeg merke til en fra "Provider Inc." med "Bestill salgsordre" i emnelinjen. "Damn phishers, " tenkte jeg da jeg var klar til å sende meldingen til den digitale Dumpster.

På andre tanke lurte jeg på hva som ville få noen til å falle for en melding som virket som en åpenbar phishing-forsøk. Vel, folk svarer på salgskvitteringer selv om de ikke har kjøpt noe på nettet nylig - ingen vil bli belastet for noe de ikke kjøpte.

Så "salgsordre" var den første kroken. Etter å ha åpnet beskjeden - forsiktig - var ledetråden til sin falske natur overalt. "Nord-Luigi, AZ"? Tuller du med meg? Et faksnummer med et prefiks på "006"? Kom igjen. Det triste faktum er at noen av de fattige sjeler phisher målene med denne e-posten vil ta agn.

Som phishing forsøk går, var dette ganske godt utformet. Først klarte det å komme seg gjennom Gmails innebygde phishing-filtre. For det andre ligner det en ekte faktura. Du må se nøye på å finne grammatikkfeilene og andre feil som bekrefter en falsk: "til" i stedet for "til, " dobbelt "på, " duplisere gateadresser og feilpassede postnummer.

Brukerutdanning er nøkkelen til phishing-forebygging

Phishers er jordens avskum. I følge CommTouch's rapport fra oktober 2011 om hakkede kontoer (PDF) sendes phishing-e-poster stadig fra kompromitterte kontoer i stedet for fra "zombie" -adresser. Dette gjør det vanskeligere for e-postleverandøren å blokkere meldingene fordi de ser ut til å stamme fra klarerte domener.

Ifølge en CommTouch-undersøkelse av personer som hadde e-postkontoer, ble Yahoo Mail (27 prosent), Facebook-post (23 prosent), Gmail (19 prosent) og Hotmail (15 prosent) de viktigste målene for phishere. Ikke overraskende sa 62 prosent av respondentene at de ikke visste hvordan deres e-postkonto ble hacket, mens 15 prosent skyldte en Facebook-kobling, og ytterligere 15 prosent pekte på fingeren ved bruk av en offentlig Wi-Fi-hotspot .

Undersøkelsen fant at 54 prosent av de kompromitterte kontoene ble brukt til å sende spam og 12 prosent for å promulgere "vennen fast i utlandet" svindel; 23 prosent av ofrene som ble undersøkt av CommTouch sa at de ikke visste hvordan deres kompromitterte konto ble brukt.

Kanskje det mest fortellende resultatet av CommTouch-undersøkelsen er hvordan folk reagerte på phishing-angrepet: 42 prosent endret passordet, 8 prosent kjørte antivirusprogramvare, 23 prosent endret passordet sitt og kjørte antivirusprogramvare, og 23 prosent gjorde ingenting. Til den siste gruppen kan jeg bare si, "takk for at du er en del av problemet."

CommTouchs trender for trender i oktober 2011 (PDF) tar en nærmere titt på teknikker phishers bruker til å bryte inn i våre e-post og web-kontoer.

Endre passordene dine regelmessig, og ikke ta koblingen agn

Ingen liker å være micromanaged, men jeg må motvillig erkjenne visdommen til politikk som krever at brukere skal endre passordene sine med et bestemt intervall og hindre dem fra å bruke passord som er lette å gjette. I fjor beskrev Rob Lightner flere tjenester som genererer sterke passord. Et av mine favoritttricks er å bruke andre, tredje eller siste bokstaver i en vanlig frase, for eksempel en relativt uklar sangtekst eller filmlinje.

Tilbake i februar 2008 beskrev jeg passordkommandoene. De fleste av disse tipsene var for å beskytte din Windows-konto, og inneholder instruksjoner for å opprette en diskskriver som er tilbakestilt på nytt i Vista og Windows XP. (Trinnene for å gjøre det i Windows 7 er nesten identiske med dem for Vista.) Men artikkelen dekker også hvordan du sletter lagrede passord i nettlesere.

Tidligere har jeg anbefalt passordforvaltere, for eksempel RoboForm og Lastpass, men faktum er at jeg ikke bruker dem. Det er ikke at passordforvaltere er usikre, det er bare at jeg helst vil beholde passordene mine i hodet mitt og ingen andre steder. Det er også stolthetfaktoren: Som å gå til matbutikken uten en liste, vil jeg stole på mitt minne - i hvert fall til senescence tar tak.

Nå, hva var det andre tingen jeg ønsket å skrive om? Oh yeah, link feller - de følelsesdrevne komme-oss som fører direkte til problemer. Selvfølgelig ønsker alle å vite hvem som har sett deres Facebook-profil, men det kan du ikke. Periode. Enhver lenke som hevder å la deg være falsk.

På samme måte pass opp tilbud for å vise deg bilder eller videoer relatert til kjendiser og aktuelle hendelser. Selvfølgelig forsøker skurkene å kapitalisere seg på forbifarten av Steve Jobs, som Graham Cluley rapporterer om Sophos Naked Security-bloggen.

(Takk, Mr. Jobs, for å være lyset av min generasjon - kan det skinne på!)

Phishers er kriminelle, og kriminelle skadet oss alle. Vi skylder det til hverandre å sette disse skadene ut av virksomheten. Endre dang-passordet ditt, hold dang-programvaren oppdatert, se etter mistenkelig e-post, og ikke tro på koblingshype. Gi det videre.