Langkau ke kandungan utama

Cara Melindungi Diri Anda daripada Serangan Phishing

Phishing kekal sebagai cara #1 akaun dicuri. Ketahui cara phishing moden berfungsi, tanda amaran yang perlu diperhatikan, dan pertahanan praktikal yang benar-benar menghentikan serangan.

2026-04-14

TL;DR

  • Phishing adalah punca #1 pengambilalihan akaun — penyerang menipu anda untuk memberikan kelayakan pada laman web palsu.
  • Kit phishing moden mengklon halaman log masuk dengan sempurna dan memproksikan kod 2FA anda dalam masa nyata.
  • Kunci keselamatan perkakasan (YubiKey, FIDO2) adalah satu-satunya pertahanan yang anti-phishing mengikut reka bentuk.
  • Pengurus kata laluan melindungi anda dengan menolak untuk mengisi secara automatik pada domain yang salah.
  • Periksa domain yang tepat sebelum menaip kelayakan, dan jangan sekali-kali log masuk daripada pautan dalam e-mel.

Apakah phishing?

Phishing adalah serangan kejuruteraan sosial di mana penyerang mencipta salinan yang meyakinkan bagi laman web yang sah — sering kali sempurna piksel — dan menipu mangsa untuk memasukkan kelayakan di sana. Sebaik sahaja mangsa menghantar borang, penyerang menangkap nama pengguna, kata laluan, dan sebarang faktor kedua, kemudian menggunakannya untuk mengambil alih akaun sebenar dalam beberapa saat.

Perkataan ini datang daripada metafora "memancing" mangsa dengan umpan (biasanya e-mel). Ejaan berubah untuk menekankan bahawa penyerang sering menggunakan nombor phone (phishing SMS, atau "smishing") dan infrastruktur yang kelihatan profesional.

Mengapa phishing masih ancaman #1

Kebanyakan pelanggaran akaun berskala besar hari ini tidak melibatkan penggodaman, kata laluan retak, atau memintas enkripsi. Mereka melibatkan manusia menaip kata laluan ke dalam laman palsu. Phishing adalah:

  • Murah — penyerang boleh menghantar berjuta-juta e-mel dengan kos VPS dan domain tiruan
  • Sukar untuk ditapis — kit moden memutar domain, menggunakan hosting yang sah, dan menyesuaikan diri dengan penapis dalam masa nyata
  • Berkesan — malah pengguna yang sedar keselamatan tertipu dengan percubaan yang disasarkan dengan baik (spear phishing)
  • Berskala — satu phish yang berjaya sering menghasilkan akses kepada berpuluh-puluh perkhidmatan yang bersambung melalui penggunaan semula kata laluan

Laporan Penyiasatan Pelanggaran Data Verizon 2024 mendapati bahawa phishing adalah vektor akses awal dalam lebih 36% daripada semua pelanggaran — lebih daripada mana-mana punca tunggal yang lain.

Cara phishing moden berfungsi

Phishing telah berkembang jauh melepasi e-mel "putera Nigeria" pada tahun 2000-an. Serangan phishing moden biasanya termasuk:

1. Umpan yang meyakinkan

Biasanya e-mel, teks, atau mesej sembang yang mewujudkan keperluan mendesak ("Akaun anda akan digantung"), autoriti ("pasukan keselamatan Microsoft"), atau keingintahuan ("Seseorang menandai anda dalam foto"). Spear-phishing membawa ini lebih jauh dengan butiran peribadi yang ditarik daripada LinkedIn, dump pelanggaran, atau korespondensi terdahulu.

2. Laman palsu yang sempurna piksel

Penyerang menggunakan kit phishing siap pakai yang mengklon HTML, CSS, dan JavaScript laman sasaran. Banyak kit dijual sebagai perkhidmatan (phishing-as-a-service), dengan papan pemuka yang berfungsi dan sokongan pelanggan.

3. Proksi masa nyata untuk 2FA

Bahagian berbahaya: kit moden tidak hanya menangkap kata laluan anda. Mereka bertindak sebagai proksi man-in-the-middle yang memajukan segala yang anda taip — termasuk kod TOTP anda — ke laman sebenar dalam beberapa saat, memintas kebanyakan 2FA. Teknik ini dipanggil adversary-in-the-middle (AiTM) dan digunakan dalam alat seperti Evilginx2 dan Modlishka.

4. Kecurian token sesi

Sebaik sahaja anda mengesahkan melalui proksi, penyerang menangkap cookie sesi anda dan boleh menggunakannya untuk kekal log masuk walaupun selepas anda menukar kata laluan anda. Inilah sebabnya respons phishing sentiasa termasuk pembatalan sesi aktif, bukan hanya putaran kata laluan.

Apa yang benar-benar menghentikan phishing

Kunci keselamatan perkakasan (FIDO2 / WebAuthn)

Ini adalah satu-satunya kategori pertahanan yang anti-phishing mengikut reka bentuk. Apabila anda log masuk dengan kunci FIDO2, kunci anda mengesahkan secara kriptografi domain tepat laman yang meminta pengesahan. Laman palsu — tidak kira betapa sempurna secara visual — mempunyai domain yang berbeza, jadi kunci menolak untuk bertindak balas. Jabatan tangan kriptografi tidak lengkap.

Google terkenal mewajibkan YubiKeys untuk semua 85,000+ pekerja pada 2017 dan melaporkan sifar serangan phishing yang berjaya pada akaun syarikat dalam tahun-tahun sejak itu.

Passkeys

Passkeys adalah evolusi FIDO2 yang mesra pengguna. Mereka menggunakan kriptografi terikat domain yang sama dan dibina ke dalam iOS, Android, macOS, dan Windows. Jika laman yang anda gunakan menyokong passkeys, membolehkan satu menjadikan akaun itu anti-phishing.

Pengurus kata laluan

Pengurus kata laluan adalah barisan pertahanan kedua anda kerana ia hanya mengisi kelayakan secara automatik pada domain tepat di mana ia disimpan. Jika anda mendarat di paypaI.com (I besar) bukannya paypal.com, pengurus anda secara senyap menolak untuk mengisi borang. Penolakan itu adalah amaran kuat bahawa ada sesuatu yang tidak kena.

Penapis e-mel dan DNS

Pembekal e-mel menggunakan DMARC, SPF, dan DKIM untuk mengesan alamat penghantar tiruan. Kebanyakan pembekal moden menangkap percubaan yang jelas, tetapi serangan yang disasarkan masih terlepas. Aktifkan butang "laporkan phishing" dalam klien mel anda supaya anda membantu penapis bertambah baik.

Tanda amaran yang perlu diperhatikan

Apabila anda menerima mesej yang meminta anda log masuk, sahkan, atau bertindak dengan segera:

  • Keperluan mendesak dan ancaman — "Akaun anda akan ditutup dalam 24 jam"
  • Ucapan generik — "Pelanggan yang dihormati" bukannya nama anda
  • Domain yang serupapaypaI.com, app1e.com, secure-microsoft-login.net
  • Lampiran yang tidak dijangka — terutama fail .zip, .html, atau .pdf yang meminta anda log masuk untuk melihatnya
  • Ralat tatabahasa atau pemformatan — syarikat besar meneliti e-mel mereka
  • Ketidakpadanan pautan — letakkan kursor pada pautan dan periksa jika destinasi sepadan dengan teks

Jika ada yang tidak kena, tutup e-mel. Navigasi ke laman tersebut secara manual. Jika ada isu sebenar, anda akan melihatnya apabila anda log masuk melalui alur kerja biasa anda.

Apa yang perlu dilakukan jika anda tertipu

Bertindak dengan pantas — kelajuan penting kerana penyerang mula menggunakan kelayakan dalam beberapa minit.

  1. Tukar kata laluan dengan segera pada peranti yang berbeza (telefon anda, contohnya, jika anda tertipu di laptop)
  2. Batalkan semua sesi aktif dalam tetapan akaun — ini menendang sesiapa yang sedang menggunakan token sesi yang dicuri
  3. Aktifkan 2FA jika ia belum lagi, dan gunakan kunci perkakasan atau passkey jika boleh
  4. Periksa aktiviti tidak dibenarkan — e-mel yang dihantar, log masuk terkini, perubahan pengebilan, peraturan pemajuan baharu
  5. Maklumkan institusi yang terjejas jika ia akaun kewangan atau kerja
  6. Periksa akaun lain yang menggunakan kata laluan yang sama — walaupun anda pasti tidak menggunakan semula kata laluan, periksa

Kesimpulan

Phishing berkembang maju kerana ia memintas teknologi dan menyasarkan manusia. Pertahanan terbaik mencampurkan tiga lapisan: pengurus kata laluan (menolak untuk mengisi secara automatik pada domain yang salah), 2FA anti-phishing (kunci perkakasan atau passkeys yang terikat kepada domain sebenar), dan syak wasangka yang sihat (jangan sekali-kali log masuk daripada pautan e-mel).

Aktifkan ketiga-tiganya pada akaun paling penting anda — e-mel anda — dahulu. Dari situ, seluruh kehidupan digital anda menjadi lebih selamat secara bermakna.

Cara Melindungi Diri Anda daripada Phishing

Senarai semak praktikal yang teratur untuk mengukuhkan akaun anda terhadap serangan phishing.

  1. Gunakan pengurus kata laluan:Pasang pengurus kata laluan yang bereputasi (1Password, Bitwarden, Proton Pass) dan biarkan ia mengisi kelayakan secara automatik. Ia akan menolak untuk mengisi secara automatik pada domain yang serupa, memberikan anda pengesan phishing terbina dalam.
  2. Aktifkan 2FA anti-phishing:Tambah kunci perkakasan FIDO2 (YubiKey, Google Titan) atau passkey pada akaun paling penting anda — e-mel dahulu, kemudian perbankan, storan awan, dan pengurus kata laluan. Ini adalah satu-satunya kaedah 2FA yang benar-benar menghentikan phishing moden.
  3. Jangan sekali-kali log masuk daripada pautan e-mel:Apabila anda menerima e-mel yang meminta anda log masuk, tutup e-mel tersebut dan navigasi ke laman tersebut secara manual melalui penanda buku atau dengan menaip URL. Pautan dalam e-mel mungkin klon yang sempurna; penanda buku dalam pelayar anda bukan.
  4. Periksa domain yang tepat sebelum menaip:Sebelum memasukkan sebarang kata laluan, lihat URL penuh dalam bar alamat. Cari https, ejaan yang betul, dan tiada subdomain tambahan seperti paypal.com.secure-login.net.
  5. Laporkan dan teruskan:Laporkan percubaan phishing kepada pembekal e-mel anda (kebanyakan mempunyai butang "Laporkan phishing"). Kemudian teruskan dengan hari anda — phishing hanya berbahaya jika anda tertipu, dan kesedaran adalah sebahagian besar pertempuran.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email