Tumalon sa pangunahing nilalaman

Paano Protektahan ang Iyong Sarili mula sa mga Phishing Attack

Ang phishing ang #1 dahilan ng pagnanakaw ng mga account. Paano gumagana ang modernong phishing, mga babala, at mga depensang talagang pumipigil sa mga atake.

Huling na-update: Abril 14, 2026

Buod

  • Ang phishing ang #1 sanhi ng pagkawala ng kontrol sa mga account — niloloko ng mga attacker ang mga tao para ibigay ang kanilang mga kredensyal sa isang pekeng site.
  • Ang mga modernong phishing kit ay kumokopya ng mga pahina ng pag-login nang pixel-perfect at nagpo-proxy ng iyong mga 2FA code sa real time.
  • Ang mga hardware security key (YubiKey, FIDO2) ang tanging depensang phishing-proof sa disenyo.
  • Pinoprotektahan ka ng mga password manager sa pamamagitan ng pagtanggi na mag-autofill sa maling domain.
  • Suriin ang eksaktong domain bago mag-type ng mga kredensyal, at huwag mag-login mula sa isang link sa email.

Ano ang phishing?

Ang phishing ay isang social engineering attack kung saan gumagawa ang isang attacker ng kapani-paniwalang kopya ng isang lehitimong website — madalas na pixel-perfect — at nililinlang ang biktima na ilagay ang mga kredensyal doon. Sa sandaling isumite ng biktima ang form, nakuha na ng attacker ang username, password, at anumang pangalawang kadahilanan, at gagamitin ang mga ito para kontrolin ang tunay na account sa loob ng ilang segundo.

Ang salitang "phishing" ay nagmula sa metapor ng "fishing" (pangingisda) para sa mga biktima gamit ang pain (karaniwang isang email). Binago ang spelling upang bigyang-diin na madalas na gumagamit ang mga attacker ng phone number (SMS phishing, o "smishing") at propesyonal na hitsura ng imprastraktura.

Bakit phishing pa rin ang #1 na banta

Karamihan sa malalaking pagkawala ng kontrol sa mga account ngayon ay hindi nagsasangkot ng hacking, pag-crack ng mga password, o pag-bypass ng encryption. Nagsasangkot ang mga ito ng isang tao na nag-type ng password sa isang pekeng site. Ang phishing ay:

  • Mura — ang isang attacker ay maaaring magpadala ng milyun-milyong email sa halaga ng isang VPS at isang spoofed na domain
  • Mahirap i-filter — ang mga modernong kit ay nagpapalit ng mga domain, gumagamit ng lehitimong hosting, at umaangkop sa mga filter sa real time
  • Epektibo — kahit ang mga gumagamit na may kamalayan sa seguridad ay nahuhulog sa mahusay na ginawang mga tukoy na pagtatangka (spear phishing)
  • Scalable — ang isang matagumpay na phish ay madalas na nagbibigay ng access sa dose-dosenang mga konektadong serbisyo sa pamamagitan ng pag-reuse ng password

Natuklasan ng 2024 Verizon Data Breach Investigations Report na ang phishing ang paunang paraan ng pag-access sa mahigit 36% ng lahat ng breach — higit sa anumang ibang solong sanhi.

Paano gumagana ang modernong phishing

Malayo na ang narating ng phishing mula sa mga "Nigerian prince" na email noong 2000s. Ang isang modernong phishing attack ay karaniwang kinabibilangan ng:

1. Isang kapani-paniwalang pain

Karaniwang isang email, text, o chat message na lumilikha ng pagmamadali ("Isasuspinde ang iyong account"), awtoridad ("Microsoft security team"), o pag-usisa ("Nag-tag sa iyo ang isang tao sa isang larawan"). Ang spear-phishing ay higit pa rito gamit ang mga personal na detalye na kinuha mula sa LinkedIn, mga breach dump, o nakaraang sulat.

2. Isang pixel-perfect na pekeng site

Gumagamit ang mga attacker ng handa nang phishing kit na kumokopya ng HTML, CSS, at JavaScript ng target na site. Maraming kit ang ibinebenta bilang isang serbisyo (phishing-as-a-service), na may mga gumaganang dashboard at customer support.

3. Isang real-time proxy para sa 2FA

Ang mapanganib na bahagi: ang mga modernong kit ay hindi lamang kumukuha ng iyong password. Gumaganap sila bilang isang man-in-the-middle proxy na nagpapadala ng lahat ng iyong nii-type — kasama ang iyong TOTP code — sa tunay na site sa loob ng ilang segundo, na nino-bypass ang karamihan sa 2FA. Ang pamamaraang ito ay tinatawag na adversary-in-the-middle (AiTM) at ginagamit sa mga tool tulad ng Evilginx2 at Modlishka.

4. Pagnanakaw ng session token

Kapag na-authenticate ka na sa pamamagitan ng proxy, kinukuha ng attacker ang iyong session cookie at maaari itong gamitin para manatiling naka-login kahit na baguhin mo ang iyong password. Kaya naman ang pagtugon sa phishing ay palaging kinabibilangan ng pag-revoke ng mga aktibong session, hindi lamang pag-rotate ng password.

Ano ang talagang pumipigil sa phishing

Mga hardware security key (FIDO2 / WebAuthn)

Ito ang tanging kategorya ng depensa na phishing-proof sa disenyo. Kapag nag-login ka gamit ang isang FIDO2 key, cryptographically bine-verify ng iyong key ang eksaktong domain ng site na humihiling ng authentication. Ang isang pekeng site — gaano man ito kaganda visually — ay may ibang domain, kaya tinatanggihan ng key na tumugon. Ang cryptographic handshake ay hindi lang nakukumpleto.

Sikat na ginawa ng Google ang pagpapatupad ng YubiKey para sa lahat ng 85,000+ empleyado noong 2017 at nag-ulat ng zero na matagumpay na phishing attack sa mga account ng kumpanya sa mga sumunod na taon.

Mga Passkey

Ang mga passkey ay ang consumer-friendly na ebolusyon ng FIDO2. Gumagamit ang mga ito ng parehong domain-bound na cryptography at built-in sa iOS, Android, macOS, at Windows. Kung sinusuportahan ng isang site na ginagamit mo ang mga passkey, ang pag-enable ng isa ay gagawing phishing-proof ang account na iyon.

Mga Password Manager

Ang isang password manager ay ang iyong pangalawang linya ng depensa dahil nag-a-autofill lamang ito ng mga kredensyal sa eksaktong domain kung saan ito na-save. Kung mapupunta ka sa paypaI.com (malaking I) sa halip na paypal.com, tahimik na tatanggihan ng iyong manager na punan ang form. Ang pagtanggi na iyon ay isang malakas na babala na may mali.

Email at DNS filtering

Gumagamit ang mga email provider ng DMARC, SPF, at DKIM upang matukoy ang mga spoofed na address ng nagpadala. Karamihan sa mga modernong provider ay nahuhuli ang mga halatang pagtatangka, ngunit ang mga tukoy na atake ay nakakadaan pa rin. I-enable ang mga "report phishing" button sa iyong mail client upang matulungan mong mapabuti ang mga filter.

Mga babala na dapat bantayan

Kapag nakatanggap ka ng mensahe na humihiling sa iyo na mag-login, mag-verify, o kumilos nang may pagmamadali:

  • Pagmamadali at mga banta — "Isasara ang iyong account sa loob ng 24 na oras"
  • Pangkaraniwang pagbati — "Mahal na customer" sa halip na ang iyong pangalan
  • Mga kamukha na domainpaypaI.com, app1e.com, secure-microsoft-login.net
  • Mga hindi inaasahang attachment — lalo na ang mga .zip, .html, o .pdf na file na humihiling sa iyo na mag-login para makita ang mga ito
  • Mga pagkakamali sa gramatika o pag-format — nipo-proofread ng malalaking kumpanya ang kanilang mga email
  • Hindi tugmang link — i-hover ang link at suriin kung ang patutunguhan ay tumutugma sa teksto

Kung may anumang pakiramdam na may mali, isara ang email. Manu-manong pumunta sa site. Kung may tunay na problema, makikita mo ito kapag nag-login ka sa pamamagitan ng iyong normal na proseso.

Ano ang dapat gawin kung nahulog ka

Kumilos nang mabilis — mahalaga ang bilis dahil nagsisimulang gamitin ng mga attacker ang mga kredensyal sa loob ng ilang minuto.

  1. Baguhin agad ang password sa ibang device (ang iyong telepono, halimbawa, kung nahulog ka dito sa iyong laptop)
  2. Bawiin ang lahat ng aktibong session sa mga setting ng account — itinatataboy nito ang sinumang kasalukuyang gumagamit ng mga ninakaw na session token
  3. I-enable ang 2FA kung hindi pa ito naka-on, at gumamit ng hardware key o passkey kung posible
  4. Suriin ang mga hindi awtorisadong aktibidad — mga naipadala na email, mga kamakailang login, mga pagbabago sa billing, mga bagong patakaran sa pagpapadala
  5. Abisuhan ang apektadong institusyon kung ito ay isang financial o work account
  6. Suriin ang ibang mga account na ginamit ang parehong password — kahit sigurado kang hindi ka nag-reuse ng mga password, suriin pa rin

Ang buod

Umaayon ang phishing dahil nino-bypass nito ang teknolohiya at tina-target ang mga tao. Pinagsasama ng pinakamahusay na mga depensa ang tatlong layer: mga password manager (tumatanggi na mag-autofill sa mga maling domain), phishing-resistant 2FA (mga hardware key o passkey na nakagapos sa tunay na domain), at malusog na pag-aalangan (huwag kailanman mag-login mula sa isang link sa email).

I-enable ang lahat ng tatlo sa iyong pinakamahalagang account — ang iyong email — muna. Mula roon, ang iyong natitirang digital na buhay ay magiging mas ligtas nang malaki.

Paano Protektahan ang Iyong Sarili mula sa Phishing

Isang praktikal at maayos na checklist para palakasin ang iyong mga account laban sa mga phishing attack.

  1. Gumamit ng password manager:Mag-install ng mapagkakatiwalaang password manager (1Password, Bitwarden, Proton Pass) at hayaan itong mag-autofill ng mga kredensyal. Tatanggihan nitong mag-autofill sa mga kamukha na domain, na nagbibigay sa iyo ng built-in na phishing detector.
  2. I-enable ang phishing-resistant 2FA:Magdagdag ng FIDO2 hardware key (YubiKey, Google Titan) o passkey sa iyong pinakamahalagang mga account — email muna, pagkatapos ay banking, cloud storage, at password manager. Ang mga ito lamang ang mga 2FA na paraan na talagang pumipigil sa modernong phishing.
  3. Huwag mag-login mula sa mga link sa email:Kapag nakatanggap ka ng email na humihiling sa iyo na mag-sign in, isara ang email at manu-manong pumunta sa site sa pamamagitan ng bookmark o pag-type ng URL. Ang link sa email ay maaaring perpektong kopya; ang bookmark sa iyong browser ay hindi.
  4. Suriin ang eksaktong domain bago mag-type:Bago magpasok ng anumang password, tingnan ang buong URL sa address bar. Hanapin ang https, ang tamang spelling, at walang mga karagdagang subdomain tulad ng paypal.com.secure-login.net.
  5. Mag-ulat at magpatuloy:Iulat ang phishing attempt sa iyong email provider (karamihan ay may "Report phishing" na button). Pagkatapos ay magpatuloy na sa iyong araw — mapanganib lamang ang phishing kung nahuhulog ka dito, at ang kamalayan ay kalahati na ng laban.

Mga Madalas na Tanong