Fo si akoonu akọkọ

Bí a ṣe Lè Dáàbò bo Ara Rẹ Lọwọ Ìkọlù Phishing

Phishing ni ọnà #1 tí a máa ń jí àkáǹtì. Bí phishing òde òní ṣe ń ṣiṣẹ, àwọn àmì ìkìlọ, àti àwọn ìdènà tí ó lè dáwọ́ ìkọlù dúró gangan.

Igba igbehin ti a mu soke: 14 Oṣù Ìgbé 2026

Àkójọpọ̀

  • Phishing ni ìdí #1 tí a fi ń jí àkáǹtì — àwọn olùkọlù máa ń tàn yín jẹ kí ẹ fi àwọn ìwé-ẹ̀rí rẹ sí ojú-ìwé irọ́.
  • Àwọn phishing kit òde òní máa ń dàkọ àwọn ojú-ìwé wíwọlé dáradára tí ó sì ń gbé àwọn koodu 2FA rẹ ní àkókò gidi.
  • Àwọn kọ́ọ̀bù ààbò (YubiKey, FIDO2) nìkan ni ìdènà tí ó jẹ́ phishing-proof ní ìpìlẹ̀ apẹ́rẹ́pẹ̀.
  • Àwọn olùṣàkóso ọ̀rọ̀ aṣínà máa ń dáàbò bo yín nípa kíkorò tí kò fẹ́ kun àwọn fọ́ọ̀mù lórí dòmẹ́ẹ̀nì tí kò tọ́.
  • Ṣàyẹ̀wò dòmẹ́ẹ̀nì gangan ṣáájú kí ẹ tò àwọn ìwé-ẹ̀rí, kí ẹ sì máse wọlé láti ìjápọ̀ nínú ìmèéìlì.

Kí ni phishing?

Phishing jẹ́ ìkọlù ẹ̀dàsọ̀rọ̀-awujọ nínú èyí tí olùkọlù kan máa ń ṣẹ̀dá ẹ̀dà tí ó dani lójú ti ojú-ìwé Íńtánẹ́ẹ̀tì tó wùlò — tí ó sáàbà dara tító ní gbogbo ohun — ó sì tàn olófinà kan jẹ kí ó tò àwọn ìwé-ẹ̀rí sí ibẹ̀. Ní ìṣẹ́jú tí olófinà bá fi fọ́ọ̀mù rán, olùkọlù á gba orúkọ àmúlò, ọ̀rọ̀ aṣínà, àti ìfáradà èlòó, lẹ́hìn náà ó ń lò wọ́n láti gba àkáǹtì gidi láàárín ìṣẹ́jú aáyá.

Ọ̀rọ̀ náà wá láti àfiwé "ìpẹja" fún àwọn olófinà pẹ̀lú ìjẹjẹ (ìmèéìlì sáàbà). Ìtàtì àkọlé náà yí padà láti fi hàn pé àwọn olùkọlù máa ń lo àwọn nọ́mbà phóònù (SMS phishing, tàbí "smishing") àti àwọn ohun èlò tí ó dàbí àwọn ilé-iṣẹ́ tó tọ́.

Ìdí tí phishing ṣì jẹ́ ewu #1

Ọ̀pọ̀ jùlọ àwọn ìjẹjẹ àkáǹtì ńlá òde òní kò nípa gbígbà, fifọ ọ̀rọ̀ aṣínà, tàbí gbígbeékọjá ìfipamọ́ dàámù. Wọn nípa ènìyàn tó ń tò ọ̀rọ̀ aṣínà sínú ojú-ìwé irọ́. Phishing jẹ́:

  • Ọ̀san — olùkọlù kan lè fi ọ̀pọ̀ mílíọ̀nù ìmèéìlì rán fún iye owo VPS kan àti dòmẹ́ẹ̀nì tí a ti jẹ́ irọ́
  • Àánú láti ṣá — àwọn kit òde òní máa ń yí àwọn dòmẹ́ẹ̀nì padà, máa ń lo ìgbékalẹ̀ tó tọ́, wọn sì ń ṣe àtunṣe sí àwọn àwòàrọ̀ ní àkókò gidi
  • Gbígbéṣẹ — àní àwọn olùmúlò tí ó mọ ààbò lè ṣubú fún àwọn ìgbìyànjú afọwọ̀kọ tó tọ́ (spear phishing)
  • Tí ó lè gbèrú — phishing ìkan tí ó ṣaṣeyọrí sáàbà ń mú ọ̀nà sí àwọn ìpínlẹ̀ ọ̀pọ̀ iṣẹ́ tí a so mọ́ rẹ nípa lílo ọ̀rọ̀ aṣínà kanna lórí ojú-ìwé mìíràn

Ìjábọ̀ Ìwádìí Ìjẹjẹ Dátà Verizon 2024 rí i pé phishing ni ọ̀nà ìbẹ̀rẹ̀ wíwọlé nínú ju 36% gbogbo àwọn ìjẹjẹ — jù ẹnikẹ́ni àdánidá mìíràn lọ.

Bí phishing òde òní ṣe ń ṣiṣẹ́

Phishing ti dàgbà jù "Nigerian prince" ìmèéìlì ti àwọn ọdún 2000. Ìkọlù phishing òde òní sáàbà pẹ̀lú:

1. Ìjẹjẹ tí ó ń gba ẹ̀mí

Sáàbà ìmèéìlì, ọ̀rọ̀ tàbí ìfiránṣẹ́ ìbáraẹnisọ̀rọ̀ tí ó ń ṣẹ̀dá kíákíá ("Àkáǹtì rẹ yóò jẹ́ títì"), aṣẹ ("Ẹgbẹ́ ààbò Microsoft"), tàbí ìfẹ́kúfẹ̀ẹ́ ("Ẹnikan fi orúkọ rẹ sí àwòrán"). Spear-phishing gba ìgbésẹ̀ yìí siwajú pẹ̀lú àwọn àlàyé àdáni tí a fa láti LinkedIn, àwọn àkójọpọ̀ ìjẹjẹ, tàbí ìfiránṣẹ́ tẹ́lẹ̀.

2. Ojú-ìwé irọ́ tí ó dára tító

Àwọn olùkọlù máa ń lo àwọn phishing kits tí a tà ní ìtajà tí ó máa ń dàkọ HTML, CSS, àti JavaScript ojú-ìwé afojúsun. Ọ̀pọ̀ àwọn kit ni a tà gẹ́gẹ́ bí iṣẹ́ (phishing-as-a-service), pẹ̀lú àwọn dashboard tí ó ń ṣiṣẹ́ àti àtìlẹ́yìn ìbáṣepọ̀.

3. Proxy ní àkókò gidi fún 2FA

Apá tí ó léwu: àwọn kit òde òní kò gba ọ̀rọ̀ aṣínà rẹ nìkan. Wọn ń ṣiṣẹ́ bí proxy ẹni-ní-àárín tí ó ń gbé ohun gbogbo tí ẹ tò — pẹ̀lú koodu TOTP rẹ — lọ sí ojú-ìwé gidi láàárín ìṣẹ́jú aáyá, tí ó ń gbékọjá 2FA ọ̀pọ̀ jùlọ. Àwọn ìlànà yìí ni a pè ní adversary-in-the-middle (AiTM) a sì ń lò ọ́ nínú àwọn irinṣẹ́ bí Evilginx2 àti Modlishka.

4. Olè àmì ìgbádé

Nígbà tí ẹ bá wọlé gba oríkì proxy, olùkọlù á gba kùkì ìgbádé rẹ ó lè lò ó láti wà nínú ìgbádé àní lẹ́hìn tí ẹ bá yí ọ̀rọ̀ aṣínà padà. Ìyí ni ìdí tí ìdáhùn-sí phishing máa ń pẹ̀lú ìfagílé àwọn ìgbádé tí ń ṣiṣẹ́ dandan, kìí ṣe ìyípadà ọ̀rọ̀ aṣínà nìkan.

Ohun tí ó lè dáwọ́ phishing dúró gangan

Àwọn kọ́ọ̀bù ààbò (FIDO2 / WebAuthn)

Èyí ni ẹ̀ka ìdènà nìkan tí ó jẹ́ phishing-proof ní ìpìlẹ̀ apẹ́rẹ́pẹ̀. Nígbà tí ẹ bá wọlé pẹ̀lú kọ́ọ̀bù FIDO2, kọ́ọ̀bù rẹ máa ń jẹ́rìí sí dòmẹ́ẹ̀nì gangan ti ojú-ìwé tí ó ń béèrè fún ìfidánimọ pẹ̀lú ìmọ̀-ẹ̀rọ-ọgbọ́n ìfipamọ́ dàámù. Ojú-ìwé irọ́ kan — kò dára tó bó ṣe yẹ — ní dòmẹ́ẹ̀nì tó yatọ̀, nítorí náà kọ́ọ̀bù kọ̀ láti dáhùn. Ìfọwọ́sowọ́pọ̀ ìmọ̀-ẹ̀rọ-ọgbọ́n ìfipamọ́ dàámù kò pé rárá.

Google ti fìdímúlẹ̀ pẹ̀lú nǹkan tí ó ṣẹlẹ̀ nígbà tí wọ́n pàṣẹ YubiKeys fún gbogbo àwọn òṣìṣẹ́ 85,000+ ní 2017 wọ́n sì jábọ̀ koún ìkọlù phishing tí ó ṣaṣeyọrí lórí àwọn àkáǹtì ilé-iṣẹ́ ní àwọn ọdún tó tẹ̀lé.

Passkeys

Passkeys jẹ́ ìtẹ̀síwájú FIDO2 tí ó rọrùn fún olùmúlò. Wọn máa ń lo ìmọ̀-ẹ̀rọ-ọgbọ́n ìfipamọ́ dàámù tí a dè mọ́ dòmẹ́ẹ̀nì kannáà wọn sì wà nínú iOS, Android, macOS, àti Windows. Tí ojú-ìwé tí ẹ ń lò bá ń ṣe àtìlẹ́yìn fun passkeys, mímú ọ̀kan ṣiṣẹ́ jẹ́ kí àkáǹtì náà jẹ́ phishing-proof.

Àwọn olùṣàkóso ọ̀rọ̀ aṣínà

Olùṣàkóso ọ̀rọ̀ aṣínà jẹ́ ìlà ìdènà kejì rẹ nítorí pé ó máa ń kun àwọn ìwé-ẹ̀rí lórí dòmẹ́ẹ̀nì gangan nìkan tí a ti fipamọ́ wọn ibẹ̀. Tí ẹ bá dé paypaI.com (I nla) dípò paypal.com, olùṣàkóso rẹ kò ní kun fọ́ọ̀mù náà. Ìkọ̀ yẹn jẹ́ ìkìlọ̀ pé ohun kan kò tọ́.

Ẹ̀tọ́ ìmèéìlì àti DNS

Àwọn olùpèsè ìmèéìlì máa ń lo DMARC, SPF, àti DKIM láti ṣàwárí àwọn àdírẹ́ẹ̀sì olùránṣẹ́ tí a ti gba jẹ́ irọ́. Ọ̀pọ̀ àwọn olùpèsè òde òní máa ń mú àwọn ìgbìyànjú tí ó hàn gbangba, ṣùgbọ́n àwọn ìkọlù afọwọ̀kọ ṣì ń kọjá. Mú bọ́tìnnì "report phishing" ṣiṣẹ́ nínú olùrán-ìmèéìlì rẹ kí ẹ lè ràn àwọn àwòàrọ̀ lọ́wọ́ láti dàgbàsókè.

Àwọn àmì ìkìlọ̀ tí ẹ yẹ ká ṣọ́ fún

Nígbà tí ẹ bá gba ìfiránṣẹ́ tí ó ń bèéṣé kí ẹ wọlé, jẹ́rìí, tàbí ṣe nǹkan ní kíákíá:

  • Kíákíá àti ìhalẹ̀ — "Àkáǹtì rẹ yóò jẹ́ títì láàárín wakati 24"
  • Àwọn ikíni gbogbogbò — "Dear customer" dípò orúkọ rẹ
  • Àwọn dòmẹ́ẹ̀nì tí ó jọpaypaI.com, app1e.com, secure-microsoft-login.net
  • Àwọn àfikúndókun tí a kò retí — pàápàá àwọn fáìlì .zip, .html, tàbí .pdf tí ó ń bèéṣé kí ẹ wọlé láti wo wọn
  • Àṣìṣe gírámà tàbí ìtòlẹ́sẹẹsẹ — àwọn ilé-iṣẹ́ ńlá máa ń ṣàtúnyẹ̀wò àwọn ìmèéìlì wọn
  • Ìjápọ̀ tí kò bá — fìgì mọ́ ìjápọ̀ kí ẹ sì ṣàyẹ̀wò bóyá ibi tí ó ń lọ bá ọ̀rọ̀ náà mu

Tí ohunkóhun bá dún àjèjì, pa ìmèéìlì náà dé. Lọ sí ojú-ìwé náà ní ọwọ́. Tí ìṣòro gidi bá wà, ẹ á rí i nígbà tí ẹ bá wọlé nípasẹ̀ ọ̀nà tí ẹ máa ń lo lójúmọ́.

Ohun tí ẹ yẹ ká ṣe tí ẹ bá ṣubú sínú ọ̀kan

Ṣe kíákíá — iyára ṣe pàtàkì nítorí àwọn olùkọlù máa ń bẹ̀rẹ̀ lílo àwọn ìwé-ẹ̀rí láàárín ìṣẹ́jú.

  1. Yi ọ̀rọ̀ aṣínà padà lẹ́sẹ̀kẹsẹ̀ lórí ẹ̀rọ mìíràn (fóònù rẹ, fún àpẹẹrẹ, tí ẹ bá ṣubú sínú rẹ lórí kọ̀ǹpútà rẹ)
  2. Fagílé gbogbo àwọn ìgbádé tí ń ṣiṣẹ́ nínú ìtòpín àkáǹtì — ìyí yọ gbogbo ẹnikẹ́ni tó ń lò àwọn àmì ìgbádé tí a jí
  3. Mú 2FA ṣiṣẹ́ tí kò bá tí ṣe bẹ́ẹ̀ tẹ́lẹ̀, kí ẹ sì lo kọ́ọ̀bù tàbí passkey tí ó bá ṣeéṣe
  4. Ṣàyẹ̀wò ìgbésẹ̀ tí a kò fọwọ́ sí — àwọn ìmèéìlì tí a rán, àwọn wíwọlé àìpẹ́, àwọn ìyípadà ìbísan, àwọn òfin ìsọdọ̀tun tuntun
  5. Ṣàkíyèsí àjọ tí ó kan tí ó bá jẹ́ àkáǹtì ìnáwó tàbí iṣẹ́
  6. Ṣàyẹ̀wò àwọn àkáǹtì mìíràn tí ó lò ọ̀rọ̀ aṣínà kannáà — àní tí ẹ bá dájú pé ẹ kò tún ọ̀rọ̀ aṣínà lo, ṣàyẹ̀wò

Ìpinnu

Phishing máa ń gbèrú nítorí pé ó ń kọjá imọ̀-ẹ̀rọ ó sì ń fojúsọ́ ẹ̀dá ènìyàn. Àwọn ìdènà tí ó dára jùlọ máa ń dàpọ̀ àwọn ipele mẹ́ta: àwọn olùṣàkóso ọ̀rọ̀ aṣínà (tí kò fẹ́ kun lórí àwọn dòmẹ́ẹ̀nì tí kò tọ́), 2FA tí kò bẹ̀rù phishing (àwọn kọ́ọ̀bù tàbí passkeys tí ó dè mọ́ dòmẹ́ẹ̀nì gidi), àti ìfura tó wúlò (máse wọlé láti ìjápọ̀ ìmèéìlì).

Mú gbogbo mẹ́tẹ̀ẹ̀ta ṣiṣẹ́ lórí àkáǹtì pàtàkì jùlọ rẹ — ìmèéìlì rẹ — ní àkọ́kọ́. Láti ibẹ̀, ìyókù ìgbésí ayé fóònù rẹ á di aláàbò siwajú sii ní ọ̀nà tí ó ní ìtumọ̀.

Bí a ṣe Lè Dáàbò bo Ara Rẹ Lọwọ Phishing

Àtòjọ tó ṣe kedere tí a tò ní ọ̀nà ìtòlẹ́sẹẹsẹ láti mú àwọn àkáǹtì rẹ le jókòó lọ́wọ́ àwọn ìkọlù phishing.

  1. Lò olùṣàkóso ọ̀rọ̀ aṣínà:Fi olùṣàkóso ọ̀rọ̀ aṣínà tí a gbẹ́kẹ̀lé sí (1Password, Bitwarden, Proton Pass) kí o sì jẹ́ kí ó kun àwọn ìwé-ẹ̀rí. Yóò kọ̀ láti kun lórí àwọn dòmẹ́ẹ̀nì tí ó jọ, fún yín ní ohun tí ó ń ṣiṣẹ́ bí olùṣàwárí phishing.
  2. Mú 2FA tí kò bẹ̀rù phishing ṣiṣẹ́:Fikún kọ́ọ̀bù FIDO2 (YubiKey, Google Titan) tàbí passkey sí àwọn àkáǹtì pàtàkì rẹ jùlọ — ìmèéìlì ní àkọ́kọ́, lẹ́hìn náà ilé-ìfowópamọ́, ìtọ́jú àwòkọ́ṣọ̀, àti olùṣàkóso ọ̀rọ̀ aṣínà. Èyí nìkan ni àwọn ọ̀nà 2FA tí ó lè dáwọ́ phishing òde òní dúró gangan.
  3. Máse wọlé láti àwọn ìjápọ̀ ìmèéìlì:Nígbà tí ẹ bá gba ìmèéìlì tí ó ń bèéṣé kí ẹ wọlé, pa ìmèéìlì náà dé kí ẹ lọ sí ojú-ìwé náà ní ọwọ́ pẹ̀lú àmì-ìtọ́kọ̀ tàbí nípa títò URL. Ìjápọ̀ nínú ìmèéìlì lè jẹ́ ẹ̀dà pípé; àmì-ìtọ́kọ̀ nínú aṣàwákiri rẹ kọ.
  4. Ṣàyẹ̀wò dòmẹ́ẹ̀nì gangan ṣáájú ṣíṣe tò:Ṣáájú kí ẹ tò ọ̀rọ̀ aṣínà kankan, wo URL pípé nínú pẹpẹ àdírẹ́ẹ̀sì. Wá HTTPS, àkọsílẹ̀ tó tọ́, àti kò sí àwọn àbúdí àfikún bí paypal.com.secure-login.net.
  5. Jábọ̀ kí ẹ sì tẹ̀síwájú:Jábọ̀ ìgbìyànjú phishing náà sí olùpèsè ìmèéìlì rẹ (ọ̀pọ̀ jùlọ ni bọ́tìnnì "Report phishing"). Lẹ́hìn náà tẹ̀síwájú pẹ̀lú ọjọ́ rẹ — phishing lewu nìkan nígbà tí ẹ bá ṣubú sínú rẹ, àti ìmọ̀ jẹ́ ọ̀pọ̀ nínú ogun náà.

Àwọn Ìbéèrè tí Wọn Máa Béère