Gwe-rwydo - peidiwch â bod y dal!
Beth yw gwe-rwydo?
Gwe-rwydo (phishing) yw pan fydd ymosodwyr (seiber droseddwyr) yn targedu unigolion neu sefydliadau drwy e-bost, ffôn neu neges destun gan esgus bod yn ffynhonnell gyfreithlon ac yn ceisio denu unigolion i glicio ar ddolen annibynadwy neu i ddarparu data sensitif megis cyfrineiriau, manylion bancio neu wybodaeth sensitif arall.
Mathau o we-rwydo
Dyma'r mathau mwyaf cyffredin o ymosodiadau gwe-rwydo a ddefnyddir gan droseddwyr seibr.
-
Dyma pryd mae ymosodwr yn defnyddio parth ffug neu gyfeiriad e-bost sy'n dynwared sefydliad dilys. Mae'r e-bost yn aml yn cynnwys dolen i safle sy'n ymddangos yn ddilys.
-
Yn debyg i we-rwydo e-bost - mae'r ymosodwr yn anfon neges destun sy'n dynwared sefydliad.
-
Yn cynnwys sgwrs dros y ffôn lle mae'r ymosodwr yn ceisio argyhoeddi'r sawl sy'n derbyn yr alwad i ddarparu gwybodaeth bersonol neu sensitif.
-
Mae hwn yn sgam wedi'i dargedu sy'n cael ei gyfeirio at unigolion neu sefydliad penodol. Yn aml, y bwriad yw arwain y derbynnydd i wefan ffug neu gynnwys atodiadau a allai arwain at osod maleiswedd neu feddalwedd wystlo (ransomware) ar y cyfrifiadur neu'r rhwydwaith.
Cynghorion da i adnabod gwe-rwydo
Mae ymosodiadau gwe-rwydo wedi mynd yn fwyfwy soffistigedig ac nid yw'n amlwg bob amser a yw'r e-bost, galwad ffôn neu neges destun yn ddilys ai peidio. Mae gwasanaethau hidlo e-bost yn ceisio anfon e-byst gwe-rwydo i ffolderi sbam/sothach, fodd bynnag er mwyn sicrhau bod e-byst dilys yn cael eu derbyn nid yw'n bosib cael gwared ar bob ymdrech i we-rwydo bob amser. Er mwyn ein helpu i sylwi ar ymgais i we-rwydo dyma ambell awgrym da.
-
Gwiriwch gyfeiriad e-bost unrhyw e-bost, yn aml gall fod arwyddion dadlennol nad yw'r e-bost yn ddilys. Yn aml bydd ymosodwyr yn cuddio'r parth gwirioneddol felly mae’n werth gwirio.
-
At bwy mae'r e-bost wedi'i anfon? Er enghraifft a yw'n cyfeirio at eich enw neu rywbeth generig megis 'cwsmer'?
-
Cadwch lygad am wallau sillafu neu ramadeg gwael a all wneud i chi amau dilysrwydd y neges.
-
Dylech osgoi agor unrhyw atodiadau amheus.
-
Yn aml bydd ymosodiadau potsian yn ceisio gofyn am weithredu ar unwaith - cymerwch yr amser i ddarllen unrhyw e-byst neu negeseuon yn drylwyr ac ystyried eu dilysrwydd cyn gweithredu.
Os ydych chi'n hyderus bod neges yn rhan o ymosodiad gwe-rwydo, yna anwybyddwch a'i ddileu. Os nad ydych yn siwr, ewch i wefan swyddogol y cwmni mae'r neges yn honni bod o a chysylltu â nhw'n uniongyrchol. Peidiwch â chlicio ar unrhyw ddolenni na defnyddio'r manylion cyswllt yn y neges nes eich bod wedi dilysu ei ddilysrwydd.
Deall gwe-rwydo
Bydd ein modiwl hyfforddiant ar we-rwydo yn eich helpu i ddeall beth yw gwe-rwydo a sut mae'n gweithio, sut gallwch chi adnabod e-byst gwe-rwydo, technegau gwe-rwydo amrywiol a beth allwch chi ei wneud i amddiffyn eich hun a'ch sefydliad.
Sut mae dilysu aml-ffactor yn helpu i frwydro yn erbyn gwe-rwydo
Mae dilysu aml-ffactor (MFA) yn darparu haen ychwanegol o amddiffyniad i gyfrifon defnyddwyr rhag troseddwyr seiber. Mae dilysu MFA neu ddau ffactor (2FA) yn golygu bod gofyn i ddefnyddiwr ddarparu gwybodaeth eilaidd er mwyn cael mynediad i gyfrif ar-lein.
Mae diogelwch ychwanegol MFA yn rhoi amddiffyniad gwell i gyfrifon defnyddwyr, yn enwedig rhag ymosodiadau gwe-rwydo. Gall troseddwyr seiber lansio ymosodiad gwe-rwydo i geisio dwyn cyfrinair neu fanylion mewngofnodi defnyddiwr a all roi mynediad i'w cyfrif iddynt. Trwy ddefnyddio MFA mae'n annhebygol y bydd gan droseddwr seiber fynediad at yr ail ffactor dilysu (e.e. eich ffôn clyfar) ac felly mae'r cyfrif yn cael ei ddiogelu rhag ymosodiad.
Gellir defnyddio nifer o ddulliau MFA gan gynnwys un cyfrinair unwaith yn unig (OTPs) a anfonir i ddyfais wahanol (e.e. ffôn clyfar), olion bysedd, neu ffactorau biometreg eraill. Mae rhwydweithiau diogel yn darparu ail ffactor dilysu hefyd wrth gael mynediad at gyfrifon ar-lein.
Oherwydd y data a allai fod yn sensitif y mae gan ddeiliaid cyfrifon nad ydynt yn ddysgwyr h.y. staff, llywodraethwyr ac unrhyw randdeiliaid eraill (ond nid dysgwyr) fynediad iddo drwy eu cyfrif Hwb, rhaid i MFA fod ar waith ar gyfer y defnyddwyr hyn. Dysgwch sut i roi MFA ar waith i ddefnyddwyr yn eich ysgol neu sefydliad.
Sut i riportio gwe-rwydo
Un o sefydliadau llywodraeth y DU yw'r Ganolfan Seiberddiogelwch Genedlaethol (NCSC) sydd â'r awdurdod i ymchwilio a chael gwared ar gyfeiriadau e-bost a gwefannau twyllodrus.
Drwy roi gwybod am ymdrechion gwe-rwydo, gallwch:
- leihau faint o gyfathrebiadau sgâm a gewch chi
- gwneud eich hun yn darged anoddach i sgamwyr
- diogelu eraill rhag troseddau seiber ar-lein
Gallwch roi gwybod i'r NCSC am we-rwydo yn gyflym ac am ddim - report@phishing.gov.uk.