Mejlet såg legitimt ut, så Danielle Radin klickade på länken den innehöll, förväntar sig att få hennes produkter inkluderade i en semester presentguide.

"Jag ångrade mig direkt, säger Radin, ägare till Mantra Magnets, en webbplats som säljer hälsoprodukter. "Det tog mig till en slumpmässig webbplats som såg ut som de popup-fönster som berättade att du har vunnit på lotteriet."

Inom dagar efter det klicket för tre veckor sedan, Radin började få meddelanden om att människor i Ecuador, Kina och andra ställen försökte komma åt hennes e -postkonto. Hon blev inte förvånad; hon visste att hennes San Diego-baserade småföretag hade varit målet för en nätfiskebedrägeri.

Medan cyberbrottslingar slår till när som helst på året, de är särskilt aktiva under semester- och inkomstskattesäsongerna när datoranvändare förväntar sig att se fler e -postmeddelanden - och bedragare riktar sig alltmer mot enskilda småföretag med nätfiske, skicka meddelanden som ser legitima ut men gör skada istället. En intet ont anande ägare eller anställd klickar på en länk eller bilaga och som Radin upptäcker att skadlig programvara har invaderat deras datorer.

Cybersäkerhetsexperter finner att kriminella som brukade täcka tusentals datoranvändare i hopp om att lura en handfull har förfinat sina metoder. Bedragare hittar småföretag via webbplatser, sociala medier och genom att kamma e -postadressböcker. De bryter också personuppgifter från överträdelser hos återförsäljare och andra stora företag. Sedan, använder en process som kallas social engineering, de konstruerar mejl som alltmer ser realistiska ut, som om de verkligen kommer från en chef, kollega, vän, potentiell kund eller leverantör, en bank och till och med IRS.

"Under det senaste året eller två har de drivit mer professionella kampanjer, säger Perry Toone, ägare av Thexyz, en e -postleverantör baserad i Toronto. "Det kan ta ett par minuter för mig att fastställa att de är nätfiske. Det säger mig att de gör ett mycket bra jobb."

Radin tror att bedragarna hittade henne via hennes webbplats eller en blogg. Liksom många småföretag, hon har en e -postadress på sin webbplats, och bedragarna kom på att hon kan vara intresserad av att sälja via en presentgåva. Men att hitta ett mål är en sak; bluffen fungerar inte om den lurar en e -postmottagare att klicka. Även de som är tekniskt kunniga kan ibland svika. Radin lurades trots att hon är författare till "Alla har blivit hackade, "en bok som säljs online.

Ofta lyckas en bluff eftersom det bara finns en bit av tvivel hos en datoranvändare - e -postmeddelandet är tillräckligt realistiskt för att en ägare eller anställd ska känna att de behöver läsa det. Ibland klickar en medarbetare av rädsla eller ansvarskänsla, säger Rahul Telang, professor i informationssystem vid Carnegie Mellon Universitys Heinz College.

"Det låter kanske inte så personligt, men du har en idé om att du ska gå vidare - du känner att e -postmeddelandet kommer från chefen, " han säger.

Datoranvändare kanske inte tittar så noga som de borde på ett e -postmeddelande - det kan finnas subtila tecken på att ett meddelande är problem. Terry Cole, ägare av Cole Informatics, ett företag vars arbete inkluderar cybersäkerhet, påminner om att få ett mejl som verkligen verkade vara från en kollega. Han var en av flera personer i branschen som tog emot den.

"Det stod att den här kollegan hade skickat mig ett säkert privat meddelande som var redo för mig att läsa och inkluderade en länk att klicka på. Detta överensstämde helt med mina vanliga erfarenheter av att kommunicera med honom, säger Cole, vars företag ligger i Parsons, Tennessee.

Cole gjorde inte i det här fallet vad han brukar göra och råder alla att göra:kontrollera e -postadressen för att vara säker på att det är helt korrekt. När han klickade på länken, det tog honom till en falsk webbplats som påstod att han var ansluten till Microsoft och bad honom om hans ID och lösenord. Han gick inte längre och fick ingen skada på sin dator.

Helgerna ger bedragare extra möjligheter:gratulationskort via mejl, paketförsändelsemeddelanden, erbjudanden om rabatter - alla falska. Cyberkriminella söker också personlig information från ägare och anställda under täckmantel av att de behöver skapa ett W-2 eller 1099 skatteformulär; vid den här tiden på året, företagarnas tankar vänder sig till skatter.

"Något som påstår sig känna dig, ditt namn, där du arbetar och vill att du ska vidta åtgärder är svårare att upptäcka, "säger Sherrod DeGrippo, senior chef för hotforskning och upptäckt på Proofpoint, ett cybersäkerhetsföretag baserat i Sunnyvale, Kalifornien.

En vanlig bluff vid semestern är ett mejl som påstås från chefen som säger till en anställd att han ska köpa presentkort och skicka numren tillbaka, Säger DeGrippo.

"När det verkar komma från en chef eller VD, Jag tror att det finns en tendens bland anställda att följa de riktningarna. De leker på sina känslor, " hon säger.

Ofta, en bluff lyckas få en anställd att klicka på ett personligt e -postmeddelande på en företagsdator - många arbetare kontrollerar sin personliga e -post medan de är på jobbet. Även om e -postmeddelandet kom via ett personligt meddelande, det är företagets maskin som kan smittas.

Företag kan skydda sig delvis genom att begränsa anställdas tillgång till personliga e -postsajter, Säger Telang. Han föreslår också seminarier för att hjälpa personal att förstå de risker som även legitimt utseende e-postmeddelanden kan innebära.

Några av bedrägerierna syftar till att övervaka användarens knapptryckningar. Så alla som har tillgång till ett företag eller ett personligt konto av något slag kan ge en kriminell tillgång till sina pengar eller känsliga personuppgifter. Ett verktyg för att förhindra att ett bankkonto töms eller ett kreditkort maxas är att ha konton med multifaktorautentisering; som kräver ett lösenord och en separat kod som skickas till en annan enhet och som är olika för varje inloggning.

© 2019 Associated Press. Alla rättigheter förbehållna.