Wat is phishing
Phishing, ook bekend als kaarden of merk spoofing, heeft vele definities, we willen heel voorzichtig zijn hoe definiëren we de term, omdat het voortdurend evolueert. In plaats van een statische definitie, laten we eens kijken naar de primitieve phishing-methoden en zie actieve evolutie van de praktijk en mogelijke toekomstige processen. Voor nu zullen we bepalen de primitieve benadering, aangezien de handeling van het sturen van een valse e-mail (met behulp van een bulk mailer) naar een ontvanger, ten onrechte het nabootsen van een legitieme vestiging in een poging om de ontvanger zwendel in verspreiding prive-informatie zoals credit kaartnummers of bankrekening passwords.The e-mail, in de meeste gevallen zal vertellen de gebruiker een website bezoekt te vullen in de prive-information.To uw vertrouwen winnen, deze website is ontworpen om te lijken op de site van de vestiging de oplichter is imiteert. Natuurlijk, de site is niet echt de plaats van de legitieme organisatie, en het zal dan overgaan tot uw persoonlijke informatie te stelen voor het monetaire gain.Thus het woord phishing is duidelijk een variatie van het woord visserij in dat deze oplichters uiteengezet "haken "in de hoop dat zij zullen je een paar 'happen" van hun slachtoffers. Phishing is eigenlijk al meer dan 10 jaar, te beginnen met America Online (AOL) weer in 1995.There werden programma's (zoals AOHell) dat het geautomatiseerde proces van phishing voor rekeningen en credit card informatie. Toen phishing was niet zo veel gebruikt in e-mail ten opzichte van Internet Relay Chat (IRC) of het berichtensysteem waarschuwingssysteem dat AOL gebruikt.Zoals blijkt phishers zou imiteren een AOL-beheerder en het slachtoffer te vertellen dat er een probleem en facturering ze nodig hadden hen te vernieuwen hun creditcard en login informatie. Toen, omdat personal computers in het huis in combinatie met het gebruik van Internet zijn een vrij nieuwe ervaring, deze methode zeer effectief gebleken, maar werd niet waargenomen met evenveel inwoners als phishing vandaag is. De plotselinge aanval van phishing tegen financiële instellingen werd voor het eerst gemeld in juli 2003.According de Grote Spam Archief, de doelen waren voornamelijk E-lening, E-gold, Wells Fargo, en Citibank. Het meest opmerkelijke twist over het fenomeen phishing is dat het een nieuwe klasse van aanval vectoren die het hoofd werd gezien in veiligheid vrijwel iedere financiële instelling van de begroting: de menselijke element.All de dure firewalls, SSL certificaten, IPS regels, en patch management kon niet ophouden de exploitatie van online vertrouwen dat niet alleen compromissen vertrouwelijke informatie voor de gebruiker, maar heeft een grote invloed op het consumentenvertrouwen met betrekking tot telecommunicatie tussen een instelling en haar cliënten. SMTP mail is inherent onzeker in dat het haalbaar is, zelfs voor vrij casual gebruikers om rechtstreeks te onderhandelen met het ontvangen en doorgeven van SMTP-servers maken en berichten die zal een naïeve ontvanger truc te laten geloven dat ze afkomstig zijn van ergens anders. Het construeren van een dergelijk bericht zodat de "vervalste" gedrag niet kan worden gedetecteerd door een deskundige is wat moeilijker, maar niet voldoende om als een afschrikmiddel voor iemand die wordt bepaald en kennis. Bijgevolg, als kennis van de verhogingen Internet-mail, doet de wetenschap dat SMTP mail inherent niet kan worden geverifieerd, of integriteit bedoelde controles op het vervoer niveau. Real mail beveiliging ligt alleen in end-to-end-methoden waarbij de boodschap instanties, zoals die welke digitale handtekeningen te gebruiken (zie [14] en, bijvoorbeeld, PGP [4] of S / MIME [31]). Diverse protocol extensies en configuratie-opties die authenticatie bieden op het vervoer niveau (bijvoorbeeld uit een SMTP-client naar een SMTP-server) enigszins te verbeteren op de traditionele hierboven beschreven situatie. Echter, tenzij zij vergezeld gaan van een zorgvuldige handoffs van verantwoordelijkheid in een zorgvuldig ontworpen vertrouwen milieu, blijven ze van nature zwakker dan eind toend mechanismen die digitaal ondertekende berichten gebruiken in plaats van afhankelijk van de integriteit van het vervoerssysteem. Inspanningen om het moeilijker maken voor de gebruikers envelop terug pad en de header aan "Set Van" velden om naar geldige adressen andere dan hun eigen zijn grotendeels misplaatst: zij frustreren legitieme toepassingen waar mail wordt verzonden door een gebruiker op rekening van een andere of in die fout (of normaal) antwoorden moeten worden gericht aan een speciaal adres. (Systemen die handige manieren om gebruikers te wijzigen deze gebieden op een per bericht moet proberen om een primaire en permanente e-mailadres van de gebruiker zodat Afzender velden in het bericht verstandig gegevens kunnen worden gegenereerd vast te stellen.) Deze specificatie niet verder ingegaan op de authenticatie kwesties in verband met SMTP, andere dan deze handige functie niet uitgezet worden in de hoop van het verstrekken van enkele kleine marge van de bescherming tegen een onwetende gebruiker die probeert te pleiten voor nep-mail. Deze specificatie maakt een punt van detaillering hoe triviaal het is om een niet-deskundige e-mail ontvanger truc laten geloven dat ze werden een legitieme e-mail. SMTP werd ontworpen in 1982 op een moment dat het was bestemd voor gebruik tussen beperkte en "trusted" gebruikers. In 2001, na met RFC 2821 en SMTP is gebruikt door het publiek voor meer dan zes jaar, het gebrek aan veiligheid volledig is gedocumenteerd. De vervalsing aanpak beschreven in RFC 2821, punt 7.1, is wat phishers en spammers gebruiken voor het verzenden van hun e-mails naar de ontvangers. Het is belangrijk te begrijpen dat dit niet betekent dat phishers hebben geen reden skills.The phishing is een all-time high is eigenlijk te wijten aan de tool sets die beschikbaar zijn, niet omdat de phishers skill.To hebben dit punt, veiligheid bewijzen deskundigen hebben over bekende SMTP-fouten sinds 1982, en terug in 1995-1998, was de eerste aanval op e-mail bekend als e-mail bombardementen, maar dat was omdat een groot aantal instrumenten, zoals Avalanche, Kaboom, en Ghost Mail, waren vrij available.These hulpmiddelen geautomatiseerd proces met een klik van de muis, waardoor een e-mailaccount nutteloos en in veel gevallen vernietigen van alle bruikbaarheid van de mailserver dat was gastheer van de account.This aanval uitgevoerd in wezen een denial-of-service (DoS) aanval op mail rekeningen en hun post dienstverleners door overbelasting van de rekeningen met een eindeloze hoeveelheid e-mail die werd aankomt op een overdreven versneld tempo. Sinds de tools beschikbaar zijn, de aanvallen werden niet uncommon.This is vergelijkbaar met de analogie van de mogelijkheid van vrij toegankelijke geweren. Als wapen aankopen niet werden gecontroleerd, vooral als er geen beperking leeftijd, en ze waren vrij beschikbaar zijn, zouden we waarschijnlijk meer getuige zijn pistool-gerelateerde crimes.This analogie van toepassing op phishing vandaag, omdat phishing is gewoon een andere vorm van spam. Spam is niet bepaald een ingenieus concept en neemt zeer weinig fantasie in dienst te nemen, en gemakkelijk toegankelijk aanval gereedschap de deur open voor criminelen om goed te benutten bekende beveiligingsfouten voor hun snode kansen, met inbegrip van wat we zien vandaag: spam en phishing. De Web-spoofing technieken zijn meer gevarieerd in de exploitatie en zijn meestal geëxploiteerd door middel van algemeen beschikbare proof-of-concepten bekend als volledige bekendmaking die door de beveiliging researchers.The HTTP-protocol is niet inherent onveilig zoals SMTP, maar het lijdt aan een gebrek aan standaardisatie en de heterogene gebruik van de webbrowser klanten zoals Firefox, Internet Explorer en Safari. Het is niet noodzakelijk HTTP dat is het probleem, maar een combinatie van specifieke kwetsbaarheden gevonden in bepaalde browsers en server-side websites die het mogelijk maken deze aanvallen, evenals een verkeerd begrip van de flexibiliteit van Uniform Resource Locator (URL's) en hun triviale wijzigingen. Bijvoorbeeld, om de gemeenschappelijke oog kan, de URL www.southstrustbankonline.com in een browservenster gemakkelijk truc van een gebruiker te geloven dat het de werkelijke Southtrust bank website. We noemen deze fuzzy domeinen of look-alike domains.This is niet een HTTP-of webbrowser te benutten; dit is een aanval op de menselijke eye.This methode is ontworpen om de gebruiker niet te merken in de extra truc s in de URL (southstrust) in plaats van de echte site URL, southtrustbankingonline.com. een artikel ingediend door Ted Highway
|
|||||
|