Hvad er phishing
Phishing, også kendt som kartning eller mærke spoofing, har mange definitioner, vi ønsker at være meget forsigtige med, hvordan vi definerer begrebet, da det er under konstant udvikling. I stedet for en statisk definition, lad os se på de primitive phishing-metoder og se den praksis aktive udvikling og mulige fremtidige processer. For nu vil vi definere de primitive fremgangsmåde, som den handling at sende en falsk e-mail (med en bulk mailer) til en modtager, fejlagtigt at efterligne et lovligt etableret i et forsøg på at snyde modtageren til at røbe private oplysninger som kreditkortnumre kortnumre eller bankkonto passwords.The e-mail, i de fleste tilfælde, vil fortælle brugeren til at besøge et websted for at udfylde den private information.To vinde din tillid, dette websted er designet til at ligne det sted, hvor virksomheden de scammer er udgive. Selvfølgelig er det websted, ikke rigtig stedet for lovlig organisation, og det vil derefter gå videre til at stjæle dine private oplysninger til monetære gain.Thus Ordet phishing er naturligvis en variation af det ord, der fisker i, at disse svindlere, der er fastsat "kroge "i håb om, at de vil få et par" bid "fra deres ofre. Phishing har faktisk eksisteret i over 10 år, startende med America Online (AOL) tilbage i 1995.There var programmer (som fx AOHell), at automatiseret proces af phishing for konti og kreditkort informationer. Dengang phishing blev ikke brugt så meget i e-mail i forhold til Internet Relay Chat (IRC) eller messaging varslingssystem, at AOL used.The phishere ville imitere en AOL-administrator og fortæller offeret, at der var en fakturerings-problem, og de havde brug for dem til at forny deres kreditkort og login-oplysninger. Dengang, da det er personlige computere i hjemmet kombineret med anvendelse af internettet er en forholdsvis ny oplevelse, denne metode vist sig ganske effektive, men blev ikke observeret med så stor befolkning som phishing er i dag. Den pludselige stormløb af phishing mod finansielle institutioner blev første gang rapporteret i juli 2003.According til Great Spam Arkiv, målene var først og fremmest E-lån, E-guld, Wells Fargo, og Citibank. Den mest bemærkelsesværdige twist om phishing fænomen er, at der indføres en ny klasse af angrebsvektorer, der blev overset i næsten alle pengeinstitut sikkerhed budget: det menneskelige element.All de dyre firewalls, SSL-certifikater, IPS regler, og styring af programrettelser kunne ikke stoppe udnyttelse af online tillid til, at ikke kun kompromiser fortrolige brugeroplysninger, men har haft en stor indvirkning på forbrugernes tillid til telekommunikation mellem en virksomhed og dens kunder. SMTP-mail er i sagens natur usikker i, at det er muligt for selv forholdsvis almindelige brugere til at forhandle direkte med at modtage og formidle SMTP servere og oprette beskeder, der vil snyde en naiv modtageren til at tro, at de kom fra et andet sted. Konstruktion af en sådan besked, således at "spoofed" adfærd ikke kan detekteres af en ekspert, er noget vanskeligere, men ikke tilstrækkeligt, så der skal virke afskrækkende på nogen, der er fastlagt og vidende. Derfor, som viden om internettet mail stiger, så gør den viden, at SMTP-mail i sagens natur ikke kan godkendes, eller integritet fastsatte kontrol, på transport-niveau. Real mail-sikkerhed ligger kun i ende-til-ende metoder med beskeden organer, såsom dem, der bruger digitale signaturer (se [14] og, f.eks PGP [4] eller S / MIME [31]). Forskellige protokol udvidelser og indstillingsmuligheder, der giver autentifikation på transport-niveau (fx fra en SMTP-klient til en SMTP-server) forbedre lidt på det traditionelle ovenfor beskrevne situation. Men medmindre de er ledsaget af en omhyggelig handoffs af ansvar i en omhyggeligt designet tillid miljø, de fortsat selv svagere end ultimo toend mekanismer, der kan bruge digitalt signerede meddelelser snarere end afhængigt af integriteten af transportsystemet. Bestræbelserne på at gøre det vanskeligere for brugerne at indstille kuvert returvej og header "Fra" feltet til at pege på gyldige adresser andre end deres egen, er stort set forkert: de modarbejder legitime anvendelser, hvor mails sendes fra en bruger på vegne af en anden eller i der bør fejl (eller normal) svar blive omdirigeret til en særlig adresse. (Systemer, som giver nem måde for brugerne til at ændre disse områder på en per-besked grundlag skal forsøge at etablere en primær og permanent postkasse adresse for brugeren, således at Sender områder inden for den besked data kan genereres en fornuftig måde.) Denne specifikation omfatter ikke yderligere behandle autentificering spørgsmål i forbindelse med SMTP andet end at anbefale, at nyttige funktioner ikke være handicappet i håb om at give nogle mindre margen for beskyttelse mod en uvidende bruger, der forsøger at falske e-mails. Denne specifikation er opmærksom på detaljer, hvordan trivielle det er at narre en nonexpert e-mail-modtageren til at tro, at de var sendt en legitim e-mail. SMTP blev designet i 1982 på et tidspunkt, hvor det var beregnet til brug mellem begrænset og "betroede" brugere. I 2001, der med RFC 2821 og SMTP er blevet brugt af det offentlige for mere end seks år, den manglende sikkerhed er fuldt dokumenteret. Forfalskning fremgangsmåde, der beskrives i RFC 2821, afsnit 7.1, er, hvad phishere og spammere udnytter til at sende deres e-mails til modtagere. Det er vigtigt at forstå, at dette ikke betyder, at phishere har skills.The grund phishing er på et all-time high rent faktisk skyldes det værktøj sæt, der er tilgængelige, ikke fordi phishere skill.To har bevis på dette punkt, sikkerhed eksperter har kendt til SMTP-fejl siden 1982, og igen i 1995-1998, den primære angreb på e-mail var kendt som e-mail-bombning, men det var fordi en lang række værktøjer, som f.eks Lavine, Kaboom, og Ghost Mail, var frit available.These værktøjer automatiseret proces med et klik på musen, hvilket gør en e-mail-konto ubrugelig og i mange tilfælde at destruere alle anvendeligheden af mail-server, der var vært for account.This angreb hovedsageligt udført et denial-of-service (DoS) angreb mod post konti og deres mail-udbydere ved at overbebyrde regnskaberne med en endeløs mængde af e-mails, der var at nå frem til en alt for hurtig hastighed. Da de værktøjer var til rådighed, at angrebene var ikke uncommon.This svarer til den analogi af muligheden for frit tilgængelige kanoner. Hvis kanon køb ikke blev kontrolleret, især hvis der ikke var nogen alder begrænsning, og de var frit tilgængelige, ville vi sandsynligvis vidne mere gun-relaterede crimes.This tilsvarende gælder for phishing i dag, da phishing er bare en anden form for spam. Spam er ikke ligefrem et genialt koncept, og tager meget lidt fantasi til at ansætte, og lettilgængeligt angreb værktøjer åbne døren for kriminelle til at udnytte kendte sikkerhedshuller i deres forbryderiske muligheder, herunder hvad vi ser i dag: spam-og phishing. Web-spoofing teknikker er mere varieret udnyttelse og er normalt udnyttes via offentligt tilgængelige proof-of-koncepter kendt som fuld information leveret af sikkerhed researchers.The HTTP-protokollen er ikke i sig selv usikker som SMTP, men den lider under manglende standardisering og Den uensartede brug af web-browser klienter såsom Firefox, Internet Explorer og Safari. Det er ikke nødvendigvis HTTP, der er problemet, men en kombination af specifikke sårbarheder findes inden for visse browsere og server-side web-sites, der tillader disse angreb, samt en misforståelse af fleksibiliteten i Uniform Resource Locators (URL) og deres trivielle ændringer. For eksempel, at den fælles øjet, kan den URL www.southstrustbankonline.com i et browservindue nemt at narre en bruger til at tro, det er den faktiske Southtrust bankens websted. Vi kalder disse fuzzy domæner eller look-alike domains.This er ikke en HTTP-eller webbrowser udnytte; dette er et angreb mod den menneskelige eye.This metode er designet til at narre brugeren til ikke at mærke de ekstra s i webadressen (southstrust) i stedet for den faktiske webadresse, southtrustbankingonline.com. en artikel sendt af Ted Highway
|
|||||
|