Hva er phishing
Phishing, også kjent som karding eller merke etterligning, har mange definisjoner, og vi ønsker å være veldig forsiktig med hvordan vi definerer begrepet, siden det er i stadig utvikling. I stedet for en statisk definisjon, la oss se på det primitive phishing-metoder og se praksis aktive evolusjon og mulige framtidige prosesser. For nå vil vi definere primitiv tilnærming, som det å sende en falsk e-post (med en bulk mailer) til en mottaker, feilaktig etterligner en legitim driftssted i et forsøk på å svindel mottakeren til å røpe privat informasjon som kredittkort Kortnummer eller bankkonto passwords.The e-post, i de fleste tilfeller vil fortelle brukeren til å besøke et webområde for å fylle ut privat information.To vinne din tillit, dette nettstedet er designet for å ligne stedet til etablering svindleren etterligner. Selvfølgelig er man egentlig ikke stedet for den legitime organisasjonen, og det vil da fortsette å stjele din private informasjon for penge gain.Thus ordet phishing er åpenbart en variant av ordet fiske i at disse svindlere fastsatt "kroker "i håp om at de vil få noen" biter "fra sine ofre. Phishing har faktisk eksistert i over 10 år, og starter med America Online (AOL) tilbake i 1995.There var programmer (som AOHell) som automatisert prosessen med phishing for kontoer og kredittkort informasjon. Tilbake da phishing ble ikke brukt så mye i e-post i forhold til Internet Relay Chat (IRC) eller beskjed varslingssystem som AOL used.The phishere skulle imitere en AOL administrator og fortelle offeret at det var en fakturering problem og de trengte dem til å fornye sine kredittkort og påloggingsinformasjon. Tilbake da, fordi personlige datamaskiner i hjemmet kombinert med Internett-bruk var en ganske ny opplevelse, viste denne metoden ganske effektiv, men ble ikke observert så mye befolkningen som phishing er i dag. Den plutselige angrep på phishing mot finansinstitusjoner ble først rapportert i juli 2003.According til Great Spam Arkiv, målene var hovedsakelig E-lån, E-gull, Wells Fargo, og Citibank. Det mest bemerkelsesverdige vri om phishing fenomen er at det innføres en ny klasse angrepsvektorer som ble oversett i nesten hver finansinstitusjon sikkerhet budsjett: menneskets element.All den dyre brannmurer, SSL-sertifikater, IPS regler, og administrasjon av patcher kunne ikke stoppe utnyttelse av nettet stole på at ikke bare kompromisser konfidensiell brukeren informasjon, men har hatt en stor innvirkning på forbrukernes tillit vedrørende telekommunikasjon mellom en virksomhet og sine klienter. SMTP e-post er iboende usikre på at det er mulig for selv nokså tilfeldige brukere til å forhandle direkte med mottak og videresending SMTP-servere og lage meldinger som vil lure en naiv mottakeren til å tro at de kom fra et annet sted. Konstruere en slik melding, slik at den "falske" oppførsel ikke kan oppdages av en ekspert er noe vanskeligere, men ikke tilstrekkelig for å være en avskrekkende med noen som er bestemt og kunnskapsrik. Følgelig, som kunnskap om Internett-post øker, det gjør den kunnskapen som SMTP-post iboende ikke kan godkjennes, eller integritetskontroller forutsatt, ved transport nivå. Real post sikkerhet ligger bare i ende-til-ende metoder som involverer meldingen organer, slik som de som bruker digitale signaturer (se [14], og for eksempel PGP [4] eller S / MIME [31]). Ulike protokollen utvidelser og konfigurasjon alternativer som gir autentisering ved transport nivå (for eksempel fra en SMTP-klient til en SMTP-server) forbedre noe på den tradisjonelle situasjonen beskrevet ovenfor. Men med mindre de ledsages av nøye handoffs av ansvar i en nøye utformet tillit miljø, forblir de iboende svakere enn utgangen toend mekanismer som bruker digitalt signerte meldinger i stedet avhengig av integritet av transportsystemet. Arbeidet med å gjøre det vanskeligere for brukerne å sette konvolutten tilbake banen og overskriften "Fra" felt å peke på gyldige adresser andre enn deres egne er i stor grad misforstått: De frustrere legitime applikasjoner som e-post er sendt av en bruker på vegne av en annen eller i hvilke feil (eller normal) svarene kan rettast til en spesiell adresse. (Systemer som gir praktiske måter for brukerne å endre disse feltene på per melding basis skal forsøke å etablere en primær og permanent postkassen adresse for brukeren, slik at avsender felt i meldingen data kan genereres fornuftig.) Denne spesifikasjonen ikke lenger ta opp godkjenning forhold knyttet SMTP annet enn å argumentere for at nyttig funksjonalitet ikke være deaktivert i håp om å gi en liten margin på beskyttelse mot en uvitende brukeren som prøver å forfalske e-post. Denne spesifikasjonen gjør et poeng av detaljarbeid hvor trivielt det er å lure en nonexpert e-post mottakeren til å tro de ble sendt en legitim e-post. SMTP ble designet i 1982 på et tidspunkt da den var beregnet for bruk mellom begrenset og "klarerte" brukere. I 2001 har med RFC 2821 og SMTP blitt brukt av publikum i mer enn seks år, mangel på sikkerhet var fullt dokumentert. Den forfalskning tilnærming er beskrevet i RFC 2821, § 7.1, hva er phishere og spammere bruker til å sende e-post til mottakere. Det er viktig å forstå at dette ikke betyr at phishere har skills.The grunn phishing er på et all-time high er faktisk grunn til verktøyet sett som er tilgjengelig, ikke fordi phishere har skill.To bevise dette punktet, sikkerhet Ekspertene har kjent SMTP feil siden 1982, og igjen i 1995-1998, ble det primære angrep på e-post kjent som e-post bombing, men det var fordi en rekke verktøy, som Avalanche, KABOOM og Ghost Mail var fritt available.These verktøy automatisert prosessen med et museklikk, rendering en e-postkonto ubrukelig og i mange tilfeller ødelegge alle brukbarheten av e-postserveren som var vert for account.This angrepet i hovedsak utført denial of service (DoS) angrep post kontoer og deres mail tjenesteleverandører av overbelastning på kontoer med en uendelig mengde e-post som var å komme fram til en altfor akselererende hastighet. Siden verktøyene var tilgjengelig, angrepene ble ikke uncommon.This ligner på analogien om muligheten for fritt tilgjengelige våpen. Hvis gun kjøp ikke var kontrollert, særlig hvis det var ingen alder begrensning, og de var fritt tilgjengelig, ville vi trolig vitne mer gun-relaterte crimes.This analogi gjelder phishing i dag, siden phishing er bare en annen form for spam. Spam er ikke akkurat et genialt konsept, og tar svært lite fantasi til å bruke, og lett tilgjengelig angrep verktøyene åpner døren for kriminelle å utnytte kjente sikkerhetshull for sine nefarious muligheter, inkludert hva vi ser i dag: søppelpost og phishing. Web-spoofing teknikker er mer variert i utnytting og er vanligvis utnyttes via offentlig tilgjengelig proof-of-konsepter kjent som full offentliggjøring levert av sikkerhet researchers.The HTTP-protokollen er ikke iboende usikkert som SMTP, men den lider av en mangel på standardisering og den heterogene bruk av nettleser klienter som for eksempel Firefox, Internet Explorer og Safari. Det er ikke nødvendigvis HTTP som er problemet, men en kombinasjon av spesielle sårbarheter funnet i enkelte nettlesere og server-side webområder som tillater disse angrepene, så vel som en misforståelse av fleksibiliteten i uniform resource locator (URLer) og deres trivielle modifikasjoner. For eksempel vil de vanlige øyet kan nettadressen www.southstrustbankonline.com i et nettleservindu lett lure en bruker til å tro det er den faktiske Southtrust banken websiden. Vi kaller disse uklar domener eller look-alike domains.This er ikke en HTTP-eller nettleser utnytte dette er et angrep mot den menneskelige eye.This metoden er utformet for å lure brukeren til å ikke merke den ekstra netter i URL (southstrust) i stedet for den virkelige nettadressen, southtrustbankingonline.com. en artikkel presentert av Ted Highway
|
|||||
|