Немного о фишинге
Введение
В интернете существуют сайты-ловушки. Они создаются что бы выманивать у вас ваши личные данные и вашу информацию.
Фиктивные сайты зачастую работают в тесной связке с мошенническими рассылками, будь то почта или, например, ICQ. Этот метод мошенничества называется «фишинг»
Техника фишинга
Социальная инженерия
Человек всегда реагирует на значимые для него события. Поэтому фишеры стараются своими действиями встревожить пользователя и вызвать его немедленную реакцию. Поэтому, к примеру, электронное письмо с заголовком «чтобы восстановить доступ к своему банковскому счету …», как правило, привлекает внимание и заставляет человека пройти по веб-ссылке для получения более подробной информации.
Большинство методов фишинга сводится к тому, чтобы замаскировать поддельные ссылки на фишинговые сайты под ссылки настоящих организаций. Адреса с опечатками или субдомены часто используются мошенниками.
Например http://www.yourbank.example.com/ похож на адрес банка Yourbank, а на самом деле он ссылается на фишинговую составляющую сайта example.com. Другая распространённая уловка заключается в использовании внешне правильных ссылок, в реальности ведущих на фишинговый сайт. Например, http://ru.wikipedia.org/wiki/Правда приведёт не на статью «Правда», а на статью «Обман».
К примеру зайдя на подделку «вконтакте» и введя там свой пароль, вы тем самым передаете пароль мошенникам. Далее они смогут использовать ваш пароль на настоящем сайте вконтакте, и использовать ваш аккаунт для рассылки спама, рекламы и прочего. В итоге вы потеряете аккаунт.
Причем и адрес сайтов подделок обычно похож на оригинальный, он будет типа vkantakte.ru или vkontokte.ru, заметить другую букву не так то просто, однако это уже совсем другой адрес и принадлежать может мошенникам.
Тщательно проверяйте письма и сообщения перед тем как перейти по ссылке. Посмотрите адрес отправителя, посмотрите тело письма, подробные сведения. Затем проверьте, куда ведет ссылка. Ссылку тоже можно «подделать», например http://vkontakte.ru, а на самом деле она ведет на наш сайт, поэтому смотрите не, что написано, а именно куда ведет.
Новые угрозы
Сегодня фишинг выходит за пределы интернет-мошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определённому номеру для решения проблем с их банковскими счетами. Эта техника называется вишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счёта и PIN-код. К тому же фишеры могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций, используя фальшивые номера. В конечном счёте, человека также попросят сообщить его учётные данные.
Набирает свои обороты и SMS-фишинг, также известный как смишинг (англ. SMiShing — от «SMS» и «фишинг»). Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт, — входя на него и вводя свои личные данные, жертва аналогичным образом передает их злоумышленникам. В сообщении также может говориться о необходимости позвонить мошенникам по определённому номеру для решения «возникших проблем».
Борьба с фишингом
Существуют различные методы для борьбы с фишингом, включая законодательные меры и специальные технологии, созданные для защиты от фишинга.
Обучение пользователей
Один из методов борьбы с фишингом заключается в том, чтобы научить людей различать фишинг и бороться с ним. Люди могут снизить угрозу фишинга, немного изменив своё поведение. Так, в ответ на письмо с просьбой «подтверждения» учётной записи (или любой другой обычной просьбой фишеров) специалисты советуют связаться с компанией, от имени которой отправлено сообщение, для проверки его подлинности. Кроме того, эксперты рекомендуют самостоятельно вводить веб-адрес организации в адресную строку браузера вместо использования любых гиперссылок в подозрительном сообщении.
Практически все подлинные сообщения организаций содержат в себе упоминание некой информации, недоступной для фишеров. Письма от банков и кредитных учреждений часто содержат в себе часть номера счёта. Однако недавние исследования показали, что люди не различают появление первых цифр счёта или последних цифр, в то время как первые цифры могут быть одинаковы для всех клиентов финансового учреждения. Людям можно объяснить, что подозрительны любые письма, не содержащие какой-либо конкретной личной информации. Но фишинговые атаки начала 2006 года содержали подобную персональную информацию, следовательно, наличие подобной информации не гарантирует безопасность сообщения. Кроме того, по результатам другого исследования было выяснено, что присутствие личной информации существенно не изменяет процент успеха фишинговых атак, что свидетельствует о том, что большинство людей вообще не обращает внимания на подобные детали.
Технические методы
Браузеры, предупреждающие об угрозе фишинга (в наиболее "продвинутых" антивирусных программах уже предусмотрены методы борьбы с этим явлением, так называемые web guard, которые основываясь на "черных" списках, составляемых на отзывах пользователей, регулярно обновляемых-отсекают (путем блокирования) попытки фишинга).
Другим направлением борьбы с фишингом является создание списка фишинговых сайтов и последующая сверка с ним. Подобная система существует в браузерах Internet Explorer, Mozilla Firefox, Google Chrome, Safari и Opera. Firefox использует антифишинговую систему Google. Opera использует чёрные списки PhishTank и GeoTrust и списки исключений GeoTrust. По результатам независимого исследования 2006 года Firefox был признан более эффективным в обнаружении фишинговых сайтов, чем Internet Explorer.
Найдено на просторах сети. Автор неизвестен.
Введение
В интернете существуют сайты-ловушки. Они создаются что бы выманивать у вас ваши личные данные и вашу информацию.
Фиктивные сайты зачастую работают в тесной связке с мошенническими рассылками, будь то почта или, например, ICQ. Этот метод мошенничества называется «фишинг»
Техника фишинга
Социальная инженерия
Человек всегда реагирует на значимые для него события. Поэтому фишеры стараются своими действиями встревожить пользователя и вызвать его немедленную реакцию. Поэтому, к примеру, электронное письмо с заголовком «чтобы восстановить доступ к своему банковскому счету …», как правило, привлекает внимание и заставляет человека пройти по веб-ссылке для получения более подробной информации.
Большинство методов фишинга сводится к тому, чтобы замаскировать поддельные ссылки на фишинговые сайты под ссылки настоящих организаций. Адреса с опечатками или субдомены часто используются мошенниками.
Например http://www.yourbank.example.com/ похож на адрес банка Yourbank, а на самом деле он ссылается на фишинговую составляющую сайта example.com. Другая распространённая уловка заключается в использовании внешне правильных ссылок, в реальности ведущих на фишинговый сайт. Например, http://ru.wikipedia.org/wiki/Правда приведёт не на статью «Правда», а на статью «Обман».
К примеру зайдя на подделку «вконтакте» и введя там свой пароль, вы тем самым передаете пароль мошенникам. Далее они смогут использовать ваш пароль на настоящем сайте вконтакте, и использовать ваш аккаунт для рассылки спама, рекламы и прочего. В итоге вы потеряете аккаунт.
Причем и адрес сайтов подделок обычно похож на оригинальный, он будет типа vkantakte.ru или vkontokte.ru, заметить другую букву не так то просто, однако это уже совсем другой адрес и принадлежать может мошенникам.
Тщательно проверяйте письма и сообщения перед тем как перейти по ссылке. Посмотрите адрес отправителя, посмотрите тело письма, подробные сведения. Затем проверьте, куда ведет ссылка. Ссылку тоже можно «подделать», например http://vkontakte.ru, а на самом деле она ведет на наш сайт, поэтому смотрите не, что написано, а именно куда ведет.
Новые угрозы
Сегодня фишинг выходит за пределы интернет-мошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определённому номеру для решения проблем с их банковскими счетами. Эта техника называется вишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счёта и PIN-код. К тому же фишеры могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций, используя фальшивые номера. В конечном счёте, человека также попросят сообщить его учётные данные.
Набирает свои обороты и SMS-фишинг, также известный как смишинг (англ. SMiShing — от «SMS» и «фишинг»). Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт, — входя на него и вводя свои личные данные, жертва аналогичным образом передает их злоумышленникам. В сообщении также может говориться о необходимости позвонить мошенникам по определённому номеру для решения «возникших проблем».
Борьба с фишингом
Существуют различные методы для борьбы с фишингом, включая законодательные меры и специальные технологии, созданные для защиты от фишинга.
Обучение пользователей
Один из методов борьбы с фишингом заключается в том, чтобы научить людей различать фишинг и бороться с ним. Люди могут снизить угрозу фишинга, немного изменив своё поведение. Так, в ответ на письмо с просьбой «подтверждения» учётной записи (или любой другой обычной просьбой фишеров) специалисты советуют связаться с компанией, от имени которой отправлено сообщение, для проверки его подлинности. Кроме того, эксперты рекомендуют самостоятельно вводить веб-адрес организации в адресную строку браузера вместо использования любых гиперссылок в подозрительном сообщении.
Практически все подлинные сообщения организаций содержат в себе упоминание некой информации, недоступной для фишеров. Письма от банков и кредитных учреждений часто содержат в себе часть номера счёта. Однако недавние исследования показали, что люди не различают появление первых цифр счёта или последних цифр, в то время как первые цифры могут быть одинаковы для всех клиентов финансового учреждения. Людям можно объяснить, что подозрительны любые письма, не содержащие какой-либо конкретной личной информации. Но фишинговые атаки начала 2006 года содержали подобную персональную информацию, следовательно, наличие подобной информации не гарантирует безопасность сообщения. Кроме того, по результатам другого исследования было выяснено, что присутствие личной информации существенно не изменяет процент успеха фишинговых атак, что свидетельствует о том, что большинство людей вообще не обращает внимания на подобные детали.
Технические методы
Браузеры, предупреждающие об угрозе фишинга (в наиболее "продвинутых" антивирусных программах уже предусмотрены методы борьбы с этим явлением, так называемые web guard, которые основываясь на "черных" списках, составляемых на отзывах пользователей, регулярно обновляемых-отсекают (путем блокирования) попытки фишинга).
Другим направлением борьбы с фишингом является создание списка фишинговых сайтов и последующая сверка с ним. Подобная система существует в браузерах Internet Explorer, Mozilla Firefox, Google Chrome, Safari и Opera. Firefox использует антифишинговую систему Google. Opera использует чёрные списки PhishTank и GeoTrust и списки исключений GeoTrust. По результатам независимого исследования 2006 года Firefox был признан более эффективным в обнаружении фишинговых сайтов, чем Internet Explorer.
Найдено на просторах сети. Автор неизвестен.
Last edited:
