This page has been robot translated, sorry for typos if any. Original content here.

Internet-Phishing und Schutzmethoden dagegen

Фишинг (Phishing)

Die derzeit beliebteste Form des Betrugs im Web ist Phishing . Cyberkriminelle verwenden betrügerische Websites, Tastaturinterzeptoren, E-Mail-Nachrichten, die gemäß den Regeln des Social Engineering zusammengestellt werden usw. Jeden Tag werden diese Methoden vielfältiger und gefährlicher.

Phishing , wie von Dr. Web ist eine Betrugsmethode im Web, die darin besteht, persönliche vertrauliche Informationen, beispielsweise Identifikationsdaten und Bankkarten, Zugangspasswörter usw., zu stehlen. Durch die Verwendung von E-Mail-Würmern und Spam-E-Mails werden potenziellen Opfern Briefe von angeblich legal zugeschickt Organisationen. In diesen Briefen werden sie aufgefordert, eine gefälschte Website zu besuchen und PIN-Codes, Passwörter und andere persönliche Informationen zu bestätigen, die Betrüger zukünftig dazu verwenden, das Konto eines Opfers von Geld oder anderen Straftaten zu stehlen.

Phishing (Phishing). Nicht mit Fischen oder Pishing verwechseln

Phishing (vom Phishing, vom Fischfang - vom Fischfang bis zum Fischfang) - eine Form des Internetbetrugs, deren Zweck darin besteht, Zugang zu vertraulichen Benutzerdaten zu erhalten - Anmeldungen und Passwörter. Dies wird erreicht durch Massenversand von E-Mails für bekannte Marken sowie persönliche Nachrichten innerhalb verschiedener Dienste, beispielsweise für Banken oder soziale Netzwerke. Der Brief enthält oft einen direkten Link zu einer Site, die scheinbar von der Gegenwart nicht zu unterscheiden ist, oder zu einer Site mit einer Weiterleitung. Nachdem ein Benutzer auf eine gefälschte Seite gelangt ist, versuchen Betrüger mit verschiedenen psychologischen Techniken, den Benutzer zur Eingabe ihres Benutzernamens und Kennworts auf der gefälschten Seite aufzufordern, die er für den Zugriff auf eine bestimmte Website verwendet, wodurch Betrüger Zugriff auf Konten und Bankkonten erhalten.

Phishing ist eine der Varianten des Social Engineering, die auf der Unkenntnis der Benutzer über die Grundlagen der Netzwerksicherheit beruhen. Insbesondere wissen viele nicht, was einfach ist: Die Dienste senden keine Briefe, in denen sie aufgefordert werden, ihre Zugangsdaten, ihr Kennwort usw. anzugeben.

Vereinfacht gesagt, locken die Angreifer die Benutzer dazu, ihre persönlichen Daten preiszugeben, z. B. Telefonnummern, Nummern und Geheimcodes von Bankkarten, Logins und Passwörter von E-Mails und Konten in sozialen Netzwerken.

Um sich vor Phishing zu schützen, haben Hersteller großer Internetbrowser zugestimmt, die Benutzer auf die gleiche Weise zu informieren, dass sie eine verdächtige Website geöffnet haben, die Betrüger gehören könnten. Neue Browserversionen verfügen bereits über diese Funktion, die als "Anti-Phishing" bezeichnet wird.

Laut dem Unternehmen Websense ist das Rock Phish Kit das beliebteste Werkzeug zum Erstellen von Phishing- Ressourcen. Im Moment ist die Situation mit Phishing om sehr ähnlich der Situation, die vor einigen Jahren beim Schreiben von Schadcode beim Erscheinen ihrer Designer auftrat.

Die Essenz von Phishing ist wie folgt: Der Angreifer täuscht den Benutzer und zwingt ihn, persönliche Informationen (Informationen zu Bankkarten, Namen und Passwörtern für verschiedene Ressourcen usw.) anzugeben. Der Hauptunterschied zwischen dieser Art von Betrug ist die freiwillige Übermittlung von Informationen durch den Benutzer. Um dies zu erreichen, setzen Betrüger aktiv die Technik des Social Engineering ein.

Modernes Phishing kann in 3 Typen unterteilt werden: Online , Mail und Combo .

Das älteste ist Mail-Phishing : Ein Brief wird an den Empfänger mit der Aufforderung gesendet, Informationen zu senden.

Online-Phishing umfasst das folgende Schema: Betrüger kopieren offizielle Ressourcen mit ähnlichen Domainnamen und Design. Dann ist alles einfach. Ein Benutzer, der eine solche Ressource besucht hat, kann seine Daten in der Gewissheit verlassen, dass er in gute Hände gelangt. Tatsächlich liegt diese Information in der Hand von Cyberkriminellen. Glücklicherweise gibt es mittlerweile eine Tendenz, die Kenntnisse der Benutzer über grundlegende Maßnahmen zur Informationssicherheit zu erhöhen, sodass dieses Betrugsschema allmählich an Bedeutung verliert.

Der dritte Typ wird kombiniert . Ihr Kern liegt in der Erstellung einer gefälschten Website einer echten Organisation, zu der Betrüger potenzielle Opfer anziehen wollen. In diesem Fall bieten die Angreifer den Benutzern an, einige Vorgänge selbständig durchzuführen. Im Internet gibt es fast täglich Warnungen vor solchen Ressourcen, die diese Betrugsmethoden bekannt machen. In diesem Zusammenhang begannen Betrüger häufiger, Schlüssel-Logger zu verwenden. Hierbei handelt es sich um spezielle Programme, die Tastatureingaben von Benutzern nachverfolgen und diese Informationen an zuvor festgelegte Adressen senden.

Wie funktioniert Internet-Phishing?

Die Besonderheit von Phishing besteht darin, dass das Betrugsopfer seine vertraulichen Daten freiwillig zur Verfügung stellt.

Angreifer nutzen dazu Tools wie Phishing-Sites, E-Mail-Verteilung, Phishing-Landing-Page, Popups und gezielte Werbung.

Der Nutzer erhält ein Angebot zur Registrierung zu irgendeinem Vorteil oder zur Bestätigung seiner persönlichen Daten auf den Websites von Unternehmen und Institutionen, deren angeblicher Kunde er ist.

Betrüger verkleiden sich in der Regel als bekannte Unternehmen, Social Networking-Anwendungen und E-Mail-Dienste.

Die E-Mail-Adresse des Absenders ist der Adresse eines bekannten Firmenbenutzers sehr ähnlich.

Wie kann man sich von Betrügern nicht süchtig machen?

1

Denken Sie zunächst daran, dass niemand unter keinen Umständen vertrauliche Daten wie den PIN-Code einer Bankkarte, das Passwort einer E-Mail oder andere persönliche Konten übertragen darf. Weder die Bank noch das soziale Netzwerk werden diese Daten per E-Mail anfordern. Wenn der Anrufer Ihnen als Anbieter erscheint und Fragen zu sensiblen Daten stellt, ist er höchstwahrscheinlich ein Betrüger.

2

Achten Sie immer auf das Design der Site. Wenn eine Website oder eine Landing Page merkwürdig, unvollständig, beschleunigt oder verdächtig erscheint, kann dies sehr wohl eine Phishing-Site sein.

3

Beachten Sie die Adressleiste im Link-Link. Geringfügige Änderungen in der E-Mail-Adresse können zu einer völlig anderen Website führen (anstelle von ukr.net könnte dies ukl.net sein).

4

Vor allem Briefe von unbekannten Adressen, die „Druck auf Emotionen ausüben“ oder ausnahmsweise sind, sollten misstrauisch sein. Alle Kreditinstitute kontaktieren den Kunden per E-Mail oder Telefon unter Angabe des Vor- und Nachnamens. Wenn dies in der Beschwerde nicht angegeben ist, liegt höchstwahrscheinlich die Tatsache des Betrugs vor. Briefe, die mit folgenden Aussagen beginnen: "Ihr Konto wurde gehackt!" Oder "Ihr Profil wird gesperrt!". Oder Sie erklären Ihnen im Gegenteil einen großen Gewinn. In den meisten Fällen sind sie betrügerisch.

5

Rufen Sie nicht die Sicherheit Ihres Bankkontos oder Ihrer Kreditkarte unter einer bestimmten Telefonnummer an. Alle Zahlungskarten enthalten eine spezielle Telefonnummer, zu der Sie anrufen müssen.

Vishing

Vishing ist eine der Methoden des Social-Engineering-Betrugs, bei dem Angreifer per Telefonkommunikation eine bestimmte Rolle (Bankangestellter, Kunde usw.) spielen und unter verschiedenen Vorwänden vertrauliche Informationen vom Karteninhaber anlocken stimulieren Sie bestimmte Aktionen mit Ihrem Kartenkonto / Ihrer Zahlungskarte.

Der erste Fall dieses Online-Betrugs wurde im Jahr 2006 erfasst. Es handelt sich um eine Art Phishing, das mit Kriegswählern (Auto-Dialer) sowie Internet-Telefonie (VoIP) implementiert wird. Mit dieser Art von Betrug erhalten Angreifer Zugriff auf persönliche Informationen wie Kennwörter, Ausweise und Bankkarten usw. Das Täuschungsschema unterscheidet sich nicht wesentlich von Phishing : Die Benutzer des Zahlungssystems erhalten Nachrichten von der Verwaltung per E-Mail, in denen sie aufgefordert werden, ihre Kennwörter zu senden Konten. Wenn im Fall von Phishing jedoch ein Link zur gefälschten Website angehängt wird, wird der Benutzer beim Phishing aufgefordert, die Stadtnummer anzurufen. Beim Anruf wird eine Nachricht gelesen, in der eine Person aufgefordert wird, ihre vertraulichen Daten offenzulegen. Die Schwierigkeit bei der Aufdeckung dieser Art von Betrug besteht darin, dass die Entwicklung der Internettelefonie es Ihnen ermöglicht, Anrufe an eine Ortsnummer an jeden Ort der Welt umzuleiten, und der Anrufer wird dies nicht einmal ahnen.

Secure Computing berichtete über die ausgefeilteste Betrugsmethode im Rahmen des vishing-Verfahrens - E-Mail wurde überhaupt nicht verwendet, da die Angreifer den PC so programmierten, dass er Telefonnummern aus der Datenbank anwählte und eine zuvor aufgezeichnete Nachricht abspielte, in der der Abonnent seine Kreditinformationen warnte Die Karte befand sich in der Hand von Betrügern, daher muss er eine Nummer über die Telefontastatur eingeben.

Durch die Verwendung des VoIP-Protokolls können die Kosten für die Telefonkommunikation erheblich gesenkt werden. Unternehmen werden jedoch auch anfälliger für Angriffe. Banken und andere Organisationen, die IP-Telefonie für die Sprachkommunikation betreiben, sind möglicherweise einem Virenangriff ausgesetzt, gegen den sie noch nicht geschützt sind. Davon sprach insbesondere The Grugq, ein Experte für Informationssicherheit, der auf der Hack In The Box-Sicherheitskonferenz (HITB) in Malaysia über Betrug gesprochen hatte. "Die Angreifer können sich uneingeschränkt in Bankennetzwerke eindringen und die Telefonkanäle der Banken kontrollieren", sagt Grugq. Demnach sollen Angriffe über VoIP vor Ende 2009 stattfinden. Betrüger haben uneingeschränkten Zugriff auf vertrauliche Informationen, einschließlich Bankkontoinformationen und Kreditkartennummern. Dies zu verhindern, können nur Fachleute auf dem Gebiet der Informationssicherheit arbeiten. "Theoretisch ruft ein Kunde die Bank an, und die Telefonleitung wird bereits von Hackern kontrolliert", sagt The Grugq. In diesem Fall fordert der Betrüger den Anrufer auf, einige Kontoinformationen bereitzustellen, um den Bankunterstützungsdienst zu kontaktieren.

"Es gibt keine Technologie, die Unternehmen den Schutz vor diesem Problem garantieren kann", ist sich der Experte sicher. Die aktuellen Systeme können den VoIP-Angriff nicht bestimmen. Um dies zu organisieren, benötigen Angreifer eine Standardsoftware, die die Abrechnung von Telefongesprächen und IP-Telefonie unterstützt.

Laut Secure Computing konfigurieren Betrüger den War Dialer und wählen Nummern in einer bestimmten Region. Zum Zeitpunkt der Antwort geschieht Folgendes:

  • Der Anrufbeantworter informiert den Benutzer darüber, dass betrügerische Aktivitäten mit seiner Kreditkarte durchgeführt werden, und empfiehlt, schnell eine bestimmte Nummer anzurufen.
  • Nachdem das Opfer die Nummer zurückgerufen hat, meldet sich dort eine „Computerstimme“ und sagt, dass der Benutzer die Überprüfung durchlaufen und die Kartennummer über die Telefontastatur eingeben muss.
  • Sobald die Kartennummer eingegeben ist, erhält der Betrüger alle Informationen (Adresse, Telefonnummer, vollständiger Name).
  • Mit diesem Anruf kann der Checker auch weitere zusätzliche Informationen erfassen, wie z. B. Ablaufdatum der Karte, PIN-Code, Bankkontonummer und Geburtsdatum.

Grundlegende Vishing-Auslöser

  • Sie werden nach Kartendaten gefragt ... any;
  • Sie werden ständig dazu gezwungen, die Aktion auszuführen, die Sie vor einer Minute nicht ausführen würden.

Zusätzliche Besuchsauslöser

  1. Bankangestellte fragen unter keinen Umständen nach dem Sicherheitscode auf der Rückseite der Karte und dem Code der Bank-SMS-Nachricht.
  2. Beunruhigendes Thema der Behandlung. Um das Opfer zu erschrecken und die gewünschte Aktion wahrscheinlicher auszuführen, erfinden Betrüger erschreckende Szenarien. Die Karte wird als blockiert gemeldet, das Konto wird gehackt, der Verwandte ist in Schwierigkeiten usw.
  3. Ein Versprechen, leicht Geld zu bekommen, das Sie entweder nicht erwartet haben oder das Sie nicht so leicht bekommen hätten. Um das Opfer zu locken, versprechen die Betrüger, schnell und einfach Geld auf Ihr Konto zu überweisen: Beispielsweise wurde dem Rentner ein unerwarteter Zuschuss für die Pension gezahlt.
  4. Sie haben es eilig und versuchen beharrlich zu überzeugen.
  5. Der Anruf stammt von einer unbekannten Nummer oder einem Mobiltelefon.
  6. Sie können sicher sein, dass Sie mit Hilfe eines Geldautomaten Geld von einer anderen Karte auf Ihre Karte übertragen können.

Der wichtigste "Weg", um sich vor Vishing zu schützen

  1. Beenden Sie das Gespräch. Um fortzufahren, rufen Sie die Bank unter der auf der Rückseite der Karte angegebenen Telefonnummer oder auf ihrer offiziellen Website (Firma / Staat) an. Struktur - durch die auf der offiziellen Website angegebene Nummer.

Zusätzliche "Möglichkeiten", um sich gegen Vishing zu schützen

  • Denken Sie daran, dass Mitarbeiter von Banken und Regierungsbehörden unter keinen Umständen (einschließlich höherer Gewalt) Anrufe an Inhaber einer Zahlungskarte tätigen und dazu aufgefordert werden, eine Zahlungskartennummer, deren Gültigkeitszeitraum und den CVC2 / CVV2-Code anzugeben.
  • Denken Sie daran, dass es ausreicht, um beim Verkauf von Waren oder beim Gewinn eine Überweisung auf die Karte zu erhalten, dass nur die Kartennummer angegeben wird.
  • Geben Sie unter keinen Umständen den dreistelligen Sicherheitscode auf der Rückseite der Karte (CVV2 / CVC2) sowie die Codes von Bank-SMS-Nachrichten an.
  • Keine Panik, wenn Sie wegen des Sperrens einer Karte oder des Hacks eines Kontos angerufen werden. Sie müssen sich stattdessen unter der auf der offiziellen Website der Bank oder auf Ihrer Plastikkarte angegebenen Telefonnummer an die Bank wenden.
  • Um vernünftig und vernünftig zu sein - den Geldversprechen nicht zu glauben, mit deren Erhalt Sie nicht gerechnet haben.
  • Prüfen Sie die Telefonnummer, von der der Anruf kam: Dies ist in der Tat die vertraute Telefonnummer der Bank oder sieht einfach so aus, und überprüfen Sie auch die Telefonnummer über die Suchmaschinen. Vielleicht ist diese Telefonnummer bereits von Betrügern "beleuchtet".
  • Beeil dich nicht. Nehmen Sie sich die Zeit, um die Bank / staatliche Institution unter der auf der Website oder auf der Karte angegebenen Telefonnummer anzurufen, und fragen Sie nach dem Anrufer, der Sie angerufen hat.

Was ist zu tun, wenn Sie Opfer werden?

Blockieren Sie die Karte sofort und schreiben Sie eine Erklärung an die Bank und die Cyberpolizei

Endlich! Wenn Sie eine angebliche Phishing-E-Mail von einem Ihnen bekannten Unternehmen oder Dienst finden, melden Sie diese der Informationssicherheitsabteilung in Ihrem Job oder bei Ihrem Provider.

Über facebook.com & Wiki