This page has been robot translated, sorry for typos if any. Original content here.

Internet-Phishing und Schutzmethoden vor ihm

Фишинг (Phishing)

Die populärste Form von Betrug im Internet ist im Moment Phishing . Cyberkriminelle verwenden betrügerische Websites, Tastaturabfangjäger, E-Mail-Nachrichten, die nach den Regeln des Social Engineering erstellt werden usw. Jeden Tag werden diese Methoden vielfältiger und gefährlicher.

Phishing , nach der Definition von Dr. Web ist eine Technologie für Online-Betrug, die den Diebstahl persönlicher privater Informationen beinhaltet, zum Beispiel Identitäts- und Bankkartendaten, Zugangspasswörter usw. Mit Hilfe von postalischen "Würmern" und Spam-Mailings werden potenziellen Opfern Briefe von der angeblich legalen Person Organisationen. In diesen Briefen werden sie gebeten, eine gefälschte Seite aufzusuchen und PIN-Codes, Passwörter und andere persönliche Informationen zu bestätigen, die von Betrügern in Zukunft verwendet werden, um von dem Konto eines Geld- oder anderen Verbrechens zu stehlen.

Phishing. Nicht zu verwechseln mit Angeln oder Pishing

Phishing (englisches Phishing, von Fischerei, Fischerei, Fischerei) ist eine Art Internetbetrug, dessen Zweck darin besteht, Zugang zu vertraulichen Benutzerdaten zu erhalten - Logins und Passwörter. Dies wird durch Massen-Mailing von E-Mails im Namen beliebter Marken sowie durch persönliche Nachrichten innerhalb verschiedener Dienste erreicht, beispielsweise im Namen von Banken oder in sozialen Netzwerken. Der Brief enthält oft einen direkten Link zu einer Website, die von der Gegenwart nicht zu unterscheiden ist, oder zu einer Website mit einer Weiterleitung. Nachdem der Benutzer die gefälschte Seite betreten hat, versuchen Betrüger den Benutzer zu ermutigen, sein Login und sein Passwort auf der gefälschten Seite einzugeben, die sie für den Zugriff auf eine bestimmte Website verwenden. Dadurch können Betrüger auf ihre Konten und Bankkonten zugreifen.

Phishing ist eine der Formen des Social Engineering, die auf der Unkenntnis der Benutzer über die Grundlagen der Netzwerksicherheit beruht. Insbesondere wissen viele nicht, dass die Dienste keine Briefe mit Anfragen zur Eingabe ihrer Passwörter, Passwort usw. aussenden.

Einfach ausgedrückt: Hacker verleiten die Nutzer dazu, ihre persönlichen Daten wie Telefonnummern, Nummern und geheime Codes von Bankkarten, Logins und Passwörtern von E-Mails und Konten in sozialen Netzwerken offenzulegen.

Um sich gegen Phishing zu schützen, haben sich Hersteller von Internet-Browsern darauf verständigt, dieselben Methoden anzuwenden, um Benutzer darüber zu informieren, dass sie eine verdächtige Website geöffnet haben, die möglicherweise zu Betrügern gehört. Neue Versionen von Browsern haben diese Fähigkeit bereits, die als "Antiphishing" bezeichnet wird.

Laut Websense ist das beliebteste Tool zur Erstellung von Phishing- Ressourcen das Rock Phish Kit . Im Moment ist die Situation mit Phishing sehr ähnlich der Situation, die vor einigen Jahren beim Schreiben von bösartigen Codes beim Erscheinen ihrer Designer aufgetreten ist.

Das Wesen von Phishing ist wie folgt: Der Angreifer, der den Benutzer täuscht, zwingt ihn, persönliche Informationen (Informationen über Bankkarten, Namen und Passwörter zu verschiedenen Ressourcen usw.) bereitzustellen. Der Hauptunterschied dieser Art von Betrug ist die freiwillige Bereitstellung der Informationen durch den Nutzer. Um dies zu erreichen, verwenden Betrüger aktiv die Methode des Social Engineering.

Modernes Phishing kann in 3 Typen unterteilt werden: online , postalisch und kombiniert .

Das älteste ist das Phishing von E-Mails : Ein Brief wird an die Adresse des Empfängers geschickt, um Informationen zu senden.

Bei Online-Phishing handelt es sich um das folgende Schema: Betrüger kopieren offizielle Ressourcen unter Verwendung von Domainnamen und Design. Dann ist alles einfach. Ein Benutzer, der eine solche Ressource besucht, kann seine Daten hier in vollem Vertrauen lassen, dass sie in zuverlässige Hände geraten. Tatsächlich liegt diese Information in den Händen von Cyberkriminellen. Glücklicherweise gibt es jetzt die Tendenz, das Wissen der Nutzer über grundlegende Maßnahmen der Informationssicherheit zu erweitern, und dieses Betrugsschema verliert allmählich seine Relevanz

Der dritte Typ ist kombiniert . Sein Wesen liegt in der Schaffung einer gefälschten Website einer realen Organisation, zu der Betrüger versuchen, potenzielle Opfer zu locken. In diesem Fall bieten Angreifer Benutzern die Möglichkeit, einige Operationen selbst durchzuführen. Im Internet gibt es fast jeden Tag Warnungen über ähnliche Ressourcen, die diese Betrugsmethoden bekannt machen. In dieser Hinsicht sind Betrüger mehr benutzte Schlüssel-Logger geworden - dies sind spezielle Programme, die Benutzer-Tastaturanschläge verfolgen und diese Informationen an vorher festgelegte Adressen senden.

Wie funktioniert Internet Phishing?

Die Besonderheit von Phishing besteht darin, dass das Betrugsopfer seine vertraulichen Informationen freiwillig gibt.

Dazu arbeiten Angreifer mit Tools wie Phishing-Sites, E-Mail-Zustellung, Phishing-Landing Page, Popup-Fenstern und gezielter Werbung.

Der Benutzer erhält ein Angebot, sich für irgendwelche Vorteile zu registrieren oder seine persönlichen Daten auf den Websites von Unternehmen und Institutionen zu bestätigen, wobei der Kunde angeblich ist, wer er ist.

In der Regel maskieren Betrüger bekannte Unternehmen, Social-Networking-Anwendungen, E-Mail-Dienste.

Die E-Mail-Adresse des Absenders ist der Adresse eines dem Benutzer bekannten Unternehmens sehr ähnlich.

Wie man nicht an Betrüger hängen?

1

Denken Sie zunächst daran, dass niemand und unter keinen Umständen solche vertraulichen Daten wie einen PIN-Code einer Bankkarte, eines E-Mail-Passworts oder anderer persönlicher Konten übertragen können. Weder die Bank noch das soziale Netzwerk werden diese Daten per E-Mail anfordern. Wenn der Anrufer Ihr ISP zu sein scheint und Fragen zu vertraulichen Daten stellt, ist er höchstwahrscheinlich ein Betrüger.

2

Achten Sie immer auf das Design der Website. Wenn die Website oder Kreditvergabe merkwürdig, unvollendet, vernietet oder verdächtig erscheint, kann es durchaus sein, dass dies eine Phishing-Site ist.

3

Achten Sie auf die Adressleiste im Verweislink. Kleinere Änderungen in der E-Mail-Adresse können zu einer komplett anderen Seite führen (zum Beispiel kann ukr.net durch ukl.net ersetzt werden).

4

Briefe von unbekannten Adressen, die "auf Emotionen Druck ausüben" oder Notfallnotwendigkeit haben, sollten zunächst Verdachtsmomente aufwerfen. Alle Kreditinstitute per E-Mail oder Telefonanschrift an den Kunden mit Vor- und Nachname. Wenn dies in der Berufung nicht angegeben ist, ist höchstwahrscheinlich eine Tatsache des Betrugs. Buchstaben, die mit Aussagen wie "Ihr Konto wurde gehackt!" Oder "Ihr Profil wird blockiert!" Beginnen oder umgekehrt, in den meisten Fällen sind Sie betrügerisch.

5

Rufen Sie nicht die Sicherheit Ihres Bankkontos oder Ihrer Kreditkarte unter der angegebenen Telefonnummer an. Alle Zahlungskarten zeigen eine spezielle Telefonnummer an, nach der Sie anrufen sollten.

VISHING

VISHING ist eine der Methoden des Social-Engineering-Betrugs, die darin besteht, dass die Angreifer unter Verwendung verschiedener Vorwände den Inhaber der Zahlungskarte mittels einer Telefonverbindung und einer bestimmten Rolle (Bankangestellter, Käufer etc.) zur Weitergabe vertraulicher Informationen oder stimulieren Sie bestimmte Aktionen mit Ihrem Kartenkonto / Ihrer Zahlungskarte.

Der erste Fall dieses Internetbetrugs wurde 2006 festgelegt. Es ist eine Art von Phishing und wird unter Verwendung von War-Dialern (Autodialern) sowie Internet-Telefonie (VoIP) implementiert. Mit Hilfe dieser Art von Betrug erhalten Eindringlinge Zugang zu persönlichen Informationen wie Passwörtern, Identifizierungs- und Bankkarten usw. Das Betrugsschema unterscheidet sich nicht wesentlich von Phishing : Die Benutzer des Zahlungssystems erhalten Nachrichten von den vermeintlichen Administratoren per Post, wo ihnen empfohlen wird, ihre Passwörter zu senden und Konto. Wenn jedoch im Fall von Phishing ein Link zu einer gefälschten Site angebracht ist, dann bietet der Phishing- Benutzer, wenn er die Stadtnummer anruft, Phishing . Beim Anruf wird eine Nachricht ausgelesen, in der die Person aufgefordert wird, ihre vertraulichen Daten preiszugeben. Die Schwierigkeit bei der Offenlegung dieser Art von Betrug besteht darin, dass die Entwicklung der Internet-Telefonie es Ihnen ermöglicht, Anrufe an eine Stadtnummer überall auf der Welt umzuleiten, und der Anrufer wird nicht einmal darüber nachdenken.

Das Unternehmen Secure Computing meldete die komplizierteste Methode des Betrugs nach dem Schema des Vashings - Email wurde hier überhaupt nicht verwendet, da die Angreifer den PC programmierten, um die Telefonnummern aus der Datenbank zu wählen und eine voraufgezeichnete Nachricht zu verlieren, an die der Abonnent gewarnt wurde, dass die Informationen über seinen Kredit Karte in die Hände von Betrügern, also muss er die Nummer von der Telefontastatur eingeben.

Die Verwendung des VoIP-Protokolls kann die Telefonkosten erheblich reduzieren, macht das Unternehmen aber auch anfälliger für Angriffe. Banken und andere Organisationen, die IP-Telefonie für die Sprachkommunikation verwenden, können einem Vyshin-Angriff unterzogen werden, der noch nicht geschützt ist. Insbesondere der "Grugq" - ein Experte für Informationssicherheit, der auf der Konferenz "Hack In The Box Security Conference" (HITB) in Malaysia über Betrug sprach. "Angreifer werden in die Lage versetzt, sich in Bankennetzwerke frei zu bewegen und die Kontrolle über die Banktelefonkanäle auszuüben", sagt Grugq. Ihm zufolge werden die wünschenswerten Angriffe via VoIP vor Ende 2009 stattfinden. Betrüger haben vollen Zugriff auf vertrauliche Informationen, einschließlich Rechnungsdaten und Kreditkartennummern. Um dies zu verhindern, kann dies nur ein Profi im Bereich der Informationssicherheit sein. "Theoretisch, der Kunde ruft die Bank, und die Telefonleitung ist bereits unter der Kontrolle von Hackern", - sagt The Grugq. In diesem Fall fordert der Betrüger den Anrufer auf, einige Buchungsinformationen bereitzustellen, um den Support-Service der Bank zu kontaktieren.

"Es gibt keine Technologie, die Unternehmen Schutz vor diesem Problem garantieren kann", ist sich der Experte sicher und stellt fest, dass bestehende Systeme keinen VoIP-Angriff feststellen können. Um es zu organisieren, benötigen Angreifer Standardsoftware, um die Abrechnung von Telefongesprächen und IP-Telefonie zu unterstützen.

Laut Secure Computing konfigurieren Betrüger einen Kriegsdialer, der Zahlen in einer bestimmten Region wählt. Zum Zeitpunkt der Antwort geschieht Folgendes:

  • Der Anrufbeantworter informiert den Benutzer, dass betrügerische Handlungen mit seiner Kreditkarte durchgeführt werden und er empfiehlt, schnell eine bestimmte Nummer anrufen zu müssen;
  • Nachdem das Opfer zu der Nummer zurückgerufen hat, antwortet die "Computerstimme" darauf, dass der Benutzer eine Versöhnung durchführen muss und die Kartennummer von der Tastatur des Telefons eingeben muss;
  • Sobald die Kartennummer eingegeben ist, erhält der Betrüger alle Informationen (Adresse, Telefonnummer, vollständiger Name);
  • Mit diesem Anruf kann der Besucher auch zusätzliche Informationen wie den Gültigkeitszeitraum der Karte, den PIN-Code, die Kontonummer und das Geburtsdatum sammeln.

Die grundlegenden "Trigger" eines Vashings

  • Sie werden nach Kartendetails gefragt ... any;
  • Sie sind beharrlich gezwungen, eine Aktion durchzuführen, die Sie vor einer Minute nicht beabsichtigt haben.

Zusätzliche "Trigger" eines Vashings

  1. Mitarbeiter der Bank werden unter keinen Umständen nach dem Sicherheitscode auf der Rückseite der Karte und dem Code aus der SMS-Nachricht der Bank fragen.
  2. Alarmierendes Thema der Behandlung. Um das Opfer zu erschrecken und sie dazu zu bringen, die gewünschte Handlung zu begehen, haben Betrüger furchterregende Szenarien. Es wird berichtet, dass die Karte blockiert ist, das Konto gehackt wird, der Verwandte in Schwierigkeiten ist und so weiter.
  3. Versprechen ist leicht, Geld zu bekommen, das Sie entweder nicht erwartet haben, oder nicht gedacht haben, so leicht zu bekommen. Um das Opfer zu locken, versprechen Betrüger, schnell und einfach Geld auf Ihr Konto zu überweisen: So wird dem Rentner beispielsweise eine unerwartete Rentenprämie hinzugefügt.
  4. Sie sind eilig und versuchen sehr beharrlich, Ihre Meinung zu ändern.
  5. Der Anruf stammt von einer unbekannten Nummer oder Handynummer.
  6. Sie sind sicher, dass Sie mit Hilfe eines Geldautomaten Geld von der Karte einer anderen Person übertragen können - zu Ihrer eigenen.

Die wichtigste "Methode", wie man sich vor dem Vishing schützen kann

  1. Beende die Unterhaltung. Um fortzufahren, rufen Sie die Bank unter der Telefonnummer an, die auf der Rückseite der Karte oder auf ihrer offiziellen Website, der Firma / dem Staat, angegeben ist. Struktur - durch die Nummer auf der offiziellen Website angegeben.

Wie man sich vor dem Vishing schützt

  • Denken Sie daran, dass Angestellte von Banken und Regierungsbehörden unter keinen Umständen (einschließlich höherer Gewalt) Anrufe an die Inhaber von Zahlungskarten mit der Pflicht zur Angabe der Nummer der Zahlungskarte, ihrer Gültigkeitsdauer und des CVC2 / CVV2-Codes tätigen.
  • Denken Sie daran, dass eine Übertragung auf die Karte beim Verkauf des Produkts oder beim Gewinn genügt, um nur die Kartennummer anzugeben.
  • Geben Sie unter keinen Umständen einen dreistelligen Sicherheitscode auf der Rückseite der Karte (CVV2 / CVC2) sowie Codes von Bank-SMS an.
  • Keine Panik, wenn Sie dazu gerufen werden, die Karte zu blockieren oder das Konto zu brechen. Stattdessen müssen Sie unter der Telefonnummer, die auf der offiziellen Website der Bank oder auf Ihrer Plastikkarte angegeben ist, zur Bank zurückrufen.
  • Seien Sie vernünftig und vernünftig - glauben Sie nicht an die Geldversprechen, die Sie nicht erwartet haben.
  • Überprüfen Sie die Telefonnummer, von der aus der Anruf kam: Es ist wirklich eine bekannte Telefonnummer der Bank oder es sieht einfach so aus, und überprüfen Sie auch die Telefonnummer durch die Suchmaschinen, vielleicht ist diese Telefonnummer bereits von Betrügern "ausgesetzt".
  • Eile nicht. Nehmen Sie sich die Zeit, um die Bank / die staatliche Institution anhand der auf der Website oder auf der Karte angegebenen Telefonnummer anzurufen und bitten Sie, zu der Person zu wechseln, die Sie angerufen hat.

Was, wenn du ein Opfer geworden bist?

Sofort die Karte sperren, einen Antrag bei der Bank und der Cyberpolitik schreiben

Endlich! Wenn Sie eine Phishing-E-Mail von einem Unternehmen oder einer Dienstleistung, die Ihnen bekannt ist, finden, melden Sie dies bei Ihrer Stelle oder beim Anbieter bei der Informationssicherheitsabteilung.

Über facebook.com & wiki