This page has been robot translated, sorry for typos if any. Original content here.

Internet-Phishing und Methoden zum Schutz davor

Фишинг (Phishing)

Die derzeit beliebteste Form von Betrug im Internet ist Phishing . Cyberkriminelle verwenden betrügerische Websites, Tastatur-Interceptors, E-Mail-Nachrichten, die nach den Regeln des Social Engineering usw. erstellt wurden. Diese Methoden werden von Tag zu Tag vielfältiger und gefährlicher.

Phishing im Sinne von Dr. Web ist eine Technologie des Betrugs im Web, die den Diebstahl persönlicher Informationen wie Identifikations- und Bankkarten, Zugangspasswörter usw. beinhaltet. Mit Hilfe von E-Mail-Würmern und Spam-E-Mails werden potenziellen Opfern Briefe von mutmaßlich legalen Personen gesendet Organisationen. In diesen Briefen werden sie gebeten, eine gefälschte Website zu besuchen und PIN-Codes, Kennwörter und andere persönliche Informationen zu bestätigen, die Betrüger künftig verwenden, um von dem Konto eines Opfers von Geld- oder anderen Straftaten zu stehlen.

Phishing Nicht zu verwechseln mit Fischen oder Pishing

Phishing (von Phishing, von Fischen - Fischen, Fischen) - eine Art von Internetbetrug, der darauf abzielt, Zugang zu vertraulichen Benutzerdaten zu erhalten - Logins und Passwörter. Dies wird dadurch erreicht, dass Massenmailings von E-Mails für bekannte Marken sowie persönliche Nachrichten in verschiedenen Diensten, beispielsweise für Banken oder in sozialen Netzwerken, durchgeführt werden. Der Brief enthält häufig einen direkten Link zu einer Site, die anscheinend nicht von der Gegenwart zu unterscheiden ist, oder zu einer Site mit einer Weiterleitung. Nachdem ein Benutzer auf eine gefälschte Seite gelangt ist, versuchen Betrüger mit verschiedenen psychologischen Techniken, den Benutzer aufzufordern, seinen Benutzernamen und sein Kennwort auf der gefälschten Seite einzugeben, über die er auf eine bestimmte Website zugreift. Auf diese Weise können Betrüger auf Konten und Bankkonten zugreifen.

Phishing ist eine der Varianten des Social Engineering, die auf der Unkenntnis der Benutzer über die Grundlagen der Netzwerksicherheit beruht. Insbesondere kennen viele eine einfache Tatsache nicht: Dienste senden keine Briefe, in denen sie zur Eingabe ihrer Anmeldeinformationen, ihres Kennworts usw. aufgefordert werden.

Einfach ausgedrückt, locken die Angreifer die Benutzer dazu, ihre persönlichen Informationen wie Telefonnummern, Nummern und Geheimcodes von Bankkarten, Anmeldungen und Passwörter von E-Mails und Konten in sozialen Netzwerken selbst preiszugeben.

Um sich vor Phishing zu schützen, haben die Hersteller der wichtigsten Internetbrowser die gleichen Methoden angewendet, um die Benutzer darüber zu informieren, dass sie eine verdächtige Website geöffnet haben, die möglicherweise Betrügern gehört. Neue Versionen von Browsern verfügen bereits über diese Funktion, die dementsprechend als "Anti-Phishing" bezeichnet wird.

Laut Websense ist das Rock Phish Kit das beliebteste Tool zum Erstellen von Phishing- Ressourcen. Im Moment ist die Situation mit Phishing Om sehr ähnlich zu der Situation, die vor einigen Jahren beim Schreiben bösartiger Codes auftrat, als ihre Designer auftraten.

Das Wesen von Phishing ist wie folgt: Der Angreifer zwingt den Benutzer, persönliche Informationen (Informationen zu Bankkarten, Namen und Passwörtern für verschiedene Ressourcen usw.) bereitzustellen, um ihn zu täuschen. Der Hauptunterschied dieser Art von Betrug ist die freiwillige Übermittlung von Informationen durch den Benutzer. Um dies zu erreichen, setzen Betrüger aktiv die Technik des Social Engineering ein.

Modernes Phishing kann in drei Arten unterteilt werden: Online , E-Mail und Combo .

Das älteste ist Mail-Phishing : Es wird ein Brief an den Empfänger gesendet, in dem er aufgefordert wird, einige Informationen zu senden.

Online-Phishing umfasst das folgende Schema: Betrüger kopieren offizielle Ressourcen unter Verwendung ähnlicher Domainnamen und Designs. Dann ist alles einfach. Ein Benutzer, der eine solche Ressource besucht hat, kann hier seine Daten in voller Sicherheit hinterlassen, damit er in gute Hände gerät. Tatsächlich sind diese Informationen in den Händen von Cyberkriminellen. Glücklicherweise gibt es jetzt eine Tendenz, das Wissen der Benutzer über grundlegende Maßnahmen der Informationssicherheit zu erhöhen, so dass dieses Betrugsschema allmählich an Relevanz verliert.

Der dritte Typ wird kombiniert . Die Essenz besteht darin, eine gefälschte Website einer echten Organisation zu erstellen, auf die Betrüger potenzielle Opfer locken wollen. In diesem Fall bieten die Angreifer den Benutzern an, einige Vorgänge unabhängig durchzuführen. Im Internet gibt es fast täglich Warnungen vor solchen Ressourcen, die diese Betrugsmethoden bekannt machen. In diesem Zusammenhang setzten Betrüger vermehrt Key-Logger ein. Hierbei handelt es sich um spezielle Programme, die Tastatureingaben von Benutzern verfolgen und diese Informationen an festgelegte Adressen senden.

Wie funktioniert Internet-Phishing?

Das Besondere an Phishing ist, dass das Betrugsopfer seine vertraulichen Daten freiwillig zur Verfügung stellt.

Zu diesem Zweck verwenden Angreifer Tools wie Phishing-Sites, E-Mail-Verteilung, Phishing-Zielseite, Popups und gezielte Werbung.

Der Nutzer erhält ein Angebot, sich für einen Vorteil zu registrieren oder seine persönlichen Daten auf den Websites von Unternehmen und Institutionen zu bestätigen, deren mutmaßlicher Kunde er ist.

Betrüger tarnen sich in der Regel als bekannte Unternehmen, Social-Networking-Anwendungen und E-Mail-Dienste.

Die E-Mail-Adresse des Absenders ist der Adresse eines vertrauten Unternehmensbenutzers sehr ähnlich.

Wie kann man sich nicht vom Betrug mit dem Haken erwischen lassen?

1

Denken Sie zunächst daran, dass unter keinen Umständen vertrauliche Daten wie der PIN-Code einer Bankkarte, ein E-Mail-Passwort oder andere persönliche Konten übertragen werden dürfen. Weder die Bank noch das soziale Netzwerk fordern diese Daten per E-Mail an. Wenn der Anrufer Ihnen als Anbieter angezeigt wird und Fragen zu vertraulichen Daten stellt, ist er höchstwahrscheinlich ein Betrüger.

2

Achten Sie immer auf die Gestaltung der Website. Wenn eine Site oder eine Landing Page seltsam, unvollständig, beschleunigt oder verdächtig erscheint, kann es durchaus sein, dass es sich um eine Phishing-Site handelt.

3

Achten Sie auf die Adressleiste im Link-Link. Kleinere Änderungen an der E-Mail-Adresse können zu einer völlig anderen Website führen (z. B. ukl.net anstelle von ukr.net).

4

Briefe von unbekannten Adressen, die "Druck auf Emotionen ausüben" oder dringender Natur sind, sollten vor allem verdächtig sein. Alle Kreditinstitute kontaktieren den Kunden per E-Mail oder Telefon mit Vor- und Nachnamen. Wird dies in der Beschwerde nicht angegeben, liegt höchstwahrscheinlich ein Betrug vor. Briefe, die mit Aussagen wie „Ihr Konto wurde gehackt!“ Oder „Ihr Profil wird gesperrt!“ Beginnen oder Sie im Gegenteil für einen großen Gewinn erklären, sind in den meisten Fällen betrügerisch.

5

Rufen Sie unter keiner Telefonnummer die Sicherheit Ihres Bankkontos oder Ihrer Kreditkarte an. Alle Zahlungskarten enthalten eine spezielle Telefonnummer, zu der Sie anrufen müssen.

Vishing

Vishing ist eine der Methoden des Social-Engineering-Betrugs. Angreifer, die Telefonkommunikation nutzen und unter verschiedenen Vorwänden eine bestimmte Rolle (Bankangestellte, Kunde usw.) spielen, entziehen dem Karteninhaber vertrauliche Informationen regen Sie an, bestimmte Aktionen mit Ihrem Kartenkonto / Ihrer Zahlungskarte durchzuführen.

Der erste Fall dieses Online-Betrugs wurde 2006 verzeichnet. Es ist eine Art von Phishing und wird mit War Dialern (Auto-Dialern) sowie Internettelefonie (VoIP) implementiert. Durch diese Art von Betrug erhalten Angreifer Zugang zu persönlichen Informationen wie Passwörtern, Ausweisen und Bankkarten usw. Das Täuschungsschema unterscheidet sich nicht wesentlich von Phishing : Benutzer des Zahlungssystems erhalten von der Verwaltung E-Mails, in denen sie aufgefordert werden, ihre Passwörter und E-Mails zu senden Konten. Wenn jedoch im Falle von Phishing ein Link zu einer gefälschten Website angehängt wird, wird der Benutzer während des Phishing aufgefordert, die Stadtnummer anzurufen. Beim Anruf wird eine Nachricht gelesen, in der eine Person aufgefordert wird, ihre vertraulichen Daten preiszugeben. Die Schwierigkeit bei der Aufdeckung dieser Art von Betrug besteht darin, dass Sie durch die Entwicklung der Internettelefonie Anrufe an eine Stadtnummer an einen beliebigen Ort auf der Welt umleiten können, und der Anrufer wird es nicht einmal ahnen.

Secure Computing berichtete über die ausgefeilteste Methode des Betrugs im Rahmen des Vishing-Schemas - E-Mail wurde überhaupt nicht verwendet, da die Angreifer einen PC programmierten, um Telefonnummern aus der Datenbank zu wählen und eine zuvor aufgezeichnete Nachricht abzuspielen, auf die der Abonnent diese Informationen über sein Guthaben verwies Die Karte befand sich in den Händen von Betrügern, daher muss er eine Nummer über die Telefontastatur eingeben.

Durch die Verwendung des VoIP-Protokolls können die Kosten für die Telefonkommunikation erheblich gesenkt werden, Unternehmen sind jedoch auch wesentlich anfälliger für Angriffe. Banken und andere Organisationen, die IP-Telefonie für die Sprachkommunikation betreiben, sind möglicherweise einem Virenangriff ausgesetzt, der noch nicht gegen sie geschützt ist. Insbesondere The Grugq, ein Informationssicherheitsexperte, der auf der Hack-In-The-Box-Sicherheitskonferenz (HITB) in Malaysia über Betrug sprach, sprach darüber. "Die Angreifer können ungehindert in Bankennetzwerke eindringen und die Kontrolle über Bankentelefonkanäle ausüben", sagt Grugq. Vising-Attacken über VoIP sollen laut ihm noch vor Ende 2009 erfolgen. Betrüger erhalten uneingeschränkten Zugang zu vertraulichen Informationen, einschließlich Bankkontodaten und Kreditkartennummern. Dies können nur Fachleute auf dem Gebiet der Informationssicherheit verhindern. "Theoretisch ruft ein Kunde die Bank an, und die Telefonleitung wird bereits von Hackern kontrolliert", sagt The Grugq. In diesem Fall bittet der Betrüger den Anrufer, einige Kontoinformationen anzugeben, um den Bank-Support-Service zu kontaktieren.

„Es gibt keine Technologie, die Unternehmen vor diesem Problem schützen kann“, ist sich der Experte sicher, dass die aktuellen Systeme den VoIP-Angriff nicht bestimmen können. Um dies zu organisieren, benötigen Angreifer Standardsoftware, um die Abrechnung von Telefongesprächen und IP-Telefonie zu unterstützen.

Laut Secure Computing konfigurieren Betrüger einen War Dialer, der Nummern in einer bestimmten Region wählt. Zum Zeitpunkt der Antwort geschieht Folgendes:

  • Der Anrufbeantworter informiert den Benutzer über betrügerische Aktivitäten mit seiner Kreditkarte und empfiehlt, schnell zu einer bestimmten Nummer zurückzurufen.
  • Nachdem das Opfer die Nummer zurückgerufen hat, antwortet dort die „Computerstimme“, dass der Benutzer die Überprüfung durchlaufen und die Kartennummer über die Telefontastatur eingeben muss.
  • Sobald die Kartennummer eingegeben wurde, erhält der Betrüger alle Informationen (Adresse, Telefonnummer, vollständiger Name).
  • Mithilfe dieses Anrufs kann der Prüfer weitere Informationen sammeln, z. B. das Ablaufdatum der Karte, den PIN-Code, die Bankkontonummer und das Geburtsdatum.

Grundlegende Vishing-Trigger

  • Sie werden nach Kartendetails gefragt.
  • Sie werden beharrlich gezwungen, die Aktion auszuführen, die Sie vor einer Minute noch nicht ausgeführt haben.

Zusätzliche Besuchsauslöser

  1. Bankangestellte werden unter keinen Umständen nach dem Sicherheitscode auf der Rückseite der Karte und dem Code aus der Bank-SMS-Nachricht fragen.
  2. Besorgniserregendes Thema der Behandlung. Um das Opfer zu erschrecken und die gewünschte Aktion auszuführen, lassen sich Betrüger beängstigende Szenarien einfallen. Die Karte wird als gesperrt gemeldet, das Konto wird gehackt, der Verwandte ist in Schwierigkeiten und so weiter.
  3. Ein Versprechen, leicht Geld zu bekommen, das Sie entweder nicht erwartet hatten oder nicht so leicht zu bekommen glaubten. Um das Opfer zu locken, versprechen die Betrüger, auf einfache und schnelle Weise Geld auf Ihr Konto zu überweisen: Beispielsweise wurde dem Rentner ein unerwarteter Rentenzuschlag gutgeschrieben.
  4. Sie haben es eilig und versuchen sehr beharrlich zu überzeugen.
  5. Der Anruf kommt von einer unbekannten Nummer oder einem Mobiltelefon.
  6. Sie können sicher sein, dass Sie mit Hilfe eines Geldautomaten Geld von der Karte eines anderen auf Ihre Karte überweisen können.

Der wichtigste "Weg", wie Sie sich vor Vishing schützen können

  1. Beende das Gespräch. Rufen Sie die Bank unter der Telefonnummer an, die auf der Rückseite der Karte oder auf der offiziellen Website des Unternehmens / Staates angegeben ist. Struktur - von der Nummer auf der offiziellen Website aufgeführt.

Zusätzliche "Möglichkeiten" zum Schutz vor Vishing

  • Denken Sie daran, dass Mitarbeiter von Banken und Regierungsbehörden unter keinen Umständen (einschließlich höherer Gewalt) Anrufe bei Inhabern von Zahlungskarten tätigen, bei denen die Angabe einer Zahlungskartennummer, der Gültigkeitsdauer und des CVC2 / CVV2-Codes erforderlich ist.
  • Denken Sie daran, dass es ausreicht, nur die Kartennummer anzugeben, um beim Verkauf von Waren oder beim Gewinnen eine Überweisung auf die Karte zu erhalten.
  • Geben Sie unter keinen Umständen einen dreistelligen Sicherheitscode auf der Rückseite der Karte (CVV2 / CVC2) sowie Codes aus Bank-SMS-Nachrichten an.
  • Keine Panik, wenn Sie eine Karte sperren oder versuchen, ein Konto zu hacken. Stattdessen müssen Sie unter der auf der offiziellen Website der Bank oder auf Ihrer Plastikkarte angegebenen Telefonnummer bei der Bank anrufen.
  • Vernünftig und vernünftig zu sein - den Versprechungen des Geldes nicht zu glauben, mit deren Erhalt Sie nicht gerechnet haben.
  • Überprüfen Sie die Telefonnummer, von der der Anruf kam: Es ist wirklich eine vertraute Telefonnummer der Bank oder sieht einfach so aus. Überprüfen Sie auch die Telefonnummer über Suchmaschinen. Vielleicht wird diese Telefonnummer bereits von Betrügern „beleuchtet“.
  • Beeilen Sie sich nicht. Nehmen Sie sich die Zeit, um die Bank / staatliche Einrichtung unter der auf der Website oder der Karte angegebenen Telefonnummer zu überprüfen und anzurufen, und bitten Sie, zu der Person zu wechseln, die Sie angerufen hat.

Was tun, wenn Sie Opfer werden?

Sperren Sie die Karte sofort, schreiben Sie eine Erklärung an die Bank und die Cyberpolizei

Endlich! Wenn Sie eine Phishing-E-Mail finden, die angeblich von einem Ihnen bekannten Unternehmen oder Dienst stammt, melden Sie sie an die Abteilung für Informationssicherheit in Ihrem Job oder bei Ihrem Anbieter.

Über facebook.com & wiki