This page has been robot translated, sorry for typos if any. Original content here.

Internet-Phishing- und Anti-Phishing-Techniken

Фишинг (Phishing)

Die derzeit beliebteste Form von Online-Betrug ist Phishing . Cyberkriminelle verwenden betrügerische Websites, Tastatur-Interceptors und E-Mail-Nachrichten, die nach den Regeln des Social Engineering und anderen zusammengestellt werden. Diese Methoden werden von Tag zu Tag vielfältiger und gefährlicher.

Phishing im Sinne von Dr. Web ist eine Technologie des Betrugs im Web, die aus dem Diebstahl persönlicher Daten besteht, die privat sind, z. B. Identifikationsdaten und Bankkarten, Zugangspasswörter usw. Mit Würmern und Spam-Mails werden Briefe an potenzielle Opfer im Namen von mutmaßlich legalen Personen gesendet Organisationen. In diesen Briefen werden sie gebeten, eine gefälschte Website zu besuchen und PIN-Codes, Kennwörter und andere persönliche Informationen zu bestätigen, die von Betrügern in Zukunft verwendet werden, um Geld vom Konto des Opfers oder andere Straftaten zu stehlen.

Phishing Nicht zu verwechseln mit Angeln oder Pishing

Phishing (engl. Phishing, from fishing, fishing) ist eine Art von Internetbetrug, der darauf abzielt, Zugang zu vertraulichen Benutzerdaten zu erhalten - Logins und Passwörter. Dies wird erreicht, indem Massenmailings von E-Mails im Namen beliebter Marken sowie private Nachrichten innerhalb verschiedener Dienste, beispielsweise im Namen von Banken oder in sozialen Netzwerken, durchgeführt werden. Der Brief enthält häufig einen direkten Link zu einer Site, die anscheinend nicht von der Gegenwart zu unterscheiden ist, oder zu einer Site mit einer Weiterleitung. Nachdem ein Benutzer auf einer gefälschten Seite gelandet ist, versuchen Betrüger, den Benutzer mit verschiedenen psychologischen Tricks zur Eingabe seines Anmeldenamens und Kennworts auf einer gefälschten Seite zu veranlassen, mit denen er auf eine bestimmte Site zugreift, die Betrügern den Zugriff auf Konten und Bankkonten ermöglicht.

Phishing ist eine der Arten von Social Engineering, bei denen Benutzer die Grundlagen der Netzwerksicherheit nicht kennen: Insbesondere kennen viele keine einfache Tatsache: Dienste senden keine Briefe, in denen sie nach Anmeldeinformationen, Kennwort usw. gefragt werden.

Einfach ausgedrückt, locken Angreifer Benutzer dazu, ihre persönlichen Daten preiszugeben, beispielsweise Telefonnummern, Nummern und Geheimcodes von Bankkarten, Benutzernamen und Kennwörter von E-Mail-Konten und Konten in sozialen Netzwerken.

Um sich vor Phishing zu schützen, haben die Hersteller der wichtigsten Internetbrowser die gleichen Methoden angewendet, um die Benutzer darüber zu informieren, dass sie eine verdächtige Site geöffnet haben, die möglicherweise Betrügern gehört. Neuere Versionen von Browsern verfügen bereits über diese Funktion, die entsprechend als "Anti-Phishing" bezeichnet wird.

Laut Websense ist das Rock Phish Kit das beliebteste Tool zum Erstellen von Phishing- Ressourcen. Im Moment ist die Situation mit Phishing sehr ähnlich zu der Situation, die vor einigen Jahren beim Schreiben bösartiger Codes auftrat, als ihre Designer auftraten.

Das Wesen von Phishing ist wie folgt: Ein Angreifer, der einen Benutzer täuscht, zwingt ihn, persönliche Informationen (Informationen zu Bankkarten, Namen und Passwörtern für verschiedene Ressourcen usw.) bereitzustellen. Der Hauptunterschied zwischen dieser Art von Betrug besteht in der freiwilligen Bereitstellung seiner Informationen durch den Benutzer. Um dies zu erreichen, setzen Betrüger aktiv die Technik des Social Engineering ein.

Modernes Phishing kann in drei Arten unterteilt werden: Online , E-Mail und kombiniert .

Das älteste ist Mail-Phishing : Ein Brief wird an die Adresse des Empfängers gesendet, mit der Aufforderung, einige Informationen zu senden.

Online-Phishing umfasst das folgende Schema: Betrüger kopieren offizielle Ressourcen unter Verwendung ähnlicher Domainnamen und Designs. Dann ist alles einfach. Ein Benutzer, der eine solche Ressource besucht, kann hier seine Daten in voller Sicherheit hinterlassen, damit er in zuverlässige Hände gerät. Tatsächlich sind diese Informationen in den Händen von Cyberkriminellen. Glücklicherweise gibt es jetzt eine Tendenz, das Wissen der Benutzer über grundlegende Maßnahmen zur Informationssicherheit zu erweitern, sodass dieses Betrugsschema allmählich an Relevanz verliert

Der dritte Typ wird kombiniert . Es geht darum, eine gefälschte Website einer echten Organisation zu erstellen, auf der Betrüger versuchen, potenzielle Opfer zu locken. In diesem Fall bieten die Angreifer den Benutzern an, einige Vorgänge unabhängig durchzuführen. Im Internet gibt es fast täglich Warnungen vor solchen Ressourcen, die diese Betrugsmethoden bekannt machen. In diesem Zusammenhang verwendeten Betrüger häufiger Key-Logger. Hierbei handelt es sich um spezielle Programme, die Tastatureingaben von Benutzern verfolgen und diese Informationen an voreingestellte Adressen senden.

Wie funktioniert Internet-Phishing?

Die Besonderheit von Phishing besteht darin, dass das Betrugsopfer seine vertraulichen Daten freiwillig zur Verfügung stellt.

Zu diesem Zweck verwenden Angreifer Tools wie Phishingwebsites, E-Mail-Newsletter, Phishing-Zielseiten, Popups und gezielte Werbung.

Der Nutzer erhält ein Angebot, sich zu registrieren, um Vorteile zu erhalten oder seine persönlichen Daten auf den Websites von Unternehmen und Institutionen zu bestätigen, bei denen er angeblich Kunde ist.

Betrüger tarnen sich in der Regel als bekannte Unternehmen, Social-Networking-Anwendungen und E-Mail-Dienste.

Die E-Mail-Adresse des Absenders ähnelt in Wirklichkeit der Adresse eines Unternehmens, das dem Benutzer bekannt ist.

Wie kann man nicht von Betrügern süchtig werden?

1

Denken Sie zunächst daran, dass unter keinen Umständen vertrauliche Daten wie der PIN-Code der Bankkarte, das E-Mail-Passwort oder andere persönliche Konten übertragen werden dürfen. Weder die Bank noch das soziale Netzwerk werden diese Daten per E-Mail anfordern. Wenn der Anrufer Ihnen als Anbieter angezeigt wird und Fragen zu vertraulichen Daten stellt, ist er höchstwahrscheinlich ein Betrüger.

2

Achten Sie immer auf die Gestaltung der Website. Wenn die Site oder Landing Page seltsam, unvollendet, in Eile vernietet oder verdächtig erscheint, kann es sich durchaus um eine Phishing-Site handeln.

3

Achten Sie auf die Adressleiste im Sprunglink. Kleinere Änderungen an der E-Mail-Adresse können zu einer völlig anderen Website führen (z. B. ukl.net anstelle von ukr.net).

4

Briefe von unbekannten Adressen, die „auf Emotionen drängen“ oder dringender Natur sind, sollten zuallererst verdächtig sein. Alle Kreditinstitute kontaktieren den Kunden per E-Mail oder Telefon mit Vor- und Nachname. Wird dies in der Berufung nicht angegeben, liegt höchstwahrscheinlich ein Betrug vor. E-Mails, die mit Aussagen wie „Ihr Konto wurde gehackt!“ Oder „Ihr Profil wird gesperrt!“ Beginnen oder umgekehrt einen großen Gewinn melden, sind in den meisten Fällen betrügerisch.

5

Rufen Sie auf keinen Fall die Sicherheit Ihres Bankkontos oder Ihrer Kreditkarte unter der vorgeschlagenen Telefonnummer an. Alle Zahlungskarten enthalten eine spezielle Telefonnummer, die Sie anrufen müssen.

Vishing

Das Wünschen ist eine der Methoden des Betrugs mittels Social Engineering, die darin besteht, dass Angreifer, die telefonisch kommunizieren und eine bestimmte Rolle (Bankangestellter, Kunde usw.) spielen, unter verschiedenen Vorwänden vertrauliche Informationen des Karteninhabers austricksen oder regen Sie an, bestimmte Aktionen mit Ihrem Kartenkonto / Ihrer Zahlungskarte durchzuführen.

Der erste Fall dieses Online-Betrugs wurde 2006 verzeichnet. Es ist eine Art von Phishing und wird mit War Dialern (Dialern) sowie Internettelefonie (VoIP) implementiert. Durch diese Art von Betrug erhalten Cyberkriminelle Zugang zu persönlichen Informationen wie Passwörtern, Ausweisen und Bankkarten usw. Das Betrugsschema unterscheidet sich nicht wesentlich von Phishing : Benutzer des Zahlungssystems erhalten Nachrichten von der angeblichen Verwaltung, in denen ihnen geraten wird, ihre Passwörter und Informationen zu senden Rechnungen. Wenn jedoch im Falle von Phishing ein Link zu einer gefälschten Site angehängt wird, wird der Benutzer beim Phishing aufgefordert, die Stadtnummer anzurufen. Wenn Sie anrufen, wird eine Nachricht vorgelesen, in der die Person aufgefordert wird, ihre vertraulichen Daten offenzulegen. Die Schwierigkeit bei der Aufdeckung dieser Art von Betrug liegt in der Tatsache, dass die Entwicklung der Internettelefonie es Ihnen ermöglicht, Anrufe an eine Festnetznummer irgendwo auf der Welt umzuleiten, und der Anrufer wird dies nicht einmal ahnen.

Secure Computing berichtete über die ausgefeilteste Methode des Betrugs mit dem Vishing-Schema - E-Mail wurde hier überhaupt nicht verwendet, da die Angreifer den PC so programmierten, dass sie Telefonnummern aus der Datenbank wählten und eine zuvor aufgezeichnete Nachricht abspielten, auf die der Abonnent über seine Kreditinformationen gewarnt wurde Die Karte befand sich in den Händen von Betrügern, daher muss er eine Nummer über die Telefontastatur eingeben.

Die Verwendung des VoIP-Protokolls kann die Telefonkosten erheblich senken, macht das Unternehmen jedoch auch anfälliger für Angriffe. Banken und andere Organisationen, die IP-Telefonie für die Sprachkommunikation verwenden, sind möglicherweise Vishing-Angriffen ausgesetzt, die noch keinen Schutz gegen sie bieten. Insbesondere The Grugq, ein Informationssicherheitsexperte, der auf der Hack-In-The-Box-Sicherheitskonferenz (HITB) in Malaysia über den Betrug sprach, sprach darüber. "Angreifer können frei in Bankennetzwerke eintreten und die Kontrolle über die Bank-Telefonkanäle ausüben", sagt Grugq. Laut ihm werden Vishing-Angriffe über VoIP vor Ende 2009 stattfinden. Betrüger erhalten uneingeschränkten Zugriff auf vertrauliche Informationen, einschließlich Bankdaten und Kreditkartennummern. Dies können nur Profis im Bereich Informationssicherheit verhindern. "Theoretisch ruft der Kunde die Bank an, und die Telefonleitung wird bereits von Hackern kontrolliert", sagt The Grugq. In diesem Fall bittet der Betrüger den Anrufer, einige Anmeldeinformationen einzugeben, um den Bank-Support-Service zu kontaktieren.

„Es gibt keine Technologie, die Unternehmen vor diesem Problem schützt“, ist sich der Experte sicher, dass vorhandene Systeme einen VoIP-Angriff nicht erkennen können. Um dies zu organisieren, benötigen Angreifer Standardsoftware zur Unterstützung der Telefonrechnung und der IP-Telefonie.

Laut Secure Computing konfigurieren Betrüger War Dialer-Wählnummern in einer bestimmten Region. Zum Zeitpunkt der Antwort geschieht Folgendes:

  • Der Anrufbeantworter informiert den Benutzer über betrügerische Aktivitäten mit seiner Kreditkarte und empfiehlt, dass Sie schnell zu einer bestimmten Nummer zurückrufen.
  • Nachdem das Opfer die Nummer zurückgerufen hat, antwortet ihm eine „Computerstimme“, die besagt, dass der Benutzer die Überprüfung durchlaufen und die Kartennummer über die Telefontastatur eingeben muss.
  • Sobald die Kartennummer eingegeben wurde, erhält der Betrüger alle Informationen (Adresse, Telefonnummer, vollständiger Name).
  • Mithilfe dieses Anrufs kann der Visher auch andere zusätzliche Informationen erfassen, z. B. das Ablaufdatum der Karte, den PIN-Code, die Bankkontonummer und das Geburtsdatum.

Die Hauptauslöser von Vishing

  • Sie werden nach Kartendetails gefragt.
  • Sie sind beharrlich gezwungen, die Aktion auszuführen, die Sie vor einer Minute noch nicht durchgeführt haben.

Zusätzliche "Trigger" von Vishing

  1. Bankangestellte werden unter keinen Umständen einen Sicherheitscode auf der Rückseite der Karte oder einen Code aus einer Bank-SMS-Nachricht anfordern.
  2. Ein alarmierendes Anziehungspunkt. Um das Opfer zu erschrecken und es zu veranlassen, die erforderlichen Maßnahmen zu ergreifen, lassen sich Betrüger beängstigende Szenarien einfallen. Sie berichten, dass die Karte gesperrt, das Konto gehackt, ein Verwandter in Schwierigkeiten ist usw.
  3. Das Versprechen ist einfach, Geld zu erhalten, das Sie entweder nicht erwartet hatten oder nicht so einfach zu erhalten glaubten. Um das Opfer zu locken, versprechen Betrüger, einfach und schnell Geld auf Ihr Konto zu überweisen: Beispielsweise erhielt ein Rentner eine unerwartete Altersrente.
  4. Du bist gehetzt und versuchst sehr beharrlich zu überzeugen.
  5. Der Anruf kommt von einer unbekannten Nummer oder einem Mobiltelefon.
  6. Sie können sicher sein, dass Sie mit Hilfe eines Geldautomaten Geld von der Karte eines anderen auf Ihre eigene Karte überweisen können.

Der wichtigste "Weg", um sich vor Vishing zu schützen

  1. Beende das Gespräch. Rufen Sie die Bank unter der Telefonnummer an, die auf der Rückseite der Karte oder auf der offiziellen Website des Unternehmens / Staates angegeben ist. Struktur - durch die auf der offiziellen Website angegebene Nummer.

Zusätzliche "Möglichkeiten", sich vor Vishing zu schützen

  • Denken Sie daran, dass Mitarbeiter von Banken und staatlichen Stellen unter keinen Umständen (einschließlich höherer Gewalt) bei Inhabern von Zahlungskarten nach der Angabe einer Zahlungskartennummer, ihres Ablaufdatums und des CVC2 / CVV2-Codes fragen.
  • Denken Sie daran, dass es ausreicht, nur die Kartennummer anzugeben, um beim Verkauf von Waren oder beim Gewinnen eine Überweisung auf eine Karte zu erhalten.
  • Geben Sie unter keinen Umständen einen dreistelligen Sicherheitscode auf der Rückseite der Karte (CVV2 / CVC2) sowie Codes aus Bank-SMS-Nachrichten an.
  • Keine Panik, wenn Sie einen Anruf zum Sperren einer Karte oder zum Aufladen eines Kontos erhalten. Stattdessen müssen Sie die Bank unter der auf der offiziellen Website der Bank oder auf Ihrer Plastikkarte angegebenen Telefonnummer zurückrufen.
  • Seien Sie vernünftig und vernünftig - glauben Sie nicht den Geldversprechen, die Sie nicht erwartet hatten.
  • Überprüfen Sie die Telefonnummer, von der der Anruf kam: Es handelt sich tatsächlich um eine vertraute Telefonnummer der Bank, oder es sieht so aus, und überprüfen Sie die Telefonnummer auch über Suchmaschinen. Vielleicht wurde diese Telefonnummer bereits von Betrügern "entdeckt".
  • Beeil dich nicht. Nehmen Sie sich die Zeit, die Bank / Regierungsbehörde unter der auf der Website oder der Karte angegebenen Telefonnummer zu überprüfen und anzurufen, und bitten Sie, zu der Person zu wechseln, die Sie angerufen hat.

Was ist, wenn Sie ein Opfer werden?

Sperren Sie die Karte sofort und schreiben Sie eine Erklärung an die Bank und die Cyberpolizei

Endlich! Wenn Sie eine Phishing-E-Mail finden, die angeblich von einem Ihnen bekannten Unternehmen oder Dienst stammt, benachrichtigen Sie die Informationssicherheitsabteilung bei Ihrer Arbeit oder von Ihrem Anbieter.

Über facebook.com & wiki