This page has been robot translated, sorry for typos if any. Original content here.

Internet-Phishing und Schutzmethoden dagegen

Фишинг (Phishing)

Im Moment ist die populärste Form des Betrugs im Web das Phishing . Cyberkriminelle verwenden betrügerische Websites, Tastaturinterzeptoren, E-Mail-Nachrichten, die gemäß den Regeln des Social Engineering zusammengestellt werden usw. Diese Methoden werden jeden Tag vielfältiger und gefährlicher.

Phishing , wie von Dr. Web ist eine Betrugstechnologie im Web, bei der persönliche Informationen, beispielsweise Identifikationsdaten und Bankkarten, Zugangspasswörter, usw., gestohlen werden. Mithilfe von E-Mail-Würmern und Spam-E-Mails werden potenziellen Opfern Briefe von angeblich legaler E-Mail gesendet Organisationen. In diesen Briefen werden sie aufgefordert, eine gefälschte Website zu besuchen und PIN-Codes, Passwörter und andere persönliche Informationen zu bestätigen, die Betrüger zukünftig dazu verwenden, das Konto des Opfers von Geld oder anderen Straftaten zu stehlen.

Phishing (Phishing). Nicht mit Fischen oder Pishing verwechseln

Phishing (vom Phishing, vom Fischfang - vom Fischfang bis zum Fischfang) - eine Form des Internetbetrugs, deren Zweck der Zugang zu vertraulichen Benutzerdaten ist - Anmeldungen und Passwörter. Dies wird erreicht durch Massenversand von E-Mails für bekannte Marken sowie persönliche Nachrichten innerhalb verschiedener Dienste, beispielsweise für Banken oder soziale Netzwerke. Der Brief enthält oft einen direkten Link zu einer Site, die scheinbar von der Gegenwart nicht zu unterscheiden ist, oder zu einer Site mit einer Weiterleitung. Nachdem ein Benutzer zu einer gefälschten Seite gelangt ist, versuchen Betrüger mithilfe verschiedener psychologischer Techniken, den Benutzer zu ermutigen, den Benutzernamen und das Kennwort auf der gefälschten Seite einzugeben, mit denen sie auf eine bestimmte Website zugreifen, wodurch Betrüger Zugriff auf Konten und Bankkonten erhalten.

Phishing ist eine der Varianten des Social Engineering, die auf der Unkenntnis der Benutzer von den Grundsätzen der Netzwerksicherheit beruhen. Insbesondere wissen viele nicht, was einfach ist: Die Dienste senden keine Briefe, in denen sie aufgefordert werden, ihre Zugangsdaten, ihr Kennwort usw. anzugeben.

Vereinfacht gesagt, locken die Angreifer die Benutzer dazu, ihre persönlichen Daten wie Telefonnummern, Nummern und Geheimcodes von Bankkarten, Logins und Passwörter von E-Mails und Konten in sozialen Netzwerken preiszugeben.

Um sich vor Phishing zu schützen, haben Hersteller großer Internetbrowser zugestimmt, die Benutzer auf die gleiche Weise zu informieren, dass sie eine verdächtige Website geöffnet haben, die Betrüger gehören könnten. Neue Browser-Versionen verfügen bereits über diese Funktion, die als "Anti-Phishing" bezeichnet wird.

Laut dem Unternehmen Websense ist das Rock Phish Kit das beliebteste Werkzeug zum Erstellen von Phishing- Ressourcen. Im Moment ist die Situation mit Phishing om sehr ähnlich der Situation, die vor einigen Jahren beim Schreiben von Schadcode beim Erscheinen ihrer Designer auftrat.

Die Essenz von Phishing ist wie folgt: Der Angreifer täuscht den Benutzer und zwingt ihn, persönliche Informationen (Informationen zu Bankkarten, Namen und Passwörtern für verschiedene Ressourcen usw.) anzugeben. Der Hauptunterschied zwischen dieser Art von Betrug ist die freiwillige Übermittlung von Informationen durch den Benutzer. Um dies zu erreichen, setzen Betrüger aktiv die Technik des Social Engineering ein.

Modernes Phishing kann in 3 Typen unterteilt werden: Online , Mail und Combo .

Das älteste ist Mail-Phishing : Ein Brief wird an die Empfängeradresse gesendet, in dem Sie zum Senden von Informationen aufgefordert werden.

Online-Phishing umfasst das folgende Schema: Betrüger kopieren offizielle Ressourcen mit ähnlichen Domainnamen und Design. Dann ist alles einfach. Ein Benutzer, der eine solche Ressource besucht hat, kann seine Daten in der Gewissheit verlassen, dass er in sichere Hände gelangt. Tatsächlich liegt diese Information in der Hand von Cyberkriminellen. Glücklicherweise besteht nun die Tendenz, das Wissen der Nutzer über elementare Maßnahmen der Informationssicherheit zu erhöhen. Daher verliert dieses Betrugsschema allmählich an Bedeutung

Der dritte Typ wird kombiniert . Ihr Kern liegt in der Erstellung einer gefälschten Website einer echten Organisation, zu der Betrüger potenzielle Opfer anziehen wollen. In diesem Fall bieten die Angreifer den Benutzern an, einige Vorgänge selbständig durchzuführen. Im Internet gibt es fast täglich Warnungen vor solchen Ressourcen, die diese Betrugsmethoden bekannt machen. In diesem Zusammenhang begannen Betrüger häufiger, Schlüssel-Logger zu verwenden. Hierbei handelt es sich um spezielle Programme, die Tastatureingaben von Benutzern nachverfolgen und diese Informationen an zuvor festgelegte Adressen senden.

Wie funktioniert Internet-Phishing?

Die Besonderheit von Phishing besteht darin, dass das Betrugsopfer seine vertraulichen Daten freiwillig zur Verfügung stellt.

Angreifer nutzen dazu Tools wie Phishing-Sites, E-Mail-Verteilung, Phishing-Landing-Page, Popups und gezielte Werbung.

Der Nutzer erhält ein Angebot zur Registrierung zu irgendeinem Vorteil oder zur Bestätigung seiner persönlichen Daten auf den Websites von Unternehmen und Institutionen, deren angeblicher Kunde er ist.

Betrüger verkleiden sich in der Regel als bekannte Unternehmen, Social Networking-Anwendungen und E-Mail-Dienste.

Die E-Mail-Adresse des Absenders ist der Adresse eines bekannten Firmenbenutzers sehr ähnlich.

Wie kann man sich von Betrügern nicht süchtig machen?

1

Denken Sie zunächst daran, dass niemand unter keinen Umständen vertrauliche Daten wie den PIN-Code einer Bankkarte, das Passwort einer E-Mail oder andere persönliche Konten übermitteln darf. Weder die Bank noch das soziale Netzwerk werden diese Daten per E-Mail anfordern. Wenn der Anrufer Ihnen als Anbieter erscheint und Fragen zu sensiblen Daten stellt, ist er höchstwahrscheinlich ein Betrüger.

2

Achten Sie immer auf das Design der Site. Wenn die Website oder die Landing Page merkwürdig, unvollständig, beschleunigt oder verdächtig erscheint, kann es sich sehr wohl um eine Phishing-Site handeln.

3

Beachten Sie die Adressleiste im Link-Link. Geringfügige Änderungen in der E-Mail-Adresse können Sie zu einer völlig anderen Website führen (beispielsweise kann anstelle von ukr.net ukl.net sein).

4

Vor allem Briefe von unbekannten Adressen, die „Druck auf Emotionen ausüben“ oder von Natur aus sind, sollten misstrauisch sein. Alle Kreditinstitute kontaktieren den Kunden per E-Mail oder Telefon unter Angabe des Vor- und Nachnamens. Wenn dies in der Beschwerde nicht angegeben ist, liegt höchstwahrscheinlich die Tatsache des Betrugs vor. Briefe, die mit folgenden Aussagen beginnen: "Ihr Konto wurde gehackt!" Oder "Ihr Profil wird gesperrt!". Oder Sie erklären Ihnen im Gegenteil einen großen Gewinn, sind in den meisten Fällen betrügerisch.

5

Rufen Sie nicht die Sicherheit Ihres Bankkontos oder Ihrer Kreditkarte unter einer bestimmten Telefonnummer an. Alle Zahlungskarten enthalten eine spezielle Telefonnummer, unter der Sie anrufen müssen.

Vishing

Vishing ist eine der Methoden des Social Engineering-Betrugs, bei dem Angreifer per Telefonkommunikation eine bestimmte Rolle (Bankangestellter, Kunde usw.) spielen und unter verschiedenen Vorwänden vertrauliche Informationen vom Karteninhaber anlocken stimulieren Sie bestimmte Aktionen mit Ihrem Kartenkonto / Ihrer Zahlungskarte.

Der erste Fall dieses Online-Betrugs wurde im Jahr 2006 erfasst. Es handelt sich um eine Art Phishing, das mit Kriegswählern (Auto-Dialer) sowie Internet-Telefonie (VoIP) implementiert wird. Mit dieser Art von Betrug erhalten Angreifer Zugriff auf persönliche Informationen wie Kennwörter, Ausweise und Bankkarten usw. Das Täuschungsschema unterscheidet sich nicht wesentlich von Phishing : Die Benutzer des Zahlungssystems erhalten Nachrichten von der Verwaltung per E-Mail, in denen sie aufgefordert werden, ihre Kennwörter zu senden Konten. Wenn im Fall von Phishing jedoch ein Link zur gefälschten Website angehängt wird, wird der Benutzer beim Phishing aufgefordert, die Stadtnummer anzurufen. Beim Anruf wird eine Nachricht gelesen, in der eine Person aufgefordert wird, ihre vertraulichen Daten offenzulegen. Die Schwierigkeit bei der Aufdeckung dieser Art von Betrug besteht darin, dass die Entwicklung der Internettelefonie es Ihnen ermöglicht, Anrufe an eine Ortsnummer an jeden Ort der Welt umzuleiten, und der Anrufer wird dies nicht einmal ahnen.

Secure Computing berichtete über die ausgefeilteste Betrugsmethode im Rahmen des vishing-Verfahrens - E-Mail wurde überhaupt nicht verwendet, da die Angreifer den PC so programmierten, dass er Telefonnummern aus der Datenbank anwählte und eine vorab aufgezeichnete Nachricht abspielte, in der der Abonnent diese Informationen vor seinem Guthaben warnte Die Karte befand sich in der Hand von Betrügern, daher muss er eine Nummer über die Telefontastatur eingeben.

Durch die Verwendung des VoIP-Protokolls können die Kosten für die Telefonkommunikation erheblich gesenkt werden, aber Unternehmen werden zudem anfälliger für Angriffe. Banken und andere Organisationen, die IP-Telefonie für die Sprachkommunikation betreiben, sind möglicherweise einem Virenangriff ausgesetzt, gegen den sie noch nicht geschützt sind. Davon sprach insbesondere The Grugq, ein Experte für Informationssicherheit, der auf der Hack In The Box-Sicherheitskonferenz (HITB) in Malaysia über Betrug gesprochen hatte. "Die Angreifer können sich uneingeschränkt in Bankennetzwerke eindringen und die Telefonkanäle der Banken kontrollieren", sagt Grugq. Demnach sollen Angriffe per VoIP vor Ende 2009 stattfinden. Betrüger erhalten uneingeschränkten Zugang zu vertraulichen Informationen, einschließlich Bankkontoinformationen und Kreditkartennummern. Dies zu verhindern können nur Fachleute auf dem Gebiet der Informationssicherheit. "Theoretisch ruft ein Kunde die Bank an, und die Telefonleitung wird bereits von Hackern kontrolliert", sagt The Grugq. In diesem Fall fordert der Betrüger den Anrufer auf, bestimmte Kontoinformationen bereitzustellen, um mit dem Bankunterstützungsdienst Kontakt aufzunehmen.

"Es gibt keine Technologie, die Unternehmen den Schutz vor diesem Problem garantieren kann", ist sich der Experte sicher. Die aktuellen Systeme können den VoIP-Angriff nicht bestimmen. Um dies zu organisieren, benötigen Angreifer eine Standardsoftware, die die Abrechnung von Telefongesprächen und IP-Telefonie unterstützt.

Gemäß Secure Computing konfigurieren Betrüger den War Dialer, indem sie Nummern in einer bestimmten Region wählen. Zum Zeitpunkt der Antwort geschieht Folgendes:

  • Der Anrufbeantworter informiert den Benutzer, dass betrügerische Aktivitäten mit seiner Kreditkarte ausgeführt werden, und empfiehlt, schnell eine bestimmte Nummer anzurufen.
  • Nachdem das Opfer die Nummer zurückgerufen hat, antwortet die „Computerstimme“ dort, dass der Benutzer die Überprüfung durchlaufen und die Kartennummer über die Telefontastatur eingeben muss.
  • Sobald die Kartennummer eingegeben ist, erhält der Betrüger alle Informationen (Adresse, Telefonnummer, vollständiger Name).
  • Mit diesem Anruf kann der Kontrolleur weitere zusätzliche Informationen sammeln, wie z. B. das Ablaufdatum der Karte, den PIN-Code, die Bankkontonummer und das Geburtsdatum.

Grundlegende Vishing-Auslöser

  • Sie werden nach Kartendaten gefragt ... any;
  • Sie werden ständig dazu gezwungen, die Aktion auszuführen, die Sie vor einer Minute nicht ausführen würden.

Zusätzliche Besuchsauslöser

  1. Bankmitarbeiter werden unter keinen Umständen nach dem Sicherheitscode auf der Rückseite der Karte und dem Code der Bank-SMS-Nachricht fragen.
  2. Beunruhigendes Thema der Behandlung. Um das Opfer zu erschrecken und die gewünschte Aktion wahrscheinlicher auszuführen, erfinden Betrüger erschreckende Szenarien. Es wird berichtet, dass die Karte gesperrt ist, das Konto gehackt wurde, der Verwandte in Schwierigkeiten ist usw.
  3. Ein Versprechen, leicht Geld zu bekommen, das Sie entweder nicht erwartet hätten oder das Sie nicht so leicht bekommen hätten. Um das Opfer zu locken, versprechen die Betrüger, dass sie schnell und einfach Geld auf Ihr Konto überweisen: So erhält der Rentner beispielsweise eine unerwartete Rente.
  4. Sie haben es eilig und versuchen beharrlich zu überzeugen.
  5. Der Anruf stammt von einer unbekannten Nummer oder einem Mobiltelefon.
  6. Sie können sicher sein, dass Sie mit Hilfe eines Geldautomaten Geld von einer anderen Karte auf Ihre Karte übertragen können.

Der wichtigste "Weg", um sich vor Vishing zu schützen

  1. Beenden Sie das Gespräch. Um fortzufahren, rufen Sie die Bank unter der auf der Rückseite der Karte angegebenen Telefonnummer oder auf ihrer offiziellen Website (Firma / Staat) an. Struktur - durch die auf der offiziellen Website angegebene Nummer.

Zusätzliche "Möglichkeiten", um sich gegen Vishing zu schützen

  • Denken Sie daran, dass Mitarbeiter von Banken und Regierungsbehörden unter keinen Umständen (einschließlich höherer Gewalt) Anrufe mit Karteninhabern tätigen und dazu aufgefordert werden, eine Zahlungskartennummer, ihr Gültigkeitsdatum und den CVC2 / CVV2-Code anzugeben.
  • Denken Sie daran, dass es ausreicht, um beim Verkauf von Waren oder beim Gewinn eine Überweisung auf die Karte zu erhalten, nur die Kartennummer anzugeben.
  • Geben Sie unter keinen Umständen den dreistelligen Sicherheitscode auf der Rückseite der Karte (CVV2 / CVC2) sowie die Codes von Bank-SMS-Nachrichten an.
  • Keine Panik, wenn Sie wegen des Sperrens einer Karte oder des Hacks eines Kontos angerufen werden. Stattdessen müssen Sie die Bank unter der auf der offiziellen Website der Bank angegebenen Telefonnummer oder auf Ihrer Plastikkarte anrufen.
  • Um vernünftig und vernünftig zu sein - den Versprechen des Geldes nicht zu glauben, mit deren Erhalt Sie nicht gerechnet haben.
  • Prüfen Sie die Telefonnummer, von der der Anruf kam: Dies ist in der Tat die vertraute Telefonnummer der Bank oder sieht einfach so aus, und überprüfen Sie auch die Telefonnummer über die Suchmaschinen. Vielleicht ist diese Telefonnummer bereits von Betrügern "beleuchtet".
  • Beeil dich nicht. Nehmen Sie sich die Zeit, um die Bank / staatliche Einrichtung unter der auf der Website oder auf der Karte angegebenen Telefonnummer anzurufen, und fragen Sie nach dem Anrufer, der Sie angerufen hat.

Was ist zu tun, wenn Sie Opfer werden?

Blockieren Sie die Karte sofort und schreiben Sie eine Erklärung an die Bank und die Cyberpolice

Endlich! Wenn Sie einen angeblichen Phishing-Brief von einem Ihnen bekannten Unternehmen oder Dienst finden, melden Sie ihn der Informationssicherheitsabteilung an Ihrem Arbeitsplatz oder bei Ihrem Anbieter.

Über facebook.com & Wiki