This page has been robot translated, sorry for typos if any. Original content here.

Internet-Phishing- und Anti-Phishing-Techniken

Фишинг (Phishing)

Die derzeit beliebteste Form des Online-Betrugs ist Phishing . Cyberkriminelle verwenden betrügerische Websites, Tastaturabfangjäger und E-Mail-Nachrichten, die nach den Regeln des Social Engineering und anderer zusammengestellt werden. Diese Methoden werden von Tag zu Tag vielfältiger und gefährlicher.

Phishing wie von Dr. Web ist eine Technologie des Betrugs im Web, die darin besteht, private Informationen zu stehlen, die privat sind, z. B. Identifikations- und Bankkarten, Zugangskennwörter usw. Mithilfe von E-Mail-Würmern und Spam-Mails werden Briefe an potenzielle Opfer im Namen angeblich legaler Personen gesendet Organisationen. In diesen Briefen werden sie gebeten, eine gefälschte Website zu besuchen und PIN-Codes, Passwörter und andere persönliche Informationen zu bestätigen, die Betrüger künftig verwenden werden, um Geld vom Konto des Opfers oder andere Straftaten zu stehlen.

Phishing Nicht zu verwechseln mit Fischen oder Fischen

Phishing (Eng. Phishing, vom Fischen - Fischen, Fischen) ist eine Art von Internetbetrug, dessen Zweck darin besteht, Zugang zu vertraulichen Benutzerdaten zu erhalten - Logins und Passwörter. Dies wird erreicht, indem Massenmailings von E-Mails im Namen beliebter Marken sowie private Nachrichten innerhalb verschiedener Dienste, beispielsweise im Auftrag von Banken oder in sozialen Netzwerken, durchgeführt werden. Der Brief enthält häufig einen direkten Link zu einer Site, die anscheinend nicht von der Gegenwart zu unterscheiden ist, oder zu einer Site mit einer Weiterleitung. Nachdem ein Benutzer auf einer gefälschten Seite gelandet ist, versuchen Betrüger mit verschiedenen psychologischen Tricks, den Benutzer aufzufordern, seinen Benutzernamen und sein Kennwort auf einer gefälschten Seite einzugeben, auf der er auf eine bestimmte Website zugreift, über die Betrüger auf Konten und Bankkonten zugreifen können.

Phishing ist eine der Arten von Social Engineering, die darauf basiert, dass Benutzer die Grundlagen der Netzwerksicherheit nicht kennen: Insbesondere kennen viele die einfache Tatsache nicht: Dienste senden keine Briefe, in denen sie aufgefordert werden, ihre Anmeldeinformationen, ihr Kennwort usw. anzugeben.

Einfach ausgedrückt, locken Angreifer Benutzer dazu, ihre persönlichen Daten preiszugeben, z. B. Telefonnummern, Nummern und Geheimcodes von Bankkarten, Benutzernamen und Passwörter von E-Mail- und sozialen Netzwerkkonten.

Zum Schutz vor Phishing haben sich Hersteller großer Internetbrowser bereit erklärt, dieselben Methoden zu verwenden, um Benutzer darüber zu informieren, dass sie eine verdächtige Website geöffnet haben, die möglicherweise Betrügern gehört. Neuere Versionen von Browsern verfügen bereits über diese Funktion, die dementsprechend als "Anti-Phishing" bezeichnet wird.

Laut Websense ist das Rock Phish Kit das beliebteste Tool zum Erstellen von Phishing- Ressourcen. Im Moment ist die Situation mit Phishing sehr ähnlich wie vor einigen Jahren, als beim Entwurf ihrer Designer bösartige Codes geschrieben wurden.

Das Wesen von Phishing ist wie folgt: Ein Angreifer, der einen Benutzer täuscht, zwingt ihn, persönliche Informationen (Informationen über Bankkarten, Namen und Passwörter für verschiedene Ressourcen usw.) bereitzustellen. Der Hauptunterschied zwischen dieser Art von Betrug besteht in der freiwilligen Bereitstellung seiner Informationen durch den Benutzer. Um dies zu erreichen, nutzen Betrüger aktiv die Technik des Social Engineering.

Modernes Phishing kann in drei Arten unterteilt werden: Online , E-Mail und kombiniert .

Das älteste ist Mail-Phishing : Ein Brief wird an die Adresse des Empfängers gesendet, mit der Aufforderung, einige Informationen zu senden.

Online-Phishing umfasst das folgende Schema: Betrüger kopieren offizielle Ressourcen unter Verwendung ähnlicher Domainnamen und Designs. Dann ist alles einfach. Ein Benutzer, der eine solche Ressource besucht hat, kann seine Daten hier in vollem Vertrauen hinterlassen, dass er in zuverlässige Hände gerät. Tatsächlich sind diese Informationen in den Händen von Cyberkriminellen. Glücklicherweise besteht jetzt die Tendenz, das Wissen der Benutzer über grundlegende Maßnahmen zur Informationssicherheit zu erweitern, so dass dieses Betrugsprogramm allmählich an Relevanz verliert

Der dritte Typ wird kombiniert . Im Wesentlichen geht es darum, eine gefälschte Website einer echten Organisation zu erstellen, auf der Betrüger versuchen, potenzielle Opfer anzulocken. In diesem Fall bieten die Angreifer den Benutzern an, einige Vorgänge unabhängig auszuführen. Im Internet gibt es fast täglich Warnungen vor solchen Ressourcen, die diese Betrugsmethoden bekannt machen. In dieser Hinsicht verwendeten Betrüger häufiger Key-Logger - dies sind spezielle Programme, die die Tastenanschläge des Benutzers verfolgen und diese Informationen an voreingestellte Adressen senden.

Wie funktioniert Internet-Phishing?

Die Besonderheit von Phishing besteht darin, dass das Betrugsopfer seine vertraulichen Daten freiwillig zur Verfügung stellt.

Zu diesem Zweck verwenden Angreifer Tools wie Phishing-Websites, E-Mail-Newsletter, Phishing-Zielseiten, Popups und gezielte Werbung.

Der Nutzer erhält ein Angebot zur Registrierung, um einen Vorteil zu erhalten oder seine personenbezogenen Daten auf den Websites von Unternehmen und Institutionen zu bestätigen, deren Kunde er angeblich ist.

Betrüger tarnen sich in der Regel als bekannte Unternehmen, Social-Networking-Anwendungen und E-Mail-Dienste.

Die E-Mail-Adresse des Absenders ähnelt der dem Benutzer bekannten Adresse des Unternehmens.

Wie kann man sich nicht von Betrügern süchtig machen lassen?

1

Denken Sie zunächst daran, dass unter keinen Umständen vertrauliche Daten wie eine Bankkarten-PIN, ein E-Mail-Passwort oder andere persönliche Konten übermittelt werden dürfen. Weder die Bank noch das soziale Netzwerk werden diese Daten per E-Mail anfordern. Wenn der Anrufer Ihnen als Ihr Provider erscheint und Fragen zu sensiblen Daten stellt, ist er höchstwahrscheinlich ein Betrüger.

2

Achten Sie immer auf das Design der Website. Wenn die Site oder Landing Page seltsam, unvollendet, in Eile genietet oder verdächtig erscheint, kann es sich durchaus um eine Phishing-Site handeln.

3

Achten Sie auf die Adressleiste im Sprunglink. Kleinere Änderungen an der E-Mail-Adresse können dazu führen, dass Sie zu einer völlig anderen Site gelangen (anstelle von ukr.net gibt es möglicherweise ukl.net).

4

Briefe von unbekannten Adressen, die „auf Emotionen drücken“ oder von dringender Natur sind, sollten vor allem Verdacht erregen. Alle Kreditinstitute per E-Mail oder Telefon kontaktieren den Kunden mit Vor- und Nachnamen. Wenn dies in der Beschwerde nicht angegeben ist, liegt höchstwahrscheinlich ein Betrug vor. E-Mails, die mit Aussagen wie "Ihr Konto wurde gehackt!" Beginnen. oder "Ihr Profil wird gesperrt!" oder umgekehrt verkünden sie Ihnen einen großen Gewinn, in den meisten Fällen sind sie betrügerisch.

5

Rufen Sie in keinem Fall die Sicherheit Ihres Bankkontos oder Ihrer Kreditkarte unter der vorgeschlagenen Telefonnummer an. Alle Zahlungskarten geben eine spezielle Telefonnummer an, die Sie anrufen müssen.

Vishing

Wünschen ist eine der Methoden des Betrugs mit Social Engineering, die darin besteht, dass Angreifer, die Telefonkommunikation verwenden und eine bestimmte Rolle spielen (Bankangestellter, Kunde usw.), unter verschiedenen Vorwänden vertrauliche Informationen des Karteninhabers oder betrügen regen Sie an, bestimmte Aktionen mit Ihrem Kartenkonto / Ihrer Zahlungskarte auszuführen.

Der erste Fall dieses Online-Betrugs wurde 2006 registriert. Es ist eine Form von Phishing und wird mithilfe von War Dialern (Dialern) sowie Internet-Telefonie (VoIP) implementiert. Mit dieser Art von Betrug erhalten Cyberkriminelle Zugang zu persönlichen Informationen wie Passwörtern, Ausweisen und Bankkarten usw. Das Betrugsschema unterscheidet sich nicht wesentlich von Phishing : Benutzer des Zahlungssystems erhalten Nachrichten von der angeblichen Verwaltung, in denen sie aufgefordert werden, ihre Passwörter und zu senden Rechnungen. Wenn jedoch beim Phishing ein Link zu einer gefälschten Site angehängt wird, wird der Benutzer beim Phishing aufgefordert, die Städtenummer anzurufen. Wenn Sie anrufen, wird eine Nachricht vorgelesen, in der die Person aufgefordert wird, ihre vertraulichen Daten offenzulegen. Die Schwierigkeit, diese Art von Betrug aufzudecken, liegt in der Tatsache, dass Sie durch die Entwicklung der Internettelefonie Anrufe an eine Festnetznummer überall auf der Welt umleiten können, und der Anrufer wird dies nicht einmal vermuten.

Secure Computing berichtete über die ausgefeilteste Methode des Betrugs mit dem Vishing-Schema - E-Mail wurde hier überhaupt nicht verwendet, da die Angreifer den PC so programmierten, dass sie Telefonnummern aus der Datenbank wählten und eine zuvor aufgezeichnete Nachricht abspielten, an die der Abonnent gewarnt wurde, dass Informationen über sein Guthaben vorliegen Die Karte befand sich in den Händen von Betrügern, daher muss er eine Nummer über die Telefontastatur eingeben.

Die Verwendung des VoIP-Protokolls kann die Telefonkosten erheblich senken, macht das Unternehmen jedoch auch viel anfälliger für Angriffe. Banken und andere Organisationen, die IP-Telefonie für die Sprachkommunikation verwenden, können Vishing-Angriffen ausgesetzt sein, die noch keinen Schutz gegen sie bieten. Insbesondere The Grugq, ein Experte für Informationssicherheit, der auf der Hack In The Box-Sicherheitskonferenz (HITB) in Malaysia über den Betrug sprach, sprach darüber. "Angreifer können frei in Bankennetzwerke eintreten und die Kontrolle über Bank-Telefonkanäle ausüben", sagt Grugq. Ihm zufolge werden Vishing-Angriffe über VoIP vor Ende 2009 stattfinden. Betrüger erhalten uneingeschränkten Zugriff auf vertrauliche Informationen, einschließlich Bankdaten und Kreditkartennummern. Nur Profis auf dem Gebiet der Informationssicherheit können sie daran hindern. "Theoretisch ruft der Kunde die Bank an und die Telefonleitung wird bereits von Hackern kontrolliert", sagt The Grugq. In diesem Fall bittet der Betrüger den Anrufer, einige Anmeldeinformationen anzugeben, um den Bankunterstützungsdienst zu kontaktieren.

„Es gibt keine Technologie, die Unternehmen vor diesem Problem schützen kann“, ist sich der Experte sicher und stellt fest, dass vorhandene Systeme einen VoIP-Angriff nicht erkennen können. Um dies zu organisieren, benötigen Angreifer Standardsoftware zur Unterstützung der Telefonabrechnung und der IP-Telefonie.

Laut Secure Computing konfigurieren Betrüger einen War Dialer, der Nummern in einer bestimmten Region wählt. Zum Zeitpunkt der Antwort tritt Folgendes auf:

  • Der Anrufbeantworter informiert den Benutzer darüber, dass betrügerische Aktivitäten mit seiner Kreditkarte ausgeführt werden, und empfiehlt, dass Sie schnell eine bestimmte Nummer anrufen.
  • Nachdem das Opfer die Nummer zurückgerufen hat, antwortet ihm eine „Computerstimme“, dass der Benutzer die Überprüfung durchlaufen und die Kartennummer über die Telefontastatur eingeben muss.
  • Sobald die Kartennummer eingegeben wurde, erhält der Betrüger alle Informationen (Adresse, Telefonnummer, vollständiger Name).
  • Mit diesem Anruf kann der Visier weitere zusätzliche Informationen erfassen, z. B. das Ablaufdatum der Karte, die PIN-Code, die Bankkontonummer und das Geburtsdatum.

Die Hauptauslöser des Vishing

  • Sie werden nach Kartendetails gefragt ... beliebig;
  • Sie sind hartnäckig gezwungen, die Aktion auszuführen, die Sie vor einer Minute nicht ausführen wollten.

Zusätzliche "Auslöser" des Vishing

  1. Bankangestellte werden unter keinen Umständen einen Sicherheitscode auf der Rückseite der Karte oder einen Code aus einer Bank-SMS-Nachricht anfordern.
  2. Ein alarmierendes Thema. Um das Opfer zu erschrecken und es früher dazu zu bringen, die notwendigen Maßnahmen zu ergreifen, entwickeln Betrüger erschreckende Szenarien. Sie berichten, dass die Karte gesperrt ist, das Konto gehackt wurde, ein Verwandter in Schwierigkeiten ist usw.
  3. Das Versprechen ist einfach, Geld zu erhalten, das Sie nicht erwartet hatten oder das Sie nicht so leicht erhalten wollten. Um das Opfer anzulocken, versprechen Betrüger, einfach und schnell Geld auf Ihr Konto zu überweisen: Beispielsweise erhielt ein Rentner einen unerwarteten Rentenbonus.
  4. Sie sind gehetzt und versuchen sehr beharrlich zu überzeugen.
  5. Der Anruf kommt von einer unbekannten Nummer oder einem Mobiltelefon.
  6. Sie können sicher sein, dass Sie mit Hilfe eines Geldautomaten Geld von der Karte eines anderen auf Ihre eigene Karte überweisen können.

Der wichtigste "Weg", wie Sie sich vor Vishing schützen können

  1. Beenden Sie das Gespräch. Um fortzufahren, rufen Sie die Bank unter der Telefonnummer an, die auf der Rückseite der Karte oder auf der offiziellen Website des Unternehmens angegeben ist. Struktur - durch die auf der offiziellen Website angegebene Nummer.

Zusätzliche "Möglichkeiten", sich vor Vishing zu schützen

  • Denken Sie daran, dass Mitarbeiter von Banken und Regierungsstellen unter keinen Umständen (einschließlich höherer Gewalt) die Inhaber von Zahlungskarten anrufen, um eine Zahlungskartennummer, deren Ablaufdatum und den CVC2 / CVV2-Code anzugeben.
  • Denken Sie daran, dass es ausreicht, nur die Kartennummer anzugeben, um beim Verkauf von Waren oder beim Gewinnen eine Überweisung auf eine Karte zu erhalten.
  • Geben Sie unter keinen Umständen einen dreistelligen Sicherheitscode auf der Rückseite der Karte (CVV2 / CVC2) sowie Codes aus Bank-SMS-Nachrichten bekannt.
  • Keine Panik, wenn Sie einen Anruf erhalten, weil Sie eine Karte gesperrt oder versucht haben, in ein Konto einzubrechen. Stattdessen müssen Sie die Bank unter der auf der offiziellen Website der Bank oder auf Ihrer Plastikkarte angegebenen Telefonnummer zurückrufen.
  • Seien Sie rational und vernünftig - glauben Sie nicht den Geldversprechen, die Sie nicht erwartet hatten.
  • Überprüfen Sie die Telefonnummer, von der der Anruf kam: Es handelt sich tatsächlich um eine vertraute Telefonnummer der Bank, oder es sieht einfach so aus, und überprüfen Sie die Telefonnummer auch über Suchmaschinen. Möglicherweise wurde diese Telefonnummer bereits von Betrügern "entdeckt".
  • Beeil dich nicht. Nehmen Sie sich Zeit, um die Bank / Regierungsbehörde unter der auf der Website oder Karte angegebenen Telefonnummer zu überprüfen und anzurufen, und bitten Sie sie, zu der Person zu wechseln, die Sie angerufen hat.

Was ist, wenn Sie ein Opfer werden?

Blockieren Sie sofort die Karte, schreiben Sie eine Erklärung an die Bank und die Cyberpolizei

Endlich! Wenn Sie eine Phishing-E-Mail finden, die angeblich von einem Ihnen bekannten Unternehmen oder Dienst stammt, benachrichtigen Sie die Abteilung für Informationssicherheit bei Ihrer Arbeit oder von Ihrem Anbieter.

Über facebook.com & wiki