This page has been robot translated, sorry for typos if any. Original content here.

Internet-Phishing und Methoden zum Schutz vor ihm

Фишинг (Phishing)

Die beliebteste Betrugsform im Internet ist derzeit Phishing . Cyberkriminelle verwenden betrügerische Websites, Tastaturabfangprogramme, E-Mail-Nachrichten, die nach den Regeln des Social Engineering erstellt werden, usw. Diese Methoden werden jeden Tag vielfältiger und gefährlicher.

Phishing , nach der Definition von Dr. Web, ist eine Technologie für Online-Betrug, bei der persönliche persönliche Informationen wie Identitäts- und Bankkartendaten, Zugangspasswörter usw. gestohlen werden. Mit Hilfe von postalischen "Würmern" und Spam-Mailings werden potenziellen Opfern Briefe der angeblich legalen Person geschickt Organisationen. In diesen Briefen werden sie gebeten, eine gefälschte Seite zu besuchen und PIN-Codes, Passwörter und andere persönliche Informationen zu bestätigen, die in Zukunft von Betrügern benutzt werden, um von dem Konto eines Opfers von Geld oder anderen Verbrechen zu stehlen.

Phishing. Nicht zu verwechseln mit Fischen oder Fischen

Phishing (engl. Phishing, von Fischen - Fischen, Fischen) ist eine Art von Internetbetrug, der den Zugang zu vertraulichen Benutzerdaten - Logins und Passwörter - ermöglicht. Dies wird erreicht, indem E-Mails im Auftrag bekannter Marken verschickt werden, sowie persönliche Nachrichten innerhalb verschiedener Dienste, beispielsweise im Auftrag von Banken oder in sozialen Netzwerken. Der Brief enthält oft einen direkten Link zu einer Website, die nicht von der Gegenwart zu unterscheiden ist, oder zu einer Website mit einer Weiterleitung. Nachdem der Benutzer die gefälschte Seite eingegeben hat, versuchen Betrüger, den Benutzer dazu zu ermutigen, seinen Benutzernamen und sein Passwort auf der gefälschten Seite einzugeben, die sie für den Zugriff auf eine bestimmte Website verwenden, wodurch Betrüger Zugriff auf ihre Konten und Bankkonten erhalten.

Phishing ist eine der Formen von Social Engineering, die auf der Unkenntnis der Benutzer über die Grundlagen der Netzwerksicherheit beruht: Insbesondere kennen viele die einfache Tatsache nicht: Dienste verschicken keine Briefe mit Anfragen nach ihren Anmeldeinformationen, ihrem Passwort und so weiter.

Kurz gesagt, Hacker verleiten Benutzer dazu, ihre persönlichen Daten zu offenbaren, zum Beispiel Telefonnummern, Nummern und Geheimcodes von Bankkarten, Logins und Passwörter von E-Mail und Konten in sozialen Netzwerken.

Um sich gegen Phishing zu schützen, haben sich die Hersteller großer Internetbrowser darauf geeinigt, die Benutzer mit denselben Methoden zu informieren, dass sie eine verdächtige Seite geöffnet haben, die Betrügern gehören könnte. Neue Versionen von Browsern verfügen bereits über diese Fähigkeit, die "Antiphishing" genannt wird.

Laut Websense ist das beliebteste Tool zum Erstellen von Phishing- Ressourcen das Rock Phish Kit . Im Moment ist die Situation mit Phishing sehr ähnlich der Situation, die vor einigen Jahren beim Schreiben schädlicher Codes bei ihren Entwicklern herrschte.

Das Wesen des Phishing ist wie folgt: Der Angreifer, der den Benutzer täuscht, zwingt ihn, persönliche Informationen zu liefern (Informationen über Bankkarten, Namen und Passwörter für verschiedene Ressourcen usw.). Der Hauptunterschied dieser Art von Betrug besteht in der freiwilligen Bereitstellung ihrer Informationen durch den Benutzer. Um dies zu erreichen, verwenden Betrüger aktiv die Methode des Social Engineering.

Modernes Phishing kann in 3 Arten unterteilt werden: online , postalisch und kombiniert .

Das älteste ist das Mail-Phishing : Ein Brief wird an die Adresse des Empfängers geschickt, um einige Informationen zu senden.

Online-Phishing umfasst das folgende Schema: Betrüger kopieren offizielle Ressourcen unter Verwendung ähnlicher Domänennamen und -designs. Dann ist alles einfach. Ein Benutzer, der eine solche Ressource besucht, kann seine Daten hier in vollem Vertrauen hinterlassen, dass sie in zuverlässige Hände fallen. Tatsächlich liegen diese Informationen in den Händen von Cyberkriminellen. Glücklicherweise gibt es jetzt eine Tendenz, das Wissen der Benutzer über grundlegende Maßnahmen der Informationssicherheit zu erhöhen, so dass dieses Betrugsschema allmählich an Relevanz verliert

Der dritte Typ ist kombiniert . Seine Essenz liegt in der Schaffung einer gefälschten Website einer echten Organisation, zu der Betrüger versuchen, potenzielle Opfer zu locken. In diesem Fall bieten Angreifer Benutzern an, einige Operationen selbst durchzuführen. Im Internet gibt es fast täglich Warnungen über ähnliche Ressourcen, die diese Betrugsmethoden bekannt machen. In dieser Hinsicht sind Betrüger zu mehr verwendeten Schlüsselloggern geworden - dies sind spezielle Programme, die Benutzer-Tastenanschläge verfolgen und diese Informationen an vorher festgelegte Adressen senden.

Wie funktioniert Internet-Phishing?

Die Besonderheit von Phishing besteht darin, dass das Opfer von Betrug seine vertraulichen Informationen freiwillig angibt.

Angreifer arbeiten mit Tools wie Phishing-Websites, E-Mail-Zustellung, Phishing-Landing Page, Pop-up-Fenstern und gezielter Werbung.

Der Nutzer erhält ein Angebot, sich für irgendwelche Vorteile zu registrieren oder seine persönlichen Daten auf den Websites von Unternehmen und Institutionen zu bestätigen, wobei der Kunde angeblich wer er ist.

In der Regel maskieren sich Betrüger als bekannte Unternehmen, Social-Networking-Anwendungen, E-Mail-Dienste.

Die E-Mail-Adresse des Absenders ist der Adresse eines Unternehmens, das dem Benutzer vertraut ist, sehr ähnlich.

Wie kann man sich nicht an Betrüger süchtig machen?

1

Denken Sie daran, dass niemand und unter keinen Umständen solche vertraulichen Daten wie PIN-Code einer Bankkarte, E-Mail-Passwort oder andere persönliche Konten übertragen können. Weder die Bank noch das soziale Netzwerk werden diese Daten per E-Mail anfordern. Wenn der Anrufer Ihr ISP zu sein scheint und Fragen zu vertraulichen Daten stellt, handelt es sich höchstwahrscheinlich um einen Betrüger.

2

Achten Sie immer auf das Design der Website. Wenn die Seite oder die Leihgabe seltsam, unvollendet, genietet oder verdächtig erscheint, kann es sich durchaus um eine Phishing-Seite handeln.

3

Achten Sie auf die Adressleiste im Verweislink. Geringfügige Änderungen der E-Mail-Adresse können dazu führen, dass Sie auf eine komplett andere Seite wechseln (z. B. kann ukr.net durch ukl.net ersetzt werden).

4

Briefe von unbekannten Adressen, die "Druck auf die Gefühle ausüben" oder von Notfällen sind, sollten zunächst den Verdacht wecken. Alle Kreditinstitute per E-Mail oder Telefon an den Kunden mit Vor- und Nachnamen. Wenn dies in der Beschwerde nicht angegeben ist, dann besteht höchstwahrscheinlich Betrug. Briefe, die mit Aussagen wie "Ihr Konto ist gehackt!" Oder "Ihr Profil wird blockiert!" Beginnen. Umgekehrt ist die Bekanntgabe eines großen Gewinns in den meisten Fällen betrügerisch.

5

Rufen Sie nicht die Sicherheit Ihres Bankkontos oder Ihrer Kreditkarte unter der vorgeschlagenen Telefonnummer an. Alle Zahlungskarten zeigen eine spezielle Telefonnummer an, nach der Sie anrufen sollten.

Visitation

VISHING ist eine der Methoden des Social-Engineering-Betrugs, die darin besteht, dass die Angreifer unter Verwendung verschiedener Vorwände den Inhaber der Zahlungskarte dazu verleiten, vertrauliche Informationen preiszugeben oder eine bestimmte Rolle zu spielen (Bankangestellter, Käufer usw.) stimulieren Sie bestimmte Aktionen mit Ihrem Kartenkonto / Ihrer Zahlungskarte auszuführen.

Der erste Fall dieses Internetbetrugs wurde 2006 festgelegt. Es ist eine Art Phishing und wird mit Hilfe von War Dialern (Auto Dialer), sowie Internet Telefonie (VoIP) implementiert. Mit Hilfe dieser Art von Betrug erhalten Eindringlinge Zugriff auf persönliche Informationen wie Passwörter, Identifikation und Bankkarten, etc. Das Schema des Betrugs unterscheidet sich nicht viel von Phishing : Benutzer des Zahlungssystems erhalten Nachrichten von den vermeintlichen Administratoren per Post, wo sie empfohlen werden, ihre Passwörter zu senden Konto. Wenn es sich bei Phishing jedoch um einen Link zu einer gefälschten Seite handelt, bietet der Nutzer beim Phishing an, die Stadtnummer anzurufen. Wenn Sie anrufen, wird eine Nachricht ausgelesen, in der die Person aufgefordert wird, ihre vertraulichen Daten preiszugeben. Die Schwierigkeit bei der Offenlegung dieser Art von Betrug besteht darin, dass die Entwicklung der Internettelefonie es ermöglicht, Anrufe an eine Stadtnummer irgendwo auf der Welt umzuleiten, und der Anrufer wird nicht einmal darüber nachdenken.

Die Firma Secure Computing meldete die ausgeklügeltste Betrugsmethode nach dem Schema der Vashing - E-Mail wurde hier gar nicht verwendet, da die Angreifer den PC so programmieren, dass er Telefonnummern aus der Datenbank wählt und eine voraufgezeichnete Nachricht verliert, auf die der Abonnent die Information über sein Guthaben aufmerksam gemacht hat Die Karte war in den Händen von Betrügern, also muss er die Nummer über die Telefontastatur eingeben.

Die Verwendung des VoIP-Protokolls kann die Kosten für die Telefonie erheblich senken, macht das Unternehmen aber auch anfälliger für Angriffe. Banken und andere Organisationen, die IP-Telefonie für Sprachkommunikation verwenden, können einem Vyshin-Angriff ausgesetzt sein, der noch nicht geschützt ist. Insbesondere The Grugq - ein Experte für Informationssicherheit, der auf der Konferenz der Hack in the Box Security Konferenz (HITB) in Malaysia über Betrug sprach - sprach darüber. "Angreifer können ungehindert in Bankennetzwerke eindringen und die Kontrolle über Bankfernsprechkanäle ausüben", sagt Grugq. Die Wunschangriffe via VoIP sollen laut ihm noch vor Ende 2009 erfolgen. Betrüger haben vollen Zugang zu vertraulichen Informationen, einschließlich Bankdaten und Kreditkartennummern. Um dies zu verhindern, kann dies nur ein Fachmann auf dem Gebiet der Informationssicherheit sein. "Theoretisch ruft der Kunde die Bank an und die Telefonleitung steht bereits unter der Kontrolle von Hackern", sagt The Grugq. In diesem Fall fordert der Betrüger den Anrufer auf, einige Kontoführungsinformationen bereitzustellen, um den Unterstützungsdienst der Bank zu kontaktieren.

"Es gibt keine Technologie, die den Unternehmen Schutz vor diesem Problem garantieren kann", ist sich der Experte sicher und stellt fest, dass bestehende Systeme keinen VoIP-Angriff feststellen können. Um es zu organisieren, benötigen Angreifer Standardsoftware, um die Abrechnung von Telefongesprächen und IP-Telefonie zu unterstützen.

Laut Secure Computing konfigurieren Betrüger ein War Dialer, das Nummern in einer bestimmten Region wählt. Zum Zeitpunkt der Antwort geschieht Folgendes:

  • Der Anrufbeantworter informiert den Benutzer, dass mit seiner Kreditkarte betrügerische Handlungen durchgeführt werden, und er empfiehlt, schnell eine bestimmte Nummer anzurufen;
  • Nachdem das Opfer zu der Nummer zurückgerufen hat, antwortet die "Computerstimme" darauf, dass der Benutzer sich einer Abstimmung unterziehen und die Kartennummer über die Tastatur des Telefons eingeben muss;
  • Sobald die Kartennummer eingegeben ist, erhält der Betrüger alle Informationen (Adresse, Telefonnummer, vollständiger Name);
  • Mit diesem Anruf kann der viser auch weitere Zusatzinformationen wie Gültigkeitsdauer der Karte, PIN-Code, Bankkontonummer und Geburtsdatum erfassen.

Die grundlegenden "Auslöser" eines Putzens

  • Sie werden nach Kartendetails gefragt ... any;
  • Sie sind ständig gezwungen, eine Aktion durchzuführen, die Sie vor einer Minute nicht beabsichtigt hatten.

Zusätzliche "Trigger" eines Vashings

  1. Mitarbeiter der Bank werden auf keinen Fall den Sicherheitscode auf der Rückseite der Karte und den Code aus der SMS-Nachricht der Bank anfordern.
  2. Alarmierendes Thema der Behandlung. Um das Opfer zu erschrecken und sie dazu zu bringen, die gewünschte Aktion zu verüben, kommen Betrüger mit furchterregenden Szenarien auf. Es wird berichtet, dass die Karte blockiert ist, das Konto gehackt wurde, der Verwandte in Schwierigkeiten steckt und so weiter.
  3. Versprechen ist einfach, Geld zu bekommen, das Sie entweder nicht erwartet haben oder nicht so leicht haben. Um das Opfer zu locken, versprechen Betrüger, einfach und schnell Geld auf Ihr Konto zu überweisen: zum Beispiel wird dem Rentner eine unerwartete Rentenprämie hinzugefügt.
  4. Du bist eilig und versuchst hartnäckig deine Meinung zu ändern.
  5. Der Anruf kommt von einer unbekannten Nummer oder Handynummer.
  6. Sie können sicher sein, dass Sie mit Hilfe eines Geldautomaten Geld von einer fremden Karte auf Ihre eigene übertragen können.

Die hauptsächliche "Methode", wie man sich vor dem Visieren schützt

  1. Beenden Sie die Konversation. Um fortzufahren, rufen Sie die Bank unter der Telefonnummer an, die auf der Rückseite der Karte oder auf der offiziellen Website der Gesellschaft angegeben ist. Struktur - durch die auf der offiziellen Website angegebene Nummer.

Wie kann man sich vor dem Visieren schützen?

  • Denken Sie daran, dass Mitarbeiter von Banken und Regierungsbehörden unter keinen Umständen (einschließlich höherer Gewalt) an die Inhaber von Zahlungskarten mit der Angabe der Nummer der Zahlungskarte, ihrer Gültigkeitsdauer und des CVC2 / CVV2-Codes anrufen.
  • Denken Sie daran, dass eine Übertragung auf die Karte beim Verkauf des Produkts oder beim Gewinn genügt, um nur die Kartennummer anzugeben.
  • Geben Sie auf keinen Fall einen dreistelligen Sicherheitscode auf der Rückseite der Karte (CVV2 / CVC2) sowie die Codes der Bank-SMS an.
  • Keine Panik, wenn Sie aufgefordert werden, die Karte zu blockieren oder zu versuchen, das Konto zu knacken. Stattdessen müssen Sie unter der auf der offiziellen Website der Bank oder auf Ihrer Plastikkarte angegebenen Telefonnummer zur Bank zurückrufen.
  • Sei rational und vernünftig - glaube nicht an die Versprechen von Geld, die du nicht erwartet hast.
  • Überprüfen Sie die Telefonnummer, von der der Anruf kam: es ist wirklich eine vertraute Telefonnummer der Bank oder es sieht einfach so aus, und überprüfen Sie auch die Telefonnummer durch die Suchmaschinen, vielleicht ist diese Telefonnummer bereits von Betrügern "ausgesetzt".
  • Keine Eile. Nehmen Sie sich Zeit, um die Bank / staatliche Institution unter der auf der Website oder Karte angegebenen Telefonnummer zu überprüfen und anzurufen, um zu der Person zu wechseln, die Sie angerufen hat.

Was, wenn du ein Opfer wirst?

Sperren Sie die Karte sofort, schreiben Sie einen Antrag an die Bank und die Cyberpolitik

Endlich! Wenn Sie eine Phishing-E-Mail von einer Ihnen bekannten Firma oder Dienstleistung gefunden haben, melden Sie diese bei Ihrer Arbeit oder beim Anbieter der Abteilung für Informationssicherheit.

Über facebook.com & wiki