This page has been robot translated, sorry for typos if any. Original content here.

Phishing und Methoden des Schutzes von ihm

Die populärste Form des Betrugs im Web im Moment ist Phishing . Cyberkriminelle verwenden betrügerische Webseiten, Tastaturabfangjäger, E-Mail-Nachrichten, die nach den Regeln der Social Engineering kompiliert werden. Jeder Tag werden diese Methoden vielfältiger und gefährlicher.
Entsprechend der Internetua.com-Website, mit Bezug auf den Bericht von APWG (Anti-Phishing-Arbeitsgruppe Phishing-Aktivitäten Trends Bericht 2. Halbzeit), die Zahl der Ressourcen auf den Diebstahl von persönlichen Daten in der zweiten Hälfte des vergangenen Jahres erhöht wurde verzehnfacht.

Im Juni dieses Jahres kündigte die Abteilung für Außen- und Öffentlichkeitsarbeit der Zentralbank von Russland den Auftritt im russischen Segment des Internets von Websites an, die Repräsentanzen der bestehenden Kreditinstitute nachahmen. Der Stil und die Domainnamen dieser Webseiten glichen am häufigsten den offiziellen Webseiten der jeweiligen Strukturen. In diesem Fall werden Benutzer, die diese Ressourcen besucht haben, wissentlich gefälschte Kontaktinformationen und Bankverbindungen angeboten. Die Nutzung dieser Daten und die Eintragung von Geschäftsbeziehungen mit Vertretern solcher Websites beinhaltet ein Risiko und kann zu katastrophalen Folgen für Kunden führen, warnt die Zentralbank. Das beweist, dass Phishing- Angriffe nun ein immer dringenderes Problem werden, also lohnt es sich, ihr Wesen und ihre Methoden des Schutzes gegen sie näher zu untersuchen.

Phishing , nach der Definition von Dr. Web, ist eine Technologie für Online-Betrug, bei der persönliche, private Informationen, zB Identitäts- und Bankkartendaten, Zugangskennwörter usw. gestohlen werden. Mit Hilfe von postalischen "Würmer" und Spam-Mailings werden potenzielle Opfer Briefe von der Person, die angeblich legal ist, verschickt Organisationen. In diesen Briefen werden sie gebeten, eine gefälschte Seite zu besuchen und bestätigen PIN-Codes, Passwörter und andere persönliche Informationen, die von Betrügern in der Zukunft verwendet werden, um aus dem Konto eines Opfers von Geld oder anderen Verbrechen zu stehlen.

Laut Websense ist das beliebteste Tool zum Erstellen von Phishing- Ressourcen das Rock Phish Kit. Im Moment ist die Situation mit Phishing sehr ähnlich zu der Situation, die vor einigen Jahren war, als sie böswillige Codes schrieb, als ihre Designer erschienen.

Das Wesen des Phishing ist wie folgt: Der Angreifer, der den Benutzer täuscht, zwingt ihn, persönliche Informationen zu übermitteln (Informationen über Bankkarten, Namen und Passwörter zu verschiedenen Ressourcen usw.). Der Hauptunterschied dieser Art von Betrug ist die freiwillige Bereitstellung von Informationen durch den Benutzer. Um dies zu erreichen, verwenden Betrüger aktiv die Methode der Social Engineering.

Modernes Phishing kann in 3 Typen unterteilt werden: online, postalisch und kombiniert. Die älteste ist Post Phishing : ein Brief wird an die Adresse des Empfängers mit einer Anfrage gesendet, um einige Informationen zu senden.

Online- Phishing beinhaltet das folgende Schema: Betrüger kopieren offizielle Ressourcen mit ähnlichen Domain-Namen und Design. Dann ist alles einfach Ein Benutzer, der eine solche Ressource besucht, kann seine Daten hier in vollem Vertrauen verlassen, dass sie in zuverlässige Hände fallen werden. In der Tat ist diese Information in den Händen von Cyberkriminellen. Glücklicherweise gibt es jetzt eine Tendenz, das Wissen der Nutzer über grundlegende Maßnahmen der Informationssicherheit zu erhöhen, daher verliert dieses Betrugsschema allmählich seine Relevanz.

Der dritte Typ ist kombiniert. Sein Wesen liegt in der Schaffung einer gefälschten Website einer echten Organisation, auf die Betrüger versuchen, potenzielle Opfer zu locken. In diesem Fall bieten Angreifer den Anwendern eine eigene Operation an. Im Internet, fast jeden Tag, gibt es Warnungen über solche Ressourcen, die diese Methoden des Betrugs bekannt machen. In dieser Hinsicht sind Betrüger mehr benutzte Key-Logger geworden - das sind spezielle Programme, die Benutzer-Tastenanschläge verfolgen und diese Informationen an vorgegebene Adressen senden.

Auf dem Territorium der GUS wurde im Jahr 2004 der erste Phishing- Angriff verzeichnet. Es richtete sich an die Klienten der Moskauer Niederlassung der Citibank.

VISHING

Der erste Fall dieses Internet-Betrugs wurde 2006 festgelegt. Es ist eine Art Phishing und implementiert mit dem Einsatz von Krieg Dialer (Auto Dialer), sowie Internet-Telefonie (VoIP). Mit der Hilfe dieser Art von Betrug erhalten die Eindringlinge Zugang zu persönlichen Informationen wie Passwörter, Identifikations- und Bankkarten usw. Das Schema des Betrugs unterscheidet sich nicht wesentlich von Phishing : Benutzer des Zahlungssystems erhalten Nachrichten von der behaupteten Verwaltung der Post, in der sie aufgefordert werden, ihre Passwörter zu senden und Konto. Aber wenn im Falle des Phishing ist es ein Link zu einer gefälschten Website, dann, wenn Phishing e Benutzer bietet an, die Stadt Nummer anrufen. Wenn Sie anrufen, wird eine Nachricht ausgelesen, in der die Person aufgefordert wird, ihre vertraulichen Daten anzuzeigen. Die Schwierigkeit bei der Offenlegung dieser Art von Betrug ist, dass die Entwicklung von Internet-Telefonie ermöglicht es Ihnen, Anrufe zu einer Stadt Nummer überall in der Welt umzuleiten, und der Anrufer wird nicht einmal darüber nachdenken.

Das Unternehmen Secure Computing berichtete über die anspruchsvollste Betrugsmethode nach dem Schema der Vishing-E-Mail wurde hier nicht genutzt, da die Angreifer den PC programmierten, um Telefonnummern aus der Datenbank zu wählen und eine vorab aufgenommene Nachricht zu verlieren, an die der Teilnehmer gewarnt wurde, dass die Informationen über seinen Kredit Die Karte war in den Händen von Betrügern, also muss er die Nummer von der Telefontastatur eingeben.

Mit dem VoIP-Protokoll können die Kosten der Telefonkommunikation deutlich reduziert werden, aber es macht auch das Unternehmen viel anfälliger für Angriffe. Banken und andere Organisationen, die IP-Telefonie für die Sprachkommunikation verwenden, können einem Wunschangriff unterworfen werden, der noch nicht geschützt ist. Insbesondere wurde dies von The Grugq, ein Experte für Informationssicherheit, der eine Präsentation über Betrug bei der Hack In The Box Security Conference (HITB) in Malaysia. "Angreifer werden in der Lage sein, frei in Bankennetzwerke einzutreten und die Kontrolle über Banktelefonkanäle zu üben", sagt Grugq. Ihm zufolge werden die Wunschangriffe via VoIP vor Ende 2009 stattfinden. Betrüger haben vollen Zugang zu vertraulichen Informationen, einschließlich Bankkontoinformationen und Kreditkartennummern. Um zu verhindern, dass sie dies tun, kann nur ein Fachmann auf dem Gebiet der Informationssicherheit sein. "Theoretisch ruft der Kunde die Bank an und die Telefonleitung steht bereits unter der Kontrolle von Hackern", sagt The Grugq. In diesem Fall fordert der Betrüger den Anrufer auf, einige Anmeldeinformationen zur Verfügung zu stellen, um den Support der Bank zu kontaktieren.

"Es gibt keine Technologie, die Unternehmen Schutz vor diesem Problem garantieren kann", ist der Experte sicher und stellt fest, dass bestehende Systeme keinen VoIP-Angriff bestimmen können. Um es zu organisieren, benötigen Angreifer Standard-Software, um die Abrechnung von Telefongesprächen und IP-Telefonie zu unterstützen.

Laut Secure Computing konfigurieren Scammers einen Kriegsdialer, der Nummern in einer bestimmten Region wählt. Im Moment der Antwort tritt folgendes auf:

• Der Anrufbeantworter informiert den Benutzer, dass betrügerische Handlungen mit seiner Kreditkarte durchgeführt werden, und er empfiehlt, schnell an einer bestimmten Nummer zurückzurufen.
• Nachdem das Opfer die Nummer zurückgerufen hat, wird er von einer "Computerstimme" beantwortet, die besagt, dass der Benutzer abgestimmt sein muss und die Kartennummer von der Telefontastatur eingeben muss.
• Sobald die Kartennummer eingegeben wurde, erhält der Betrüger alle Informationen (Adresse, Telefonnummer, vollständiger Name).
• Mit diesem Aufruf kann der Besucher weitere Zusatzinformationen wie den Gültigkeitszeitraum der Karte, den PIN-Code, die Bankkontonummer und das Geburtsdatum erheben.

Wie kann man sich vor dieser Art von Betrug schützen? Es gibt ein paar einfache Möglichkeiten, die Sie sichern werden:

• Alle Kreditinstitute per E-Mail oder Telefon adressieren den Kunden nach Vor- und Nachname. Wenn dies nicht in der Beschwerde angegeben ist, dann, wahrscheinlich, gibt es eine Tatsache von Betrug.
• Rufen Sie niemals Bankkonto oder Kreditkartensicherheit an der vorgeschlagenen Telefonnummer an. Alle Zahlungskarten geben eine spezielle Telefonnummer an, nach der Sie anrufen sollten.
• Wenn der Anrufer Ihr Provider zu sein scheint und Fragen zu vertraulichen Daten stellt, ist er höchstwahrscheinlich ein Betrüger.