Phishing

Primjer phishing e-pošte, prerušen u službenu e-poštu iz (fiktivne) banke. Pošiljalac pokušava da prevari primaoca u otkrivanju povjerljivih informacija tako da ga "potvrdi" svoj račun.

Phishing (pecanje) jest pokušaj da se dobiju osjetljive informacije kao što su korisnička imena, lozinke i podaci o kreditnoj kartici, prikrivajući se kao pouzdan entitet u elektronskoj komunikaciji.[1][2] Obično se to radi putem email spoofing-a[3] ili direktnih poruka,[4] tako što se korisnik uputi na lažno mjesto koje može biti slično stvarnoj stranici (npr. Paypal stranica), ali je ustvari pod kontrolog prevaranta koji će tako doći do osjetljivih podataka.[5]

Phishing je primjer socijalnog inženjeringa koji se koristi za obmanjivanje korisnika.

Sama riječ je neologizam od ribolova (eng. fishing)

Tehnike

[uredi | uredi izvor]

Tipovi pecanja

[uredi | uredi izvor]

Spear phishing

[uredi | uredi izvor]

Ovakvi pokušaji pecanja su usmjereni na određene pojedince ili firme.[6] Napadači tako ciljano prikupljaju i koriste lične informacije svoje mete, da bi ostvarili veću vjerovatnoću uspjeha.[7][8][9][10]

Clone phishing

[uredi | uredi izvor]

Ovakva vrsta iskorištava već postojeći email, koji napadač može uzeti, klonirati, i napraviti skoro identičan mail. Tako žrtva misli da je email legitiman jer izgleda isto kao i original. Napadač tako može usmjeriti svoju žrtvu na lažne linkove.

Whaling

[uredi | uredi izvor]

Termin whaling (bos. kitolov) isto je što i spear phishing, ali su mete na višim položajima.[11] U tim slučajevima, sadržaj će biti izrađen tako da cilja na višeg menadžera.

Anti-phishing

[uredi | uredi izvor]

Firme i osobe mogu koristiti više načina da se odbrane.

Firefox 2.0.0.1 Phishing sumnjivo upozorenje

Obuka korisnika

[uredi | uredi izvor]

Ljudi mogu biti obučeni da prepoznaju pokušaje phishinga. To može biti korisno, posebno tamo gdje obuka naglašava konceptualno znanje[12] i pruža direktnu povratnu informaciju.[13][14]

Korisnik mora biti oprezan u situacijama kada se kontaktira o računu koji treba da bude "verifikovan". Također, bolje je da direktno odete na stranicu na koju se želite prijaviti, neko da kliknete na link u nekoj poruci ili emailu.[15]

Neke kompanije, npr. PayPal, uvijek se obraćaju svojim klijentima putem korisničkog imena u e-porukama, tako da ako se primjeti da rečenica počinje sa ("Dragi PayPal korisniče"), to je vjerovatno pokušaj phishinga.[16]

Tehnički pristupi

[uredi | uredi izvor]

Preglednici koji upozoravaju korisnike na lažne web-lokacije

[uredi | uredi izvor]

Još jedan popularan pristup borbi protiv phishinga je održavanje liste poznatih phishing lokacija i provjera web stranice u odnosu na listu. Internetski preglednici kao što su Google Chrome, Internet Explorer, Mozilla Firefox , Safari i Opera sadrže ovu vrstu anti-phishing mjera.[17][18][19][20][21]

Filtriranje pošte

[uredi | uredi izvor]

Specijalizovani filteri za neželjenu poštu mogu smanjiti broj phishing e-poruka koje pristignu u poštanski sandučić. Ovi pristupi se oslanjaju na Mašinsko učenje[22]

Reference

[uredi | uredi izvor]
  1. ^ Ramzan, Zulfikar (2010). "Phishing attacks and countermeasures". u Stamp, Mark & Stavroulakis, Peter (ured.). Handbook of Information and Communication Security. Springer. ISBN 978-3-642-04117-4.CS1 održavanje: više imena: editors list (link)
  2. ^ Van der Merwe, A J, Loock, M, Dabrowski, M. (2005), Characteristics and Responsibilities involved in a Phishing Attack, Winter International Symposium on Information and Communication Technologies, Cape Town, January 2005.
  3. ^ "Landing another blow against email phishing (Google Online Security Blog)". Pristupljeno 21. 6. 2012.
  4. ^ Tan, Koontorm Center. "Phishing and Spamming via IM (SPIM)". Pristupljeno 5. 12. 2006.
  5. ^ "What is Phishing?". 14. 8. 2016. Arhivirano s originala, 16. 10. 2016.
  6. ^ "Spear phishing". Windows IT Pro Center. Pristupljeno 4. 3. 2019.
  7. ^ Stephenson, Debbie (30. 5. 2013). "Spear Phishing: Who's Getting Caught?". Firmex. Pristupljeno 27. 7. 2014.
  8. ^ "NSA/GCHQ Hacking Gets Personal: Belgian Cryptographer Targeted". Info Security magazine. 3. 2. 2018. Pristupljeno 10. 9. 2018.
  9. ^ Leyden, John (4. 4. 2011). "RSA explains how attackers breached its systems". The Register. Pristupljeno 10. 9. 2018.
  10. ^ Winterford, Brett (7. 4. 2011). "Epsilon breach used four-month-old attack". itnews.com.au. itnews.com.au. Pristupljeno 10. 9. 2018.
  11. ^ "Fake subpoenas harpoon 2,100 corporate fat cats". The Register. Arhivirano s originala, 31. 1. 2011. Pristupljeno 17. 4. 2008.
  12. ^ Arachchilage, Nalin; Love, Steve; Scott, Michael (1. 6. 2012). "Designing a Mobile Game to Teach Conceptual Knowledge of Avoiding 'Phishing Attacks'". International Journal for E-Learning Security. 2 (1): 127–132. doi:10.20533/ijels.2046.4568.2012.0016. Pristupljeno 1. 4. 2016.
  13. ^ Ponnurangam Kumaraguru; Yong Woo Rhee; Alessandro Acquisti; Lorrie Cranor; Jason Hong; Elizabeth Nunge (novembar 2006). "Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System" (PDF). Technical Report CMU-CyLab-06-017, CyLab, Carnegie Mellon University. Arhivirano s originala (PDF), 30. 1. 2007. Pristupljeno 14. 11. 2006.
  14. ^ Perrault, Evan K. (23. 3. 2017). "Using an Interactive Online Quiz to Recalibrate College Students' Attitudes and Behavioral Intentions About Phishing". Journal of Educational Computing Research (jezik: engleski). 55 (8): 1154–1167. doi:10.1177/0735633117699232.
  15. ^ "Anti-Phishing Tips You Should Not Follow". HexView. Arhivirano s originala, 20. 3. 2008. Pristupljeno 19. 6. 2006.
  16. ^ "Protect Yourself from Fraudulent Emails". PayPal. Arhivirano s originala, 6. 4. 2011. Pristupljeno 7. 7. 2006.
  17. ^ "Safe Browsing (Google Online Security Blog)". Pristupljeno 21. 6. 2012.
  18. ^ Franco, Rob. "Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers". IEBlog. Arhivirano s originala, 17. 1. 2010. Pristupljeno 20. 5. 2006.
  19. ^ "Bon Echo Anti-Phishing". Mozilla. Arhivirano s originala, 23. 8. 2011. Pristupljeno 2. 6. 2006.
  20. ^ "Safari 3.2 finally gains phishing protection". Ars Technica. 13. 11. 2008. Arhivirano s originala, 23. 8. 2011. Pristupljeno 15. 11. 2008.
  21. ^ "Gone Phishing: Evaluating Anti-Phishing Tools for Windows". 3Sharp. 27. 9. 2006. Arhivirano s originala, 14. 1. 2008. Pristupljeno 20. 10. 2006.
  22. ^ Cleber K., Olivo, Altair O., Santin, Luiz S., Oliveira (juli 2011). "Obtaining the Threat Model for E-mail Phishing". Applied Soft Computing. 13 (12): 4841–4848. doi:10.1016/j.asoc.2011.06.016.CS1 održavanje: više imena: authors list (link)

Vanjski linkovi

[uredi | uredi izvor]