Что такое фишинг
Фишинг, известный также как carding или бренд спуфинг, имеет множество определений; Мы хотим быть очень осторожны, как мы определяем термин, поскольку он постоянно развивается. Вместо статического определения, посмотрите на примитивных методах фишинга и посмотреть практику активной эволюции и возможных будущих процессах. В настоящее время мы определить примитивный подход, как способ направления подложного электронной почте (с помощью массовых почты) до получателя, ложно mimicking законным создание в попытке мошенничества получателя в разглашении личной информации, таких, как кредиты номера карты или банковского счета passwords.The электронной почты, в большинстве случаев, покажет пользователю посетить веб-сайт для заполнения в частном information.To получить ваше доверие, этот веб-сайт призван выглядеть сайт создание в scammer выдает себя. Конечно, сайт не сайт законные организации, и он будет затем похитить Ваша личная информация денежно-кредитной gain.Thus слово фишинг очевидно, вариацию слова промысел в том, что эти scammers изложены "крючки "в надежде, что они получат несколько" кусочков "из своих жертв. Фишинг фактически в течение более 10 лет, начиная с America Online (AOL) еще в 1995.There были программ (например AOHell), что автоматический процесс фишинга для счета и кредитной карты. Тогда подмена не была использована как в электронной почте по сравнению с Internet Relay Chat (IRC) или сообщения системы оповещения, что AOL used.The phishers будет имитировать один AOL администратором и сообщить жертве, что существует проблема счетов и они должны им подтвердить свою кредитную карту и регистрационную информацию. Тогда, поскольку персональные компьютеры в доме в сочетании с Интернетом были достаточно новый опыт, этот метод оказался довольно эффективным, но не было как можно более населения, как фишинг сегодня. Внезапное давление против фишинга финансовых учреждений была впервые сообщил в июле 2003.According в Большой Архив Спам, цели были главным Е займа, E - золото, Wells Fargo, и Citibank. Наиболее значительные иронии по поводу фишинга явления заключается в том, что новый класс векторов, что нападение было отражено почти в каждом финансовом учреждении безопасности бюджет: человека element.All дорогостоящей брандмауэры, SSL сертификаты, ИПС правил, исправления и управления могут не остановит эксплуатации онлайн верим, что не только компромиссы конфиденциальной информации пользователя, но оказали большое влияние на доверие потребителей в отношении телекоммуникаций между предприятие и его клиентами. Почтовый сути ненадежно в том, что она возможна даже довольно случайным пользователям вести переговоры непосредственно с приема и ретрансляции SMTP серверы и создавать сообщения, которые будет обмануть наивной получателя в полагая, что они исходят от куда-то еще. Построение такого сообщения, чтобы "сфальсифицированные" поведение не может быть обнаружен экспертов несколько сложнее, но не так достаточно, чтобы быть сдерживающим фактором для кого-то, кто преисполнен решимости и знающий. Следовательно, знание Интернет почты увеличивается, так ли известно, что Почтовый сути не может быть удостоверена, или целостности проверки дали, на уровне транспорта. Real почта безопасности заключается только в конечными методами участием сообщение органов, таких, как использование цифровых подписей (см. [14] и, например, PGP [4] или S / MIME [31]). Различные протокола расширений и опций, которые обеспечивают аутентификацию на транспортном уровне (например, из SMTP клиент для SMTP- сервера) несколько улучшить по традиционной ситуации, описанной выше. Однако, если они не будут сопровождаться тщательным handoffs ответственности в тщательно разработанных целевых условий, они остаются изначально слабее, чем в конце toend механизмы, которые используют цифровой подписи сообщений, а не в зависимости от целостности транспортной системы. Усилия, чтобы сделать его более сложным для пользователей, установить путь возвращения конверта и заголовок "От" поля для указания действительного адреса, помимо своих собственных во многом ошибочной: они сорвать законную приложений, в которых почта отправляется одним пользователем от имени другого лица или в которых ошибки (или нормального) ответы должны быть направлены на специальный адрес. (системам, которые обеспечивают удобные способы для пользователей, чтобы изменить эти поля по каждому сообщение следует попытаться установить основной и постоянный почтовый адрес пользователя, чтобы Отправитель областях в данных сообщения может быть разумно.) Эта спецификация не способствует решению проблем аутентификации, связанных с SMTP кроме того, чтобы пропагандировать полезную функциональность, что не будет отключен в надежде на предоставление некоторых малых степень защиты против пользователей не знают, кто пытается фальшивые почте. Эта спецификация является точкой подробно, как это тривиальные обмануть один неспециалист электронной почты получателя в полагать, они были направлены законной электронной почте. SMTP был разработан в 1982 в то время, когда она была предназначена для использования между ограниченным и "надежной" пользователей. В 2001, с RFC 2821 и SMTP был использоваться государственными более шести лет, отсутствие безопасности полностью документированы. В подделки подход, описанный в RFC 2821, раздел 7,1, то, что phishers и спамеров использует для отправки их по электронной почте получателям. Важно понять, что это не означает, что phishers есть skills.The причине подмена на все время высокий, фактически в связи с наборов инструментов, которые имеются в наличии, не потому, что phishers иметь skill.To доказать этому вопросу безопасности Эксперты известно о SMTP недостатки с 1982, а еще в 1995-1998, главная нападение на e-mail был известен как электронная почта взрыв, но из-за многочисленных инструментов, как лавина, Кабум, и Духа Mail, свободно available.These инструменты автоматизировал этот процесс с щелчком мыши, в результате чего по электронной почте счета бесполезными, и во многих случаях уничтожить все удобства от почтового сервера, который был принимающей стороной account.This нападение основном осуществляется отказ в обслуживании "(DoS) нападение почте счетов и их почта услуг перегрузки счета в бесконечную сумму по электронной почте, что было прийти слишком ускоряющимися темпами. Поскольку средств не имеется, эти нападения не uncommon.This похож на аналогию возможность свободно доступных пушек. Если пистолет покупки, не контролируется, особенно если нет возрастных ограничений, и они свободно доступны, мы бы, вероятно, свидетелем более огнестрельного оружия crimes.This аналогия распространяется на фишинг сегодня, поскольку фишинг - это просто еще одна форма спама. Спам не совсем гениальной концепции и занимает очень мало воображения на работу, и легкодоступных средств нападения открыть дверь преступники эксплуатировать хорошо известные недостатки безопасности для их мерзкой возможности, в том числе то, что мы видим сегодня: спама и фишинга. Интернет - спуфинг методы более разнообразными в эксплуатации и обычно используются с помощью гласности доказательства о концепции, известной как полное раскрытие представленной безопасности researchers.The HTTP протоколу, не по себе ненадежно, как SMTP, но оно страдает от отсутствия стандартизации и неоднородного использования веб-браузера клиенты, такие, как FireFox, Internet Explorer, и Safari. Это не обязательно HTTP, что это проблема, но сочетание особой уязвимости, найденные в браузерах и серверная часть сайты, которые позволяют эти нападения, а также непонимание гибкость единой локаторов ресурсов (URL) и тривиальные изменений. Например, в общих глаз, то www.southstrustbankonline.com URL в окне браузера можно легко обмануть пользователя в считая его фактическим Southtrust банковский веб-сайт. Мы называем эти расплывчатые доменов или искать - так domains.This не является HTTP или веб-браузер эксплуатации; Это нападение на человека eye.This метод имеет целью заставить пользователя не заметите дополнительного адреса в URL (southstrust) вместо реального сайта, southtrustbankingonline.com. в этой статье идет речь добавил Тед шоссе
|
|||||
|