Phishing

Phishing (pecanje) jest pokušaj da se dobiju osjetljive informacije kao što su korisnička imena, lozinke i podaci o kreditnoj kartici, prikrivajući se kao pouzdan entitet u elektronskoj komunikaciji.^[1]^[2] Obično se to radi putem email spoofing-a^[3] ili direktnih poruka,^[4] tako što se korisnik uputi na lažno mjesto koje može biti slično stvarnoj stranici (npr. Paypal stranica), ali je ustvari pod kontrolog prevaranta koji će tako doći do osjetljivih podataka.^[5]

Phishing je primjer socijalnog inženjeringa koji se koristi za obmanjivanje korisnika.

Sama riječ je neologizam od ribolova (eng. fishing)

Tehnike[uredi | uredi izvor]

Tipovi pecanja[uredi | uredi izvor]

Spear phishing[uredi | uredi izvor]

Ovakvi pokušaji pecanja su usmjereni na određene pojedince ili firme.^[6] Napadači tako ciljano prikupljaju i koriste lične informacije svoje mete, da bi ostvarili veću vjerovatnoću uspjeha.^[7]^[8]^[9]^[10]

Clone phishing[uredi | uredi izvor]

Ovakva vrsta iskorištava već postojeći email, koji napadač može uzeti, klonirati, i napraviti skoro identičan mail. Tako žrtva misli da je email legitiman jer izgleda isto kao i original. Napadač tako može usmjeriti svoju žrtvu na lažne linkove.

Whaling[uredi | uredi izvor]

Termin whaling (bos. kitolov) isto je što i spear phishing, ali su mete na višim položajima.^[11] U tim slučajevima, sadržaj će biti izrađen tako da cilja na višeg menadžera.

Anti-phishing[uredi | uredi izvor]

Firme i osobe mogu koristiti više načina da se odbrane.

Obuka korisnika[uredi | uredi izvor]

Ljudi mogu biti obučeni da prepoznaju pokušaje phishinga. To može biti korisno, posebno tamo gdje obuka naglašava konceptualno znanje^[12] i pruža direktnu povratnu informaciju.^[13]^[14]

Korisnik mora biti oprezan u situacijama kada se kontaktira o računu koji treba da bude "verifikovan". Također, bolje je da direktno odete na stranicu na koju se želite prijaviti, neko da kliknete na link u nekoj poruci ili emailu.^[15]

Neke kompanije, npr. PayPal, uvijek se obraćaju svojim klijentima putem korisničkog imena u e-porukama, tako da ako se primjeti da rečenica počinje sa ("Dragi PayPal korisniče"), to je vjerovatno pokušaj phishinga.^[16]

Tehnički pristupi[uredi | uredi izvor]

Preglednici koji upozoravaju korisnike na lažne web-lokacije[uredi | uredi izvor]

Još jedan popularan pristup borbi protiv phishinga je održavanje liste poznatih phishing lokacija i provjera web stranice u odnosu na listu. Internetski preglednici kao što su Google Chrome, Internet Explorer, Mozilla Firefox , Safari i Opera sadrže ovu vrstu anti-phishing mjera.^[17]^[18]^[19]^[20]^[21]

Filtriranje pošte[uredi | uredi izvor]

Specijalizovani filteri za neželjenu poštu mogu smanjiti broj phishing e-poruka koje pristignu u poštanski sandučić. Ovi pristupi se oslanjaju na Mašinsko učenje^[22]

Reference[uredi | uredi izvor]

^ Ramzan, Zulfikar (2010). "Phishing attacks and countermeasures". u Stamp, Mark & Stavroulakis, Peter (ured.). Handbook of Information and Communication Security. Springer. ISBN 978-3-642-04117-4.CS1 održavanje: više imena: editors list (link)
^ Van der Merwe, A J, Loock, M, Dabrowski, M. (2005), Characteristics and Responsibilities involved in a Phishing Attack, Winter International Symposium on Information and Communication Technologies, Cape Town, January 2005.
^ "Landing another blow against email phishing (Google Online Security Blog)". Pristupljeno 21. 6. 2012.
^ Tan, Koontorm Center. "Phishing and Spamming via IM (SPIM)". Pristupljeno 5. 12. 2006.
^ "What is Phishing?". 14. 8. 2016. Arhivirano s originala, 16. 10. 2016.
^ "Spear phishing". Windows IT Pro Center. Pristupljeno 4. 3. 2019.
^ Stephenson, Debbie (30. 5. 2013). "Spear Phishing: Who's Getting Caught?". Firmex. Pristupljeno 27. 7. 2014.
^ "NSA/GCHQ Hacking Gets Personal: Belgian Cryptographer Targeted". Info Security magazine. 3. 2. 2018. Pristupljeno 10. 9. 2018.
^ Leyden, John (4. 4. 2011). "RSA explains how attackers breached its systems". The Register. Pristupljeno 10. 9. 2018.
^ Winterford, Brett (7. 4. 2011). "Epsilon breach used four-month-old attack". itnews.com.au. itnews.com.au. Pristupljeno 10. 9. 2018.
^ "Fake subpoenas harpoon 2,100 corporate fat cats". The Register. Arhivirano s originala, 31. 1. 2011. Pristupljeno 17. 4. 2008.
^ Arachchilage, Nalin; Love, Steve; Scott, Michael (1. 6. 2012). "Designing a Mobile Game to Teach Conceptual Knowledge of Avoiding 'Phishing Attacks'". International Journal for E-Learning Security. 2 (1): 127–132. doi:10.20533/ijels.2046.4568.2012.0016. Pristupljeno 1. 4. 2016.
^ Ponnurangam Kumaraguru; Yong Woo Rhee; Alessandro Acquisti; Lorrie Cranor; Jason Hong; Elizabeth Nunge (novembar 2006). "Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System" (PDF). Technical Report CMU-CyLab-06-017, CyLab, Carnegie Mellon University. Arhivirano s originala (PDF), 30. 1. 2007. Pristupljeno 14. 11. 2006.
^ Perrault, Evan K. (23. 3. 2017). "Using an Interactive Online Quiz to Recalibrate College Students' Attitudes and Behavioral Intentions About Phishing". Journal of Educational Computing Research (jezik: engleski). 55 (8): 1154–1167. doi:10.1177/0735633117699232.
^ "Anti-Phishing Tips You Should Not Follow". HexView. Arhivirano s originala, 20. 3. 2008. Pristupljeno 19. 6. 2006.
^ "Protect Yourself from Fraudulent Emails". PayPal. Arhivirano s originala, 6. 4. 2011. Pristupljeno 7. 7. 2006.
^ "Safe Browsing (Google Online Security Blog)". Pristupljeno 21. 6. 2012.
^ Franco, Rob. "Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers". IEBlog. Arhivirano s originala, 17. 1. 2010. Pristupljeno 20. 5. 2006.
^ "Bon Echo Anti-Phishing". Mozilla. Arhivirano s originala, 23. 8. 2011. Pristupljeno 2. 6. 2006.
^ "Safari 3.2 finally gains phishing protection". Ars Technica. 13. 11. 2008. Arhivirano s originala, 23. 8. 2011. Pristupljeno 15. 11. 2008.
^ "Gone Phishing: Evaluating Anti-Phishing Tools for Windows". 3Sharp. 27. 9. 2006. Arhivirano s originala, 14. 1. 2008. Pristupljeno 20. 10. 2006.
^ Cleber K., Olivo, Altair O., Santin, Luiz S., Oliveira (juli 2011). "Obtaining the Threat Model for E-mail Phishing". Applied Soft Computing. 13 (12): 4841–4848. doi:10.1016/j.asoc.2011.06.016.CS1 održavanje: više imena: authors list (link)

Vanjski linkovi[uredi | uredi izvor]

Radna grupa za borbu protiv phishinga
Centar za upravljanje identitetom i zaštitu informacija - Koledž Utica
Uključivanje "phishing" rupe: zakonodavstvo protiv tehnologije Arhivirano 28. 12. 2005. na Wayback Machine - Duke Law & Technology Review
Know Your Enemy: Phishing - studija slučaja projekta Honeynet
Profitabilni Endeavour: Phishing kao Tragedija Commons - Microsoft Corporation
Baza podataka za informacije o phishing lokacijama koje je objavila javnost - PhishTank
Uticaj podsticaja na obaveštenja i uzimanje - kompjuterska laboratorija, Univerzitet u Kembridžu (PDF, 344 kB)

[1] Ramzan, Zulfikar (2010). "Phishing attacks and countermeasures". u Stamp, Mark & Stavroulakis, Peter (ured.). Handbook of Information and Communication Security. Springer. ISBN 978-3-642-04117-4.CS1 održavanje: više imena: editors list (link)

[2] Van der Merwe, A J, Loock, M, Dabrowski, M. (2005), Characteristics and Responsibilities involved in a Phishing Attack, Winter International Symposium on Information and Communication Technologies, Cape Town, January 2005.

[DMARC-3] "Landing another blow against email phishing (Google Online Security Blog)". Pristupljeno 21. 6. 2012.

[4] Tan, Koontorm Center. "Phishing and Spamming via IM (SPIM)". Pristupljeno 5. 12. 2006.

[5] "What is Phishing?". 14. 8. 2016. Arhivirano s originala, 16. 10. 2016.

[6] "Spear phishing". Windows IT Pro Center. Pristupljeno 4. 3. 2019.

[7] Stephenson, Debbie (30. 5. 2013). "Spear Phishing: Who's Getting Caught?". Firmex. Pristupljeno 27. 7. 2014.

[8] "NSA/GCHQ Hacking Gets Personal: Belgian Cryptographer Targeted". Info Security magazine. 3. 2. 2018. Pristupljeno 10. 9. 2018.

[9] Leyden, John (4. 4. 2011). "RSA explains how attackers breached its systems". The Register. Pristupljeno 10. 9. 2018.

[10] Winterford, Brett (7. 4. 2011). "Epsilon breach used four-month-old attack". itnews.com.au. itnews.com.au. Pristupljeno 10. 9. 2018.

[11] "Fake subpoenas harpoon 2,100 corporate fat cats". The Register. Arhivirano s originala, 31. 1. 2011. Pristupljeno 17. 4. 2008.

[ALS14-12] Arachchilage, Nalin; Love, Steve; Scott, Michael (1. 6. 2012). "Designing a Mobile Game to Teach Conceptual Knowledge of Avoiding 'Phishing Attacks'". International Journal for E-Learning Security. 2 (1): 127–132. doi:10.20533/ijels.2046.4568.2012.0016. Pristupljeno 1. 4. 2016.

[13] Ponnurangam Kumaraguru; Yong Woo Rhee; Alessandro Acquisti; Lorrie Cranor; Jason Hong; Elizabeth Nunge (novembar 2006). "Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System" (PDF). Technical Report CMU-CyLab-06-017, CyLab, Carnegie Mellon University. Arhivirano s originala (PDF), 30. 1. 2007. Pristupljeno 14. 11. 2006.

[14] Perrault, Evan K. (23. 3. 2017). "Using an Interactive Online Quiz to Recalibrate College Students' Attitudes and Behavioral Intentions About Phishing". Journal of Educational Computing Research (jezik: engleski). 55 (8): 1154–1167. doi:10.1177/0735633117699232.

[15] "Anti-Phishing Tips You Should Not Follow". HexView. Arhivirano s originala, 20. 3. 2008. Pristupljeno 19. 6. 2006.

[16] "Protect Yourself from Fraudulent Emails". PayPal. Arhivirano s originala, 6. 4. 2011. Pristupljeno 7. 7. 2006.

[Google-17] "Safe Browsing (Google Online Security Blog)". Pristupljeno 21. 6. 2012.

[18] Franco, Rob. "Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers". IEBlog. Arhivirano s originala, 17. 1. 2010. Pristupljeno 20. 5. 2006.

[19] "Bon Echo Anti-Phishing". Mozilla. Arhivirano s originala, 23. 8. 2011. Pristupljeno 2. 6. 2006.

[20] "Safari 3.2 finally gains phishing protection". Ars Technica. 13. 11. 2008. Arhivirano s originala, 23. 8. 2011. Pristupljeno 15. 11. 2008.

[21] "Gone Phishing: Evaluating Anti-Phishing Tools for Windows". 3Sharp. 27. 9. 2006. Arhivirano s originala, 14. 1. 2008. Pristupljeno 20. 10. 2006.

[22] Cleber K., Olivo, Altair O., Santin, Luiz S., Oliveira (juli 2011). "Obtaining the Threat Model for E-mail Phishing". Applied Soft Computing. 13 (12): 4841–4848. doi:10.1016/j.asoc.2011.06.016.CS1 održavanje: više imena: authors list (link)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]