Phishing

S Wikipedije, slobodne enciklopedije
Jump to navigation Jump to search
Primjer phishing e-pošte, prerušen u službenu e-poštu iz (fiktivne) banke. Pošiljalac pokušava da prevari primaoca u otkrivanju povjerljivih informacija tako da ga "potvrdi" svoj račun.

Phishing (pecanje) je pokušaj da se dobiju osjetljive informacije kao što su korisnička imena, lozinke i podaci o kreditnoj kartici, prikrivajući se kao pouzdan entitet u elektronskoj komunikaciji.[1][2] Obično se to radi putem email spoofing-a[3] ili direktnih poruka,[4] tako što se korisnik uputi na lažno mjesto koje može biti slično stvarnoj stranici (npr. Paypal stranica), ali je ustvari pod kontrolog prevaranta koji će tako doći do osjetljivih podataka.[5]

Phishing je primjer socijalnog inženjeringa koji se koristi za obmanjivanje korisnika.

Sama riječ je neologizam od ribolova (eng. fishing)

Tehnike[uredi | uredi izvor]

Tipovi pecanja[uredi | uredi izvor]

Spear phishing[uredi | uredi izvor]

Ovakvi pokušaji pecanja su usmjereni na određene pojedince ili firme.[6] Napadači tako ciljano prikupljaju i koriste lične informacije svoje mete, da bi ostvarili veću vjerovatnoću uspjeha.[7][8][9][10]

Clone phishing[uredi | uredi izvor]

Ovakva vrsta iskorištava već postojeći email, koji napadač može uzeti, klonirati, i napraviti skoro identičan mail. Tako žrtva misli da je email legitiman jer izgleda isto kao i original. Napadač tako može usmjeriti svoju žrtvu na lažne linkove.

Whaling[uredi | uredi izvor]

Termin whaling (bos. kitolov) je isto što i spear phishing, ali su mete na višim položajima.[11] U tim slučajevima, sadržaj će biti izrađen tako da cilja na višeg menadžera.

Anti-phishing[uredi | uredi izvor]

Firme i osobe mogu koristiti više načina da se odbrane.

Obuka korisnika[uredi | uredi izvor]

Ljudi mogu biti obučeni da prepoznaju pokušaje phishinga. To može biti korisno, posebno tamo gdje obuka naglašava konceptualno znanje[12] i pruža direktnu povratnu informaciju.[13][14]

Korisnik mora biti oprezan u situacijama kada se kontaktira o računu koji treba da bude "verifikovan". Također, bolje je da direktno odete na stranicu na koju se želite prijaviti, neko da kliknete na link u nekoj poruci ili emailu.[15]

Neke kompanije, npr. PayPal, uvijek se obraćaju svojim klijentima putem korisničkog imena u e-porukama, tako da ako se primjeti da rečenica počinje sa ("Dragi PayPal korisniče"), to je vjerovatno pokušaj phishinga.[16]

Tehnički pristupi[uredi | uredi izvor]

Preglednici koji upozoravaju korisnike na lažne web-lokacije[uredi | uredi izvor]

Firefox 2.0.0.1 Phishing sumnjivo upozorenje

Još jedan popularan pristup borbi protiv phishinga je održavanje liste poznatih phishing lokacija i provjera web stranice u odnosu na listu. Internetski preglednici kao što su Google Chrome, Internet Explorer, Mozilla Firefox , Safari i Opera sadrže ovu vrstu anti-phishing mjera. [17][18][19][20][21]

Filtriranje pošte[uredi | uredi izvor]

Specijalizovani filteri za neželjenu poštu mogu smanjiti broj phishing e-poruka koje pristignu u poštanski sandučić. Ovi pristupi se oslanjaju na Mašinsko učenje[22]

Reference[uredi | uredi izvor]

  1. ^ Ramzan, Zulfikar (2010). "Phishing attacks and countermeasures". u Stamp, Mark & Stavroulakis, Peter. Handbook of Information and Communication Security. Springer. ISBN 978-3-642-04117-4. 
  2. ^ Van der Merwe, A J, Loock, M, Dabrowski, M. (2005), Characteristics and Responsibilities involved in a Phishing Attack, Winter International Symposium on Information and Communication Technologies, Cape Town, January 2005.
  3. ^ "Landing another blow against email phishing (Google Online Security Blog)". Pristupljeno June 21, 2012. 
  4. ^ Tan, Koontorm Center. "Phishing and Spamming via IM (SPIM)". Pristupljeno December 5, 2006. 
  5. ^ "What is Phishing?". 2016-08-14. 
  6. ^ "Spear phishing". Windows IT Pro Center. Pristupljeno March 4, 2019. 
  7. ^ Stephenson, Debbie (2013-05-30). "Spear Phishing: Who's Getting Caught?". Firmex. Pristupljeno July 27, 2014. 
  8. ^ "NSA/GCHQ Hacking Gets Personal: Belgian Cryptographer Targeted". Info Security magazine. 3 February 2018. Pristupljeno 10 September 2018. 
  9. ^ Leyden, John (4 April 2011). "RSA explains how attackers breached its systems". The Register. Pristupljeno 10 September 2018. 
  10. ^ Winterford, Brett (7 April 2011). "Epsilon breach used four-month-old attack". itnews.com.au (itnews.com.au). Pristupljeno 10 September 2018. 
  11. ^ "Fake subpoenas harpoon 2,100 corporate fat cats". The Register. Arhivirano od originala, January 31, 2011. Pristupljeno April 17, 2008. 
  12. ^ Arachchilage, Nalin; Love, Steve; Scott, Michael (June 1, 2012). "Designing a Mobile Game to Teach Conceptual Knowledge of Avoiding 'Phishing Attacks'". International Journal for E-Learning Security 2 (1): 127–132. doi:10.20533/ijels.2046.4568.2012.0016. Pristupljeno April 1, 2016. 
  13. ^ Ponnurangam Kumaraguru; Yong Woo Rhee; Alessandro Acquisti; Lorrie Cranor; Jason Hong; Elizabeth Nunge (November 2006). "Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System". Technical Report CMU-CyLab-06-017, CyLab, Carnegie Mellon University. Arhivirano s originala, January 30, 2007. Pristupljeno November 14, 2006. 
  14. ^ Perrault, Evan K. (2017-03-23). "Using an Interactive Online Quiz to Recalibrate College Students' Attitudes and Behavioral Intentions About Phishing". Journal of Educational Computing Research (jezik: engleski) 55 (8): 1154–1167. doi:10.1177/0735633117699232. 
  15. ^ "Anti-Phishing Tips You Should Not Follow". HexView. Arhivirano s originala, March 20, 2008. Pristupljeno June 19, 2006. 
  16. ^ "Protect Yourself from Fraudulent Emails". PayPal. Arhivirano s originala, April 6, 2011. Pristupljeno July 7, 2006. 
  17. ^ "Safe Browsing (Google Online Security Blog)". Pristupljeno June 21, 2012. 
  18. ^ Franco, Rob. "Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers". IEBlog. Arhivirano od originala, January 17, 2010. Pristupljeno May 20, 2006. 
  19. ^ "Bon Echo Anti-Phishing". Mozilla. Arhivirano od originala, August 23, 2011. Pristupljeno June 2, 2006. 
  20. ^ "Safari 3.2 finally gains phishing protection". Ars Technica. November 13, 2008. Arhivirano od originala, August 23, 2011. Pristupljeno November 15, 2008. 
  21. ^ "Gone Phishing: Evaluating Anti-Phishing Tools for Windows". 3Sharp. September 27, 2006. Arhivirano s originala, January 14, 2008. Pristupljeno October 20, 2006. 
  22. ^ Cleber K., Olivo, Altair O., Santin, Luiz S., Oliveira (July 2011). "Obtaining the Threat Model for E-mail Phishing". Applied Soft Computing 13 (12): 4841–4848. doi:10.1016/j.asoc.2011.06.016. 

Vanjski linkovi[uredi | uredi izvor]