Phishing er et ondsinnet forsøk på å skaffe sensitiv informasjon som passord, brukernavn, sikkerhetskoder, detaljer om kredittkort, som er maskert som en troverdig elektronisk kommunikasjon. Denne kommunikasjonen er utgir seg for å komme fra populære sosiale nettsteder, banker, auksjoner, IT-administratorer og online betaling prosessorer, men det er faktisk kommer fra nettkriminelle.
De phishing e-post vanligvis inneholder linker til ulike nettsteder som er infisert med malware. E-postene selv er spredt som direktemeldinger eller som e-post spoofing, bedra brukere og dirigere dem til å oppgi personlige opplysninger i falske nettsteder som ser ut akkurat som den legitime seg.
Phishing er en trussel som vokser større. Skaden som kan gjøres ved phishing kan variere fra en fornektelse å få tilgang til e-post til en betydelig økonomisk tap. Det økte antallet phishing hendelser provosert viss lovgivning, teknisk sikkerhet og holdningstiltak.
Phishing i fortid og i dag
De første phishing forsøk ble gjort tidlig i 1995 ved AOHell program, fristende å hacke AOL brukere. Navnet på begrepet kom fra den populære hacker av 90-tallet Khan Smith. Dette begrepet ble vedtatt som den mest vanlige HTML-koden er<><‘, og kunne ikke bli oppdaget av AOL ansatte. Symbolet ligner fisken og dermed kom “phishing”.
I 2003 ble registrert den første kjente phishing-angrep mot en bank. Senere phishing startet målretting kunder ved hjelp av elektroniske betalingstjenester. I de senere år, de viktigste målene for phishing-kampanjer er de sosiale nettverkssider, sikter til identitetstyveri.
Ved slutten av 2013 ble registrert en av de største svindelforsøk når Cryptolocker ransomware infisert mer enn 250 000 PCer med e-postvedlegg fra en zip-fil utgir seg for å være en kunde klage. Filene til brukerne ble låst av ransomware, og brukerne fikk en forespørsel om betaling mot en nøkkel til å låse opp sin files.Another stykke ransomware ved hjelp av phishing taktikk er Cryptowall. I dette tilfellet å feste en spam e-posten inneholder ondsinnede PDF-filer og .zip mapper.
Phishing Teknikker
- Spear phishing – disse er phishing-forsøk som er rettet mot enkelte selskaper eller enkeltpersoner. Angriperne har som mål å samle inn personlig informasjon. Dette er den mest suksessrike fiskeangrep.
- Clone phishing - et angrep basert på en legitim og tidligere brukt e-post som inneholder en link eller vedlegg. Innholdet eller adressen er klonet fra en identisk kontakt. Den ondsinnede meldingen er sendt fra e-postadressen som er maskert å fremstå som kommer fra den opprinnelige avsenderen.
- Hvalfangst - phishing-angrep rettet mot ledere i høyprofilerte mål. En type hvalfangst phishing angrep er Rogue Wi-Fi angrep.
Phishing Metoder
- Link manipulasjon - teknisk bedrag som gjør en link ser ut til å være fra en bestemt organisasjon. Phishere bruker ofte underdomener og URL-adresser som er feilstavet.
- Filter unndragelser - dette er bilder som ikke er lett å få øye med de anti-phishing-filtre. Som et svar til dem, anti-phishing-filtre ble mer sofistikert og er nå i stand til å oppdage tekst som er skjult i bildene.
- Nettstedet forfalskning - offeret blir lurt å legge inn et phishing-nettsted, og er rettet til å logge på. Med dette phishing-angrep, cyber kriminelle samle brukernavn og passord. De er spesielt farlig når nettstedet som har blitt smidd er av en bank eller et betalingssystem. Slike feil ble brukt mot PayPal i 2006.
- Telefon phishing - dette er meldinger som later til å komme fra bankfolk. Brukerne lokkes inn å slå et telefonnummer i forbindelse med problemer med sine bankkontoer. Dette er hvordan deres kontonummer og PIN er stjålet.
- Pop-ups - de er satt på bankens legitime nettside og be om legitimasjon, gjør brukerne mener at banken er den som ber om disse detaljene.
- Tabnabbing - en ny teknikk ved hjelp av faner, dirigere brukerne til berørte nettsteder.
- Evil Twins - svært vanskelig å oppdage, den cybercriminal gjør en falsk trådløst nettverk som ser ut som den legitime nettverk brukes i ulike offentlige steder. Dette er hvordan de stjeler kredittkortinformasjon og passord.
Anti-phishing strategier
Siden 2007 mange anti-phishing strategier har blitt brukt for å beskytte den personlige og økonomiske data til PC-brukere. I dag bruker vi flere teknikker for å bekjempe phishing forsøk. Nettet, telefon og e-post svindelforsøk kan nå bli rapportert til myndighetene.
Blant de første strategiene som brukes er å trene folk til å gjenkjenne slike forsøk, og ikke svare på dem. I tillegg til at mange anti-phishing-tiltak er innebygd i nettlesere for beskyttelse.
Naturligvis, søksmål ble tatt for. Det første søksmålet mot en mistenkt phisher ble innlevert i 2004, og etterfulgt av mange flere. I 2005 ble passert Anti-Phishing Act av kongressen i USA. Selskaper har også sluttet bestrebelser for å stanse phishing-angrep.