Internetski hakovi: Objašnjenje krađe identiteta i podmetanja

phishing

Lažno predstavljanje, izraziti ribolov, tehnika je društvenog inženjeringa namijenjena krađi lozinki, podacima o kreditnoj kartici i drugim osjetljivim informacijama. Krajnji je cilj koristiti ove vjerodajnice za pristup još više informacija, poput društvenih medija i bankovnih računa.

Lažni napad može se izvesti putem e-pošte, telefona ili SMS-a, a obično sadrži vezu do web mjesta koje kontroliraju napadači koji će vas zatražiti da unesete svoje podatke za prijavu. E-mail adresa može biti dizajnirana tako da izgleda poput uobičajene adrese Dropboxa ili Facebooka, na primjer, i povezuje se na lažnu web lokaciju koja izgleda točno poput Dropboxa ili Facebooka. Ovdje možete pronaći obilje primjera.

Facebook phishing i ostali napadi

Lažne poruke e-pošte često sadrže nedužni zvučni sadržaj, poput “netko vas je spomenuo na Facebooku” ili “Dijelio sam dokument s vama na Dropboxu.” Napadač očekuje da kliknete na te veze bez provjere njihove vjerodostojnosti, a zatim unesete svoje vjerodajnice. Često vas web stranica koja krađe identiteta ponovno preusmjeri natrag na stranicu za prijavu na stvarnoj web lokaciji, odakle će se od vas tražiti da ponovo unesete vjerodajnice, ovaj put zakonito. Kako ste sada prijavljeni na stvarnu web stranicu, nada je da će sva sumnja nestati.

U međuvremenu, napadač je prikupio i pohranio vaše korisničko ime i lozinku i može ih koristiti po volji. Ako su stekli pristup vašem računu e-pošte, mogu resetirati lozinku svakog računa koji je povezan s vašom adresom e-pošte, a zatim ih kontrolirati..

Što je još gore, informacije pronađene u pretinacu pošte e-pošte mogu omogućiti napadaču da planira savršeno vrijeme da dođe nakon vaših financijskih računa, poput bolesti ili dugog leta.

Snimanje adresa i phishing e-poruka

Napadači uglavnom koriste dva tehnološka trika kako bi uspješno lagali ljude – krivotvorenje e-pošte ili telefonske pozive; sve ostalo se vrti oko korištenja dobrog vremena, vjerodostojnog jezika i izvrsnog dizajna.

Adresa e-pošte i telefonski brojevi vrlo su lako podmetati, tako da se ne možete pouzdati u adresu e-pošte koja tvrdi da dolazi s [email protected] da ju je Facebook zaista poslao. Mnoge usluge e-pošte provjerit će postoje li kriptografski potpisi koji dokazuju da je poruka e-pošte poslana s određene domene, ali ovi potpisi još uvijek nisu standardni na internetu, tako da njihova odsutnost nije dokaz lažne poruke.

Slično tome, na vaš telefon može stići poziv poznatog broja, primjerice iz vaše banke. Ali nema dokaza da ovaj poziv zaista potječe od ovog broja. Ako imate dvojbe o lažnom broju ili adresi e-pošte, pišite ili nazovite i pričekajte odgovor.

Lažni URL-ovi i web lokacije za krađu identiteta

Uz krivotvorenje adresa e-pošte, napadači će registrirati i URL-ove koji oponašaju one zakonitih web lokacija. Oni to često rade pomalo zamjenjujući redoslijed slova, kao što je goolge.com. Druga taktika je registrirati nevine domene u potrazi i koristiti zakonite domene kao poddomene, kao što je facebook.com.importantsecurityreview.co.

Budući da je napadač zaista vlasnik tih poddomena, za njega mogu dobiti HTTPS sigurnosnu potvrdu, čime web lokacija izgleda legitimno.

phishing-PrimjeriNapadači će loviti vaše podatke.

Razlika između krađe identiteta i Spearphishinga

Spearphishing je krađa identiteta usmjerena posebno na vas, umjesto da se širi okolo kao neželjena pošta na bilo koju adresu e-pošte koju pronađu. Ovi napadi krađe identiteta pokazali su se posebno plodnim jer e-adrese mogu biti osobno usmjerene i prilagođene određenom kontekstu ili se često uklapaju u veći, sofisticiraniji napad.

Korištenje analogije o ribolovu: umjesto da bacate mamac u ocean i čekate da riba zagrize, podmetanje precizno slijedi oko jedne ribe i napada je pojedinačno.

Na primjer, ako ste slobodnjak, možda ćete u pristigloj pošti potražiti zahtjev za svoje usluge. Tada će vas možda tražiti da pošaljete svoja referentna pisma u mapu Dropbox, a umjesto da se izravno povežete s ovom mapom, preusmjerit ćete se na phishing mjesto. Nakon što upišete lozinku na web mjestu za krađu identiteta, možda ćete biti preusmjereni u pravu mapu Dropbox i nikad ne sumnjate u bilo kakvu pogrešnu igru.

Napadi podvodnog lažnjaka vrlo su česti u velikim organizacijama u kojima kriminalna poduzeća, konkurenti i vlade mogu ciljati zaposlenike, koji se često nalaze na LinkedInu, kako bi prikupili obavještajne podatke o organizaciji i pronašli bilo koja slaba mjesta u mreži.

Otkrivanje napada i zaštita od krađe identiteta

Dvofaktorska provjera identiteta može pružiti zaštitu od nekih phishing napada jer napadaču otežava ponovni pristup vašem računu. No, sofisticirani phishing napadi neće jednostavno pohraniti vaše vjerodajnice, već se istovremeno prijaviti na vaš račun. Na taj način napadač može odmah saznati rade li prikupljeni akreditivi, a ako ne, pitajte ponovo zaporku.

Ako napadači naiđu na captcha ili dvofaktornu provjeru autentičnosti, tražit će od vas da unesete kôd u prozor na njihovoj lažnoj web lokaciji i zatim ga upotrijebite za prijavu na svoj stvarni račun.

Facebook i neke druge tvrtke omogućuju vam prijenos PGP ključa na njihove poslužitelje. Nakon toga sve e-poruke koje dobijete od Facebooka bit će šifrirane i potpisane, što vam omogućuje znatno lakšu provjeru njihove vjerodostojnosti. Također, ako bi netko mogao dobiti pristup vašem računu e-pošte, ne bi mogao pročitati vaše obavijesti ili resetirati vašu Facebook lozinku.

Nažalost, jedina trajna zaštita od krađe identiteta je zdrav skepticizam, pažljiva skrb i snažna svijest. Mnoge organizacije redovito testiraju svoje zaposlenike na njihovu sposobnost otkrivanja i izbjegavanja krađe identiteta. U tvrtkama u kojima je cyber sigurnost od najveće važnosti, opetovano podvrgavanje takvim phishing testovima osnova je za prestanak zaposlenja.

Izdvojena slika: Kluva / Fotografije polaganja
Phishing: alexandragl / Fotografije polaganja