Ce qui Est Phishing

Share

|

Phishing, également connu sous le nom de mystification de cardage ou de marque, a beaucoup de définitions ; nous voulons faire attention très comment nous définissons la limite, puisqu'elle évolue constamment. Au lieu d'une définition statique, laissez’le regard de s aux méthodes phishing primitives et voyez l'évolution’active de la pratique s et les futurs processus possibles. Pour maintenant, nous’ll définissons l'approche primitive,as l'acte d'envoyer un E-mail forgé (à l'aide d'une annonce en bloc) à un destinataire, imitant faussement un scam légitime d'établissement le destinataire dans divulguer l'information privée telle que des nombres de carte de degré de solvabilité ou le E-mail du compte bancaire passwords.The, dans la plupart des cas, indiquera l'utilisateur visiter un emplacement de Web pour compléter le gain privé d'information.To votre confiance, cet emplacement de Web est conçu pour ressembler à l'emplacement de l'établissement que le scammer personnifie. Naturellement, l'isn t’d'emplacement vraiment l'emplacement de l'organisation légitime, et de lui procédera alors voler votre information privée pour gain.Thus monétaire que le mot phishing est évidemment une variation de la pêche de mot du fait ces scammers visent “des crochets” dans les espoirs qu'ils obtiendront quelques “morsures” de leurs victimes.

Phishing a réellement été autour pendant plus de 10 années, commençant par le dos de America Online (AOL) dans 1995.There étaient les programmes (comme AOHell) qui ont automatisé le processus de phishing pour des comptes et l'information de carte de degré de solvabilité. Le dos phishing alors le wasn’t utilisé autant dans le E-mail a comparé au Internet Relay Chat (IRC) ou au système d'alerte de transmission de messages que les phishers d'AOL used.The imiteraient un administrateur d'AOL et indiqueraient à la victime qu'il y avait un problème de facturation et ils ont eu besoin d'eux pour remplacer leur information de carte et d'ouverture de degré de solvabilité. Soutenez alors, parce que les PC dans la maison combinée avec l'utilisation d'Internet étaient une expérience assez nouvelle, cette méthode a prouvé tout à fait efficace mais n'a pas été observé avec autant population que phishing est aujourd'hui.

L'impact soudain de phishing contre les institutions financiers a été rapporté la première fois en juillet 2003.According aux grandes archives de Spam, les cibles étaient principalement E-prêt, E-or, puits Fargo, et Citibank. La torsion la plus remarquable au sujet du phénomène phishing est qu'elle a présenté une nouvelle classe des vecteurs d'attaque qui a été négligée à presque chaque budget de sécurité’de l'institution financier s : l'element.All humain les murs à l'épreuve du feu chers, SSL délivre un certificat, l'IPS règne, et la gestion de pièce rapportée ne pourrait pas arrêter l'exploitation de la confiance en ligne que non seulement l'information confidentielle d'utilisateur de compromis mais a eu un impact important sur la confiance du consommateur concernant des télécommunications entre un établissement et ses clients.
De la perspective technique, la plupart des experts en matière de sécurité d'antispam et de E-mail n'ont pas été étonnés à l'impact de cette menace, puisqu'il a été bien documenté depuis RFC 2821 (Simple Mail Transfer Protocol ou Request For Comments de smtp ; voir le www.faqs.org/rfcs/rfc2821.html), une version mise à jour de RFC 821 écrit en 1982. La section 7.1 du RFC, intitulée “sécurité de courrier et Mystification,” décrit en détail comment le courrier de smtp est en soi peu sûr :

Le courrier de smtp est en soi peu sûr parce qu'il est faisable pour que les même utilisateurs assez occasionnels soient en pourparlers directement avec les serveurs de réception et de relais de smtp et pour créent les messages qui duperont un destinataire naïf dans croire qu'ils sont venus de quelque part autrement. La construction d'un tel message de sorte que “le comportement” charrié ne puisse pas être détecté par un expert est légèrement plus difficile, mais afin d'être pas suffisamment une force de dissuasion à quelqu'un qui est déterminé et bien informé. En conséquence, à mesure que la connaissance du courrier d'Internet augmente, fait ainsi la connaissance que le courrier de smtp en soi ne peut pas être authentifié, ou des contrôles d'intégrité fournis, au niveau de transport. La vraie sécurité de courrier se situe seulement dans des méthodes bout à bout impliquant les corps de message, de ce type qui emploient les signatures numériques (voyez [ 14 ] et, par exemple, PGP [ 4 ] ou S/MIME [ 31 ]).

Les divers prolongements de protocole et options de configuration qui fournissent l'authentification au niveau de transport (par exemple, d'un client de smtp à un serveur de smtp) s'améliorent légèrement sur la situation traditionnelle décrite ci-dessus. Cependant, à moins qu'ils soient accompagnés des transferts soigneux de la responsabilité dans un environnement soigneusement conçu de confiance, ils restent en soi plus faibles que les mécanismes d'extrémité-toend qui emploient les messages digitalement signés plutôt que selon l'intégrité du système de transport.

Les efforts de le rendre plus difficile pour que les utilisateurs placent le chemin de retour et l'en-tête d'enveloppe “” des champs pour se diriger aux adresses valides autres que leurs propres sont en grande partie mal orientés : ils frustrent les applications légitimes dans lesquelles le courrier est envoyé par un utilisateur au nom des autres ou dans quelles réponses d'erreur (ou normale) devraient être dirigées vers une adresse spéciale. (les systèmes qui fournissent des manières commodes pour des utilisateurs de changer ces champs sur une base de par-message devraient essayer d'établir une adresse primaire et permanente de boîte aux lettres pour l'utilisateur de sorte que des champs d'expéditeur dans les données de message puissent être produits raisonnablement.)

Ces spécifications n'abordent pas en outre les questions d'authentification liées au smtp autre que pour préconiser cette fonctionnalité utile pour ne pas être neutralisé dans l'espoir de fournir une certaine petite marge de la protection contre un utilisateur ignorant qui essaye de truquer le courrier.

Ces spécifications font une remarque de détailler à quel point elles insignifiantes sont de duper un destinataire de E-mail de nonexpert dans croyant elles ont été envoyées à un E-mail légitime. Le smtp a été conçu en 1982 à un moment où on l'a prévu pour l'usage entre les utilisateurs limités “et” de confiance. En 2001, avec RFC 2821 et smtp employé par le public pendant plus de six années, le manque de sécurité a été entièrement documenté.

Est l'approche de contrefaçon décrite dans RFC 2821, la section 7.1, ce que les phishers et les inondateurs utilisent pour envoyer à leurs E-mails aux destinataires. Il est important de comprendre que ceci ne signifie pas que les phishers ont n'importe quelle raison de skills.The phishing est à une haute absolue est réellement dû aux trousses d'outils qui sont disponibles, pas parce que les phishers font prouver skill.To ce point, des experts en matière de sécurité ont su

Des pailles de smtp depuis 1982, et arrière en 1995-1998, l'attaque primaire sur le E-mail ont été connus comme bombardement de E-mail, mais c'était parce que les nombreux outils, tels que l'avalanche, le Kaboom, et le courrier de fantôme, étaient librement des outils d'available.These ont automatisé le processus avec un clic de la souris, rendant un compte de E-mail inutile et dans beaucoup de cas détruire toute la rentabilité du mail server qui accueillait l'attaque d'account.This essentiellement a exécuté une attaque du démenti-de-service (DOS) contre des comptes de courrier et leurs fournisseurs de service de courrier en surchargeant les comptes avec une quantité sans fin de E-mail qui arrivait à un taux excessivement accéléré. Puisque les outils étaient disponibles, les attaques weren’t uncommon.This est semblable à l'analogie de la possibilité de pistolets librement accessibles. Si les achats de pistolet n'étaient pas commandés, particulièrement s'il n'y avait aucune limitation d'âge, et ils étaient librement disponibles, nous seraient témoin probablement d'une analogie pistolet-connexe de crimes.This s'applique à phishing aujourd'hui, depuis phishing est juste une autre forme de Spam. Le Spam n'est pas exactement un concept ingénieux et ne prend pas l'imagination très petite pour utiliser, et les outils aisément accessibles d'attaque ouvrent la porte pour que les criminels exploitent les pailles de sécurité bien connues pour leurs occasions célérates, y compris ce que nous voyons aujourd'hui : Spam et phishing.

Les techniques de Web-mystification davantage sont changées dans l'exploitation et sont habituellement exploitées par l'intermédiaire des preuve-de-concepts publiquement disponibles connus sous le nom de pleine révélation fournie par protocole de HTTP de la sécurité researchers.The n'est pas en soi peu sûre comme le smtp, mais il souffre d'un manque d'étalonnage et de l'utilisation hétérogène des clients de navigateur de Web tels que FireFox, de l'Internet Explorer, et du safari. Lui le HTTP’de l'isn t nécessairement qui est le problème, mais une combinaison des vulnérabilités spécifiques a trouvé dans de certains navigateurs et emplacements de Web de serveur-côté qui permettent ces attaques, aussi bien qu'un malentendu de la flexibilité des localisateurs de ressources uniformes (URLs) et de leurs modifications insignifiantes. Par exemple, à l'oeil commun, le URL www.southstrustbankonline.com dans un navigateur que la fenêtre peut facilement duper un utilisateur dans la croyance de lui est l'emplacement réel de Web de banque de Southtrust. Nous appelons ces domaines brouillés ou domains.This identique n'est pas une exploit de navigateur de HTTP ou de Web ; c'est une attaque contre la méthode humaine d'eye.This est conçue pour duper l'utilisateur dans ne pas noter le s supplémentaire dans le URL (southstrust) au lieu du vrai URL d'emplacement, southtrustbankingonline.com.