Βικιπαίδεια

Phishing: Διαφορά μεταξύ των αναθεωρήσεων

Περιήγηση ιστορικού διαδραστικά
← Προηγούμενη διαφοράΕπόμενη διαφορά →
Περιεχόμενο που διαγράφηκε Περιεχόμενο που προστέθηκε
ΟπτικήΚώδικας wiki
μ Αναστροφή της επεξεργασίας από τον 79.107.182.126 (συνεισφ.), επιστροφή στην τελευταία εκδοχή υπό Texniths
Ετικέτα: Επαναφορά
Χωρίς σύνοψη επεξεργασίας
Γραμμή 1:
[[Αρχείο:Phishing attempt.png|μικρογραφία|email που προσπαθεί να πείσει ότι προέρχεται από την Apple]]
Το '''Phishing''' είναι ενέργεια εξαπάτησης των χρηστών του [[διαδίκτυο|διαδικτύου]], κατά την οποία ο 'θύτης' υποδύεται μία αξιόπιστη οντότητα, καταχρώμενος την ελλιπήελλειπή προστασία που παρέχουν τα ηλεκτρονικά εργαλεία, και την άγνοια του χρήστη-'θύματος', με σκοπό την αθέμιτη απόκτηση [[Προσωπικά δεδομένα|προσωπικών δεδομένων]], όπως είναι ευαίσθητα ιδιωτικά στοιχεία και κωδικοί<ref>{{cite book|authors=Ramzan, Zulfikar|chapter=Phishing attacks and countermeasures|editors=Stamp, Mark & Stavroulakis, Peter|title=Handbook of Information and Communication Security|publisher=Springer|year=2010|isbn=9783642041174|url=http://books.google.com/books?id=I-9P1EkTkigC&pg=PA433}}</ref><ref>Van der Merwe, A J, Loock, M, Dabrowski, M. (2005), Characteristics and Responsibilities involved in a Phishing Attack, Winter International Symposium on Information and Communication Technologies, Cape Town, January 2005.</ref>.
 
Αν ήταν εφικτό να αποδώσουμε τον όρο στα Ελληνικά, θα μπορούσαμε κάλλιστα να το αποκαλέσουμε 'Ηλεκτρονικό Ψάρεμα', κι αυτό γιατί αγγλικός όρος δεν απέχει πολύ από αυτό. Ο όρος Phishing, που πρωτοχρησιμοποιήθηκε από τον [[χάκερ]] Khan C Smith και υιοθετήθηκε στη συνέχεια από όλη την κοινότητα των χάκερς, προέρχεται από το αγγλικό 'fishing' (ψάρεμα)<ref>{{cite web
Γραμμή 31:
| publisher=Wired News}}</ref>.
 
To Phishing έγινε πλέον εύκολο ακόμα και για άπειρους χρήστες, με την είσοδο του προγράμματος [[AOHel]]l, το οποίο εξαπατούσε τους χρήστες με αυτοματοποιημένο τρόπο, μετατρέποντας το Phishing από ένα απλό αστείο σε μία από τις μεγαλύτερες διαδικτυακές απειλές. Όπως ήταν φυσικό, η εταιρία αναγκάστηκε να προβεί στην ενίσχυση των εργαλείων ασφάλειας της υπηρεσίας, τοποθέτησε προειδοποιητικά μηνύματα σε διάφορα σημεία του εργαλείου, ενώ ταυτόχρονα ανακοίνωσε και επίσημη προειδοποίηση προς τους χρήστες της πως θα πρέπει να πάρουν και οι ίδιοι μέτρα, αποφεύγοντας ύποπτους χρήστες και αλλάζοντας συχνά τον κωδικό τους. Η AOL ανέπτυξηανέπτυξε ένα σύστημα απενεργοποίησης λογαριασμών που σχετίζονταν με phishing, πριν ανταποκριθούν οι χρήστες. Το κλείσιμο της σκηνής [[warez]] στους σέρβερ της AOL εξανάγκασε τους phisher να εγκαταλείψουν την διαδικτυακή της επικράτεια<ref>{{cite web
| title=History of AOL Warez
| url=http://www.rajuabju.com/warezirc/historyofaolwarez.htm
Γραμμή 56:
To Phishing μπορεί να γίνει ακόμα πιο επίφοβο, όταν χρησιμοποιούνται μέθοδοι ακόμα πιο δύσκολοι στην ανίχνευση τους. Το λεγόμενο IDN spoofing, μέσω του οποίου με κακό χειρισμό των International Domain Names (IDN), πανομοιότυπα URL μπορούν να οδηγούν σε διαφορετικές ιστοσελίδες, δεν λύνεται ούτε με τα υπάρχοντα πιστοποιητικά αφού είναι πλέον πολύ εύκολο ακόμα και για τους hackers να αποκτήσουν πιστοποιητικό αυθεντικότητας. Πολλές φορές οι phishers εξαπατούν ακόμα και τα anti-phishing προγράμματα ή καλύπτουν τα ίχνη τους με χρήση φίλτρων, όπως εικόνες ή flashplayer αντί για κείμενο ή την αξιοποίηση JavaScript για την κάλυψη του URL με κάποιο άλλο. Στη δεύτερη περίπτωση είτε τοποθετείται μία εικόνα πάνω στο πραγματικό URL, η οποία δείχνει το πλαστό, είτε το πραγματικό URL κρύβεται πλήρως και στη θέση του μπαίνει το ψεύτικο. Ο θύτης μπορεί επίσης να εκμεταλλευτεί προβλήματα στον κώδικα της αυθεντικής ιστοσελίδας και προκαλέσει την επίθεση μέσω αυτής.
 
Άλλες τεχνικές Phishing χρησιμοποιούν αναδυόμενα παράθυρα (pop-up windows), πολλαπλές καρτέλες (tab-nabbing) ή ακόμα και τη δημιουργία ψεύτικων δημοσίων δικτύων σε αεροδρόμια, ξενοδοχεία και καφετέρειεςκαφετέριες.
 
=== Πού στηρίζεται η επιτυχία του Phishing ===
Γραμμή 63:
Ο μέσος άνθρωπος ξέρει να χειρίζεται τις βασικές λειτουργίες του υπολογιστή και του διαδικτύου χωρίς να γνωρίζει την διαδικασία με την οποία αυτό λειτουργεί. Έτσι δεν μπορεί να αναγνωρίσει τα ίχνη του phishing, όπως είναι παραλλαγμένη διεύθυνση e-mail, ή το διαφορετικό URL. Ταυτόχρονα, λόγω της άγνοιας του κινδύνου, αμελεί τη χρήση προγραμμάτων anti-phishing.
 
Ακόμα και σε περιπτώσεις που ο χρήστης έχει τις κατάλληλες γνώσεις για να ανιχνεύσει τα κακόβουλα στοιχεία, πολλές φορές δεν θα προσέξει τα σημάδια, αφού μπορεί να είναι αφηρημένος ή απασχολημένος με κάτι άλλο. Σύμφωνα με μία αναφορά της εταιρίας Symantec το 2006, οι επιθέσεις Phishing αυξήθηκαν κατά 30% σε σημαντικές μέρες όπως ήταν τα Χριστούγεννα, η ΠρωτοχρονίαΠρωτοχρονιά και το Κύπελλο του Ποδοσφαίρου. Έτσι ο χρήστης μπορεί είτε να μην δίνει αρκετή σημασία στις υπάρχουσες προειδοποιήσεις ασφάλειας ή στην έλλειψη αυτών.
 
Άλλωστε η σωστή τεχνική phishing κρύβει τα περισσότερα από τα σημάδια. Πώς; Και εκεί κρίνεται ο πιο σημαντικός παράγοντας για μία επιτυχημένη επίθεση phishing: Η οπτική εξαπάτηση. Στόχος του hacker είναι να πείσει το θύμα για την αυθεντικότητα και την αξιοπιστία του. Αυτό το επιτυγχάνει με:
 
*''Παραπλανητικό κειμένοκείμενο.'' Το κείμενο αυτό, που συνήθως είναι οι παραπλανητικοί σύνδεσμοι, μπορεί να χρησιμοποιεί λάθος σύνταξη ή ορθογραφία (π.χ. www.fasebook.com ), αναγραμματισμούς (π.χ. www.yutoube.com ) ή να αντικαθιστά παρόμοια γράμματα όπως το αγγλικό μικρό l (L) με το κεφαλαίο Ι (i), κλπ.
*''Παραπλανητικές εικόνες.'' Οι εικόνες αυτές, μπορεί να είναι οι ίδιες οπτικά με τις εικόνες που χρησιμοποιεί κάποια ιστοσελίδα, για παράδειγμα το logo της google, αλλά όταν πατάς σε αυτές να σε οδηγούν αλλού. Μία εξίσου κοινή μέθοδος είναι εικόνες που μιμούνται το λειτουργικό σύστημα του υπολογιστή.
*''Παραπλανητικό design.'' Με τη βοήθεια του παραπλανητικού κειμένου και εικόνων, αλλά και την επεξεργασία του κώδικα της αυθεντικής ιστοσελίδας, ο hacker μπορεί να φτιάξει μία ολόκληρη ιστοσελίδα με το ίδιο ακριβώς design που έχει η αυθεντική.
*''Το μήνυμα συνήθως εμπεριέχει κάποια απειλή ή κάποιο πρόβλημα το οποίο ο χρήστης καλειταικαλείται να αντιμετωπίσει'' . Π,χ «αν δεν ακολουθήσετε τον σύνδεσμο, ο λογαριασμός σας θα κλειδωθεί», ή «μόλις έγινε συναλλαγή €280 από τον λογαριασμό σας, για να την ακυρώσετε πατήστε εδώ»
 
Εάν ένα phishing website καταφέρει να συνδυάσει όλα τα παραπάνω, στις περισσότερες περιπτώσεις έχει κατακατά 90% επιτυχημένες επιθέσεις.
 
=== Ποιοι είναι οι στόχοι των Phishers και οι κίνδυνοι ===
Ανακτήθηκε από "https://el.wikipedia.org/wiki/Phishing"