Phishing ( eng. phishing from fishing "fishing, fishing" [1] ) on eräänlainen Internet-petos , jonka tarkoituksena on päästä käsiksi luottamuksellisiin käyttäjätietoihin - kirjautumistunnuksiin ja salasanoihin. Tämä saavutetaan lähettämällä massapostituksia suosittujen tuotemerkkien puolesta sekä henkilökohtaisia viestejä eri palveluissa, esimerkiksi pankkien tai sosiaalisten verkostojen puolesta . Kirje sisältää usein suoran linkin sivustolle , jota ei voi ulkoisesti erottaa todellisesta, tai sivustolle, jossa on uudelleenohjaus . Kun käyttäjä on päässyt väärennetylle sivulle, huijarit kokeilevat erilaisia psykologisia temppuja saadakseen käyttäjän syöttämään käyttäjätunnuksensa ja salasanansa väärennetylle sivulle, jonka avulla hän pääsee tietylle sivustolle, jolloin huijarit pääsevät tilille ja pankkiin . tilit.
Tietojenkalastelu on yksi sosiaalisen manipuloinnin muodoista , joka perustuu käyttäjien tietämättömyyteen verkkoturvallisuuden perusteista: varsinkin monet eivät tiedä yksinkertaista tosiasiaa: palvelut eivät lähetä kirjeitä, joissa pyydetään antamaan valtuustietoja, salasanaa jne. päällä.
Tietojenkalastelulta suojautuakseen suuret Internet - selainvalmistajat ovat suostuneet käyttämään samoja menetelmiä ilmoittaakseen käyttäjille, että he ovat päätyneet epäilyttävälle sivustolle, joka saattaa olla huijareiden omistama. Selainten uusissa versioissa on jo tämä ominaisuus, jota kutsutaan asianmukaisesti "tietojenkalastelun estämiseksi".
Tietojenkalastelutekniikkaa kuvattiin yksityiskohtaisesti vuonna 1987 , ja itse termi ilmestyi 2. tammikuuta 1996 alt.online - service.America-Online-uutisryhmässä Usenetissa [2] [3] , vaikka se on saatettu mainita aiemmin hakkerilehti 2600 [ 4 ] .
AOL:n tietojenkalastelu liittyy läheisesti warez -yhteisöön, joka on ollut mukana tekijänoikeuksia loukkaavien ohjelmistojen , luottokorttipetosten ja muiden verkkorikosten jakelussa. Sen jälkeen kun AOL ryhtyi toimiin vuonna 1995 estääkseen väärennettyjen luottokorttinumeroiden käytön, hyökkääjät alkoivat kalastella päästäkseen muiden ihmisten tileille [5] .
Tietojenkalastelijat esiintyivät AOL:n työntekijöinä ja ottivat yhteyttä mahdolliseen uhriin pikaviestiohjelmien kautta yrittäen saada selville hänen salasanansa [6] . Uhrin vakuuttamiseksi käytettiin lauseita, kuten "tilin vahvistus", "maksutietojen vahvistus". Kun uhri sanoi salasanan, hyökkääjä pääsi käsiksi uhrin tietoihin ja käytti hänen tiliään vilpillisiin tarkoituksiin ja roskapostin lähettämiseen . Tietojenkalastelu on saavuttanut sellaiset mittasuhteet, että AOL on lisännyt kaikkiin viesteihinsä lauseen: "Kukaan AOL:ssa ei kysy salasanaasi tai maksutietojasi."
Vuoden 1997 jälkeen AOL tiukensi phishing- ja warez-käytäntöjään ja kehitti järjestelmän vilpillisten tilien nopeaan poistamiseen käytöstä. Samaan aikaan monet tietojenkalastelijat, enimmäkseen teini-ikäiset, ovat jo kasvaneet tottumuksistaan [7] , ja tietojenkalastelu AOL-palvelimilla on vähitellen hävinnyt.
AOL-tilien kaappaus, joka mahdollisti pääsyn luottokorttitietoihin , osoitti, että myös maksujen käsittelijät ja niiden käyttäjät ovat haavoittuvia. Ensimmäinen tunnettu yritys oli hyökkäys sähköiseen kultamaksujärjestelmään kesäkuussa 2001 , toinen oli hyökkäys, joka tapahtui pian syyskuun 11. päivän hyökkäysten jälkeen [8] . Nämä ensimmäiset yritykset olivat vain kokeilua , mahdollisuuksien testiä. Ja jo vuonna 2004 tietojenkalastelusta tuli yritysten suurin vaara, ja siitä lähtien se on jatkuvasti kehittynyt ja lisännyt potentiaaliaan [9] .
Tietokalastelun kohteena ovat nykyään pankkien ja sähköisten maksujärjestelmien asiakkaat . [10] Yhdysvalloissa Internal Revenue Serviceksi naamioituneet tietojenkalastelijat ovat keränneet merkittäviä veronmaksajien tietoja [11] . Ja jos ensimmäiset kirjeet lähetettiin satunnaisesti, siinä toivossa, että ne tavoittaisivat oikean pankin tai palvelun asiakkaat, nyt tietojenkalastelijat voivat määrittää, mitä palveluita uhri käyttää, ja soveltaa kohdennettua postitusta [12] . Jotkut viimeisimmistä tietojenkalasteluhyökkäyksistä on kohdistettu suoraan johtajiin ja muihin korkeassa asemassa oleviin henkilöihin yrityksissä [13] .
Sosiaaliset verkostot kiinnostavat myös paljon tietojenkalastelijat, koska ne mahdollistavat käyttäjien henkilötietojen keräämisen [14] : vuonna 2006 tietokonemato julkaisi MySpaceen monia linkkejä phishing-sivustoille, joiden tarkoituksena oli varastaa rekisteröintitiedot [15] ; toukokuussa 2008 ensimmäinen tällainen mato levisi suosittuun venäläiseen VKontakte -verkkoon [16] [17] . Asiantuntijoiden mukaan yli 70 % sosiaalisten verkostojen tietojenkalasteluhyökkäyksistä onnistuu [18] .
Tietojenkalastelu kiihtyy nopeasti, mutta arviot vahingoista vaihtelevat suuresti: Gartnerin mukaan vuonna 2004 tietojenkalastelun uhrit menettivät 2,4 miljardia dollaria [19] , vuonna 2006 vahinko oli 2,8 miljardia dollaria [20] , vuonna 2007 - 3,2 miljardia [21] ; Pelkästään Yhdysvalloissa 3,5 miljoonaa ihmistä joutui tietojenkalastelun uhriksi vuonna 2004 [20] , ja vuoteen 2008 mennessä tietojenkalastelun uhrien määrä Yhdysvalloissa oli noussut 5 miljoonaan [22] .
Ihminen reagoi aina hänelle merkittäviin tapahtumiin. Siksi tietojenkalastelijat yrittävät hälyttää käyttäjää toiminnallaan ja aiheuttaa välittömän reaktion. Joten esimerkiksi sähköpostilla, jonka otsikko on "Pankkitilillesi pääsy takaisin…" on taipumus kiinnittää huomiota ja saada henkilö seuraamaan verkkolinkkiä saadakseen lisätietoja.
Useimpiin tietojenkalastelumenetelmiin kuuluu tietojenkalastelusivustoille johtavien väärennettyjen linkkien naamiointi todellisten organisaatioiden linkeiksi. Huijarit käyttävät usein väärin kirjoitettuja osoitteita tai aliverkkotunnuksia .
Esimerkiksi https://www.yourbank.example.com/ näyttää Yourbank-pankin osoitteelta, mutta itse asiassa se viittaa esimerkki.com-sivuston tietojenkalastelukomponenttiin. Toinen yleinen temppu on käyttää näennäisesti oikeita linkkejä, jotka todella johtavat tietojenkalastelusivustolle. Esimerkiksi https://ru.wikipedia.org/wiki/Truth ei johda "Totuus" -artikkeliin, vaan "False" -artikkeliin.
Yksi vanhoista temppuista on käyttää "@"-symbolin sisältäviä linkkejä, joita käytetään liittämään linkkiin käyttäjätunnus ja salasana [23] . Esimerkiksi linkki http://[email protected]/ ei johda osoitteeseen www.google.com, vaan osoitteeseen members.tripod.com käyttäjän www.google.com puolesta. Tämä toiminto on poistettu käytöstä Internet Explorerissa [24] , kun taas Mozilla Firefox [25] ja Opera antavat varoituksen ja kehottavat sinua vahvistamaan vierailun sivustolla. Tämä ei kuitenkaan muuta href-arvon käyttöä HTML - tunnisteessa <a> , joka eroaa linkin tekstistä.
Toinen ongelma havaittiin, kun selaimet käsittelevät kansainvälisiä verkkotunnuksia : osoitteet, jotka ovat visuaalisesti identtisiä virallisten osoitteiden kanssa, voivat johtaa petollisiin sivustoihin.
Tietojenkalastelijat käyttävät usein kuvia tekstin sijasta, mikä vaikeuttaa tietojenkalastelun estävien suodattimien havaitsemista vilpillisten sähköpostien [26] . Mutta asiantuntijat ovat oppineet käsittelemään tämän tyyppistä tietojenkalastelua. Esimerkiksi sähköpostiohjelmien suodattimet voivat automaattisesti estää kuvat, jotka on lähetetty osoitteista, jotka eivät sisälly osoitekirjaan [27] . Lisäksi on ilmaantunut tekniikoita, joilla voidaan käsitellä ja verrata kuvia samantyyppisten kuvien allekirjoituksiin , joita käytetään roskapostiin ja tietojenkalasteluun [28] .
Huijaus ei lopu, kun uhri vierailee tietojenkalastelusivustolla. Jotkut tietojenkalastelijat käyttävät JavaScriptiä muuttaakseen osoitepalkkia [29] . Tämä saavutetaan joko sijoittamalla kuva, jossa on väärennetty URL-osoite, osoitepalkin päälle tai sulkemalla todellinen osoiterivi ja avaamalla uusi, jossa on väärennetty URL [30] .
Hyökkääjä voi hyödyntää aidon sivuston komentosarjojen haavoittuvuuksia [31] . Tämäntyyppinen huijaus (tunnetaan nimellä cross-site scripting ) on vaarallisin, koska käyttäjä kirjautuu sisään virallisen verkkosivuston oikealle sivulle, jossa kaikki (verkko-osoitteesta varmenteisiin ) näyttää aidolta. Tällaista tietojenkalastelua on erittäin vaikea havaita ilman erityisiä taitoja. Tätä menetelmää sovellettiin PayPaliin vuonna 2006 [32] .
Tietojenkalastelijat ovat alkaneet käyttää Flash -tekniikkaan perustuvia verkkosivustoja torjuakseen tietojenkalastelun estäviä skannereita . Ulkoisesti tällainen sivusto näyttää todelliselta, mutta teksti on piilotettu multimediaobjekteihin [ 33] .
Nykyään tietojenkalastelu laajenee Internet-huijausten ulkopuolelle, ja väärennetyistä verkkosivustoista on tullut vain yksi monista. Sähköpostit, joiden väitetään olevan pankista, voivat kehottaa käyttäjiä soittamaan tiettyyn numeroon pankkitiliongelmien ratkaisemiseksi [34] . Tätä tekniikkaa kutsutaan vishingiksi (voice phishing). Soitamalla määritettyyn numeroon käyttäjä kuuntelee puhelinvastaajan ohjeita, jotka osoittavat, että hänen tilinumeronsa ja PIN-koodinsa on syötettävä . Lisäksi vierailijat voivat itse soittaa uhreille ja vakuuttaa heidät siitä, että he kommunikoivat virallisten organisaatioiden edustajien kanssa käyttämällä väärennettyjä numeroita [35] [36] . Useimmiten hyökkääjät esittävät pankin turvapäälliköitä ja ilmoittavat uhrille tallennetusta yrityksestä veloittaa laittomasti varoja hänen tililtään. Lopulta henkilöltä kysytään myös hänen valtakirjansa [37] .
SMS -phishing , joka tunnetaan myös nimellä smishing , on saamassa vauhtia [38] . Huijarit lähettävät viestejä, jotka sisältävät linkin phishing-sivustolle - syöttämällä sen ja syöttämällä henkilötietonsa uhri välittää ne hyökkääjille samalla tavalla [39] . Viesti voi myös viitata tarpeeseen soittaa huijareille tiettyyn numeroon "ilmenneiden ongelmien" ratkaisemiseksi [40] .
Tietojenkalastelulta voidaan torjua useita menetelmiä, mukaan lukien lainsäädännölliset toimenpiteet ja erityiset tekniikat, jotka on suunniteltu suojaamaan tietojenkalastelulta.
Yksi tapa torjua tietojenkalastelua on valistaa ihmisiä tietojenkalasteluista ja siitä, kuinka käsitellä sitä. Ihmiset voivat vähentää tietojenkalastelun uhkaa muuttamalla hieman käyttäytymistään. Joten vastauksena kirjeeseen, jossa pyydetään tilin "vahvistusta" (tai mihin tahansa muuhun tavanomaiseen tietojenkalastelupyyntöön), asiantuntijat neuvovat ottamaan yhteyttä yritykseen, jonka puolesta viesti lähetettiin sen aitouden tarkistamiseksi. Lisäksi asiantuntijat suosittelevat, että syötät organisaation verkko-osoitteen itse selaimen osoiteriville sen sijaan, että käyttäisit hyperlinkkejä epäilyttävässä viestissä [41] .
Lähes kaikki aidot organisaatioiden lähettämät viestit sisältävät maininnan tiedoista, jotka eivät ole tietojenkalastelujen ulottuvilla. Jotkut, kuten PayPal , viittaavat aina vastaanottajiin heidän etunimellään, ja kirjettä, jossa on yleinen vetoomus "Hyvä PayPal-asiakas", voidaan pitää tietojenkalasteluyrityksenä [42] . Pankkien ja luottolaitosten kirjeet sisältävät usein osan tilinumerosta. Viimeaikaiset tutkimukset ovat kuitenkin osoittaneet [43] , että ihmiset eivät tee eroa tilin ensimmäisten ja viimeisten numeroiden välillä, kun taas ensimmäiset numerot voivat olla samat kaikille rahoituslaitoksen asiakkaille. Ihmisille voidaan selittää, että kaikki kirjeet, jotka eivät sisällä erityisiä henkilötietoja, ovat epäilyttäviä. Mutta vuoden 2006 alun tietojenkalasteluhyökkäykset sisälsivät tällaisia henkilökohtaisia tietoja , joten tällaisten tietojen läsnäolo ei takaa viestin turvallisuutta [44] . Lisäksi toisessa tutkimuksessa havaittiin, että henkilötietojen läsnäolo ei muuta merkittävästi tietojenkalasteluhyökkäysten onnistumisprosenttia, mikä osoittaa, että useimmat ihmiset eivät kiinnitä tällaisiin yksityiskohtiin lainkaan huomiota [45] .
Anti-phishing Task Force uskoo, että tavanomaiset tietojenkalastelutekniikat vanhenevat pian, kun ihmiset ovat tietoisempia tietojenkalastelujen käyttämästä sosiaalisesta manipulaatiosta [46] . Asiantuntijat uskovat, että tulevaisuudessa , pharming ja erilaiset haittaohjelmat ovat yleisempiä menetelmiä varastaa tietoa .
Toinen tapa torjua tietojenkalastelua on luoda luettelo phishing-sivustoista ja sitten tarkistaa sitä. Samanlainen järjestelmä on olemassa Internet Explorer , Mozilla Firefox , Google Chrome , Safari ja Opera [47] [48] [49] [50] selaimissa . Firefox käyttää Googlen tietojenkalastelun vastaista järjestelmää . Opera käyttää PhishTank- ja GeoTrust mustia listoja ja GeoTrustin poissulkemislistoja. Vuonna 2006 tehdyssä riippumattomassa tutkimuksessa Firefoxin havaittiin olevan tehokkaampi tietojenkalastelusivustojen havaitsemisessa kuin Internet Explorer [51] .
Vuonna 2006 ilmeni tekniikka, joka käyttää erityisiä DNS - palveluita, jotka suodattavat tunnetut phishing-osoitteet: tämä menetelmä toimii kaikilla selaimilla [52] ja on lähellä isäntätiedoston käyttöä mainosten estoon.
Valtuutusprosessin monimutkaisuusBank of America [ 53] [54] -sivusto kehottaa käyttäjiä valitsemaan henkilökohtaisen kuvan ja näyttää tämän käyttäjän valitseman kuvan jokaisen salasanan syöttölomakkeen yhteydessä. Ja pankkikäyttäjien tulee syöttää salasana vain, kun he näkevät valitun kuvan. Äskettäinen tutkimus kuitenkin osoitti, että kuvan puuttuminen ei estä useimpia käyttäjiä syöttämästä salasanaa [55] [56] .
Tietojenkalasteluviestien torjuntaErikoistuneet roskapostisuodattimet voivat vähentää käyttäjien vastaanottamien tietojenkalasteluviestien määrää. Tämä tekniikka perustuu koneoppimiseen ja luonnolliseen kielen käsittelyyn tietojenkalasteluviestien analysoinnissa [57] [58] .
ValvontapalvelutJotkut yritykset tarjoavat pankeille ja muille organisaatioille, jotka ovat mahdollisesti alttiita tietojenkalasteluhyökkäyksille, 24/7 seurantaa, analysointia ja apua tietojenkalastelusivustojen sulkemisessa [59] . Yksilöt voivat auttaa samanlaisia ryhmiä [60] (esim . PhishTank [61] ) ilmoittamalla tietojenkalastelutapauksista.
26. tammikuuta 2004 Yhdysvaltain liittovaltion kauppakomissio nosti ensimmäisen kanteensa tietojenkalastelusta epäiltyä vastaan. Syytettyä, teini-ikäistä Kaliforniasta , syytettiin AOL -sivustolta näyttävän verkkosivun luomisesta ja luottokorttitietojen varastamisesta [62] . Muut maat seurasivat esimerkkiä ja alkoivat etsiä ja pidättää tietojenkalasteluita. Näin ollen Valdir Paulo de Almeida, yhden suurimmista tietojenkalastelurikollisryhmistä , pidätettiin Brasiliassa , sillä hän varasti 18–37 miljoonaa Yhdysvaltain dollaria kahden vuoden aikana [63] . Kesäkuussa 2005 Yhdistyneen kuningaskunnan viranomaiset tuomitsi kaksi osallistujaa Internet-petoksesta [64] . Vuonna 2006 Japanin poliisi pidätti kahdeksan henkilöä epäiltyinä tietojenkalastelusta ja 100 miljoonan jenin (870 000 dollarin) varkaudesta [65] . Pidätykset jatkuivat vuonna 2006 - erikoisoperaation aikana FBI pidätti kuusitoistajäsenisen jengin Euroopassa ja Yhdysvalloissa [66] .
Yhdysvalloissa senaattori Patrick Lehi esitti 1. maaliskuuta 2005 kongressille luonnoksen Anti-phishing Act -laki . Jos tämä lakiehdotus hyväksyttäisiin, rikollisia, jotka luovat väärennettyjä verkkosivustoja ja lähettävät väärennettyjä sähköposteja, tuomittaisiin jopa 250 000 dollarin sakko ja jopa viiden vuoden vankeus [67] . Yhdistyneessä kuningaskunnassa säädettiin Fraud Act 2006 [68] , jonka mukaan petoksesta voidaan tuomita jopa 10 vuoden vankeusrangaistukseen ja kiellettiin tietojenkalastelutyökalujen hallussapito tai kehittäminen petosten tekemiseksi [69] .
Yritykset osallistuvat myös tietojenkalastelua vastaan. 31. maaliskuuta 2005 Microsoft nosti 117 kannetta Yhdysvaltain läntisen piirin käräjäoikeuteen, joissa syytettiin " John Doe " salasanojen ja luottamuksellisten tietojen hankkimisesta. Maaliskuussa 2005 alkoi Microsoftin ja Australian hallituksen välinen kumppanuus kouluttaakseen lainvalvontaviranomaisia selviytymään erilaisista verkkorikoksista, mukaan lukien tietojenkalastelu [70] .
Tammikuussa 2007 kalifornialainen Jeffrey Brett Goodin todettiin syylliseksi tuhansien sähköpostiviestien lähettämiseen America Online -käyttäjille AOL:n puolesta. Hän suostutteli asiakkaita paljastamaan luottamuksellisia tietoja. Hänet tuomittiin 70 kuukaudeksi vankeuteen [71] [72] [73] [74] , koska hänellä oli mahdollisuus saada 101 vuotta vankeutta lain rikkomisesta, petoksesta, luottokorttien luvattomasta käytöstä ja AOL- tavaramerkkien väärinkäytöstä .
Venäjän federaatiossa ensimmäinen suuri tapaus tietojenkalastelujoukkoa vastaan alkoi syyskuussa 2009 . Varovaisimpien arvioiden mukaan huijarit varastivat noin 6 miljoonaa ruplaa. Pahantekijöitä syytetään laittomasta pääsystä tietokonetietoihin ja huijauksesta erityisen suuressa koossa [75] . Erillisiä prosesseja on tapahtunut aiemminkin: esimerkiksi vuonna 2006 tuomioistuin tuomitsi Juri Sergostyantsin, joka osallistui rahan varastamiseen amerikkalaisten välitysyritysten tileiltä. Pettäjä tuomittiin 6 vuoden ehdolliseen vankeuteen ja yrityksille 3 miljoonan ruplan vahingonkorvauksiin [76] . Mutta yleisesti ottaen oikeudellinen taistelu Venäjällä rajoittuu vain pieniin oikeudenkäynteihin, jotka harvoin päättyvät vakaviin tuomioihin.
Sisäministeriön alaisen tietokoneinformaation ja korkean teknologian rikosten tutkintakomitean johtavan asiantuntijan, oikeus everstiluutnantti Igor Yakovlevin mukaan suurin ongelma tällaisten rikosten tutkinnassa Venäjällä on rikosten puute. asiantuntijoita, joilla on riittävät tiedot ja kokemus saattaakseen asian paitsi tuomioistuimen käsiteltäväksi myös ennen syytteen antamista [77] . Venäjän FSB:n tietoturvakeskuksen osaston päällikkö Sergei Mihailov lisää, että "Venäjällä on uskollisin lainsäädäntö tietoverkkorikollisuuden suhteen." Yhteistyö ulkomaisten rakenteiden kanssa on myös huonosti vakiintunutta, mikä vaikeuttaa koordinoitua taistelua rikollisia vastaan [78] .
Sanakirjat ja tietosanakirjat | |
---|---|
Bibliografisissa luetteloissa |
|