Phishing

Phishing (pecanje) jest pokušaj da se dobiju osjetljive informacije kao što su korisnička imena, lozinke i podaci o kreditnoj kartici, prikrivajući se kao pouzdan entitet u elektronskoj komunikaciji.^[1][2] Obično se to radi putem email spoofing-a^[3] ili direktnih poruka,^[4] tako što se korisnik uputi na lažno mjesto koje može biti slično stvarnoj stranici (npr. Paypal stranica), ali je ustvari pod kontrolog prevaranta koji će tako doći do osjetljivih podataka.^[5]

Primjer phishing e-pošte, prerušen u službenu e-poštu iz (fiktivne) banke. Pošiljalac pokušava da prevari primaoca u otkrivanju povjerljivih informacija tako da ga "potvrdi" svoj račun.

Phishing je primjer socijalnog inženjeringa koji se koristi za obmanjivanje korisnika.

Sama riječ je neologizam od ribolova (eng. fishing)

Tehnike

Tipovi pecanja

Spear phishing

Ovakvi pokušaji pecanja su usmjereni na određene pojedince ili firme.^[6] Napadači tako ciljano prikupljaju i koriste lične informacije svoje mete, da bi ostvarili veću vjerovatnoću uspjeha.^{[7][8][9][10]}

Clone phishing

Ovakva vrsta iskorištava već postojeći email, koji napadač može uzeti, klonirati, i napraviti skoro identičan mail. Tako žrtva misli da je email legitiman jer izgleda isto kao i original. Napadač tako može usmjeriti svoju žrtvu na lažne linkove.

Whaling

Termin whaling (bos. kitolov) isto je što i spear phishing, ali su mete na višim položajima.^[11] U tim slučajevima, sadržaj će biti izrađen tako da cilja na višeg menadžera.

Anti-phishing

Firme i osobe mogu koristiti više načina da se odbrane.

 

Firefox 2.0.0.1 Phishing sumnjivo upozorenje

Obuka korisnika

Ljudi mogu biti obučeni da prepoznaju pokušaje phishinga. To može biti korisno, posebno tamo gdje obuka naglašava konceptualno znanje^[12] i pruža direktnu povratnu informaciju.^[13][14]

Korisnik mora biti oprezan u situacijama kada se kontaktira o računu koji treba da bude "verifikovan". Također, bolje je da direktno odete na stranicu na koju se želite prijaviti, neko da kliknete na link u nekoj poruci ili emailu.^[15]

Neke kompanije, npr. PayPal, uvijek se obraćaju svojim klijentima putem korisničkog imena u e-porukama, tako da ako se primjeti da rečenica počinje sa ("Dragi PayPal korisniče"), to je vjerovatno pokušaj phishinga.^[16]

Tehnički pristupi

Preglednici koji upozoravaju korisnike na lažne web-lokacije

Još jedan popularan pristup borbi protiv phishinga je održavanje liste poznatih phishing lokacija i provjera web stranice u odnosu na listu. Internetski preglednici kao što su Google Chrome, Internet Explorer, Mozilla Firefox , Safari i Opera sadrže ovu vrstu anti-phishing mjera.^{[17][18][19][20][21]}

Filtriranje pošte

Specijalizovani filteri za neželjenu poštu mogu smanjiti broj phishing e-poruka koje pristignu u poštanski sandučić. Ovi pristupi se oslanjaju na Mašinsko učenje^[22]

Reference

1. Ramzan, Zulfikar (2010). "Phishing attacks and countermeasures". u Stamp, Mark & Stavroulakis, Peter (ured.). Handbook of Information and Communication Security. Springer. ISBN 978-3-642-04117-4.
2. Van der Merwe, A J, Loock, M, Dabrowski, M. (2005), Characteristics and Responsibilities involved in a Phishing Attack, Winter International Symposium on Information and Communication Technologies, Cape Town, January 2005.
3. "Landing another blow against email phishing (Google Online Security Blog)". Pristupljeno 21. 6. 2012.
4. Tan, Koontorm Center. "Phishing and Spamming via IM (SPIM)". Pristupljeno 5. 12. 2006.
5. "What is Phishing?". 14. 8. 2016. Arhivirano s originala, 16. 10. 2016.
6. "Spear phishing". Windows IT Pro Center. Pristupljeno 4. 3. 2019.
7. Stephenson, Debbie (30. 5. 2013). "Spear Phishing: Who's Getting Caught?". Firmex. Pristupljeno 27. 7. 2014.
8. "NSA/GCHQ Hacking Gets Personal: Belgian Cryptographer Targeted". Info Security magazine. 3. 2. 2018. Pristupljeno 10. 9. 2018.
9. Leyden, John (4. 4. 2011). "RSA explains how attackers breached its systems". The Register. Pristupljeno 10. 9. 2018.
10. Winterford, Brett (7. 4. 2011). "Epsilon breach used four-month-old attack". itnews.com.au. itnews.com.au. Pristupljeno 10. 9. 2018.
11. "Fake subpoenas harpoon 2,100 corporate fat cats". The Register. Arhivirano s originala, 31. 1. 2011. Pristupljeno 17. 4. 2008.
12. Arachchilage, Nalin; Love, Steve; Scott, Michael (1. 6. 2012). "Designing a Mobile Game to Teach Conceptual Knowledge of Avoiding 'Phishing Attacks'". International Journal for E-Learning Security. 2 (1): 127–132. doi:10.20533/ijels.2046.4568.2012.0016. Pristupljeno 1. 4. 2016.
13. Ponnurangam Kumaraguru; Yong Woo Rhee; Alessandro Acquisti; Lorrie Cranor; Jason Hong; Elizabeth Nunge (novembar 2006). "Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System" (PDF). Technical Report CMU-CyLab-06-017, CyLab, Carnegie Mellon University. Arhivirano s originala (PDF), 30. 1. 2007. Pristupljeno 14. 11. 2006.
14. Perrault, Evan K. (23. 3. 2017). "Using an Interactive Online Quiz to Recalibrate College Students' Attitudes and Behavioral Intentions About Phishing". Journal of Educational Computing Research (jezik: engleski). 55 (8): 1154–1167. doi:10.1177/0735633117699232.
15. "Anti-Phishing Tips You Should Not Follow". HexView. Arhivirano s originala, 20. 3. 2008. Pristupljeno 19. 6. 2006.
16. "Protect Yourself from Fraudulent Emails". PayPal. Arhivirano s originala, 6. 4. 2011. Pristupljeno 7. 7. 2006.
17. "Safe Browsing (Google Online Security Blog)". Pristupljeno 21. 6. 2012.
18. Franco, Rob. "Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers". IEBlog. Arhivirano s originala, 17. 1. 2010. Pristupljeno 20. 5. 2006.
19. "Bon Echo Anti-Phishing". Mozilla. Arhivirano s originala, 23. 8. 2011. Pristupljeno 2. 6. 2006.
20. "Safari 3.2 finally gains phishing protection". Ars Technica. 13. 11. 2008. Arhivirano s originala, 23. 8. 2011. Pristupljeno 15. 11. 2008.
21. "Gone Phishing: Evaluating Anti-Phishing Tools for Windows". 3Sharp. 27. 9. 2006. Arhivirano s originala, 14. 1. 2008. Pristupljeno 20. 10. 2006.
22. Cleber K., Olivo, Altair O., Santin, Luiz S., Oliveira (juli 2011). "Obtaining the Threat Model for E-mail Phishing". Applied Soft Computing. 13 (12): 4841–4848. doi:10.1016/j.asoc.2011.06.016.

Vanjski linkovi

• Radna grupa za borbu protiv phishinga
• Centar za upravljanje identitetom i zaštitu informacija - Koledž Utica
• Uključivanje "phishing" rupe: zakonodavstvo protiv tehnologije Arhivirano 28. 12. 2005. na Wayback Machine - Duke Law & Technology Review
• Know Your Enemy: Phishing - studija slučaja projekta Honeynet
• Profitabilni Endeavour: Phishing kao Tragedija Commons - Microsoft Corporation
• Baza podataka za informacije o phishing lokacijama koje je objavila javnost - PhishTank
• Uticaj podsticaja na obaveštenja i uzimanje - kompjuterska laboratorija, Univerzitet u Kembridžu (PDF, 344   kB)