„Adathalászat” változatai közötti eltérés

a
Lásd még fejezetcím módosítás az ajánlás szerint AWB
a (Visszaállítottam a lap korábbi változatát 195.199.204.201 (vita) szerkesztéséről Jávori István szerkesztésére)
Címke: Visszaállítás
a (Lásd még fejezetcím módosítás az ajánlás szerint AWB)
Az adathalászat legtöbb módja valamilyen technikai megtévesztést igényel, amelynek célja egy e-mailben található link létrehozása (és a hamisított weboldal, amelyhez vezet) úgy tűnik, hogy a hamisított szervezethez tartozik. A hibás URL-címek vagy az aldomainek használata a phishers által használt általános trükkök. A következő példa URL-ben, http://www.yourbank.example.com/{{Halott link|url=http://www.yourbank.example.com/ |date=2018-11 }}, úgy tűnik, mintha az URL a bank webhelyének példarészéhez vezetne; valójában ez az URL arra utal, hogy a példa weboldal "bankja" (azaz phishing) része. Egy másik közös trükk az, hogy a megjelenített szöveget egy linkre (az <A> címkék közötti szöveg) megbízható célpontot sugallnak, amikor a link ténylegesen a phishers weboldalához kapcsolódik. Számos asztali e-mail kliens és webböngésző megmutatja a link cél URL-jét az állapotsorban, miközben az egeret lebeg. Ez a viselkedés azonban bizonyos körülmények között felülírható a phisher által. Az egyenértékű mobilalkalmazások általában nem rendelkeznek ilyen előnézeti funkcióval.
 
Az URL-ekkel kapcsolatos további probléma a nemzetköziesített domainnevek (IDN) kezelése a webböngészőkben, amelyek lehetővé tehetik, hogy a vizuálisan azonos webcímek különböző, esetleg rosszindulatú webhelyeket eredményezzenek. A hibát körülvevő nyilvánosság, vagyis az IDN spoofing vagy a homográfus támadás néven ismert phishers hasonló kockázatot élvezhet, a megbízható szervezetek weboldalán nyílt URL-átirányítók használatával a rosszindulatú URL-eket egy megbízható domainre álcázza Még a digitális tanúsítványok sem oldják meg ezt a problémát, mert a phishernek lehetősége van egy érvényes tanúsítvány megvásárlására, majd a tartalom megváltoztatására a valódi weboldal hamisítására vagy a phish weboldal SSL nélkül történő fogadására.
 
===Szűrés elkerülése===
A támadó még hibákat is használhat egy megbízható webhely saját szkriptjeiben az áldozattal szemben. Ezek a típusú támadások (más néven cross-site scripting) különösen problémásak, mivel a felhasználókat a bankjukon vagy a szolgáltatás saját weboldalán jelentik be, ahol minden a webcímről a biztonsági tanúsítványokra helyes. A valóságban a weboldalra mutató linket úgy alakították ki, hogy elvégezze a támadást, ami nagyon nehéz észrevenni speciális tudás nélkül. Csak egy ilyen hibát használtak 2006-ban a PayPal ellen.
 
A 2007-ben felfedezett Univerzális Man-in-the-middle (MITM) adathalász készlet egy egyszerűen kezelhető felületet biztosít, amely lehetővé teszi a phisher számára, hogy meggyőzően reprodukálja a weboldalakat, és rögzítse a hamis weboldalon szereplő bejelentkezési adatokat.
 
Annak az adathalászat elleni technikáknak a megakadályozása érdekében, amelyek weboldalakat keresnek az adathalászattal kapcsolatos szövegekhez, a phishers elkezdett használni a Flash-alapú weboldalakat (ez a technika az ún. Ezek nagyon hasonlítanak az igazi weboldalra, de elrejtik a szöveget egy multimédiás objektumban.
Tegyük fel például, hogy az áldozat a Facebookval kezdődő rosszindulatú adathalász-linkre kattint. A Facebook egyik felbukkanó ablaka megkérdezi, hogy az áldozat engedélyezi-e az alkalmazást. Ha az áldozat úgy dönt, hogy felhatalmazza az alkalmazást, egy "tokent" küld a támadónak, és az áldozat személyes érzékeny információi ki vannak téve. Ezek az információk magukban foglalhatják az e-mail címet, a születési dátumot, a névjegyeket és a munkatörténetet. Abban az esetben, ha a "token" nagyobb jogosultsággal rendelkezik, a támadó még érzékenyebb információkat szerezhet, beleértve a postaládát, az online jelenlétet és a barátok listáját, ami még rosszabb: a támadó esetleg ellenőrizheti és működtetheti a felhasználói fiókot. hogy nem engedélyezi az alkalmazás engedélyezését, akkor továbbra is átirányítja a támadó által ellenőrzött webhelyre, ami még tovább veszélyeztetheti az áldozatot.
 
Ezt a sebezhetőséget Wang Jing, a Matematika Ph.D. a Nanyang Technológiai Egyetem Fizikai és Matematikai Tudományok Iskolájában Szingapúrban. A rejtett átirányítás figyelemre méltó biztonsági hiba, bár nem jelent veszélyt az internetre.
 
=== Szociális tervezés ===
 
=== Telefonos adathalászat ===
Nem minden adathalász támadásra van szükség hamis weboldalon. Azok az üzenetek, amelyek azt állították, hogy egy bankból származnak, azt mondták a felhasználóknak, hogy tárcsázzák a telefonszámukat a bankszámlájukkal kapcsolatos problémák miatt. Miután tárcsázta a telefonszámot (melyet a phisher tulajdonos ad és IP-szolgáltatással rendelkezik), a felhasználónak meg kell adnia fiókszámát és PIN-kódját. A Vishing (hangalapú adathalászat) néha hamis hívóazonosító adatokat használ, hogy megjelenjenek a hívások megbízható szervezetből. Az SMS-adathalászok mobiltelefonos szöveges üzeneteket használnak arra, hogy ösztönözzék az embereket személyes adataik közzétételére.
 
=== Egyéb technikák ===
2007 januárjában a kaliforniai Jeffrey Brett Goodin lett az első alperes, akit 2003-ban a CAN-SPAM törvény rendelkezései alapján a zsűri elítéltek. Bűnösnek találták, hogy több ezer e-mailt küldtek az America Online felhasználóknak, miközben az AOL számlázási részlegét jelentette, ami arra késztette az ügyfeleket, hogy nyújtsanak be személyes és hitelkártya-információkat. Az esetleges 101 év börtönbüntetésre a CAN-SPAM megsértése miatt és tíz másik számlán, beleértve a vezetékes csalást, a hitelkártyák jogosulatlan felhasználását és az AOL védjegyének visszaélését, 70 hónapot ítéltek el. Goodin az őrizetben volt, mivel nem jelent meg egy korábbi bírósági tárgyaláson, és azonnal elkezdte a börtönbüntetést.
 
== LásdKapcsolódó mégszócikkek ==
* [[Informatikai biztonság]]
 
53 421

szerkesztés