Εισαγωγικά θέματα www Phishing Βλαχάκου Σταυρούλα ΜΠΣ Δυνητικές κοινότητες – Πάντειο Πανεπιστήμιο
Phishing Phishing: Το phishing είναι μια σχετικά καινούργια μέθοδος υποκλοπής προσωπικών στοιχείων αξιοποιήσιμων για μη εξουσιοδοτημένες /παράνομες οικονομικές συναλλαγές στο Διαδίκτυο. Phishing: Το phishing είναι μια σχετικά καινούργια μέθοδος υποκλοπής προσωπικών στοιχείων αξιοποιήσιμων για μη εξουσιοδοτημένες /παράνομες οικονομικές συναλλαγές στο Διαδίκτυο. Εμφάνιση: 1/1996, AOL (America OnLine) – κυρίως για υποκλοπή , αργότερα για οικονομικές πληροφορίες Εμφάνιση: 1/1996, AOL (America OnLine) – κυρίως για υποκλοπή , αργότερα για οικονομικές πληροφορίες eBay, PayPal έχουν δεχθεί τις περισσότερες επιθέσεις eBay, PayPal έχουν δεχθεί τις περισσότερες επιθέσεις Έμμεσα και άμεσα οικονομικά αποτελέσματα Έμμεσα και άμεσα οικονομικά αποτελέσματα όχι ερασιτέχνες αλλά καλά οργανωμένο οικονομικό έγκλημα όχι ερασιτέχνες αλλά καλά οργανωμένο οικονομικό έγκλημα «χρόνος ζωής» ενός phishing site από μερικές ώρες ως λίγες μέρες «χρόνος ζωής» ενός phishing site από μερικές ώρες ως λίγες μέρες
Στατιστικά στοιχεία (1)
Στατιστικά στοιχεία (2)
Στατιστικά στοιχεία (3)
Τύποι Phishing επίθεσης Αποστολή που περιέχουν links που οδηγούν σε άλλα sites από αυτά που πιστεύει ο χρήστης Αποστολή που περιέχουν links που οδηγούν σε άλλα sites από αυτά που πιστεύει ο χρήστης Malware based-phishing Malware based-phishing Keyloggers & screenloggers Keyloggers & screenloggers Web trojans Web trojans Κλοπή δεδομένων από τον υπολογιστή του χρήστη Κλοπή δεδομένων από τον υπολογιστή του χρήστη DNS – Based phishing DNS – Based phishing Μόλυνση νόμιμης ιστοσελίδας Μόλυνση νόμιμης ιστοσελίδας Παρεμβολή τρίτου ανάμεσα στο χρήστη και το νόμιμο site Παρεμβολή τρίτου ανάμεσα στο χρήστη και το νόμιμο site Phishing μέσω μηχανών αναζήτησης Phishing μέσω μηχανών αναζήτησης
Βήματα μιας επίθεσης phishing
Βήμα 0 Ο phisher προετοιμάζει την επίθεση (πχ κατοχυρώνει domain name) Ο phisher προετοιμάζει την επίθεση (πχ κατοχυρώνει domain name) Τρόποι πρόληψης (από τον οργανισμό): Τρόποι πρόληψης (από τον οργανισμό): Κατοχύρωση παρεμφερών domain και εμπορικών σημάτων Κατοχύρωση παρεμφερών domain και εμπορικών σημάτων Παρακολούθηση των αιτημάτων των πελατών Παρακολούθηση των αιτημάτων των πελατών Μη αποστολή που περιέχουν links στους πελάτες Μη αποστολή που περιέχουν links στους πελάτες
Βήμα 1 Ο χρήστης δέχεται υλικό που μπορεί να τον βλάψει ( , ιός, link που τον οδηγεί σε άλλο site) Ο χρήστης δέχεται υλικό που μπορεί να τον βλάψει ( , ιός, link που τον οδηγεί σε άλλο site) Τρόποι πρόληψης: Τρόποι πρόληψης: Χρήση ψηφιακής υπογραφής από τον οργανισμό Χρήση ψηφιακής υπογραφής από τον οργανισμό Λήψη όλων των δυνατών μέτρων ασφαλείας από τον χρήστη Λήψη όλων των δυνατών μέτρων ασφαλείας από τον χρήστη
Τυπικό Phishing μήνυμα
Παράδειγμα phishing site
Βήμα 2 Ο χρήστης επισκέπτεται μια «επικίνδυνη» σελίδα όπου μπορεί αν δώσει εμπιστευτικές πληροφορίες Ο χρήστης επισκέπτεται μια «επικίνδυνη» σελίδα όπου μπορεί αν δώσει εμπιστευτικές πληροφορίες Τρόποι πρόληψης και αντιμετώπισης: Τρόποι πρόληψης και αντιμετώπισης: Εκπαίδευση του χρήστη να μην χρησιμοποιεί links που υπάρχουν σε , να επιβεβαιώνει ότι το domain είναι σωστό Εκπαίδευση του χρήστη να μην χρησιμοποιεί links που υπάρχουν σε , να επιβεβαιώνει ότι το domain είναι σωστό Επιβεβαίωση ότι χρησιμοποιείται το SSL Επιβεβαίωση ότι χρησιμοποιείται το SSL Χρήση προσωποποιημένων πληροφοριών στα Χρήση προσωποποιημένων πληροφοριών στα Εφαρμογή μέτρων ασφαλείας από τον οργανισμό (πχ έλεγχος της πρόσβασης στα images) Εφαρμογή μέτρων ασφαλείας από τον οργανισμό (πχ έλεγχος της πρόσβασης στα images)
Βήμα 3 Ο χρήστης ενθαρρύνεται να δώσει εμπιστευτικές πληροφορίες στο μη νόμιμο site Ο χρήστης ενθαρρύνεται να δώσει εμπιστευτικές πληροφορίες στο μη νόμιμο site Τρόποι πρόληψης: Τρόποι πρόληψης: Φιλτράρισμα των cross-site scripting (από τον οργανισμό) Φιλτράρισμα των cross-site scripting (από τον οργανισμό)
Βήμα 4 Ο χρήστης δίνει εμπιστευτικές πληροφορίες σε μη νόμιμο site Ο χρήστης δίνει εμπιστευτικές πληροφορίες σε μη νόμιμο site Τρόποι πρόληψης: Τρόποι πρόληψης: Antipfishing toolbars Antipfishing toolbars Οι οργανισμοί να υιοθετήσουν screen data entring Οι οργανισμοί να υιοθετήσουν screen data entring Αμοιβαία αυθεντικοποίηση χρήστη και οργανισμού Αμοιβαία αυθεντικοποίηση χρήστη και οργανισμού Καλή συνεργασία μεταξύ spam filters, clients και browsers Καλή συνεργασία μεταξύ spam filters, clients και browsers Χρήση trusted paths για την αποστολή εμπιστευτικών στοιχείων Χρήση trusted paths για την αποστολή εμπιστευτικών στοιχείων
Antiphishing toolbars
Trusted path
Βήμα 5 Ο phisher παίρνει τις εμπιστευτικές πληροφορίες Ο phisher παίρνει τις εμπιστευτικές πληροφορίες Τρόπος αντιμετώπισης: Τρόπος αντιμετώπισης: Ο όσο πιο γρήγορος εντοπισμός του phishing server και κλείσιμο του Ο όσο πιο γρήγορος εντοπισμός του phishing server και κλείσιμο του
Βήμα 6 Ο phisher χρησιμοποιεί τις εμπιστευτικές πληροφορίες για πρόσβαση στον οργανισμό Ο phisher χρησιμοποιεί τις εμπιστευτικές πληροφορίες για πρόσβαση στον οργανισμό Τρόποι πρόληψης: Τρόποι πρόληψης: Ο οργανισμός να απαιτεί αυθεντικοποίηση 2 παραγόντων (να ελέγχει 2 από τα 3 παρακάτω στοιχεία) Ο οργανισμός να απαιτεί αυθεντικοποίηση 2 παραγόντων (να ελέγχει 2 από τα 3 παρακάτω στοιχεία) Τι είσαι (πχ βιομετρικά δεδομένα) Τι είσαι (πχ βιομετρικά δεδομένα) Τι έχεις (πχ smartcard) Τι έχεις (πχ smartcard) Τι ξέρεις (password) Τι ξέρεις (password) Δύσκολο στην εφαρμογή του αν και αποτελεσματικό Αυθεντικοποίηση συγκεκριμένου υπολογιστή Αυθεντικοποίηση συγκεκριμένου υπολογιστή Τηλεφωνική επιβεβαίωση Τηλεφωνική επιβεβαίωση Password hashing Password hashing
Βήμα 7 Ο χρήστης καρπούται το οικονομικό όφελος από τον οργανισμό Ο χρήστης καρπούται το οικονομικό όφελος από τον οργανισμό Τρόποι αντιμετώπισης: Τρόποι αντιμετώπισης: Οι οργανισμοί καθυστερούν τη μεταφορά χρημάτων σε ορισμένες περιπτώσεις συναλλαγής Οι οργανισμοί καθυστερούν τη μεταφορά χρημάτων σε ορισμένες περιπτώσεις συναλλαγής Χρήση νομικών μέτρων προστασίας Χρήση νομικών μέτρων προστασίας
Συμπεράσματα Οι οργανισμοί θα πρέπει να λαμβάνουν όλα τα δυνατά μέτρα προστασίας για ασφαλείς συναλλαγές αλλά και οι χρήστες θα πρέπει να μάθουν να προστατεύονται Οι οργανισμοί θα πρέπει να λαμβάνουν όλα τα δυνατά μέτρα προστασίας για ασφαλείς συναλλαγές αλλά και οι χρήστες θα πρέπει να μάθουν να προστατεύονται
Πηγές online.gr/ebusiness/specials/article.html?article_id= online.gr/ebusiness/specials/article.html?article_id= online.gr/ebusiness/specials/article.html?article_id= online.gr/ebusiness/specials/article.html?article_id=1326 Online Identity Theft: Phishing Technology, Chokepoints and Counermeasures by Aaron Emigh, 2005 Online Identity Theft: Phishing Technology, Chokepoints and Counermeasures by Aaron Emigh, 2005