реферат по безопасност и защита на Microsoft мрежи и приложения на тема Googl...
Inf 11509 11827
1. Икономически университет – Варна
Център „Магистърско обучение“
РЕФЕРАТ
по дисциплина:
Електронен бизнес – 2 част
на тема:
Опасности и заплахи за потребителите на Интернет банкирането
Разработили: Проверил:
Диляна Петрова, ф.н. 11509 Доц. д-р. С. Парушева
Елис Ахмедова, ф.н. 11827
5курс, 61група, сп. Информатика
Варна, 2014г.
2. С т р а н и ц а | 2
Съдържание
Въведение..........................................................................................................3
1. Същност на интернет заплахата „Phishing“ и видове ............................4
2. Реализиране на фишинг атака ..................................................................6
3. Анти-фишинг техники...............................................................................7
Заключение .......................................................................................................9
Използвана литература..................................................................................10
3. С т р а н и ц а | 3
Въведение
Идеята за интернет банкиране се осъществява за пръв път от
Nottingham Building Society в Англия още през 1993г. чрез система,
наречена „Homelink“. Тази система позволява онлайн сведения за
финансови отчети, банкови трансфери и транзакции по сметки.1
Днес всяка
една банка предлага една или няколко системи за интернет банкиране,
които осигуряват редица удобства – възможност клиентът да получи
достъп до сметката си денонощно, дори и през почивните дни, възможност
за управление на всички сметки от едно място и много други възможности.
Наред с предимствата, които осигурява интернет банкирането се отличават
и недостатъци, от които главният е сигурността на потребителите.
Сигурността на потребителите се превръща в една все по-трудно
осъществима задача, тъй като непрекъснато се появяват нови интернет
заплахи, застрашаващи техните сметки. Някои от основните заплахи, които
стоят пред потребителите на интернет банкиране са кражба на
самоличност и източване на финансови активи от банкови сметки.
Съществуват многобройни начини за кражба на лични данни или
пари от банкови сметки. Един от тях е чрез използване на злонамерен
софтуер Keyloggers, който запомня всяко натискане на клавиш и по този
начин измамниците се сдобиват с данните на жертвата. Кражба на лични
данни се осъществява и чрез интернет заплахата Phishing, при който
измамниците използват фалшиви сайтове и фалшиви имейли. Друг
известен способ е така наречения Pharming механизъм, който се реализира
чрез фалшиви уеб сайтове, чрез т.нар. „DNS poisoning” атака или чрез
промяна на „hosts“ файла в компютъра на потърпевшия. Атаките Spoofing,
Sniffing, Man-in-the-middle са също предпочитани от измамниците.
Съществуват и още много други видове интернет заплахи, застрашаващи
сигурността на потребителите на електронното банкиране.
В този реферат ще разгледаме по-подробно интернет заплахата,
наречена „фишинг“ и по-конкретно ще се насочим върху:
същността на фишинг измамата;
1
Електронно банкиране,
http://bg.wikipedia.org/wiki/%D0%95%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%BD%D0%BD%
D0%BE_%D0%B1%D0%B0%D0%BD%D0%BA%D0%B8%D1%80%D0%B0%D0%BD%D0%B5, 20.04.2014
4. С т р а н и ц а | 4
видовете фишинг измами, които измамниците реализират за
постигане на целите си;
стъпките, които фишерите следват за реализиране на фишинг
атака, както и методите, чрез които може да се осъществи фишинг;
анти-фишинг, т.е. какво трябва да предприемем, за да се
защитим от този вид измама.
1. Същност на интернет заплахата „Phishing“ и видове
Социалното инженерство2
представлява техника, която използва
психологически методи, като например естествената за човека склонност
да се доверява, с цел реализиране на кражба на лична и финансова
информация. Една от най-разпространените форми на социалното
инженерство е онлайн измамата фишинг (phishing), чрез която
измамниците, наричани още и фишери (phishers), правят опити за
получаване на поверителна информация от физически лица или
организация.3
Терминът „phishing“ произлиза от английската дума „fishing –
риболов“, а значението на двете думи е идентично с разликата, че фишерът
има за цел да улови информация от потребителите. Смяната на буквата „f“
с „ph“ се дължи на факта, че повечето от думите, започващи с „f“, в
хакерската терминология се заменят с „ph“, защото най-ранните хакери са
били известни като „phreaks“, което идва от оригиналната форма на
хакване на телефонни системи – „phreaking“.4
Основна мишена за фишерите са банките и техните клиенти, тъй
като точно те разполагат с най-много парични средства. Фишерите се
опитват да получат поверителна информация като ЕГН, потребителско име
и парола, номера на кредитни карти от клиентите на съответната банка.
Най-често за целта се използват фалшиви електронни съобщения, които
фишерите изпращат от името на банката и фалшиви сайтове,
наподобяващи структурата и дизайна на оригиналния сайт на банката.5
2
Социално инженерство, http://elearningbg.wordpress.com/2010/09/09/социално-инженерство/,
20.04.2014
3
Myers S., Jakobsson M., Phishing and Countermeasures, 21.04.2014
4
Name origins, http://www.phishing.org/history-of-phishing/, 21.04.2014
5
Bank Phishing Scams, http://www.phishing.org/scams/bank-phishing/, 21.04.2014
5. С т р а н и ц а | 5
Основните видове фишинг6
, които хакерите реализират за
получаване на конфиденциална информация от потребителите на интернет
и най-вече от потребителите на интернет банкирането са:
Clone фишинг;
Spear фишинг;
Китоловен (whaling) фишинг;
Телефонен фишинг (Vishing).
При първият вид фишинг измамниците си служат с електронните
съобщения, които дадена институция изпраща. Фишерите използват
съдържанието и адресите на получателите от оригиналното съобщение, но
заедно с това поставят в съобщението връзки към фалшиви сайтове и
прикачени файлове. След като писмото е подправено, то отново се
изпраща до съответните адреси от оригиналното писмо.
Spear фишинг е фишинг, при който съобщенията не се изпращат на
случаен принцип, а на конкретни лица или институции. Съобщенията,
които получават жертвите, изглеждат сигурни, тъй като са изпратени от
името на почтена институция, но всъщност те са в помощ на хакерите за
получaване на поверителна информация.
Фишингът whaling7
или китоловен фишинг е подобен на spear
фишинга, но тук целта на фишерите е да измамят лица, които са на по-
високи позиции в дадена институция – мениджъри, банкери, ръководители
и други. За целта измамниците правят опити за достъп до специфични
мрежи, където се съхранява поверителната информация, използват
зловреден софтуер и много други средства за реализирането на този вид
фишинг.
Към телефонният фишинг се отнасят електронни съобщения,
съдържащи телефонен номер за връзка. Измамниците се опитват да убедят
потребителите да се свържат с него, поради възникнал проблем с техните
сметки в дадена банка. За целта фишерите използват услугата VoIP (Voice
over Internet Protocol), чрез която те изискват от потребителя да въведе
поверителна информация.
6
Junxiao S., Saleem S., Phishing, 21.04.2014
7
Whaling, http://www.techopedia.com/definition/28643/whaling, 21.04.2014
6. С т р а н и ц а | 6
2. Реализиране на фишинг атака
Чрез онлайн измамата фишинг, фишерите имат за цел да подведат
колкото се може повече потребители на интернет банкирането и да
получат поверителната им информация. Преди да пристъпят към процеса
на фишинг, измамниците планират към коя финансова институция да се
насочат и по какъв начин да се сдобият с имейл адресите на нейните
клиенти. За целта често измамниците използват техниката „mass-mailing“
или други техники за събиране на имейл адреси. След като измамниците
разполагат с необходимите адреси, те се насочват към реализирането на
фишинг атаката.
Най-често фишинг атаката се реализират чрез електронни
съобщения, фалшиви уеб сайтове и зловреден софтуер. Основните стъпки
и начини8
за реализирането и са:
1. Фишерите изпращат електронни съобщения до потребителите
на интернет банкирането, като се представят като служители на
съответната банка и обикновено изискват от жертвите да действат
бързо, като щракнат върху посочения линк или като си изтеглят
прикачения файл.
2. След като жертвата кликне върху линка се зарежда уеб сайт,
където от него се изисква да влезе в съществуващ акаунт или да
попълни във уеб форма своята лична информация.
3. Информацията се предоставя на измамниците.
4. Освен чрез уеб форми, фишерите могат да получат
информацията и чрез зловреден софтуер. Например при зареждане
на уеб страницата, към която препраща линка от съобщението или
чрез прикачен файл към него, има опасност от инсталиране на
зловреден софтуер на компютъра на получателя. Чрез този зловреден
софтуер измамниците могат да наблюдават действията, които
жертвата извършва и така те да получат поверителната информация.
5. Зловредният софтуер може също да се използва за автоматично
изпращане на съобщенията до жертвите или да превърне техните
компютри в част от „Botnet“ мрежа, която представлява мрежа от
заразени компютри.
8
Lorrie Faith Cranor, Can Phishing Be Foiled, 22.04.2014
7. С т р а н и ц а | 7
6. След получаване на информацията от клиентите на банката, тя
се използва от фишерите за кражба на самоличност и пари.
Фиг. 1 Реализиране на фишинг атака9
Независимо от това какъв е видът на реализираната фишинг измама,
целта на фишерите е една и съща – получаване на поверителна
информация за извършване на незаконни действия. За намаляване на
фишинг атаките е добре да се спазват някои анти-фишинг техники, както
от страна на служителите на банките, така и от страна на техните клиенти.
3. Анти-фишинг техники
Наред с фишинг техниките, които използват измамниците за
реализиране на фишинг, съществуват и анти-фишинг техники10,11
за борба
с тази интернет измама. Препоръчват се следните видове анти-фишинг
техники:
9
Lorrie Faith Cranor, Can Phishing Be Foiled, 22.04.2014
10
Anti-Phishing Techniques, http://www.phishing.org/what-is-phishing/, 23.04.2014
11
Съвети за избягване на фишинг измамите, http://www.cybercrime.bg/bg/internet/e19df9/, 23.04.2014
8. С т р а н и ц а | 8
За защита от спам съобщения е препоръчително да се
използват спам филтри. Чрез тях се определя произхода на съобщението и
софтуера, който се използва за неговото изпращане. Потребителите трябва
да знаят също, че тези филтри не винаги работят на 100%, защото понякога
могат да блокират и съобщения, изпратени от законните източници.
Настройките на браузъра трябва да се променят, така че той да
предотврати зареждането на фалшиви уеб сайтове. Обикновено браузърите
поддържат списък с фалшиви уеб сайтове и при опит за зареждане на сайт
от този списък, адресът е блокиран или се появява предупредително
съобщение.
За да се гарантира сигурността на клиентите на дадена банка
при използване на интернет банкиране е добре да им се даде възможност за
смяна на парола и в сайта да се използва система CAPTCHA.
За да предпазят клиентите си от фишинг, банките е добре да
публикуват информация за тази измама в сайтовете си, както и изрично да
потвърдят, че никога няма да поискат личните им данни чрез електронно
съобщение или по телефона.
Банките трябва да предоставят обучение за разпознаване на
фишинг имейли и сайтове за своите служители. Това може да се осъществи
например чрез анти-фишинг игрите12
Phyllis за разпознаване на фалшиви
имейли и Phil за разпознаване на фалшиви сайтове, разработени от
организацията Wombat Security.
Потребителите на интернет банкирането винаги трябва да
проверяват адреса на линка от съобщението. Сайтовете, в които се
предоставя поверителна информация винаги са защитени и започват с
HTTPS, а фалшивите уеб сайтове започват с HTTP. Ако потребителите се
съмняват в изпратеното писмо, най-добре е да се свържат със съответната
банка или да въведат ръчно адреса на сайта в браузъра.
Потребителите също трябва да се съмняват от сайтовете с лошо
качество. Обикновено фишинг сайтовете са със слаба резолюция, тъй като
те са създадени набързо и за кратко време (за около 5-6 дни). Ако логото
не е с добро качество или текстът не е добре оформен, то тогава е редно да
се съмнявате от сайта.
Измамниците могат да фалшифицират и изображението на
катинара, който дава знак, че сайтът е безопасен. Той показва
сертификатът за сигурност на уеб сайта. Ако обаче има предупреждение,
12
Anti-Phishing, http://www.wombatsecurity.com/anti-phishing-demo, 23.04.2014
9. С т р а н и ц а | 9
че адресът на сайта не отговаря на този сертификат, то тогава този сайт е
фалшив.
Потребителите никога не трябва да въвеждат своите лични
данни в уеб форма, която е вградена в изпратеното съобщение.
Препоръчително е потребителите да не зареждат
линка/линковете директно от съобщението, а ръчно да въведат адреса на
сайта на банката в уеб браузъра си. Това е необходимо, защото понякога
фишерите поставят в съобщението адреса на оригиналният сайт, но
всъщност той води към фалшивия.
Потребителите е добре да използват и допълнителни средства
за защита – защитна стена, антивирусна система, анти-фишинг софтуер,
тъй като някои от електронните съобщения могат да съдържат и зловреден
софтуер. Необходимо е също потребителят постоянно да обновява
програмите, които използва за да избегне фишинг атаките.
Препоръчително е клиентите и служителите да докладват, в
случай, че станат жертва на фишинг измама или на други видове интернет
измами, с цел намаляване на техния процента.
Заключение
Фишингът е бързо и непрекъснато развиваща се измама и става все
по-сериозна заплаха за потребителите на интернет и особено за тези от тях,
които използват интернет банкиране. Затова потребителите, както и
банките и техните служители трябва да се отнесат по-сериозно към нея и
да спазват необходимите препоръки, които изброихме в реферата, с цел да
се намали броя на фишинг атаките.
10. С т р а н и ц а | 10
Използвана литература
1. Myers S., Jakobsson M., Phishing and Countermeasures, 21.04.2014
2. Lorrie Faith Cranor, Can Phishing Be Foiled, 22.04.2014
3. Junxiao S., Saleem S., Phishing, 21.04.2014
4. Електронно банкиране,
http://bg.wikipedia.org/wiki/%D0%95%D0%BB%D0%B5%D0%BA%D
1%82%D1%80%D0%BE%D0%BD%D0%BD%D0%BE_%D0%B1%D0
%B0%D0%BD%D0%BA%D0%B8%D1%80%D0%B0%D0%BD%D0%
B5, 20.04.2014
5. Социално инженерство,
http://elearningbg.wordpress.com/2010/09/09/социално-инженерство/,
20.04.2014
6. Съвети за избягване на фишинг измамите,
http://www.cybercrime.bg/bg/internet/e19df9/, 23.04.2014
7. Name origins, http://www.phishing.org/history-of-phishing/, 21.04.2014
8. Bank Phishing Scams, http://www.phishing.org/scams/bank-phishing/,
21.04.2014
9. Whaling, http://www.techopedia.com/definition/28643/whaling,
21.04.2014
10.Anti-Phishing Techniques, http://www.phishing.org/what-is-phishing/,
23.04.2014
11.Anti-Phishing, http://www.wombatsecurity.com/anti-phishing-demo,
23.04.2014