Рефе-фишшинг1. Реферат по дисциплине эпс На тему Фишинг Cултанов З. Ф студент группы пи411
Скачать 77.01 Kb.
|
1 2 МИНИСТЕРСТВО ОБРАЗОВАНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ТУЙМАЗИНСКИЙ ГОСУДАРСТВЕННЫЙ ЮРИДИЧЕСКИЙ КОЛЛЕДЖ РЕФЕРАТ По дисциплине «ЭПС» На тему: «Фишинг» Выполнил: Cултанов З.Ф Студент группы: ПИ-411 Проверил: Салимзиянова Ю.Т Туймазы 2019 Содержание ВВЕДЕНИЕ 3 1.История 4 1.1.Ранний фишинг на AOL 4 1.2. Переход к финансовым учреждениям 5 1.3. Фишинг сегодня 5 2.Техника фишинга 6 2.1.Социальная инженерия 6 2.2.Веб-ссылки 6 2.3.Обход фильтров 8 2.4.Веб-сайты 8 2.5.Новые угрозы 9 3.Борьба с фишингом 9 3.1.Обучение пользователей 10 3.2.Технические методы 11 11 3.2.1.Усложнение процедуры авторизации 11 3.2.2.Борьба с фишингом в почтовых сообщениях 12 3.2.3.Услуги мониторинга 12 3.3.Юридические меры 12 ЗАКЛЮЧЕНИЕ 14 Список литературы 15 ВВЕДЕНИЕФи́шинг (англ. phishing, от fishing — рыбная ловля, выуживание[1]) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков (Ситибанк, Альфа-банк), сервисов (Rambler, Mail.ru) или внутри социальных сетей (Facebook, Вконтакте, Одноклассники.ru). В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определенному сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам. Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее. Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг». ИсторияТехника фишинга была подробно описана в 1987 году, а сам термин появился 2 января 1996 года в новостной группе alt.online-service.America-Online сети Usenet, хотя возможно его более раннее упоминание в хакерском журнале 2600. Ранний фишинг на AOLФишинг на AOL тесно связан с варез-сообществом, занимавшимся распространением программного обеспечения с нарушением авторского права, мошенничеством с кредитными картами и другими сетевыми преступлениями. После того, как в 1995 году AOL приняла меры по предотвращению использования поддельных номеров кредитных карт, злоумышленники занялись фишингом для получения доступа к чужим аккаунтам[5]. Фишеры представлялись сотрудниками AOL и через программы мгновенного обмена сообщениями обращались к потенциальной жертве, пытаясь узнать её пароль[6]. Для того, чтобы убедить жертву, использовались такие фразы, как «подтверждение аккаунта», «подтверждение платёжной информации». Когда жертва говорила пароль, злоумышленник получал доступ к данным жертвы и использовал её аккаунт в мошеннических целях и при рассылке спама. Фишинг достиг таких масштабов, что AOL добавила ко всем своим сообщениям фразу: «Никто из работников AOL не спросит Ваш пароль или платёжную информацию». После 1997 года AOL ужесточила свою политику в отношении фишинга и вареза и разработала систему оперативного отключения мошеннических аккаунтов. В то же время многие фишеры, по большей части подростки, уже переросли свою привычку[7], и фишинг на серверах AOL постепенно сошёл на нет. 1.2. Переход к финансовым учреждениямЗахват учётных записей AOL, позволявший получить доступ к данным кредитной карты, показал, что платёжные системы и их пользователи также уязвимы. Первой известной попыткой стала атака на платёжную систему e-gold в июне 2001 года, второй стала атака, прошедшая вскоре после теракта 11 сентября[8]. Эти первые попытки были лишь экспериментом, проверкой возможностей. А уже в 2004 году фишинг стал наибольшей опасностью для компаний, и с тех пор он постоянно развивается и наращивает потенциал[9]. 1.3. Фишинг сегодняДиаграмма роста числа зафиксированных случаев фишинга Целью фишеров сегодня являются клиенты банков и электронных платёжных систем. В США, маскируясь под Службу внутренних доходов, фишеры собрали значительные данные о налогоплательщиках[10]. И если первые письма отправлялись случайно, в надежде на то, что они дойдут до клиентов нужного банка или сервиса, то сейчас фишеры могут определить, какими услугами пользуется жертва, и применять целенаправленную рассылку[11]. Часть последних фишинговых атак была направлена непосредственно на руководителей и иных людей, занимающих высокие посты в компаниях[12]. Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей[13]: в 2006 году компьютерный червь разместил на MySpace множество ссылок на фишинговые сайты, нацеленные на кражу регистрационных данных[14]; в мае 2008 года первый подобный червь распространился и в популярной российской сети ВКонтакте[15][16]. По оценкам специалистов, более 70 % фишинговых атак в социальных сетях — успешны[17]. Фишинг стремительно набирает свои обороты, а оценки ущерба сильно разнятся: по данным компании Gartner, в 2004 году жертвы фишеров потеряли 2,4 млрд долларов США[18], в 2006 году — ущерб составил 2,8 млрд долларов[19], в 2007 — 3,2 миллиарда[20]; в одних лишь Соединённых Штатах в 2004 году жертвами фишинга стали 3,5 миллиона человек[19], к 2008 году число пострадавших от фишинга в США возросло до 5 миллионов[21]. 1 2 |