This page has been robot translated, sorry for typos if any. Original content here.

Internet-Phishing et ses méthodes de protection

Фишинг (Phishing)

Le phishing est la forme de fraude la plus répandue sur le Web. Les cybercriminels utilisent des sites Web frauduleux, des intercepteurs de clavier, des messages électroniques compilés selon les règles de l'ingénierie sociale, etc. Chaque jour, ces méthodes deviennent plus diverses et dangereuses.

Phishing , selon la définition de Dr. Le Web est une technologie de fraude en ligne qui consiste à voler des informations personnelles personnelles, par exemple des données d’identité et de carte bancaire, à accéder à des mots de passe, etc. Les victimes potentielles sont envoyées par courrier organisations. Dans ces lettres, il leur est demandé de visiter un faux site et de confirmer les codes PIN, les mots de passe et autres informations personnelles qui seront utilisées par les fraudeurs pour voler le compte d’une victime d’argent ou d’autres crimes.

Phishing. Ne pas confondre avec la pêche ou la pêche

Le phishing (hameçonnage en anglais, de la pêche - pêche, pêche) est un type de fraude sur Internet dont le but est d'accéder à des données confidentielles concernant l'utilisateur - identifiants et mots de passe. Cela se fait en envoyant des courriers électroniques en masse pour le compte de marques populaires, ainsi que des messages personnels au sein de divers services, par exemple, pour le compte de banques ou au sein de réseaux sociaux. La lettre contient souvent un lien direct vers un site Web qui ne se distingue pas du présent ou vers un site Web avec une redirection. Après avoir accédé à la fausse page, les fraudeurs tentent d’encourager l’utilisateur à saisir son identifiant et son mot de passe sur la fausse page, qu’ils utilisent pour accéder à un certain site, ce qui permet aux fraudeurs d’accéder à leurs comptes et comptes bancaires.

Le phishing est l'une des formes d'ingénierie sociale basée sur l'ignorance par les utilisateurs des bases de la sécurité réseau: en particulier, beaucoup ne connaissent pas le simple fait: les services n'envoient pas de lettres contenant leurs informations d'identification, mot de passe, etc.

En termes simples, les pirates informatiques incitent les utilisateurs à divulguer leurs informations personnelles, par exemple les numéros de téléphone, les numéros et les codes secrets des cartes bancaires, les connexions et les mots de passe des messages électroniques et des comptes sur les réseaux sociaux.

Pour se protéger contre le phishing, les fabricants des principaux navigateurs Internet ont convenu d'utiliser les mêmes méthodes pour informer les utilisateurs qu'ils ont ouvert un site suspect pouvant appartenir à des arnaqueurs. Les nouvelles versions des navigateurs ont déjà cette capacité, appelée "antiphishing".

Selon Websense, l’outil le plus populaire pour créer des ressources de phishing est le kit Rock Phish . À l’heure actuelle, la situation du phishing est très similaire à celle d’il ya plusieurs années lors de la rédaction de codes malveillants lorsque leurs concepteurs sont apparus.

L'essence du phishing est la suivante: l'attaquant, trompant l'utilisateur, l'oblige à fournir des informations personnelles (informations sur les cartes bancaires, noms et mots de passe à diverses ressources, etc.). La principale différence de ce type de fraude est la fourniture volontaire par l'utilisateur de ses informations. Pour ce faire, les fraudeurs utilisent activement la méthode de l'ingénierie sociale.

Le phishing moderne peut être divisé en 3 types: en ligne , postal et combiné .

Le plus ancien est le mail phishing : une lettre est envoyée à l'adresse du destinataire avec une demande d'envoi d'informations.

Le phishing en ligne implique le schéma suivant: les escrocs copient les ressources officielles en utilisant des noms de domaine et une conception similaires. Alors tout est simple. Un utilisateur qui visite une telle ressource peut laisser ses données ici en toute confiance, sachant qu’elles seront entre de bonnes mains. En fait, cette information est entre les mains des cybercriminels. Heureusement, les utilisateurs ont maintenant tendance à mieux connaître les mesures de base de la sécurité de l’information, ce qui fait que ce système de fraude perd progressivement de sa pertinence.

Le troisième type est combiné . Son essence réside dans la création d'un faux site Web d'une véritable organisation, à laquelle les fraudeurs tentent d'attirer les victimes potentielles. Dans ce cas, les attaquants proposent aux utilisateurs d'effectuer eux-mêmes certaines opérations. Sur Internet, presque tous les jours, il existe des avertissements concernant des ressources similaires, qui rendent ces méthodes de fraude bien connues. À cet égard, les fraudeurs sont devenus des enregistreurs de frappe plus utilisés - il s’agit de programmes spéciaux permettant de suivre les frappes des utilisateurs et d’envoyer ces informations à des adresses préétablies.

Comment fonctionne le phishing sur Internet?

La spécificité du phishing est que la victime de fraude donne ses informations confidentielles volontairement.

Pour ce faire, les attaquants utilisent des outils tels que les sites de phishing, la distribution de courrier électronique, la page de destination du phishing, les fenêtres pop-up, la publicité ciblée.

L'utilisateur reçoit une offre d'enregistrement pour tout avantage ou pour confirmer ses données personnelles sur les sites Web des entreprises et des institutions, le client prétendument qui il est.

En règle générale, les fraudeurs se font passer pour des sociétés bien connues, des applications de réseaux sociaux et des services de messagerie.

L'adresse e-mail de l'expéditeur est vraiment similaire à l'adresse d'une entreprise familière à l'utilisateur.

Comment ne pas devenir accro aux escrocs?

1

Tout d'abord, rappelez-vous que personne et en aucune circonstance ne peut transférer des données confidentielles telles qu'un code PIN d'une carte bancaire, d'un mot de passe e-mail ou d'autres comptes personnels. Ni la banque ni le réseau social ne demanderont ces données par courrier électronique. Si l'appelant semble être votre FAI et pose des questions sur les données confidentielles, il est fort probable qu'il s'agisse d'un fraudeur.

2

Faites toujours attention à la conception du site. Si le site ou le prêt semble étrange, inachevé, rivé ou suscite des soupçons, il se peut fort bien que ce soit un site de phishing.

3

Faites attention à la barre d'adresse dans le lien de référence. Des modifications mineures dans l'adresse de messagerie peuvent vous conduire à un site complètement différent (par exemple, ukr.net peut être remplacé par ukl.net).

4

Les lettres provenant d'adresses inconnues qui mettent la pression sur les émotions ou qui sont de nature d'urgence devraient tout d'abord susciter des soupçons. Tous les établissements de crédit par e-mail ou adresse téléphonique au client par nom et prénom. Si cela n'est pas indiqué dans l'appel, il est fort probable qu'il y ait un fait de fraude. Les lettres qui commencent par des déclarations telles que "Votre compte est piraté!" Ou "Votre profil sera bloqué!" Ou, inversement, l’annonce de gains importants, dans la plupart des cas, sont frauduleuses.

5

N'appelez pas la sécurité de votre compte bancaire ou de votre carte de crédit au numéro de téléphone suggéré. Toutes les cartes de paiement indiquent un numéro de téléphone spécial, selon lequel vous devez appeler.

En regardant

VISHING est l'une des méthodes de fraude à l'ingénierie sociale, qui consiste à utiliser une communication téléphonique et à jouer un certain rôle (employé de banque, acheteur, etc.), sous divers prétextes, pour inciter le détenteur de la carte de paiement à divulguer des informations confidentielles ou stimuler pour effectuer certaines actions avec votre compte de carte / carte de paiement.

Le premier cas de cette fraude sur Internet a été corrigé en 2006. C'est une sorte d' hameçonnage et d'implémentation utilisant des numéroteurs de guerre (numéroteurs automatiques), ainsi que la téléphonie sur Internet (VoIP). Avec ce type de fraude, les intrus ont accès aux informations personnelles, comme les mots de passe, les cartes d’identité, les cartes bancaires, etc. Le système de fraude n’est pas très différent du phishing : les utilisateurs du système de paiement reçoivent des messages par courrier électronique. compte. Mais si, dans le cas du phishing, un lien vers un faux site est attaché, alors, lorsque le phishing est utilisé, l'utilisateur propose d'appeler le numéro de la ville. Lorsque vous appelez, un message est lu, dans lequel la personne est invitée à révéler ses données confidentielles. La difficulté à divulguer ce type de fraude est que le développement de la téléphonie sur Internet vous permet de rediriger les appels vers un numéro de ville n'importe où dans le monde et l'appelant ne s'en doute même pas.

La société Secure Computing a rapporté la méthode de fraude la plus sophistiquée selon le schéma de la méthode vashing - les emails n’étaient pas utilisés du tout, les pirates programmant le PC pour composer des numéros de téléphone et perdre un message pré-enregistré. La carte était entre les mains d’arnaqueurs, il doit donc entrer le numéro à partir du clavier du téléphone.

L'utilisation du protocole VoIP peut réduire considérablement le coût de la téléphonie, mais rend également l'entreprise beaucoup plus vulnérable aux attaques. Les banques et autres organisations qui utilisent la téléphonie IP pour les communications vocales peuvent être soumises à une attaque vyshin qui n’a pas encore de protection. En particulier, The Grugq - un expert en sécurité de l'information, qui a parlé de la fraude lors de la conférence Hack In The Box sur la sécurité (HITB) en Malaisie, en a parlé. "Les attaquants pourront librement entrer dans les réseaux bancaires et exercer un contrôle sur les canaux téléphoniques des banques", explique Grugq. Selon lui, les attaques souhaitant se faire via VoIP auront lieu avant la fin de l'année 2009. Les fraudeurs auront un accès complet aux informations confidentielles, y compris les données bancaires de comptabilité et les numéros de carte de crédit. Pour les empêcher de faire cela ne peut être qu'un professionnel dans le domaine de la sécurité de l'information. "Théoriquement, le client appelle la banque, et la ligne téléphonique est déjà sous le contrôle de pirates", dit The Grugq. Dans ce cas, le fraudeur demande à l'appelant de fournir des informations comptables afin de contacter le service d'assistance de la banque.

"Il n’existe pas de technologie capable de garantir la protection des entreprises contre ce problème", at-il assuré, notant que les systèmes existants ne peuvent pas déterminer une attaque VoIP. Pour l'organiser, les pirates ont besoin d'un logiciel standard pour prendre en charge la facturation des conversations téléphoniques et de la téléphonie IP.

Selon Secure Computing, les fraudeurs configurent un numéroteur de guerre qui compose des numéros dans une région donnée. Au moment de la réponse, les événements suivants se produisent:

  • Le répondeur informe l'utilisateur que des actions frauduleuses sont effectuées avec sa carte de crédit et il recommande de rappeler rapidement à un certain numéro;
  • Après que la victime a rappelé le numéro, la "voix de l'ordinateur" y répond, déclarant que l'utilisateur doit se réconcilier et entrer le numéro de la carte à partir du clavier du téléphone;
  • Une fois le numéro de carte entré, l'escroc obtient toutes les informations (adresse, numéro de téléphone, nom complet);
  • Grâce à cet appel, le viseur peut également collecter d'autres informations supplémentaires, telles que la période de validité de la carte, le code PIN, le numéro de compte bancaire et la date de naissance.

Les "déclencheurs" de base d'un vashing

  • On vous demande des détails sur la carte ...
  • Vous êtes constamment obligé d'effectuer une action que vous n'aviez pas l'intention de faire il y a une minute.

"Déclencheurs" supplémentaires d'un vashing

  1. Les employés de la banque ne vous demanderont en aucun cas le code de sécurité au dos de la carte et le code du message SMS de la banque.
  2. Sujet alarmant de traitement. Pour faire peur à la victime et l'amener à commettre l'action souhaitée, les escrocs proposent des scénarios effrayants. Il est rapporté que la carte est bloquée, le compte est piraté, le parent est en difficulté, etc.
  3. La promesse est facile d’obtenir de l’argent que vous ne pensiez pas recevoir ou que vous ne pensiez pas avoir si facilement. Pour attirer la victime, les fraudeurs promettent de transférer facilement et rapidement de l'argent sur votre compte: par exemple, une prime de retraite inattendue est ajoutée au pensionné.
  4. Vous êtes pressé et vous essayez constamment de changer d'avis.
  5. L'appel provient d'un numéro inconnu ou d'un numéro de portable.
  6. Vous êtes assuré qu’avec l’aide d’un guichet automatique, vous pouvez transférer de l’argent de la carte de quelqu'un d’autre à la vôtre.

La principale "méthode" de protection contre le vishing

  1. Terminez la conversation. Pour continuer, appelez la banque par le numéro de téléphone indiqué au dos de la carte ou sur son site officiel, la société / l’état. structure - par le numéro indiqué sur le site officiel.

Comment se protéger du vishing

  • Rappelez-vous que les employés des banques et des organismes publics ne peuvent en aucun cas (y compris en cas de force majeure) appeler les détenteurs de cartes de paiement avec l'obligation de fournir le numéro de la carte de paiement, sa période de validité et le code CVC2 / CVV2.
  • Rappelez-vous que pour obtenir un transfert sur la carte en vendant le produit ou en gagnant, il suffit de spécifier uniquement le numéro de carte.
  • Ne jamais divulguer en aucun cas un code de sécurité à trois chiffres au dos de la carte (CVV2 / CVC2), ainsi que les codes des banques.
  • Ne paniquez pas si vous êtes appelé à bloquer la carte ou à tenter de briser le compte. Au lieu de cela, vous devez rappeler à la banque par le numéro de téléphone indiqué sur le site officiel de la banque ou sur votre carte plastique.
  • Soyez rationnel et raisonnable - ne croyez pas aux promesses d'argent que vous ne pensiez pas recevoir.
  • Vérifiez le numéro de téléphone d'où provient l'appel: il s'agit vraiment d'un numéro de téléphone familier de la banque ou il y ressemble, et vérifiez également le numéro de téléphone via les moteurs de recherche.
  • Ne vous précipitez pas. Prenez le temps de vérifier et d'appeler la banque / l'institution d'État par le numéro de téléphone indiqué sur le site ou la carte et demandez à passer à la personne qui vous a appelé.

Et si vous étiez victime?

Bloquez immédiatement la carte, écrivez une application sur la banque et la cyberpolicy

Enfin! Si vous trouvez un courrier électronique d'hameçonnage d'une entreprise ou d'un service que vous connaissez, signalez-le au service de la sécurité des informations de votre travail ou du fournisseur.

Via facebook.com et wiki