✅ Was ist Phishing? - So identifizieren Sie - Arten und Wege, um Phishing durchzuführen

Einführung in Phishing

Einführung in Phishing

Das Wort "Phish" ist eine Analogie für einen Angler, der zum Fischen als Köder geworfen wird, um sie zu fangen. Phishing ist ein Beispiel für eine Social-Engineering-Technik, mit der die Benutzer getäuscht werden. Es handelt sich um ein Cyber-Verbrechen, bei dem die Ziele über E-Mails, SMS und Anrufe kontaktiert werden können, um dem Ziel das Vertrauen zu geben, dass es von einer legitimen Quelle stammt und dass vertrauliche Informationen und Daten vom Ziel gesammelt werden können. Die so gesammelten Daten können Bankdaten, Kontoinformationen usw. enthalten.

Phishing ist einer der ältesten Cyber-Angriffe, die bereits in den 1990er Jahren begonnen haben. Dies wurde in den 1990er Jahren bei AOL-Benutzern gestartet, um sie zur Eingabe der Anmeldeinformationen zu verleiten. Trotzdem ist dies einer der größten Angriffe der letzten Zeit und ist sehr raffiniert geworden.

Es gibt verschiedene Möglichkeiten, um mit Phishing umzugehen, z. B. Sensibilisierung der Benutzer, Gesetzgebung, Benutzerschulung und technische Maßnahmen für eine ordnungsgemäße Cybersicherheit.

Arten von Phishing

Die Arten von Phishing-Angriffen können in die folgenden Kategorien eingeteilt werden:

1. Speer-Phishing:

Dies ist das Phishing, bei dem entweder eine Person oder ein Unternehmen angesprochen wird. Im Gegensatz zu Massen-Phishing greifen Phishing-Angreifer häufig Einzelpersonen oder Unternehmen an und verwenden ihre persönlichen Informationen, um die Erfolgsrate zu erhöhen. Bei diesem Angriff senden Angreifer bestimmte Nachrichten an eine Einzelperson anstatt an eine allgemeine. Die Angreifer fügen so viele persönliche Details wie möglich hinzu, um die Ziele zu täuschen, die aus einer hoch legitimen Quelle stammen.

Wie arbeiten Sie?

Spear Phishing geschieht durch Scannen der einzelnen Profiler über soziale Netzwerke. Aus einem Profil können sie ihre E-Mail-ID, ihr Geschlecht, ihre Freundesliste, ihren Standort usw. abrufen. Mit diesen Informationen kann der Angreifer mit dem Ziel als Freund oder als vertraute Entität agieren und sie noch überzeugend senden betrügerische Beiträge oder Nachrichten. Oftmals hat die betreffende Person einen Link zu gefälschten Websites gesendet, bei denen es sich anscheinend um eine echte Website handelt, die jedoch zur Erfassung von Benutzernamen, Kennwörtern usw. verwendet wird. Sobald die Angreifer alle erforderlichen Informationen gesammelt haben, können sie auf Bankinformationen zugreifen, Angreifer überlisten, um Malware usw. herunterzuladen.

Vorsichtig sein

Man muss sich darüber im Klaren sein, welche sensiblen Daten auf sozialen Websites und im Internet sichtbar sind.
Passwörter können intelligent erstellt werden. So dass es sehr schwierig ist, eine Vermutung anzustellen.
Die Software muss regelmäßig aktualisiert werden.
Seien Sie vorsichtig, wenn Sie auf Links in E-Mails klicken. Versuchen Sie, trotz ein wenig Misstrauen, das Klicken auf Links zu vermeiden.

2. Phishing klonen:

Klonen von Phishing ist eine Art von Phishing, bei der eine E-Mail aus einer legitimen Quelle vollständig auf den Inhalt geklont und diesem bösartiger Inhalt hinzugefügt wird. Der Angreifer täuscht den Benutzer möglicherweise vor, dass es sich um eine aktualisierte E-Mail handelt, und erledigt die Aufgabe des Phishing. Gewinnen Sie die E-Mail, könnten böswillige Links gesendet und der Zielbenutzer erpresst oder erpresst oder entlarvt werden.

3. Wal-Phishing:

Wal-Phishing kann als eine Art von Speer-Phishing angesehen werden, da es sich bei den Zielen um Einzelpersonen handelt, die sich jedoch nicht in großen Mengen befinden. Whale Phishing ist eine Art von Phishing, bei der hochrangige Mitarbeiter nur gezielt angesprochen werden. Ziel ist es, hochsensible Informationen eines Unternehmens zu erfassen. Die Ziele dieses Angriffs sind in der Regel Personen auf CFO- / CEO-Ebene, die sehr wichtige und vertrauliche Informationen über das Unternehmen haben. Der Begriff Walfang ist abhängig von der Angriffsgröße (Walgröße / große Größe). Aufgrund der hohen Zielgenauigkeit ist es sehr schwierig, solche Angriffe zu stoppen, da die Angreifer sehr vorsichtig sind, wenn sie gefasst werden, und daher eine hohe Wahrscheinlichkeit besteht, dass der Angriff erfolgreich ist. Whaling-Angriffe sind sehr individuell und enthalten die E-Mails, Namen und andere verschiedene Informationen des Angreifers, die er aus verschiedenen Quellen erhalten kann.

Die Angreifer sind bereit, viel Zeit zu verbringen, da die Informationen ihnen sehr hohe Erträge bringen als die normalen. Walfangangriffe ereigneten sich vor kurzem im Jahr 2016, als CEOs dazu verleitet wurden, die einkommensteuerlichen Daten an nicht autorisierte Dritte weiterzugeben.

Möglichkeiten zum Phishing

Nachfolgend werden verschiedene Methoden und Methoden zur Durchführung von Phishing erläutert:

Täuschendes Phishing

Dies ist die häufigste Technik, bei der Angreifer sich als vertrauenswürdiges Unternehmen ausgeben und versuchen können, vertrauliche Daten wie Benutzernamen usw. zu stehlen. Sie können auch einige Links in E-Mails senden, die sie zu falschen Websites weiterleiten, um Daten wie Anmeldeinformationen zu sammeln.

Website-Fälschung

Bei diesem Angriff verwenden die Angreifer Javascript-Befehle, um die Adresse der URL zu ändern, zu der sie führen. Dies kann geschehen, indem gefälschte Web-URLs anstelle von legitimen URLs geöffnet werden.

Ausweichen filtern

Phisher verwenden inzwischen Bilder anstelle von Text, sodass Anti-Phishing-Filter diese nur schwer erkennen können. Einige Anti-Phishing-Filter können jedoch versteckte Texte / Skripte erkennen, die in den Bildern mit OCRs eingebettet sind.

Voice Phishing

Manchmal muss Phishing nicht online erfolgen. Dies kann passieren, indem Benutzer angerufen werden, als ob sie von Banken stammen, und dazu verleitet werden, PIN, Benutzernamen und andere vertrauliche Daten anzugeben, mit denen finanzielle Sicherheitsangriffe wie Gelddiebstahl, Käufe tätigen usw. durchgeführt werden können.

SMS Phishing

Ein betrügerischer Phishing-Link kann anstelle von E-Mails per SMS versendet werden. Dieser Link verhält sich genauso wie Spam-Links über E-Mails. Da die Menschen für fast alles Mobiltelefone verwenden, ist dies mittlerweile recht beliebt. Die Nachrichten könnten Benutzer mit attraktiven oder eingängigen Nachrichten wie „Sie haben 50 Lach bei einem Unentschieden gewonnen“ täuschen. Um zu beanspruchen, klicken Sie auf … “

InSession Phishing

Hier setzt Phishing voraus, dass die Browsersitzung das Vorhandensein einer anderen Sitzung erkennt. Phishing kann hier auftreten, indem ein Popup-Fenster geöffnet wird, das den Benutzer täuscht, als würde es von der Zielsitzung geöffnet.

Wie man es identifiziert?

Der Anzeigename kann nicht als vertrauenswürdig eingestuft werden.
Überprüfen Sie die E-Mail-Adresse des Absenders. Manchmal kann die in der E-Mail oder der E-Mail-Adresse des Absenders angegebene Website-Adresse verdächtig sein, was durch sorgfältige Prüfung erkannt werden kann.
Manchmal ist der E-Mail-Nachrichtentext schlecht geschrieben und zeigt an, dass die E-Mail nicht aus einer legitimen Quelle stammt.
Die E-Mail enthält möglicherweise auch verdächtige Anhänge, die Malware enthalten oder Viren enthalten, die beim Öffnen installiert werden.
Sie sollten nicht vertrauen, wenn Sie in der E-Mail nach verdächtigen persönlichen Informationen gefragt werden
"Dringende" E-Mails können eine Bedrohung darstellen. Seien Sie vorsichtig, wenn eine E-Mail dringend ist. In der Regel ist dies ein Trick, der die Benutzer dazu bringt, nicht weiter darüber nachzudenken und sofort Maßnahmen zu ergreifen, z. B. persönliche Informationen bereitzustellen und sie zum Herunterladen von Malware usw. zu veranlassen.
Überprüfen Sie die Unterschrift. Legitime Quellen sind sehr transparent und enthalten vollständige Kontaktinformationen, Support-Telefonnummern usw. Überprüfen Sie daher, ob die Signatur gültig ist und vertrauenswürdige Informationen enthält, die das Verständnis der Echtheit der E-Mail erleichtern.
Verwenden Sie geeignete Browser, in denen Anti-Phishing aktiviert ist. In Chrome, Firefox, IE, Safari usw. ist Anti-Phishing aktiviert.

Anti Phishing

1. Es gibt einige Websites über das Internet, die den Nutzern helfen, die genaue Nachricht anzuzeigen, die zum Phishing über das Internet verbreitet wird. Diese Arten von Websites tragen zur Verbreitung des Bewusstseins bei.

2. Viele Unternehmen haben mit der Implementierung von Methoden begonnen, bei denen die Mitarbeiter darin geschult sind, die richtigen Techniken innerhalb des Unternehmens zu implementieren, um vor Phishing-Angriffen geschützt zu sein. Unternehmen führen außerdem Phishing-Kampagnen durch, um die Bekanntheit zu steigern und den Mitarbeitern die Bedeutung der Phishing-Sicherheit zu vermitteln. Außerdem versuchen Organisationen, ein Muster / eine Signatur in offizielle E-Mails aufzunehmen, damit der Mitarbeiter weiß, ob die E-Mail tatsächlich offiziell ist oder nicht. Es kommt aber auch darauf an, dass der Einzelne auf solche winzigen Details in E-Mails achtet.

3. Benutzer können geschult werden, die Phishing-Versuche zu erkennen und ihnen mit geeigneten Techniken entgegenzuwirken.

4. Browser wie IE, Chrome und Firefox führen eine Liste betrügerischer Websites, die bei Phishing-Angriffen beliebt sind. Diese machen den Benutzer bereits vor dem Öffnen der Website darauf aufmerksam, damit der Benutzer sicher ist. Dies kann jedoch nur 50% des Problems verhindern, da Angreifer, die wissen, dass ihre Website blockiert ist, offensichtlich einen anderen Weg bevorzugen würden, indem sie wahrscheinlich die Domain usw. ändern.

5. Einige Banken-Websites haben einige intelligente Methoden zur Erkennung von Phishing-Angriffen eingeführt, indem Benutzer aufgefordert werden, das Kennwort nur einzugeben, wenn eine bestimmte Aktion zuverlässig ist. Zum Beispiel; Die Website zeigt eine Reihe von Bildern, von denen der Benutzer eines auswählen würde, und diese werden angezeigt. Erst dann wird ein Benutzer aufgefordert, ein Kennwort einzugeben. Dies deutet darauf hin, dass die angezeigte Webseite zuverlässig ist.

6. Spam-Filter sind für fast alle Postfächer verfügbar, die die Posteingangs-E-Mails filtern.

7. Gegenwärtig gibt es mehr Möglichkeiten, einen Benutzer zu autorisieren, als eine zweistufige Überprüfungsmethode wie ein OTP für eine Mobiltelefonnummer bereitzustellen.

8. Mit OAuth, bei dem Sie die Google / Facebook / Twitter-Authentifizierung verwenden können, ist eine betrügerische Anmeldung weniger möglich, da die vollständige Anmeldesicherheit und -sicherheit vollständig von diesen großen Unternehmen übernommen wird.

9. Penetrationstests sind Techniken, mit denen ein simulierter Angriff auf das Computersystem autorisiert wird, um das Sicherheitsniveau des Systems zu überprüfen. Dies wird im Wesentlichen für die Risikobewertung verwendet, bei der bewertet wird, wie gut das System vor Sicherheitsangriffen geschützt ist und wie anfällig das System für solche Angriffe ist. Dabei wird das Zielsystem vollständig überprüft und die Daten abgerufen. Anschließend wird der Test durchgeführt, indem ein Angriff auf bestimmte Daten angestrebt wird, und anschließend überprüft wird, wie gut das System darauf reagiert. Stifttests sind eine Komponente einer vollständigen Sicherheitsüberprüfung.

Phasen der Pen-Test beinhaltet

1. Aufklärung: In dieser Phase werden die erforderlichen Informationen gesammelt.

2. Scannen: Verwenden Sie Tools, um das Wissen des Angreifers über das System zu vertiefen.

3. Zugriff erlangen: Hier kann der Angreifer die Nutzlast verwenden, um das System mithilfe von Daten aus 1 und 2 Stufen anzugreifen.

4. Beibehalten des Zugriffs: Um das System dauerhaft anzugreifen und nach Schwachstellen zu suchen.

5. Spuren verwischen: Sei anonym, egal was gespielt wird.

Dies sind die Stufen des Penetrationstests, und dieser Test wird standardmäßig für Cyberangriffe empfohlen.

Es gibt zwei Arten von Stifttests:

Externe Tests: Hier werden digitale Daten getestet, die extern sind, z. B. Firmenwebsites, Mailserver, Domänenserver usw.
Interne Tests: Hier werden auf jedem System die Daten getestet, die sich hinter den Firewalls des Unternehmens befinden.

Gemeldete Phishing-Angriffe

Selbst wenn die Computer immer schlauer werden und all die neuen Techniken zur Bekämpfung von Phishing eingesetzt werden, werden Phishing-Angreifer immer schlauer und entwickeln die neuesten Angriffe.

1. Menschen haben oft Angst, wenn sie eine E-Mail erhalten, die besagt, dass ihr Konto deaktiviert wird. Angreifer nutzen diese Psychologie des menschlichen Geistes und greifen durch E-Mails an, in denen sie aufgefordert werden, sofort auf einen Link zu klicken. Da die E-Mail eine Notfallnotiz enthält, können Menschen leicht in eine Falle geraten, ohne die Realität zu überprüfen

2. Einige E-Mails von Nigerianern haben eine sehr schlechte Grammatik und einen Kontext, in dem Sie einen bestimmten Betrag als Spende anfordern, hohe Krankenhausgebühren zahlen usw. Diese E-Mails sind nur ein weiterer Weg, um Sympathie von Benutzern und Anziehungskräften zu erlangen ihr Geld. Es wurde berichtet, dass diese E-Mails im größtmöglichen Umfang aus dem Ausland und hauptsächlich von nigerianischen Betrügern stammen.

3. Angreifer kennen einen weiteren Trick, den Menschen aus Gewissensgründen anwenden, um sie zu erschrecken. Die E-Mails werden mit einem Kontext versehen, der besagt, dass Sie einer Zuwiderhandlung ausgesetzt sind und dass Sie sofort Maßnahmen ergreifen müssen, z. B. eine Zahlung innerhalb von 3 Tagen, da Sie sonst ins Gefängnis kommen oder viel Geld bezahlen müssen.

4. E-Mails enthalten auch einen Kontext wie „Achtung. Sofort Maßnahmen ergreifen. Rufen Sie uns unter 1800 … an, um den Support sofort zu erhalten. Sobald Sie die Nummer anrufen (die Nummer kann von Betrügern leicht gekauft werden), wird ein Techniker die Hilfe in Anspruch nehmen und Sie bitten, den Fernzugriff für Ihr System bereitzustellen . Sobald Sie dies angeben, greifen sie auf das System zu und installieren schädliche Software oder greifen auf ihre Daten usw. zu.

Es wird dringend empfohlen, dass sich die Benutzer aller dieser Arten von Phishing-Angriffen bewusst sind und bewährte Methoden anwenden, um in dieser digitalen Welt sicher zu sein.

Empfohlene Artikel

Dies war ein Leitfaden für Was ist Phishing ?. Hier haben wir die Phase, die Typen und die Methoden zur Durchführung von Phishing besprochen. Sie können auch unsere anderen Artikelvorschläge durchgehen, um mehr zu erfahren -

Unterschied zwischen Phishing und Pharming
Was ist ein Greedy-Algorithmus?
Penetration Testing Interview Fragen
Was ist Netzwerksicherheit?

Kategorie:

Software-Entwicklung

Was ist Phishing? - So identifizieren Sie - Arten und Wege, um Phishing durchzuführen

Einführung in Phishing

Arten von Phishing

1. Speer-Phishing:

2. Phishing klonen:

3. Wal-Phishing:

Möglichkeiten zum Phishing

Täuschendes Phishing

Website-Fälschung

Ausweichen filtern

Voice Phishing

SMS Phishing

InSession Phishing

Wie man es identifiziert?

Anti Phishing

Phasen der Pen-Test beinhaltet

Gemeldete Phishing-Angriffe

Empfohlene Artikel

Data Warehouse vs Hadoop - 6 wichtige Unterschiede zu wissen

Fragen im Vorstellungsgespräch bei 10 Essential Data Warehousing (Updated For 2019)

Data Warehousing VS Data Mining - 4 Fantastische Vergleiche

10 wesentliche Fragen und Antworten zu DB2-Vorstellungsgesprächen (Aktualisiert für 2019)

Unäre Operatoren in C ++ - Top 9 Unary Operator in c ++ mit Syntax und Code

Unit Testing Tools - Automatisierte Unit-Testing-Tools und ihre Funktionen

Unit Testing - Tipps und Tools - Karriere und Arten von Unit-Tests

Umfassender Leitfaden zum Verständnis der organisatorischen Arbeitskultur

Visual Analytics vs Tableau - Kennen Sie die wichtigen Unterschiede (Infografiken)

Volumenprüfung - Volumentest-Tools - Vorteile und Nachteile

Amazing Guide On Viruses Funktion lebt in Ihren Drähten - eduCBA

VLOOKUP von einem anderen Blatt in Excel - Wie benutze ich die VLookup-Funktion?

Einführung in Phishing

Arten von Phishing

1. Speer-Phishing:

2. Phishing klonen:

3. Wal-Phishing:

Möglichkeiten zum Phishing

Täuschendes Phishing

Website-Fälschung

Ausweichen filtern

Voice Phishing

SMS Phishing

InSession Phishing

Wie man es identifiziert?

Anti Phishing

Phasen der Pen-Test beinhaltet

Gemeldete Phishing-Angriffe

Empfohlene Artikel

Weiterlesen