Untuk informasi lebih lanjut tentang Wikipedia terkait upaya phishing, lihat Wikipedia: Phishing e-mail
Phishing adalah mencoba untuk mendapatkan informasi (dan kadang-kadang, secara tidak langsung, uang) seperti username, password, dan rincian kartu kredit dengan menyamar sebagai entitas terpercaya dalam sebuah komunikasi elektronik . Komunikasi yang mengaku berasal dari populer situs web sosial, situs lelang, prosesor pembayaran online atau IT administrator biasanya digunakan untuk memikat publik tidak curiga. Phishing email mungkin berisi link ke situs yang terinfeksi malware . [ 1 ] Phishing biasanya dilakukan oleh e-mailspoofing [ 2 ] atau pesan instan , [ 3 ] dan sering mengarahkan pengguna untuk memasukkan rincian di sebuah website palsu yang terlihat dan nuansa yang hampir sama dengan satu sah. Phishing adalah contoh dari social engineering teknik yang digunakan untuk menipu pengguna, [ 4 ] dan memanfaatkan kegunaan miskin teknologi keamanan web saat ini. [ 5 ] Upaya untuk menangani meningkatnya jumlah laporan insiden phishing termasuk legislasi , pelatihan pengguna, kesadaran masyarakat, dan keamanan teknis.
Sebuah teknik phishing digambarkan secara rinci pada tahun 1987, dan (menurut penciptanya) penggunaan tercatat pertama dari "phishing" jangka dilakukan pada tahun 1995. Istilah ini adalah varian dari memancing , [ 6 ] mungkin dipengaruhi oleh phreaking , [ 7 ] [ 8 ]dan menyinggung "umpan" yang digunakan dalam harapan bahwa calon korban akan "menggigit" dengan mengklik link berbahaya atau membuka lampiran berbahaya, dalam hal informasi keuangan dan password kemudian dapat dicuri.Sejarah dan status phishing
Sebuah teknik phishing digambarkan secara rinci, dalam sebuah makalah dan presentasi yang disampaikan ke Internasional HP Users Group, Interex. [ 9 ] Penyebutan rekaman pertama dari "phishing" Istilah ditemukan dalam alat hacking AOHell (menurut penciptanya), yang termasuk fungsi untuk mencuri password pengguna America Online. [ 10 ] [ 11 ] Sebuah kasus baru-baru dan populer phishing adalah kampanye phishing dicurigai Cina menargetkan account Gmail pejabat yang berperingkat tinggi dari Amerika Serikat dan Pemerintah Korea Selatan, militer, dan aktivis politik Cina. [ 12 ] Pemerintah China terus menyangkal tuduhan mengambil bagian dalam cyber-serangan dari dalam perbatasannya, tapi bukti telah terungkap bahwa orang China sendiri Tentara Pembebasan telah membantu dalam coding cyber-serangan perangkat lunak. [ 13 ]
[ sunting ]Awal phishing di AOL
Phishing di AOL adalah terkait erat dengan warez komunitas yang saling bertukar software bajakan dan adegan hacking yang dilakukan penipuan kartu kredit dan kejahatan online lainnya.Setelah AOL dibawa dalam tindakan pada akhir tahun 1995 untuk mencegah menggunakan palsu, algorithmically dihasilkan nomor kartu kredit untuk membuka rekening, kerupuk AOL terpaksa phishing piutang yang sah [ 14 ] dan mengeksploitasi AOL.
Sebuah phisher mungkin mengaku sebagai anggota staf AOL dan mengirim pesan instan untuk korban potensial, memintanya untuk mengungkapkan password. [ 15 ] Dalam rangka untuk memancing korban agar memberi informasi sensitif pesan mungkin termasuk imperatif seperti "memverifikasi Anda akun "atau" konfirmasi informasi penagihan ". Setelah korban telah mengungkapkan password, penyerang bisa mengakses dan menggunakan akun korban untuk tujuan penipuan atau spam . Kedua phishing dan warezing di AOL umumnya dibutuhkan kustom yang ditulis dengan program, seperti AOHell . Phishing menjadi begitu umum di AOL bahwa mereka menambahkan garis pada semua pesan instan menyatakan: "tidak ada yang bekerja di AOL akan meminta password Anda atau informasi penagihan", meskipun bahkan ini tidak mencegah beberapa orang dari mereka memberikan password dan informasi pribadi jika mereka membaca dan percaya IM yang pertama. Seorang pengguna menggunakan kedua account AIM dan account AOL dari ISP secara bersamaan bisa phish anggota AOL dengan impunitas relatif sebagai internet account AIM dapat digunakan oleh non-anggota AOL internet dan tidak dapat ditindak (yaitu dilaporkan ke departemen KL AOL untuk disiplin tindakan.)
Akhirnya, kebijakan penegakan AOL terhadap phishing dan warez menjadi ketat dan memaksa software bajakan dari AOL server. AOL secara bersamaan mengembangkan sistem untuk segera menonaktifkan account terlibat dalam phishing, sering sebelum korban bisa merespon. Yang mematikan dari adegan warez di AOL disebabkan phisher paling meninggalkan layanan tersebut. [ 16 ]
The "phishing" Istilah dikatakan telah diciptakan oleh terkenal pertengahan 1990-an spammer dan hacker Khan C Smith, [ 17 ] dan penggunaannya dengan cepat diadopsi oleh kelompok warez seluruh AOL. AOL penegakan akan mendeteksi kata yang digunakan dalam kamar aol chat untuk menangguhkan account individu yang terlibat dalam perangkat lunak membajak dan rekening perdagangan dicuri. Istilah ini digunakan karena '<> <' adalah tag yang paling umum tunggal HTML yang ditemukan di semua transkrip chatting secara alami, dan dengan demikian tidak dapat dideteksi atau disaring oleh AOL staf. [ rujukan? ] Simbol <> <adalah diganti untuk setiap kata-kata yang disebut kartu kredit dicuri, account, atau kegiatan ilegal. Karena simbol itu terlihat seperti ikan, dan karena popularitas dari phreaking, itu diadaptasi sebagai "phishing".
[ sunting ]Transisi dari AOL untuk lembaga keuangan
Penangkapan informasi account AOL mungkin telah menyebabkan phisher untuk menyalahgunakan informasi kartu kredit, dan kesadaran bahwa serangan terhadap sistem pembayaran online adalah layak. Upaya langsung pertama dikenal terhadap sistem pembayaran terpengaruh E-gold pada bulan Juni 2001, yang diikuti dengan "id post-9/11 cek" tak lama setelah serangan 11 September di World Trade Center . [ 18 ] Keduanya dilihat pada saat itu sebagai kegagalan, tetapi sekarang dapat dilihat sebagai percobaan awal terhadap serangan berbuah lebih terhadap bank mainstream. Pada tahun 2004, phishing diakui sebagai bagian sepenuhnya industri ekonomi dari kejahatan:. Spesialisasi muncul dalam skala global yang menyediakan komponen untuk kas, yang dirakit menjadi serangan jadi [ 19 ] [ 20 ]
[ sunting ]teknik Phishing
[ sunting ]upaya phishing terbaru
Phisher menargetkan pelanggan bank dan layanan pembayaran online. E-mail, diperkirakan berasal dari Internal Revenue Service , telah digunakan untuk mengumpulkan data sensitif dari pembayar pajak AS. [ 21 ] Sementara itu contoh pertama yang dikirim tanpa pandang bulu dengan harapan bahwa beberapa akan diterima oleh pelanggan dari bank atau jasa, penelitian terbaru menunjukkan bahwa phisher mungkin pada prinsipnya dapat menentukan bank mana calon korban digunakan, dan sasaran e-mail palsu yang sesuai. [ 22 ] Situs jaringan sosial kini target utama dari phishing, karena informasi pribadi di situs tersebut dapat digunakan dalam pencurian identitas ; [ 23 ] pada akhir tahun 2006 sebuah worm komputer mengambil alih halaman di MySpace . link dan diubah untuk peselancar langsung ke website yang dirancang untuk mencuri rincian login [ 24 ] Percobaan ini menunjukkan tingkat keberhasilan lebih dari 70% untuk serangan phishing pada sosial jaringan. [ 25 ]
Para RapidShare situs file sharing telah ditargetkan oleh phishing untuk mendapatkan account premium, yang menghilangkan kapasitas kecepatan download, otomatis penghapusan upload, menunggu selama mendownload, dan waktu cooldown antara upload. [ 26 ]
Penyerang yang masuk ke TD Ameritrade 'database s (berisi semua 6,3 juta pelanggan nomor jaminan sosial , nomor rekening dan alamat email serta nama mereka, alamat, tanggal lahir, nomor telepon dan aktivitas perdagangan) juga menginginkan nama pengguna account dan password , sehingga mereka melancarkan serangan lanjutan tombak phishing. [ 27 ]
Hampir setengah dari pencurian phishing pada tahun 2006 telah dilakukan oleh kelompok yang beroperasi melalui Jaringan Bisnis Rusia yang berbasis di St Petersburg . [ 28 ]
Untuk contoh di seluruh dunia lebih saat ini, lihat phish dari Bulan. [ 29 ]
Ada anti-phishing situs yang mempublikasikan pesan yang tepat yang telah baru-baru beredar internet, seperti FraudWatch Internasional dan Millersmiles . Situs tersebut sering memberikan rincian spesifik tentang pesan tertentu. [ 30 ] [ 31 ] Saat ini untuk mengurangi bekerja dengan kode sumber halaman web, Hacker telah menerapkan alat phishing disebut phisher super yang membuat pekerjaan yang mudah bila dibandingkan dengan cara manual untuk menciptakan sebuah situs phishing. [ 32 ]
[ sunting ]Daftar teknik phishing
Phishing
- Phishing adalah cara untuk mencoba untuk mendapatkan informasi seperti username, password , dan rincian kartu kredit dengan menyamar sebagai entitas terpercaya dalam sebuahkomunikasi elektronik .
Tombak Phishing
- Upaya phishing diarahkan pada individu-individu tertentu atau perusahaan telah disebut spearphishing . [ 33 ] Penyerang dapat mengumpulkan informasi pribadi tentang target mereka untuk meningkatkan probabilitas keberhasilan mereka.
Clone Phishing
- Sebuah jenis serangan phishing dimana email, sah, dan sebelumnya disampaikan berisi lampiran atau link memiliki konten dan alamat penerima (es) diambil dan digunakan untuk membuat hampir identik atau kloning email. Lampiran atau Link dalam email diganti dengan versi yang berbahaya dan kemudian dikirim dari alamat email palsu untuk muncul datang dari pengirim asli.Mungkin mengklaim ulang mengirim yang asli atau versi terbaru dengan aslinya.
- Teknik ini dapat digunakan untuk poros (tidak langsung) dari mesin yang sebelumnya terinfeksi dan mendapatkan pijakan di komputer lain, dengan memanfaatkan kepercayaan sosial yang terkait dengan koneksi tersirat karena kedua belah pihak menerima email asli.
Penangkapan ikan paus
- Beberapa serangan phishing baru-baru ini telah diarahkan secara khusus pada eksekutif senior dan tinggi lainnya dalam bisnis, dan istilah penangkapan ikan paus telah diciptakan untuk jenis serangan. [ 34 ]
[ sunting ]manipulasi Tautan
Sebagian besar metode phishing menggunakan beberapa bentuk penipuan teknis yang dirancang untuk membuat tautan dalam e-(dan situs web palsu itu mengarah) tampaknya milik organisasi palsu. Salah eja URL atau penggunaan subdomain trik umum digunakan oleh phisher. Pada contoh URL berikut, http://www.yourbank.example.com/ , tampak seolah-olah URL akan membawa Anda ke contoh bagian yourbank website; sebenarnya ini menunjukkan URL ke " yourbank "(yaitu phishing) bagian dari contoh website. Trik lain yang umum adalah untuk membuat teks ditampilkan untuk link (teks antara tag <A> ) menyarankan tujuan yang handal, ketika link tersebut benar-benar pergi ke situs phisher. Contoh link berikut,/ / en.wikipedia.org / wiki / Asli , tampaknya mengarahkan pengguna ke sebuah artikel berjudul "Genuine"; mengklik justru akan membawa pengguna ke artikel berjudul "Deception". Di sudut kiri bawah browser yang paling pengguna dapat melihat dan memverifikasi kemana link tersebut akan membawa mereka. [ 35 ] Melayang kursor anda ke atas link untuk beberapa detik dapat melakukan hal yang sama, tetapi ini masih dapat diatur oleh phisher.
Masalah lebih lanjut dengan URL yang telah ditemukan dalam penanganan nama domain internasionalisasi (IDN) di browser web , yang mungkin memungkinkan alamat web secara visual identik dengan menyebabkan yang berbeda, mungkin berbahaya, website. Meskipun publisitas seputar cacat, yang dikenal sebagai spoofing IDN [ 36 ] atau homograf serangan , [ 37 ] phisher telah mengambil keuntungan dari risiko yang sama, dengan menggunakan terbuka redirectors URL pada situs-situs organisasi yang terpercaya untuk menyamarkan URL jahat dengan domain terpercaya. [ 38 ] [ 39 ] [ 40 ] Bahkan sertifikat digital tidak memecahkan masalah ini karena sangat mungkin untuk phisher untuk membeli sertifikat yang sah dan kemudian mengubah konten untuk menipu sebuah website asli.
[ sunting ]penggelapan Filter
Phisher menggunakan gambar, bukan teks untuk membuat lebih sulit untuk anti-phishing filter untuk mendeteksi teks yang umum digunakan dalam phishing e-mail. [ 41 ]
[ sunting ]Situs web pemalsuan
Setelah korban mengunjungi situs phishing, penipuan belum berakhir. Beberapa penipuan phishing menggunakan JavaScript perintah untuk mengubah address bar . [ 42 ] Hal ini dilakukan baik dengan menempatkan gambar URL yang sah atas address bar, atau dengan menutup bar alamat asli dan membuka yang baru dengan URL yang sah . [ 43 ]
Seorang penyerang bahkan dapat menggunakan kelemahan dalam script sendiri situs terpercaya terhadap korban. [ 44 ] Jenis serangan (dikenal sebagai cross-site scripting ) sangat bermasalah, karena mereka mengarahkan pengguna untuk sign in di bank mereka atau web sendiri layanan halaman, di mana segala sesuatu dari alamat web dengan sertifikat keamanan benar muncul. Pada kenyataannya, link ke website ini dibuat untuk melakukan serangan, sehingga sangat sulit untuk melihat tanpa pengetahuan khusus. Hanya seperti sebuah cacat telah digunakan pada tahun 2006 terhadap PayPal . [ 45 ]
Sebuah Universal Man-in-the-middle (MITM) Phishing Kit, ditemukan pada tahun 2007, memberikan-sederhana untuk digunakan antarmuka yang memungkinkan phisher untuk meyakinkan mereproduksi website dan menangkap log-in detail masuk di situs palsu. [ 46 ]
Untuk menghindari anti-phishing teknik yang memindai phishing website untuk teks terkait, phisher telah mulai menggunakan flash berbasis website. Ini terlihat jauh seperti situs nyata, namun menyembunyikan teks dalam objek multimedia. [ 47 ]
[ sunting ]phishing Telepon
Tidak semua serangan phishing memerlukan website palsu. Pesan yang mengaku dari bank memberitahu pengguna untuk dial nomor telepon tentang masalah dengan rekening bank mereka.[ 48 ] Setelah nomor telepon (dimiliki oleh phisher, dan disediakan oleh Voice over IP layanan) telah keluar, meminta kepada pengguna untuk memasukkan nomor rekening mereka dan PIN.Vishing (phishing suara) kadang-kadang menggunakan palsu pemanggil-ID data untuk memberikan kesan bahwa panggilan datang dari organisasi terpercaya. [ 49 ]
[ sunting ]Teknik lainnya
- Serangan berhasil digunakan adalah untuk meneruskan klien untuk situs yang sah sebuah bank, maka untuk menempatkan jendela popup meminta mandat di atas situs web dengan cara yang muncul bank meminta informasi ini sensitif. [ 50 ]
- Salah satu teknik phishing terbaru tabnabbing . Ia mengambil keuntungan dari beberapa tab yang pengguna gunakan dan diam-diam mengarahkan pengguna ke situs yang terkena.
- Kembar jahat adalah teknik phishing yang sulit untuk dideteksi. Sebuah phisher menciptakan jaringan nirkabel palsu yang terlihat mirip dengan jaringan publik yang sah yang dapat ditemukan di tempat umum seperti bandara, hotel atau kedai kopi. Setiap kali seseorang log on ke jaringan palsu, penipu mencoba untuk mencuri password dan / atau informasi kartu kredit.
[ sunting ]Kerusakan yang disebabkan oleh phishing
Kerusakan yang disebabkan oleh phishing berkisar dari penolakan akses ke e-mail ke kerugian finansial yang besar. Diperkirakan bahwa antara Mei 2004 dan Mei 2005, pengguna komputer sekitar 1,2 juta di Amerika Serikat menderita kerugian akibat phishing, dengan total nilai sekitar US $ 929.000.000 . Amerika Serikat kehilangan bisnis diperkirakan US $ 2 miliar per tahun sebagai klien mereka menjadi korban. [ 51 ] Pada tahun 2007, serangan phishing meningkat. 3,6 juta orang dewasa kehilangan 3,2 juta dolar AS dalam 12 bulan yang berakhir pada Agustus 2007.[ 52 ] Microsoft mengklaim estimasi ini terlalu dibesar-besarkan dan menempatkan kerugian phishing tahunan di AS pada US $ 60 juta . [ 53 ] Di Inggris kerugian dari web perbankan penipuan-sebagian besar dari phishing-hampir dua kali lipat menjadi GB £ 23.2m pada tahun 2005, dari GB £ 12.2m pada tahun 2004, [ 54 ] sementara 1 dari 20 pengguna komputer mengaku telah kalah phishing pada tahun 2005. [ 55 ]
Sikap diadopsi oleh lembaga perbankan Inggris APACS adalah bahwa "pelanggan juga harus mengambil tindakan pencegahan yang masuk akal ... sehingga mereka tidak rentan terhadap kriminal." [ 56 ] Demikian pula, ketika serentetan pertama dari serangan phishing memukul sektor perbankan Republik Irlandia pada bulan September 2006, Bank of Ireland awalnya menolak untuk menutup kerugian yang diderita oleh pelanggan (dan itu masih bersikeras bahwa kebijakan adalah untuk tidak melakukannya [ 57 ] ), meskipun kerugian untuk lagu € 11.300 dibuat baik. [ 58 ]
[ sunting ]Anti-phishing
Ada beberapa teknik yang berbeda untuk memerangi phishing, termasuk legislasi dan teknologi diciptakan khusus untuk melindungi terhadap phishing. Browser internet paling baru datang dengan perangkat lunak anti-phishing . [ 1 ]
[ sunting ]tanggapan Sosial
Salah satu strategi untuk memerangi phishing adalah untuk melatih orang untuk mengenali upaya phishing, dan untuk menangani mereka. Pendidikan bisa efektif, terutama di mana pelatihan memberikan umpan balik langsung. [ 59 ] Salah satu taktik yang lebih baru phishing, yang menggunakan phishing e-mail ditargetkan pada perusahaan tertentu, yang dikenal sebagai phishing tombak , telah dimanfaatkan untuk melatih individu di berbagai lokasi, termasuk Amerika Serikat Akademi Militer di West Point, NY. Dalam sebuah percobaan Juni 2004 dengan phishing tombak, 80% dari 500 kadet West Point yang dikirim palsu e-mail dari Robert tidak ada Kolonel Melville di West Point, yang tertipu untuk mengklik link yang konon akan membawa mereka ke halaman di mana mereka akan memasukkan informasi pribadi. (Halaman yang memberitahu mereka bahwa mereka telah terpikat.) [ 60 ]
Orang bisa mengambil langkah untuk menghindari upaya phishing dengan sedikit memodifikasi kebiasaan browsing mereka. Ketika dihubungi tentang account yang perlu "diverifikasi" (atau topik lain yang digunakan oleh phisher), itu adalah tindakan pencegahan yang masuk akal untuk menghubungi perusahaan dari mana e-mail tampaknya berasal untuk memeriksa bahwa e-mail yang sah. Atau, alamat bahwa individu tahu adalah situs web asli perusahaan dapat diketik ke dalam address bar browser, daripada mempercayai setiap hyperlink dalam pesan phishing yang dicurigai.[ 61 ]
Hampir semua sah e-mail dari perusahaan kepada pelanggan mereka mengandung item dari informasi yang tidak tersedia bagi phisher. Beberapa perusahaan, misalnya PayPal , selalu alamat pelanggan mereka dengan nama pengguna mereka dalam e-mail, jadi jika e-mail alamat penerima secara generik (" pelanggan PayPal yang terhormat ") kemungkinan untuk menjadi sebuah upaya phishing. [ 62 ] E-mail dari bank dan perusahaan kartu kredit sering termasuk nomor rekening parsial. Namun, penelitian terbaru [ 63 ] telah menunjukkan bahwa masyarakat tidak biasanya membedakan antara beberapa digit pertama dan beberapa digit terakhir dari nomor rekening-masalah yang signifikan sejak beberapa digit pertama sering sama untuk semua klien dari lembaga keuangan . Orang dapat dilatih untuk memiliki kecurigaan mereka terangsang jika pesan tidak mengandung informasi pribadi tertentu. Phishing usaha pada awal 2006, bagaimanapun, menggunakan informasi pribadi, yang membuatnya tidak aman untuk mengasumsikan bahwa adanya informasi pribadi sendiri menjamin bahwa pesan adalah sah. [ 64 ] Selain itu, studi lain baru-baru ini menyimpulkan di bagian bahwa kehadiran informasi pribadi tidak terlalu mempengaruhi tingkat keberhasilan serangan phishing, [ 65 ] yang menunjukkan bahwa kebanyakan orang tidak memperhatikan detail seperti itu.
Para Grup Anti-Phishing Working , sebuah asosiasi industri dan penegakan hukum, telah menyarankan bahwa teknik phishing konvensional dapat menjadi usang di masa depan karena orang-orang semakin sadar akan teknik rekayasa sosial yang digunakan oleh phisher. [ 66 ] Mereka memprediksi bahwa pharming penggunaan dan lainnya dari malware akan menjadi alat yang lebih umum untuk mencuri informasi.
Setiap orang dapat membantu mendidik masyarakat dengan mendorong praktek yang aman, dan dengan menghindari yang berbahaya. Sayangnya, bahkan terkenal pemain diketahui menghasut pengguna untuk perilaku berbahaya, misalnya dengan meminta pengguna untuk mengungkapkan password mereka untuk layanan pihak ketiga, seperti email. [ 67 ]
[ sunting ]tanggapan Teknis
Anti-phishing langkah telah diimplementasikan sebagai fitur yang ditanamkan pada browser, sebagai ekstensi atau toolbar untuk browser, dan sebagai bagian dari prosedur login website. Berikut ini adalah beberapa pendekatan utama untuk masalah ini.
[ sunting ]Membantu untuk mengidentifikasi situs web yang sah
Kebanyakan website yang ditargetkan untuk phishing adalah situs aman yang berarti bahwa SSL dengan kriptografi PKI kuat digunakan untuk otentikasi server, di mana URL website digunakan sebagai identifier. Dalam teori itu harus mungkin untuk otentikasi SSL untuk digunakan untuk mengkonfirmasi situs untuk pengguna, dan ini adalah desain persyaratan SSL v2 dan meta browsing aman. Tapi dalam prakteknya, ini mudah trik.
Kelemahan dangkal adalah bahwa keamanan pengguna browser interface (UI) tidak cukup untuk menghadapi ancaman kuat saat ini. Ada tiga bagian untuk mengamankan otentikasi menggunakan TLS dan sertifikat: menunjukkan bahwa sambungan dalam modus dikonfirmasi, menunjukkan situs yang pengguna terhubung ke, dan yang menunjukkan otoritas mengatakan itu adalah situs ini. Ketiganya diperlukan untuk otentikasi, dan perlu dikonfirmasi oleh / kepada pengguna.
[ sunting ]Sambungan aman
Tampilan standar untuk browsing aman dari pertengahan 1990-an sampai pertengahan 2000-an adalah gembok. Pada tahun 2005, Mozilla menerjunkan kuning address bar sebagai indikasi yang lebih baik dari koneksi aman. Inovasi ini kemudian terbalik karena sertifikat EV , yang menggantikan sertifikat tertentu menyediakan tingkat tinggi verifikasi identitas organisasi dengan layar hijau, dan sertifikat lainnya dengan diperpanjang biru favicon kotak di sebelah kiri URL bar (selain switch dari "http" menjadi "https" di url itu sendiri).
[ sunting ]Yang situs
Pengguna diharapkan untuk mengkonfirmasi bahwa nama domain di URL bar browser sebenarnya di mana mereka berniat untuk pergi. URL bisa terlalu kompleks untuk dapat dengan mudah dipecah. Pengguna sering tidak tahu atau mengenali URL dari situs yang sah mereka berniat untuk menyambung ke, sehingga otentikasi menjadi tidak berarti. [ 5 ] Sebuah kondisi untuk otentikasi server yang berarti adalah memiliki pengenal server yang berarti bagi pengguna; e-commerce banyak situs akan mengubah nama domain di dalam set mereka secara keseluruhan website, menambah kesempatan untuk kebingungan. Cukup menampilkan nama domain untuk situs web yang dikunjungi, [ 68 ] karena beberapa anti-phishing toolbar do, tidak cukup.
Beberapa browser yang lebih baru, seperti Internet Explorer 8 , menampilkan seluruh URL dalam abu-abu, hanya dengan nama domain sendiri dalam warna hitam, sebagai sarana untuk membantu pengguna dalam mengidentifikasi URL penipuan.
Sebuah pendekatan alternatif adalah petname ekstensi untuk Firefox yang memungkinkan pengguna jenis di label mereka sendiri untuk website, sehingga mereka nantinya bisa mengenali ketika mereka telah kembali ke situs. Jika situs tersebut tidak diakui, maka software baik dapat memperingatkan pengguna atau memblokir situs langsung. Ini merupakan pengguna-sentris manajemen identitas identitas server. [ 69 ] Beberapa menyarankan bahwa gambar grafis dipilih oleh pengguna adalah lebih baik daripada sebuah petname. [ 70 ]
Dengan munculnya sertifikat EV , browser sekarang biasanya menampilkan nama organisasi dalam hijau, yang jauh lebih terlihat dan mudah-mudahan lebih konsisten dengan harapan pengguna.Vendor browser telah memilih untuk membatasi tampilan menonjol ini hanya untuk sertifikat EV , meninggalkan pengguna untuk mengurus dirinya sendiri dengan semua sertifikat lainnya.
[ sunting ]Siapa Otorita
Browser harus menyatakan siapa otoritas yang membuat klaim yang pengguna terhubung ke. Pada tingkat yang paling sederhana, otoritas tidak disebutkan, dan karena itu browser ini wewenang, sejauh pengguna yang bersangkutan. Para vendor browser mengambil tanggung jawab ini dengan mengendalikan daftar akar dari CA diterima. Ini adalah praktek standar saat ini.
Masalah dengan hal ini adalah bahwa tidak semua otoritas sertifikasi (CA) mempekerjakan pengecekan sama baik atau yang berlaku, terlepas dari upaya oleh vendor browser untuk mengontrol kualitas. Juga tidak semua CA berlangganan model yang sama dan konsep bahwa sertifikat hanya sekitar otentikasi organisasi e-commerce. Manufaktur Sertifikat adalah nama yang diberikan untuk sertifikat rendah nilai yang disampaikan pada kartu kredit dan email konfirmasi; kedua dengan mudah disesatkan oleh penipu. [ rujukan? ] Oleh karena itu, situs bernilai tinggi dapat dengan mudah palsu dengan sertifikat yang sah yang disediakan oleh CA lain. Ini bisa jadi karena CA di bagian lain dunia, dan tidak familiar dengan tinggi nilai situs e-commerce, atau bisa juga bahwa perawatan tidak diambil sama sekali. Sebagai CA hanya bertugas melindungi para pelanggan sendiri, dan bukan pelanggan dari CA lainnya, cacat ini melekat dalam model.
Solusi untuk ini adalah bahwa browser harus menunjukkan, dan pengguna harus akrab dengan, nama otoritas. Ini menyajikan CA sebagai sebuah merek, dan memungkinkan pengguna untuk mempelajari beberapa CA bahwa dia kemungkinan akan datang ke dalam kontak dalam negeri dan sektor dia. Penggunaan merek juga penting untuk menyediakan CA dengan insentif untuk meningkatkan pemeriksaan mereka, sebagai pengguna akan belajar pemeriksaan merek dan permintaan yang baik untuk situs bernilai tinggi. [ rujukan? ]
Solusi ini pertama kali dipraktekkan pada awal IE7 versi, ketika menampilkan sertifikat EV . [ 71 ] Pada layar itu, CA mengeluarkan ditampilkan. Ini merupakan kasus yang terisolasi, namun. Ada resistensi terhadap CA dicap di krom, sehingga fallback ke tingkat yang paling sederhana di atas: browser adalah kewenangan pengguna. [ rujukan? ]
[ sunting ]Fundamental kelemahan dalam model keamanan browsing aman
Percobaan untuk meningkatkan keamanan UI telah menghasilkan manfaat, tetapi juga terkena kelemahan mendasar dalam model keamanan. Penyebab yang mendasari kegagalan otentikasi SSL untuk digunakan baik dalam browsing aman banyak dan saling terkait.
Pengguna cenderung tidak memeriksa informasi keamanan, bahkan ketika secara eksplisit ditampilkan kepada mereka. Sebagai contoh, sebagian besar peringatan untuk situs adalah untuk misconfigurations, bukan MITM (pria dalam serangan tengah). Pengguna telah belajar untuk melewati peringatan dan memperlakukan semua peringatan dengan penghinaan yang sama, sehinggaKlik-melalui sindrom . Sebagai contoh, Firefox 3 memiliki proses 4-klik untuk menambahkan pengecualian, tetapi telah terbukti diabaikan oleh pengguna yang berpengalaman dalam kasus nyata MITM.
Faktor lain yang mendasari adalah kurangnya dukungan untuk virtual hosting. Penyebab khusus adalah kurangnya dukungan untuk Indikasi Name Server di TLS webservers, dan biaya dan ketidaknyamanan untuk memperoleh sertifikat. Hasilnya adalah bahwa penggunaan otentikasi terlalu langka untuk menjadi apa pun kecuali kasus khusus. Hal ini menyebabkan kurangnya pengetahuan dan sumber daya dalam otentikasi dalam TLS, yang pada gilirannya berarti bahwa upaya oleh vendor browser untuk meng-upgrade UIS keamanan mereka telah lambat dan tak bergairah.
Model keamanan untuk browser aman meliputi banyak peserta: user, vendor browser, pengembang, CA, auditor, vendor webserver, situs e-commerce, regulator (misalnya, FDIC), dan standar keamanan komite. Ada kurangnya komunikasi antara kelompok yang berbeda yang berkomitmen untuk model keamanan. Misalnya, meskipun pemahaman otentikasi yang kuat pada tingkat protokol komite IETF, pesan ini tidak mencapai kelompok UI. Vendor Webserver tidak memprioritaskan Indikasi Name Server (TLS / SNI) memperbaiki, bukan melihatnya sebagai perbaikan keamanan, tetapi bukan fitur baru. Dalam prakteknya, semua peserta melihat ke orang lain sebagai sumber kegagalan menyebabkan phishing, maka perbaikan lokal tidak diprioritaskan.
Hal-hal yang sedikit meningkat dengan Forum CAB, sebagai kelompok yang mencakup vendor browser, auditor dan CA. [ rujukan? ] Namun kelompok tidak mulai secara terbuka, dan hasilnya menderita kepentingan komersial pemain pertama, serta kurangnya paritas antara peserta. [ rujukan? ] Bahkan saat ini, forum CAB tidak terbuka, dan tidak termasuk perwakilan dari CA kecil, pengguna akhir, pemilik e-commerce, dll [ rujukan? ]
Vendor berkomitmen untuk standar, yang menghasilkan efek Outsourcing ketika datang ke keamanan. Meskipun ada banyak percobaan dan baik dalam meningkatkan keamanan UI, ini belum diadopsi karena mereka tidak standar, atau bentrokan dengan standar. Model ancaman dapat menemukan kembali dirinya dalam sekitar satu bulan; standar Keamanan memakan waktu sekitar 10 tahun untuk menyesuaikan diri. [ rujukan? ]
Mekanisme kontrol yang digunakan oleh vendor browser selama CA belum diperbarui secara substansial; model ancaman memiliki. [ rujukan? ] Kontrol dan proses kualitas daripada CA belum cukup sesuai untuk perlindungan pengguna dan menangani ancaman aktual dan terkini. [ rujukan? ] proses Audit sangat membutuhkan pembaharuan. [ rujukan? ] Pedoman EV terakhir didokumentasikan model saat ini secara lebih rinci, dan mendirikan sebuah patokan yang baik, tetapi tidak mendorong perubahan yang mendasar harus dibuat. [ rujukan? ]
[ sunting ]Browser mengingatkan pengguna untuk situs penipuan
Pendekatan lain yang populer untuk memerangi phishing adalah untuk memelihara daftar situs phishing yang dikenal dan untuk memeriksa situs web terhadap daftar. browser Microsoft IE7 ,Mozilla Firefox 2.0, Safari 3.2, dan Opera semuanya mengandung jenis anti-phishing ukuran. [ 72 ] [ 73 ] [ 74 ] [ 75 ] [ 1 ] Firefox 2 yang digunakan Google anti-phishing perangkat lunak. Opera 9.1 menggunakan hidup blacklist dari PhishTank dan GeoTrust , serta hidup Whitelist dari GeoTrust . Beberapa implementasi dari pendekatan ini mengirim URL yang dikunjungi ke layanan pusat untuk diperiksa, yang telah meningkatkan kekhawatiran tentang privasi. [ 76 ] Menurut sebuah laporan oleh Mozilla pada akhir tahun 2006, Firefox 2 telah ditemukan lebih efektif daripada Internet Explorer 7 di mendeteksi situs penipuan dalam sebuah penelitian oleh perusahaan pengujian perangkat lunak independen. [ 77 ]
Pendekatan diperkenalkan pada pertengahan-2006 melibatkan beralih ke layanan DNS khusus yang menyaring domain phishing keluar dikenal: ini akan bekerja dengan browser apapun, [ 78 ] dan mirip pada prinsipnya untuk menggunakan file host untuk memblokir iklan web.
Untuk mengurangi masalah situs phishing meniru situs korban dengan melekatkan gambar nya (seperti logo), pemilik situs telah mengubah beberapa gambar untuk mengirim pesan kepada pengunjung bahwa situs mungkin penipuan. Gambar mungkin akan dipindahkan ke nama file baru dan permanen asli diganti, atau server dapat mendeteksi bahwa gambar itu tidak diminta sebagai bagian dari browsing normal, dan bukannya mengirim gambar peringatan. [ 79 ] [ 80 ]
[ sunting ]login sandi Augmenting
The Bank of America website [ 81 ] [ 82 ] adalah salah satu dari beberapa yang meminta pengguna untuk memilih gambar pribadi, dan menampilkan gambar ini user-dipilih dengan bentuk yang meminta password. Pengguna layanan online bank diperintahkan untuk memasukkan password hanya ketika mereka melihat gambar yang mereka pilih. Namun, penelitian terbaru menunjukkan beberapa pengguna menahan diri dari memasukkan password mereka ketika gambar tidak ada. [ 83 ] [ 84 ] Selain itu, fitur ini (seperti bentuk-bentuk otentikasi dua faktor ) adalah rentan terhadap serangan lain, seperti yang diderita oleh Skandinavia Bank Nordea pada akhir tahun 2005, [ 85 ] dan Citibank pada tahun 2006. [ 86 ]
Sebuah sistem yang sama, di mana secara otomatis dihasilkan "Identitas Cue" yang terdiri dari sebuah kata berwarna di dalam satu kotak berwarna ditampilkan untuk setiap pengguna situs web, sedang digunakan di lembaga keuangan lainnya. [ 87 ]
Kulit Keamanan [ 88 ] [ 89 ] adalah teknik terkait yang melibatkan overlay gambar yang dipilih pengguna ke form login sebagai isyarat visual yang bentuk tersebut sah. Tidak seperti situs berbasis skema gambar, namun gambar itu sendiri dibagi hanya antara pengguna dan browser, dan bukan antara pengguna dan situs web. Skema ini juga bergantung pada saling otentikasi protokol, yang membuatnya kurang rentan terhadap serangan yang mempengaruhi user-satunya skema otentikasi.
Namun teknik lain bergantung pada grid dinamis dari gambar yang berbeda untuk setiap usaha login. Pengguna harus mengidentifikasi gambar yang sesuai dengan pra-dipilih mereka kategori (seperti anjing, mobil dan bunga). Hanya setelah mereka diidentifikasi dengan benar gambar yang sesuai dengan kategori mereka yang mereka diizinkan untuk memasukkan sandi alfanumerik mereka untuk menyelesaikan login. Berbeda dengan gambar statis digunakan pada Bank dari situs Amerika, metode otentikasi berbasis gambar dinamis menciptakan kode sandi satu kali untuk login, membutuhkan partisipasi aktif dari pengguna, dan sangat sulit untuk situs Web phishing untuk meniru dengan benar karena akan perlu menampilkan kotak yang berbeda dari gambar acak yang termasuk kategori rahasia pengguna. [ 90 ]
[ sunting ]Menghilangkan email phishing
Khusus filter spam dapat mengurangi jumlah phishing e-mail yang mencapai inbox petutur mereka. Pendekatan ini mengandalkan mesin belajar [ 91 ] dan pemrosesan bahasa alami pendekatan untuk mengklasifikasikan phishing e-mail. [ 92 ] [ 93 ] otentikasi Alamat email merupakan pendekatan baru. [ 2 ]
[ sunting ]Monitoring dan takedown
Beberapa perusahaan menawarkan bank dan organisasi lain mungkin menderita phishing penipuan round-the-clock layanan untuk memantau, menganalisis dan membantu menutup situs phishing. [ 94 ] Individu dapat berkontribusi dengan pelaporan phishing untuk kedua relawan dan kelompok industri, [ 95 ] seperti PhishTank . [ 96 ] Individu juga dapat berkontribusi dengan melaporkan upaya telepon phishing untuk Phishing Telepon, [ 97 ] Komisi Perdagangan Federal. [ 98 ]
[ sunting ]tanggapan Hukum
Pada tanggal 26 Januari 2004, US Federal Trade Commission mengajukan gugatan pertama melawan phisher dicurigai. Terdakwa, seorang California remaja, diduga membuat halaman Web yang dirancang agar terlihat seperti America Online website, dan menggunakannya untuk mencuri informasi kartu kredit. [ 99 ] Negara-negara lain telah mengikuti memimpin ini dengan menelusuri dan menangkap phisher. Seorang gembong phishing, Valdir Paulo de Almeida, ditangkap di Brasil untuk memimpin salah satu yang terbesar phishing cincin kejahatan , yang dalam dua tahun mencuri antara US $ 18 juta dan US $ 37 juta . [ 100 ] Inggris otoritas dipenjara dua orang pada Juni 2005 untuk mereka peran dalam phishing scam, [ 101 ] dalam kasus terhubung ke US Secret Service Firewall Operasi, yang ditargetkan terkenal "carder" website. [ 102 ] Pada tahun 2006 delapan orang ditangkap oleh polisi Jepang karena dicurigai penipuan phishing dengan membuat Yahoo palsu Jepang Web situs, jaring diri ¥ 100.000.000 ( US $ 870.000 ). [ 103 ] Penangkapan berlanjut di 2006 dengan FBI Cardkeeper Operasi menahan sekelompok enam belas di Amerika Serikat dan Eropa. [ 104 ]
Di Amerika Serikat , Senator Patrick Leahy memperkenalkan Undang-Undang Anti-Phishing 2005 di Kongres pada tanggal 1 Maret 2005. Ini tagihan , jika telah disahkan, akan dikenakan penjahat yang menciptakan situs web palsu dan dikirim palsu e-mail untuk menipu konsumen untuk denda hingga US $ 250.000 syarat dan penjara hingga lima tahun. [ 105 ] Inggris memperkuat arsenal hukum melawan phishing dengan Penipuan Act 2006 , [ 106 ] yang memperkenalkan suatu pelanggaran umum penipuan yang dapat membawa sampai hukuman penjara sepuluh tahun, dan melarang pembangunan atau kepemilikan phishing kit dengan maksud untuk melakukan penipuan. [ 107 ]
Perusahaan juga telah bergabung upaya untuk menindak phishing. Pada tanggal 31 Maret 2005, Microsoft mengajukan tuntutan hukum 117 federal di Pengadilan Distrik AS untuk Distrik Barat Washington . Gugatan menuduh " John Doe "terdakwa untuk memperoleh password dan informasi rahasia. Maret 2005 juga melihat kemitraan antara Microsoft dan pemerintah Australiapengajaran bagaimana aparat penegak hukum untuk memerangi kejahatan cyber berbagai, termasuk phishing. [ 108 ] Microsoft mengumumkan lebih lanjut direncanakan 100 tuntutan hukum di luar AS pada Maret 2006, [ 109 ] diikuti dengan dimulainya , per November 2006, dari 129 tuntutan hukum pencampuran tindakan kriminal dan sipil. [ 110 ] AOL diperkuat upaya terhadap phishing[ 111 ] di awal tahun 2006 dengan tiga tuntutan hukum [ 112 ] mencari total US $ 18 juta di bawah tahun 2005 amandemen Virginia Komputer Kejahatan Act, [ 113 ] [ 114 ] dan Earthlink telah bergabung dalam dengan membantu untuk mengidentifikasi enam orang kemudian dituduh penipuan phishing di Connecticut . [ 115 ]
Pada Januari 2007, Jeffrey Brett Goodin dari California menjadi Tergugat I dihukum oleh juri berdasarkan ketentuan dari Undang-undang CAN-SPAM tahun 2003 . Dia ditemukan bersalah karena mengirimkan ribuan e-mail kepada pengguna America Online, saat berpose sebagai departemen penagihan AOL, yang mendorong pelanggan untuk mengirimkan pribadi dan informasi kartu kredit.Menghadapi 101 tahun mungkin dalam penjara karena pelanggaran CAN-SPAM dan sepuluh tuduhan lainnya termasuk penipuan kawat , penggunaan tidak sah dari kartu kredit, dan penyalahgunaan merek dagang AOL, ia dijatuhi hukuman untuk melayani 70 bulan. Goodin telah ditahan sejak gagal muncul untuk sidang pengadilan sebelumnya dan mulai melayani jangka penjara segera. [ 116 ] [ 117 ] [ 118 ] [ 119 ]
Mari Berkomentar, Belajar dari sekarang untuk menjadi komentator handal :) EmoticonEmoticon