Cuál Es Phishing

Share

|

Phishing, también conocido como carding o marca de fábrica spoofing, tiene muchas definiciones; deseamos tener muy cuidados cómo definimos el término, puesto que se está desarrollando constantemente. En vez de una definición estática, deje’la mirada de s en los métodos phishing primitivos y vea la evolución’activa de la práctica s y los procesos futuros posibles. Para ahora,’ll definimos el acercamiento primitivo,as el acto de enviar un E-mail forjado (que usa un anuncio publicitario a granel) a un recipiente, mímico falso un establecimiento legítimo en una tentativa al scam el recipiente en la divulgación de la información privada tal como números de la tarjeta de crédito o el E-mail de la cuenta bancaria passwords.The, en la mayoría de los casos, dirá a usuario visitar un sitio del Web para completar el aumento privado de information.To su confianza, este sitio del Web se diseña parecer el sitio del establecimiento que el scammer está personificando. Por supuesto, el isn t’del sitio realmente el sitio de la organización legítima, y de él entonces procederá a robar su información privada para gain.Thus monetario que la palabra phishing es obviamente una variación de la pesca de la palabra en que estos scammers precisan “los ganchos” en esperanzas que conseguirán algunas “mordeduras” de sus víctimas.

Phishing ha estado realmente alrededor por más de 10 años, comenzando con la parte posteriora de America Online (AOL) en 1995.There estaban los programas (como AOHell) que automatizaron el proceso de phishing para las cuentas y la información de la tarjeta de crédito. La parte posteriora entonces phishing el wasn’t usado tanto en E-mail comparó al Internet Relay Chat (IRC) o al sistema de alerta de la mensajería que los phishers de AOL used.The imitarían a administrador de AOL y dirían a víctima que hubiera un problema de la facturación y los necesitaron renovar su información de la tarjeta y de la conexión de crédito. Entonces mueva hacia atrás, porque los ordenadores personales en el hogar combinado con uso del Internet eran bastante una nueva experiencia, este método probó absolutamente eficaz pero no fue observado con tanta población como el phishing es hoy.

El impacto repentino de phishing contra las instituciones financieras primero fue divulgado en julio 2003.According al gran archivo del Spam, las blancos era sobre todo E-pre'stamo, E-oro, pozos Fargo, y Citibank. La torcedura más notable sobre el fenómeno phishing es que introdujo una nueva clase de los vectores del ataque que fue pasada por alto en casi cada presupuesto de la seguridad’de la institución financiera s: el element.All humano los cortafuegos costosos, SSL certifica, el IPS gobierna, y la gerencia del remiendo no podría parar la explotación de la confianza en línea que no solamente la información confidencial del usuario de los compromisos pero ha tenido un impacto importante en la confianza de consumidor con respecto a telecomunicaciones entre un establecimiento y sus clientes.
De la perspectiva técnica, la mayoría de los expertos de la seguridad del antispam y del E-mail no fueron sorprendidos en el impacto de esta amenaza, puesto que se ha documentado bien desde RFC 2821 (Simple Mail Transfer Protocol o Request For Comments del smtp; vea www.faqs.org/rfcs/rfc2821.html), una versión actualizada de RFC 821 escrito en 1982. La sección 7.1 del RFC, titulada “seguridad del correo y Spoofing,” describe detalladamente cómo el correo del smtp es intrínsecamente inseguro:

El correo del smtp es intrínsecamente inseguro en que es factible para que los usuarios bastante ocasionales uniformes negocien directamente con los servidores de recepción y de retransmisión del smtp y creen los mensajes que trampearán a recipiente ingenuo en la creencia de que vinieron de en alguna parte . Construir tal mensaje de modo que “spoofed” comportamiento no puede ser detectada por un experto es algo más difícil, pero no suficientemente para ser un impedimento alguien que está determinada y bien informado. Por lo tanto, mientras que el conocimiento del correo del Internet aumenta, hace tan el conocimiento que el correo del smtp intrínsecamente no puede ser authenticado, o los cheques de la integridad proporcionados, en el nivel del transporte. La seguridad verdadera del correo miente solamente en los métodos end-to-end que implican los cuerpos de mensaje, tales como los que utilicen firmas digitales (véase [ 14 ] y, e.g., PGP [ 4 ] o S/MIME [ 31 ]).

Las varias extensiones del protocolo y opciones de la configuración que proporcionan la autentificación en el nivel del transporte (e.g., de un cliente del smtp a un servidor del smtp) mejoran algo en la situación tradicional descrita arriba. Sin embargo, a menos que sean acompañados por handoffs cuidadosos de la responsabilidad en un ambiente cuidadosamente diseñado de la confianza, siguen siendo intrínsecamente más débiles que los mecanismos del extremo-toend que utilizan mensajes digital firmados más bien que dependiendo de la integridad del sistema del transporte.

Los esfuerzos de hacerlo más difícil para que los usuarios fijen la trayectoria de vuelta y el jefe del sobre “” de campos para señalar a las direcciones válidas con excepción sus el propio son en gran parte equivocados: frustran los usos legítimos en los cuales el correo es enviado por un usuario a nombre de otro o en qué contestaciones del error (o normal) se deben dirigir a una dirección especial. (los sistemas que proporcionan las maneras convenientes para los usuarios de alterar estos campos sobre una base del por-mensaje deben procurar establecer una dirección primaria y permanente de la caja para el usuario para poder generar campos del remitente dentro de los datos del mensaje sensible.)

Esta especificación no trata más lejos las ediciones de la autentificación asociadas al smtp con excepción de para abogar esa funcionalidad útil para no ser inhabilitado en la esperanza de proporcionar un cierto margen pequeño de la protección contra un usuario ignorante que esté intentando falsificar el correo.

Esta especificación hace un punto de detallar cómo es trivial es trampear a un recipiente del E-mail del nonexpert en que cree ellas fue enviada un E-mail legítimo. El smtp fue diseñado en 1982 en un momento en que fue pensado para el uso entre los usuarios limitados “y” confiados en. En 2001, con RFC 2821 y el smtp que era utilizado por el público por más de seis años, la carencia de la seguridad fue documentada completamente.

El acercamiento de la falsificación descrito en RFC 2821, sección 7.1, es lo que utilizan los phishers y los spammers para enviar sus E-maices a los recipientes. Es importante entender que éste no significa que los phishers tienen cualquier razón de skills.The el phishing están en un colmo absoluto son realmente debido a los sistemas de herramienta que están disponibles, no porque los phishers hacen que skill.To pruebe este punto, los expertos de la seguridad han sabido alrededor

Los defectos del smtp desde 1982, y trasero en 1995-1998, el ataque primario contra E-mail eran conocidos como bombardeo del E-mail, pero ése era porque las herramientas numerosas, tales como avalancha, Kaboom, y correo del fantasma, eran herramientas de available.These automatizaron libremente el proceso con un tecleo del ratón, haciendo una cuenta del E-mail inútil y en muchos casos destruir toda la utilidad del mail server que recibía el ataque de account.This esencialmente realizó un ataque del negacio'n-de-servicio (DOS) contra cuentas del correo y sus abastecedores de servicio de correo sobrecargando las cuentas con una cantidad sin fin de E-mail que llegaba una tarifa excesivamente acelerada. Puesto que las herramientas estaban disponibles, los ataques weren’t uncommon.This son similares a la analogía de la posibilidad de armas libremente accesibles. Si las compras del arma no fueran controladas, especialmente si no hubiera limitación de la edad, y estuvieran libremente disponibles, nosotros atestiguarían probablemente una analogía arma-ma's relacionada de crimes.This se aplican a phishing hoy, desde phishing son justas otra forma de Spam. El Spam no es exactamente un concepto ingenioso y no toma la imaginación muy pequeña para emplear, y las herramientas fácilmente accesibles del ataque abren la puerta para que los criminales exploten los defectos de seguridad bien conocidos para sus oportunidades infames, incluyendo lo que estamos viendo hoy: Spam y el phishing.

Las técnicas de Web-spoofing se varían más en la explotación y se explotan generalmente vía los prueba-de-conceptos público disponibles conocidos como acceso completo proporcionado por protocolo del HTTP de la seguridad researchers.The no son intrínsecamente inseguras como el smtp, pero sufre de una carencia de la estandardización y del uso heterogéneo de los clientes del browser del Web tales como FireFox, del Internet Explorer, y del safari. Él HTTP’del isn t necesariamente que es el problema, solamente una combinación de las vulnerabilidades específicas encontradas dentro de los ciertos browsers y sitios del Web del servidor-lado que permiten estos ataques, así como un malentendido de la flexibilidad de los localizadores uniformes del recurso (URLs) y de sus modificaciones triviales. Por ejemplo, al ojo común, el URL www.southstrustbankonline.com en una ventana de browser puede trampear fácilmente a un usuario en la creencia de ella es el sitio real del Web del banco de Southtrust. Llamamos estos dominios borrosos o domains.This idéntico no es una hazaña del browser del HTTP o del Web; esto es un ataque contra el método humano de eye.This se diseña trampear al usuario en no notar el s adicional en el URL (southstrust) en vez del URL verdadero del sitio, southtrustbankingonline.com.