:: NORMAN :: Antivirus | Firewall

Proaktiv IT-sikkerhet

Hjem

Nyheter

Produkter & tjenester

Virus & sikkerhet

Support

Nedlasting

Forhandler

Kjøp

Velg land

Velg produkt

Virus & sikkerhet » Sikkerhetsartikler » 2006 » Hva er egentlig phisking (phishing)?

Hva er egentlig phisking (phishing)?

Legg til Mine Norman-bokmerker

- og noen mulige mottiltak for å forhindre phiskingangrep

Phishing illustrated

De fleste sikkerhetsorganisasjoner regner phisking (phishing) som en av de aller største truslene mot IT-sikkerheten i 2006. Gartnergruppen har regnet ut at de direkte kostnadene ved phiskingangrep på amerikanske banker og kredittkortselskaper var på hele 1,2 milliarder dollar i 2003.

Phisking er et komplekst fenomen som inkluderer både menneskelige handlinger og avansert teknologi. Kort sagt kan phisking forklares som en form for online identitetstyveri hvor konfidensiell informasjon blir hentet fra en enkeltperson eller en organisasjon.

Phisking inkluderer:

Svindelangrep, der epostbrukere får falske meldinger der de blir lurt til å gi fra seg sensitiv og personlig informasjon
Angrep fra ondsinnet programvare som forårsaker kompromittering av data
DNS-baserte angrep der et riktig maskinnavn oversettes til en annen IP adresse enn den riktige, og dermed sender brukeren til feil datamaskin. Dette fenomenet er også kalt "pharming".

Phiskeren forbereder angrepet
En ondsinnet nyttelast ankommer gjennom en form for spredningskode
Brukeren foretar en handling som gjør han eller henne sårbar for at konfidensiell informasjon blir kompromittert
Brukeren blir fratatt konfidensiell informasjon, enten via en webside eller lokalt ved en trojaner
Den konfidensielle informasjonen blir overført fra en phishing-server til fiskeren selv
Phiskeren bruker den konfidensielle informasjonen ved å utgi seg for å være brukeren
Phiskeren gjennomfører svindelen ved å bruke den konfidensielle informasjonen

Ulike former for phisking

Phisking kan utføres på flere forskjellige måter. Phiskere er ofte teknisk innovative og har ofte muligheten til å investere i avansert teknologi. De fleste phiskingangrep blir utført av profesjonelle kriminelle. Etter hvert som finansielle institusjoner har økt sin tilgjengelighet på nettet, har den økonomiske verdien ved kompromittert konto- og bankinformasjon økt dramatisk.

Phisking kan som nevnt gjennomføres på mange ulike måter, for eksempel:

1. Svindelangrep der brukerne lures av falske eposter slik at de gir fra seg konfidensiell informasjon

Den mest vanlige formen for phisking i dag er gjennom falske eposter. I et typisk scenario vil en phisker sende flere falske eposter der mottakerne blir bedt om å foreta seg noe ved å klikke på en link. Eksempler på hva eposten kan inneholde er:

Et utsagn der det opplyses om et problem ved mottakerens konto i en finansiell institusjon. Eposten ber brukeren om å besøke en webside for å rette opp i problemet og oppgir en falsk link til websiden
Et utsagn om at mottakerens bankkonto er i fare, og et tilbud om å registrere brukeren i et antisvindelprogram
En falsk faktura for en vare mottakeren aldri har bestilt, med en falsk link til en side der man kan avbestille varen.
En falsk melding der det opplyses om at en uønsket endring skal foretas i brukerens konto med en falsk link der man kan stoppe denne uønskede endringen
Et krav der en ny tjeneste tilbys fra en finansiell institusjon og der mottakeren, som allerede er tilknyttet institusjonen, får et spesielt gunstig tilbud i en viss tidsperiode.

I mange tilfeller er det ikke phiskeren som direkte foretar den økonomiske svindelen, men han sender den innhentede informasjonen til andre svindlere som bruker den for økonomisk gevinst.

2. Angrep der ondsinnet software forårsaker kompromittert data

Dette refererer til alle former for phisking der phiskeren kjører ondsinnet programvare på brukerens maskin. Generelt blir denne formen for programvare spredt enten ved hjelp av "social engineering" eller ved å utnytte en sikkerhetssårbarhet. Et typisk "social engineering"-angrep skjer ved at brukeren blir overtalt til å åpne et epostvedlegg eller til å laste ned en fil fra en webside. Ofte lokker vedlegget med porno, saftige kjendisbilder eller sladder.

Angrep ved hjelp av ondsinnet programvare kan også finne sted i form av tastaturovervåkere som installerer seg selv enten i nettleseren eller som en driver. Disse overvåker tastetrykk og sender relevant informasjon til fiskerens maskin. Webtrojanere er ondsinnede program som popper opp over login skjermbilder for å samle informasjon og passord.

3. DNS-baserte angrep

Dette refererer til alle former for angrep som innebærer endring av et maskinnavn til en IP-adresse som ikke er den korrekte. Dette inkluderer også såkalt "forgifting av host-filer" (host file poisoning). Denne formen for phishing er temmelig sofistikert og kalles ofte for pharming.

Hvordan kan man forhindre phiskingangrep

Det er ikke enkelt å være fullstendig beskyttet mot phiskingangrep, men det finnes enkelte mottiltak som kan iverksettes for å redusere faren for angrep:

Overvåking av potensiell ondsinnet aktivitet som for eksempel ved å begrense adgang til nettsteder og domeneregistreringer som brukerne kan gjøre, deteksjon av phiskingangrep før det starter og stopping av eventuelle angrep. Ved å forhåndsregistrere domener som antas å kunne benyttes som "falske domeneadresser", kan være et middel for å gjøre det vanskeligere for phiskerne å lure noen til å gå til en annen adresse.
Autentisering av alle eposter slik at man kan skjalte ut de som ikke er ekte. I det øyeblikket et phiskingangrep er underveis, er den første muligheten til å forhindre angrepet, å unngå at man får ondsinnet programvare inn i systemet. Autentisering av eposter gir en sikkerhet for at eposten virkelig er sendt fra den avsenderen den hevder å være fra. Når dette er skikkelig i bruk, har autentisering et stort potensiale når det gjelder å forhindre svindel og forfalsking av avsenderadresser. Dette tvinger phiskeren til enten å bruke en mer mistenkelig avsenderadresse eller til å registrere seg på et offisiell epostdomene.
Deteksjon av uautorisert bruk av logoer og merker
Forsterkning av sikkerhet i infrastrukturen for å øke motstanden mot ondsinnet kode som utnytter sårbarheter i installert software. Phiskingangrep som involverer ondsinnet programvare blir ofte installert ved å beutnytte en sikkerhetssårbarhet. En lovende forslag som er kommet for rask distribusjon og installasjon av sikkerhetsoppdateringer, er å distribuere sikkerhetspatcher for spesifiserte sårbarheter kryptert, ved å bruke separate symmetriske nøkler for hver oppdatering. Nøkkelen vil i så fall bli holdt hemmelig av hver enkelt leverandør.
Bruk av personlig informasjon for å autentisere en epost direkte til en bruker
Deteksjon av bedragerske websider og advarsel til den legitime virksomheten om at den er indirekte offer for et svindelforsøk
Etablering av en skjermet/beskyttet tunnel mellom en bruker og en webside for sikre at informasjon ikke blir misbrukt.

AKTUELLE VIRUSTRUSLER

Medium risk
15	Aug	08	AntiVirus 2008
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Nyeste virusdefinisjonsfiler publisert

>>	2008-09-05

Sikkerhetsinformasjon

>>	Rapport fra The Internet Crime Complaint Center for 2007
>>	2007

Sikkerhetsnyheter og -anbefalinger

>>	Six critical updates for Microsoft systems in August 2008
>>	No critical updates for Microsoft systems in July 2008

Norman er blant verdens ledende firma innen datasikkerhet. Med produkter som antivirus (viruskontroll), antispam, antiadware og personlig brannmur, spiller selskapet en viktig rolle i dataindustrien.