Apa Itu Phising ?
Phishing adalah cara mencoba untuk mendapatkan informasi sensitif seperti username, password dan rincian kartu kredit dengan menyamar sebagai entitas terpercaya dalam sebuah komunikasi elektronik . Komunikasi yang mengaku berasal dari populer situs web sosial, situs lelang, prosesor pembayaran online atau IT administrator biasanya digunakan untuk memikat publik tidak curiga. Phishing biasanya dilakukan oleh e-mail atau pesan instan , dan sering mengarahkan pengguna untuk memasukkan rincian di sebuah website palsu yang terlihat dan terasa hampir sama dengan yang sah. Phishing adalah contoh social engineering teknik yang digunakan untuk mengelabui pengguna, dan mengeksploitasi kegunaan miskin teknologi keamanan web saat ini. Upaya untuk menangani meningkatnya jumlah melaporkan phishing insiden termasuk legislasi , pelatihan pengguna, kesadaran masyarakat, dan teknis langkah-langkah keamanan.
Sejarah phishing
Sebuah teknik phishing digambarkan secara rinci, dalam sebuah makalah dan presentasi yang disampaikan kepada International HP Users Group, Interex, menyebutkan tercatat pertama dari istilah “phishing” ada di alt.online-service.america-online Usenet newsgroup pada tanggal 2 Januari 1996, walaupun istilah ini mungkin telah muncul sebelumnya dalam edisi cetak dari majalah hacker 2600 .
Awal phishing di AOL
Phishing di AOL adalah berkaitan erat dengan warez masyarakat yang dipertukarkan perangkat lunak bajakan dan adegan hacking yang dilakukan penipuan kartu kredit dan kejahatan online lainnya. Setelah AOL dibawa dalam langkah-langkah di akhir tahun 1995 untuk mencegah palsu menggunakan, algoritma yang dihasilkan nomor kartu kredit untuk membuka rekening, AOL terpaksa phishing piutang yang sah dan pemanfaatan AOL.
Phisher, mengaku sebagai anggota staf AOL dan mengirim pesan instan kepada korban potensial, meminta dia untuk mengungkapkan password. Dalam rangka untuk memikat korban agar memberi informasi sensitif pesan mungkin termasuk keharusan seperti “memverifikasi account Anda “atau” mengkonfirmasi informasi penagihan “. Setelah korban telah mengungkapkan password, penyerang dapat mengakses dan menggunakan akun korban untuk tujuan penipuan atau spam . Baik phishing dan warezing di AOL umumnya diwajibkan ditulis program kustom, seperti AOHell . Phishing menjadi begitu umum di AOL bahwa mereka menambahkan garis pada semua pesan instan yang menyatakan: “tidak bekerja satu di AOL akan meminta password Anda atau informasi penagihan”, meskipun bahkan hal ini tidak membuat beberapa orang dari memberikan password mereka dan informasi pribadi jika mereka membaca dan percaya IM yang pertama. Seorang pengguna menggunakan kedua account AIM dan AOL account dari ISP secara bersamaan bisa phish anggota AOL dengan impunitas relatif sebagai rekening internet AIM dapat digunakan oleh anggota internet non-AOL dan tidak bisa mengambil tindakan (misalnya-dilaporkan kepada departemen KL AOL untuk disiplin tindakan.)
Akhirnya, kebijakan penegakan AOL sehubungan dengan phishing dan warez menjadi ketat dan memaksa software bajakan dari server AOL. AOL secara bersamaan mengembangkan sistem untuk segera menonaktifkan rekening yang terlibat dalam phishing, sering sebelum korban bisa merespon. Yang mematikan dari adegan warez di AOL disebabkan phisher paling untuk meninggalkan layanan tersebut.
Transisi dari AOL untuk lembaga keuangan
Penangkapan informasi account AOL mungkin telah menyebabkan phisher untuk informasi penyalahgunaan kartu kredit, dan menyadari bahwa serangan terhadap sistem pembayaran online adalah layak. Langsung upaya pertama yang diketahui terhadap sistem pembayaran terpengaruh E-gold pada bulan Juni 2001, yang diikuti dengan “id cek post-9/11″ lama setelah serangan September 11 di World Trade Center . Keduanya dilihat pada saat itu sebagai kegagalan, tetapi sekarang dapat dilihat sebagai percobaan awal terhadap serangan berbuah lebih terhadap bank mainstream. Pada tahun 2004, phishing diakui sebagai bagian industri sepenuhnya dari ekonomi kejahatan: spesialisasi muncul pada skala global yang menyediakan komponen untuk kas, yang dirangkai menjadi serangan selesai.
Teknik Phishing
Upaya phishing terbaru
Phisher menargetkan pelanggan bank dan layanan pembayaran online. E-mail, diduga dari Internal Revenue Service , telah digunakan untuk mengumpulkan data sensitif dari pembayar pajak AS. Sedangkan contoh pertama yang dikirim tanpa pandang bulu dengan harapan bahwa beberapa akan diterima oleh pelanggan dari bank diberikan atau layanan, Penelitian terbaru menunjukkan bahwa phisher mungkin pada prinsipnya dapat menentukan mana bank korban menggunakan potensial, dan target e-mail palsu yang sesuai. Versi Target phishing telah disebut tombak phishing. Beberapa serangan phishing baru-baru ini telah diarahkan secara khusus eksekutif senior dan lainnya target profil tinggi dalam bisnis, dan penangkapan ikan paus istilah telah diciptakan untuk jenis serangan.
Situs jaringan sosial kini target utama dari phishing, karena informasi pribadi di situs tersebut dapat digunakan dalam pencurian identitas . Pada akhir tahun 2006 sebuah worm komputer mengambil alih halaman di MySpace dan link diubah untuk peselancar langsung ke website yang dirancang untuk mencuri rincian login. Percobaan menunjukkan tingkat keberhasilan lebih dari 70% untuk serangan phishing pada jaringan sosial.
The RapidShare File situs berbagi telah ditargetkan oleh phishing untuk mendapatkan account premium, yang menghilangkan topi kecepatan download, auto-penghapusan upload, menunggu di download, dan waktu cooldown antara downloads.
Penyerang yang masuk ke TD Ameritrade ‘database (berisi semua 6,3 juta pelanggan nomor jaminan sosial , nomor rekening dan alamat email serta nama mereka, alamat, tanggal lahir, nomor telepon dan aktivitas perdagangan) juga ingin account username dan password , sehingga mereka meluncurkan Facebook tombak serangan phishing-ikuti.
Hampir setengah dari pencurian phishing pada tahun 2006 telah dilakukan oleh kelompok yang beroperasi melalui Jaringan Bisnis Rusia yang berbasis di St Petersburg .
Beberapa orang menjadi korban Scam agar, link yang diselenggarakan oleh T35 Web Hosting dan orang-orang kehilangan account mereka.
Ada situs web anti-phishing yang mempublikasikan pesan yang tepat yang telah baru-baru ini beredar internet, seperti FraudWatch Internasional dan Millersmiles . situs tersebut sering memberikan rincian spesifik tentang pesan tertentu.
Manipulasi Link
Sebagian besar metode phishing menggunakan beberapa bentuk penipuan teknis yang dirancang untuk membuat link dalam sebuah e-mail (dan situs web palsu itu mengarah kepada) tampaknya milik organisasi palsu. Salah eja URL atau menggunakan subdomain trik umum digunakan oleh phisher. Pada contoh URL berikut, http://www.yourbank.example.com/, tampak seolah-olah URL akan membawa Anda ke bagian contoh dari website yourbank; sebenarnya ini menunjukkan URL ke “yourbank” (yaitu phishing) bagian dari website contoh. Trik lain yang umum adalah untuk membuat teks ditampilkan untuk link (teks antara <a> tag ) menyarankan tujuan yang handal, ketika link tersebut benar-benar pergi ke phisher ‘situs. Link contoh berikut, http://en.wikipedia.org/wiki/Genuine , tampaknya membawa Anda ke sebuah artikel berjudul “Genuine”; mengklik justru akan membawa Anda ke artikel berjudul “Penipuan”. Di sudut kiri bawah browser paling dapat Anda pratinjau dan memverifikasi mana link tersebut akan membawa Anda. Berkeliaran kursor di atas link untuk beberapa detik akan melakukan hal yang sama.
Sebuah metode lama spoofing link yang digunakan mengandung @ ‘simbol’, awalnya dimaksudkan sebagai cara untuk memasukkan nama pengguna dan password (bertentangan dengan standar). Sebagai contoh, link @ http://www.google.com members.tripod.com / mungkin menipu pengamat biasa ia percaya bahwa ia akan membuka sebuah halaman pada www.google.com, sedangkan sebenarnya mengarahkan browser ke sebuah halaman di members.tripod.com, menggunakan username www.google. com: halaman terbuka normal, terlepas dari username yang disediakan. URL tersebut telah cacat di Internet Explorer , sedangkan Mozilla Firefox dan Opera menyajikan pesan peringatan dan memberikan pilihan untuk melanjutkan ke situs atau membatalkan.
Masalah lebih lanjut dengan URL yang telah ditemukan dalam penanganan nama domain internasionalisasi (IDN) di browser web , yang mungkin memungkinkan visual web identik mengarah ke alamat yang berbeda, mungkin berbahaya, website. Terlepas dari publisitas yang mengelilingi cacat, yang dikenal sebagai spoofing IDN atau homograf serangan , phisher telah mengambil keuntungan dari resiko yang sama, menggunakan buka redirectors URL pada situs-situs organisasi dipercaya untuk menyamarkan URL berbahaya dengan domain terpercaya. Bahkan sertifikat digital tidak memecahkan masalah ini karena sangat mungkin untuk phisher untuk membeli sertifikat yang sah dan kemudian mengubah konten untuk spoof website asli.
Penghindaran Filter
Phisher telah menggunakan gambar daripada teks untuk membuat lebih sulit untuk anti-phishing filter untuk mendeteksi teks yang umum digunakan di phishing e-mail.
Pemalsuan Website
Setelah korban mengunjungi situs phishing penipuan belum berakhir. Beberapa penipuan phishing menggunakan JavaScript perintah untuk mengubah address bar . Hal ini dilakukan baik dengan menempatkan gambar URL yang sah atas address bar, atau dengan menutup address bar asli dan membuka yang baru dengan URL yang sah .
Seorang penyerang bahkan dapat menggunakan kelemahan di situs Web sendiri’s script dipercaya terhadap korban. Jenis-jenis serangan (dikenal sebagai -site scripting cross ) sangat bermasalah, karena mereka langsung pengguna untuk sign in di bank mereka atau memiliki web layanan halaman, di mana segala sesuatu dari alamat web ke sertifikat keamanan yang benar muncul. Pada kenyataannya, link ke website ini dibuat untuk melakukan serangan, sehingga sangat sulit untuk melihat tanpa pengetahuan khusus. Hanya seperti sebuah cacat telah digunakan pada 2006 terhadap PayPal .
A Universal Man-in-the-middle (MITM) Phishing Kit, ditemukan pada tahun 2007, menyediakan sederhana-untuk menggunakan antarmuka yang memungkinkan phisher untuk meyakinkan mereproduksi website dan menangkap log-in detail masuk di situs palsu tersebut.
Untuk menghindari anti-phishing teknik yang memindai situs Web yang berhubungan dengan teks phishing, phisher telah mulai menggunakan Flash berbasis website-. Ini terlihat banyak seperti situs nyata, namun menyembunyikan teks dalam objek multimedia.
Telepon phishing
Tidak semua serangan phishing memerlukan website palsu. Pesan yang mengaku dari bank memberitahu pengguna untuk dial nomor telepon tentang masalah dengan rekening bank mereka. Setelah nomor telepon (yang dimiliki oleh phisher, dan yang disediakan oleh Voice over IP pelayanan) adalah keluar, meminta kata pengguna untuk memasukkan nomor rekening mereka dan PIN. Vishing (voice phishing) kadang-kadang menggunakan pemanggil-ID data palsu untuk memberikan kesan bahwa panggilan berasal dari organisasi yang terpercaya.
Teknik lainnya
Serangan lain berhasil digunakan adalah untuk meneruskan klien untuk itu sah situs bank, kemudian ke tempat jendela popup meminta mandat di atas situs web dengan cara yang muncul bank meminta informasi ini sensitif.
Salah satu teknik phishing terbaru adalah tabnabbing . Ia mengambil keuntungan dari beberapa tab bahwa pengguna menggunakan dan diam-diam redirect pengguna ke situs yang terkena.
Kembar Evil adalah teknik phishing yang sulit untuk dideteksi. Sebuah phisher menciptakan jaringan nirkabel palsu yang terlihat mirip dengan jaringan publik yang sah yang mungkin ditemukan di tempat-tempat umum seperti bandara, hotel atau kedai kopi. Setiap kali seseorang log on ke jaringan palsu, penipu mencoba untuk mencuri password mereka dan / atau informasi kartu kredit.
Kerusakan yang disebabkan oleh phishing
Beberapa kerusakan akibat phishing berkisar dari penyangkalan akses ke e-mail ke kerugian finansial yang besar. Diperkirakan bahwa antara bulan Mei 2004 dan Mei 2005, 1,2 juta pengguna komputer kira-kira di Amerika Serikat menderita kerugian akibat phishing, dengan total nilai sekitar US $ 929.000.000. Amerika Serikat bisnis kehilangan sekitar US $ 2 miliar per tahun sebagai klien mereka menjadi korban. Pada tahun 2007, serangan phishing meningkat. 3,6 juta orang dewasa kehilangan US $ 3,2 miliar dalam 12 bulan yang berakhir pada bulan Agustus 2007. Microsoft mengklaim estimasi ini terlalu berlebihan dan menempatkan hilangnya phishing tahunan di AS pada US $ 60 juta. Di Britania Raya kerugian dari web penipuan perbankan-terutama dari phishing-hampir dua kali lipat menjadi GB £ 23.2m pada tahun 2005, dari GB £ 12.2m pada tahun 2004, sementara 1 dari 20 pengguna komputer mengaku telah kehilangan ke phishing di tahun 2005.
Sikap diadopsi oleh badan perbankan Inggris APACS adalah bahwa “pelanggan juga harus mengambil tindakan pencegahan yang masuk akal … sehingga mereka tidak rentan terhadap kriminal.” Demikian pula, ketika banjir pertama serangan phishing memukul sektor perbankan Republik Irlandia pada bulan September 2006, Bank Irlandia awalnya menolak untuk menutup kerugian yang diderita oleh pelanggan (dan masih bersikeras bahwa kebijakan adalah untuk tidak melakukannya ), meskipun kerugian untuk lagu € 11.300 dibuat baik.
Anti-phishing
Ada beberapa teknik yang berbeda untuk memerangi phishing, termasuk legislasi dan teknologi yang dibuat khusus untuk melindungi terhadap phishing. Kebanyakan browser internet baru datang dengan software anti-phishing .
Tanggapan Sosial
Salah satu strategi untuk memerangi phishing adalah untuk melatih orang untuk mengenali usaha phishing, dan untuk menangani mereka. Pendidikan bisa efektif, terutama di mana pelatihan memberikan umpan balik langsung. Satu baru taktik phishing, yang menggunakan e-mail phishing ditargetkan pada tertentu perusahaan, yang dikenal sebagai phishing tombak, telah dimanfaatkan untuk melatih individu-individu di berbagai lokasi, termasuk Akademi Militer Amerika Serikat di West Point, NY. Dalam sebuah percobaan phishing Juni 2004 dengan tombak, 80% dari 500 kadet West Point yang mengirim e-mail palsu yang tertipu untuk mengungkapkan informasi pribadi.
Orang bisa mengambil langkah-langkah untuk menghindari phishing usaha dengan sedikit memodifikasi kebiasaan browsing mereka. Ketika dihubungi tentang akun yang perlu “diverifikasi” (atau topik lain yang digunakan oleh phisher), itu adalah tindakan pencegahan yang masuk akal untuk menghubungi perusahaan dari mana e-mail tampaknya berasal untuk memeriksa e-mail yang sah. Atau, alamat bahwa individu adalah yang asli tahu website perusahaan dapat diketik ke dalam bar alamat browser, bukan percaya setiap hyperlink dalam pesan phishing yang dicurigai.
Hampir semua sah e-mail dari perusahaan untuk pelanggan mereka berisi item dari informasi yang tidak tersedia bagi phisher. Beberapa perusahaan, misalnya PayPal , selalu alamat pelanggan mereka dengan username mereka di e-mail, jadi jika e-mail penerima secara generik (“Dear pelanggan PayPal”) kemungkinan untuk menjadi sebuah upaya phishing. E-mail dari bank dan perusahaan kartu kredit sering memasukkan nomor rekening parsial. Namun, penelitian terbaru telah menunjukkan bahwa masyarakat tidak biasanya membedakan antara beberapa digit pertama dan digit terakhir dari nomor rekening yang signifikan masalah-sejak digit pertama seringkali sama untuk semua klien dari lembaga keuangan . Orang bisa dilatih untuk memiliki kecurigaan mereka terangsang jika pesan tidak mengandung informasi pribadi tertentu. Upaya phishing pada awal tahun 2006, bagaimanapun, menggunakan informasi pribadi, yang membuatnya tidak aman untuk mengasumsikan bahwa kehadiran informasi pribadi saja jaminan bahwa pesan yang sah. Selain itu, penelitian terbaru menyimpulkan lain di bagian bahwa keberadaan informasi pribadi tidak tidak secara signifikan mempengaruhi tingkat keberhasilan serangan phishing, yang menunjukkan bahwa kebanyakan orang tidak memperhatikan detail tersebut.
The Anti-Phishing Working Group , sebuah asosiasi industri dan penegakan hukum, telah menyarankan bahwa teknik phishing konvensional bisa menjadi usang di masa depan karena orang-orang semakin sadar akan teknik rekayasa sosial yang digunakan oleh phisher. Mereka memperkirakan bahwa pharming dan lainnya menggunakan dari malware akan menjadi alat yang lebih umum untuk mencuri informasi.
Setiap orang dapat membantu mendidik masyarakat dengan mendorong praktek-praktek yang aman, dan menghindari yang berbahaya. Sayangnya, pemain terkenal bahkan diketahui menghasut pengguna untuk perilaku yang berbahaya, misalnya dengan meminta pengguna mereka untuk mengungkapkan password mereka untuk jasa pihak ketiga, seperti email.
Tanggapan Teknis
langkah-langkah Anti-phishing telah diimplementasikan sebagai fitur yang ditanamkan dalam browser, sebagai ekstensi atau toolbar untuk browser, dan sebagai bagian dari prosedur login website. Berikut ini adalah beberapa pendekatan utama untuk masalah.
Membantu untuk mengidentifikasi situs-situs yang sah
Kebanyakan website yang ditargetkan untuk phishing adalah situs aman yang berarti bahwa SSL dengan kriptografi PKI yang kuat digunakan untuk otentikasi server, di mana website URL digunakan sebagai identifier. Secara teori adalah mungkin untuk otentikasi SSL untuk digunakan untuk mengkonfirmasi situs untuk pengguna, dan ini adalah desain SSL v2′s persyaratan dan meta browsing aman. Tapi dalam prakteknya, ini mudah untuk mengelabui.
Kelemahan dangkal adalah bahwa keamanan pengguna browser interface (UI) tidak mencukupi untuk menghadapi ancaman yang kuat hari ini. Ada tiga bagian untuk mengamankan otentikasi TLS menggunakan dan sertifikat: menunjukkan bahwa sambungan dalam modus otentik, yang menunjukkan situs pengguna terhubung ke, dan menunjukkan yang berwenang mengatakan itu adalah situs ini. Ketiga diperlukan untuk otentikasi, dan perlu dikonfirmasi oleh / kepada pengguna.
Koneksi Secure
Tampilan standar untuk browsing aman dari pertengahan 1990-an sampai pertengahan tahun 2000-an adalah gembok. Pada tahun 2005, Mozilla menerjunkan bar URL kuning 2005 sebagai indikasi yang lebih baik dari sambungan aman. Inovasi ini kemudian terbalik karena sertifikat EV , yang menggantikan sertifikat tertentu menyediakan tingkat tinggi verifikasi identitas organisasi dengan tampilan hijau, dan sertifikat lainnya dengan favicon kotak biru meluas ke kiri URL bar (selain untuk mengaktifkan dari “http” menjadi “https” pada url itu sendiri).
Situs
Pengguna diharapkan untuk mengkonfirmasi bahwa nama domain pada URL bar browser sebenarnya mana mereka bermaksud pergi. URL dapat terlalu rumit untuk mudah dipecah. Pengguna sering tidak mengetahui atau mengenali URL dari situs-situs yang sah mereka berniat untuk terhubung ke, sehingga otentikasi menjadi berarti. Sebuah kondisi untuk otentikasi server yang berarti adalah untuk memiliki sebuah server identifier yang berarti bagi pengguna; banyak e-commerce situs akan mengubah nama domain dalam kumpulan mereka secara keseluruhan website, menambah kesempatan untuk kebingungan. Cukup menampilkan nama domain untuk website dikunjungi karena beberapa-phishing toolbar anti lakukan adalah tidak cukup.
Beberapa browser yang lebih baru, seperti Internet Explorer 8 , menampilkan seluruh URL abu-abu, hanya dengan nama domain sendiri di hitam, sebagai sarana untuk membantu pengguna dalam mengidentifikasi URL penipuan.
Pendekatan alternatif adalah petName ekstensi untuk Firefox yang memungkinkan jenis pengguna dalam label mereka sendiri untuk situs web, sehingga mereka nantinya dapat mengenali ketika mereka telah kembali ke situs. Jika situs tersebut tidak diakui, maka software baik dapat memperingatkan pengguna atau memblokir situs langsung. Ini merupakan sentris manajemen identitas-identitas pengguna server. Beberapa menyarankan bahwa gambar grafis yang dipilih oleh pengguna lebih baik dari sebuah petName.
Dengan munculnya sertifikat EV , browser sekarang biasanya menampilkan nama organisasi dalam warna hijau, yang jauh lebih terlihat dan diharapkan lebih konsisten dengan harapan pengguna. Sayangnya, vendor browser telah memilih untuk membatasi ini menampilkan tokoh hanya untuk sertifikat EV , sehingga pengguna untuk menjaga dirinya dengan semua sertifikat lainnya.
Siapa Otorita
browser perlu negara yang kewenangan yang membuat klaim tentang siapa pengguna terhubung ke. Pada tingkat yang paling sederhana, otoritas tidak disebutkan, dan karena itu browser adalah otoritas, sejauh pengguna yang bersangkutan. Para vendor browser mengambil tanggung jawab ini dengan mengendalikan daftar root CA diterima. Ini adalah praktek standar saat ini.
Masalah dengan hal ini adalah bahwa tidak semua otoritas sertifikasi (CA) menggunakan pemeriksaan sama baik atau berlaku, terlepas dari upaya oleh vendor browser untuk mengontrol kualitas. Juga tidak semua CA berlangganan ke model yang sama dan konsep bahwa sertifikat hanya sekitar mengautentikasi organisasi e-commerce;. Sertifikat Manufaktur adalah nama yang diberikan rendah nilai untuk sertifikat yang disampaikan pada kartu kredit dan email konfirmasi kedua mudah diselewengkan oleh penipu. Oleh karena itu, situs bernilai tinggi dapat dengan mudah palsu dengan sertifikat yang sah yang disediakan oleh CA lain. Ini bisa jadi karena CA di bagian lain dunia, dan tidak familiar dengan situs e-commerce bernilai tinggi, atau bisa juga bahwa perawatan tidak ada diambil sama sekali. Sebagai CA hanya dibebankan dengan melindungi para pelanggan sendiri, dan bukan pelanggan CA lainnya, cacat ini melekat dalam model.
Solusi untuk ini adalah bahwa browser harus menunjukkan, dan pengguna harus akrab dengan, nama otoritas. Ini menyajikan CA sebagai sebuah merek, dan memungkinkan pengguna untuk mempelajari beberapa CA bahwa dia akan datang ke dalam kontak dalam negara dan sektor-nya. Penggunaan merek juga sangat penting untuk menyediakan CA dengan insentif untuk meningkatkan memeriksa mereka, sebagai pengguna akan belajar merek dan memeriksa permintaan baik untuk situs bernilai tinggi.
Solusi ini pertama kali dipraktekkan pada awal versi IE7, ketika menampilkan sertifikat EV . Di layar itu, CA mengeluarkan ditampilkan. Ini merupakan kasus terisolasi, namun. Ada resistensi terhadap CA dicap di krom, sehingga mundur ke tingkat yang paling sederhana di atas: adalah browser yang otoritas.
Pengguna kelemahan mendasar dalam model keamanan browsing aman
Percobaan untuk meningkatkan keamanan UI telah menghasilkan keuntungan, tetapi juga terkena kelemahan mendasar dalam model keamanan. Penyebab yang mendasari kegagalan otentikasi SSL untuk dipekerjakan baik dalam browsing yang aman banyak dan saling terkait.
Keamanan sebelum ancaman
Karena browsing aman dimasukkan ke dalam tempatnya sebelum ancaman tampak jelas, tampilan keamanan kalah dalam “perang real estate” dari awal browser. Rancangan asli dari browser Netscape termasuk tampilan terkemuka nama situs dan nama CA, tapi ini dijatuhkan dalam rilis pertama. Pengguna sekarang sangat berpengalaman dalam tidak memeriksa informasi keamanan sama sekali.
Klik-melalui sindrom
situs , peringatan untuk dikonfigurasi buruk terus, dan tidak turun-dinilai. Jika sertifikat memiliki kesalahan di dalamnya (nama domain tidak cocok, kadaluwarsa), maka browser biasanya akan meluncurkan popup untuk memperingatkan pengguna. Sebagai alasan pada umumnya kesalahan konfigurasi kecil, pengguna belajar untuk melewati peringatan, dan sekarang, pengguna terbiasa untuk mengobati semua peringatan dengan penghinaan yang sama, sehingga Klik-melalui sindrom . Misalnya, Firefox 3 memiliki klik proses 4 untuk menambahkan pengecualian, tetapi telah terbukti diabaikan oleh pengguna yang berpengalaman dalam kasus nyata dari MITM . Bahkan saat ini, karena sebagian besar dari peringatan akan untuk misconfigurations tidak MITMs nyata, sulit untuk melihat bagaimana klik melalui sindrom akan pernah dihindari.
Kurangnya bunga
Faktor lain yang mendasari adalah kurangnya dukungan untuk virtual hosting. Penyebab khusus adalah kurangnya dukungan untuk Indikasi Nama Server di webservers TLS, dan biaya dan ketidaknyamanan memperoleh sertifikat. Hasilnya adalah bahwa penggunaan otentikasi terlalu jarang untuk menjadi apa pun kecuali kasus khusus. Hal ini menyebabkan kurangnya pengetahuan dan sumber daya dalam otentikasi dalam TLS, yang pada gilirannya berarti bahwa upaya oleh vendor browser untuk meng-upgrade UIS keamanan mereka telah lambat dan loyo.
komunikasi lateral
Model keamanan untuk browser aman meliputi banyak peserta: pengguna, vendor browser, pengembang, CA, auditor, vendor webserver, situs e-commerce, regulator (misalnya, FDIC), dan standar keamanan komite. Ada kurangnya komunikasi antara kelompok-kelompok berbeda yang berkomitmen untuk model keamanan. Misalnya, meskipun pemahaman otentikasi yang kuat pada tingkat protokol komite IETF, pesan ini tidak mencapai kelompok UI. vendor Webserver tidak memprioritaskan Indikasi Name Server (TLS / SNI) memperbaiki, tidak melihatnya sebagai memperbaiki keamanan melainkan fitur baru. Dalam prakteknya, semua peserta melihat yang lain sebagai sumber kegagalan menuju phishing, maka perbaikan lokal tidak diprioritaskan.
Hal-hal yang sedikit meningkat dengan Forum CAB, sebagai kelompok yang mencakup vendor browser, auditor dan CA . Tapi kelompok tidak memulai secara terbuka, dan hasilnya menderita dari kepentingan komersial pemain pertama, serta kurangnya paritas antara peserta. Bahkan saat ini, forum CAB tidak terbuka, dan tidak melibatkan perwakilan dari CA kecil, end-user, pemilik e-commerce, dll
Standar kemacetan
Vendor berkomitmen untuk standar, yang mengakibatkan efek outsourcing ketika datang ke keamanan. Meskipun ada banyak percobaan dan baik dalam meningkatkan keamanan UI, ini belum diadopsi karena mereka tidak standar, atau berbenturan dengan standar. Ancaman model dapat menemukan kembali diri mereka di sekitar bulan, mengambil standar sekitar 10 tahun untuk menyesuaikan.
Security YM model Otoritas Sertifikat
Pengendalian mekanisme yang digunakan oleh vendor browser atas CA belum substansial diperbaharui; model ancaman telah [ kontrol dan proses kualitas daripada CA tidak cukup disetel untuk melindungi pengguna dan pengalamatan dan saat ini ancaman aktual. Audit proses sangat membutuhkan memperbarui . Pedoman baru-baru ini EV mendokumentasikan model ini secara lebih rinci, dan mendirikan sebuah patokan yang baik, tetapi tidak mendorong perubahan yang mendasar yang akan dibuat.
Browser memperingatkan pengguna ke situs web penipuan
Pendekatan lain yang populer untuk memerangi phishing adalah menjaga daftar situs phishing diketahui dan untuk memeriksa website dengan daftar. IE7 browser Microsoft , Mozilla Firefox 2.0, Safari 3.2, dan Opera semuanya mengandung ini jenis-phishing tindakan anti. [69] [ 70] [71] [72] Firefox 2 digunakan Google software anti-phishing. Opera 9.1 menggunakan hidup blacklist dari PhishTank dan GeoTrust , serta hidup whitelists dari GeoTrust . Beberapa implementasi dari pendekatan ini mengirim URL mengunjungi ke layanan pusat untuk diteliti, yang telah meningkatkan kekhawatiran tentang privasi. [73] Menurut sebuah laporan oleh Mozilla pada akhir tahun 2006, Firefox 2 ditemukan lebih efektif daripada Internet Explorer 7 di mendeteksi situs penipuan dalam penelitian oleh sebuah perusahaan pengujian perangkat lunak independen.
Pendekatan diperkenalkan pada pertengahan 2006 melibatkan beralih ke sebuah servis DNS khusus yang menyaring domain dikenal phising: ini akan bekerja dengan browser apapun, dan mirip pada prinsipnya untuk menggunakan host file untuk memblokir iklan web.
Untuk mengurangi masalah situs phishing meniru situs korban oleh embedding gambar nya (seperti logo), beberapa pemilik situs telah mengubah gambar untuk mengirim pesan kepada pengunjung bahwa situs mungkin palsu. Gambar dapat dipindahkan ke nama file baru dan asli permanen diganti, atau server bisa mendeteksi bahwa gambar itu tidak diminta sebagai bagian dari browsing normal, dan bukannya mengirim gambar peringatan. dan aman secara total
login password
Dengan meningkatkan The Bank of America website adalah salah satu dari beberapa yang meminta pengguna untuk memilih gambar pribadi, dan menampilkan gambar yang dipilih pengguna dengan segala bentuk bahwa permintaan password. Pengguna layanan online bank diinstruksikan untuk memasukkan password hanya ketika mereka melihat gambar yang mereka pilih. Namun, penelitian baru menunjukkan beberapa pengguna menahan diri dari memasukkan password mereka ketika gambar tidak ada. Di samping itu, fitur ini (seperti bentuk lain dari -faktor otentikasi dua ) adalah rentan terhadap serangan lain, seperti yang diderita oleh Skandinavia bank Nordea pada akhir tahun 2005, dan Citibank pada tahun 2006.
Sebuah sistem yang sama, di mana sebuah otomatis yang dihasilkan “Identitas Cue” yang terdiri dari sebuah kata berwarna di dalam kotak berwarna ditampilkan kepada setiap pengguna situs web, sedang digunakan di lembaga keuangan lainnya.
kulit Keamanan adalah teknik terkait yang melibatkan overlay a-gambar yang dipilih pengguna ke form login sebagai isyarat visual yang membentuk sah. Berbeda dengan skema gambar website berbasis Namun, gambar itu sendiri dibagi hanya antara pengguna dan browser, dan bukan antara pengguna dan situs web. Skema ini juga bergantung pada saling otentikasi protokol, yang membuatnya lebih rentan terhadap serangan yang hanya mempengaruhi skema otentikasi pengguna.
Dynamic berbasis gambar otentikasi untuk anti-phishing
Masih teknik lain bergantung pada grid dinamis dari gambar yang berbeda untuk setiap percobaan login. Pengguna harus mengidentifikasi gambar-gambar yang sesuai kategori pra-dipilih (seperti anjing, mobil dan bunga). Hanya setelah mereka diidentifikasi secara benar gambar-gambar yang sesuai dengan kategori mereka, mereka diperbolehkan untuk memasukkan sandi alfanumerik mereka untuk menyelesaikan login. Berbeda dengan gambar statis digunakan pada website Bank of America, metode otentikasi berbasis gambar dinamis menciptakan kode akses satu kali untuk login, memerlukan partisipasi aktif dari pengguna, dan sangat sulit bagi sebuah website phishing dengan benar meniru karena akan perlu menampilkan kotak yang berbeda dari gambar yang dihasilkan secara acak yang termasuk kategori rahasia pengguna.
Menghilangkan mail phishing
Khusus filter spam bisa mengurangi jumlah phishing e-mail yang mencapai ‘petutur inbox mereka. Pendekatan-pendekatan ini bergantung pada pembelajaran mesin dan bahasa natural pemrosesan pendekatan untuk mengklasifikasikan phishing e-mail.
Monitoring dan pencopotan
Beberapa perusahaan menawarkan bank dan organisasi lain mungkin menderita dari phishing round-the-clock layanan penipuan untuk memantau, menganalisis dan membantu menutup situs-situs phishing. [89] Individu dapat berkontribusi dengan melaporkan phishing baik dan industri kelompok relawan, [90] seperti PhishTank . [91] Individu juga dapat berkontribusi dengan melaporkan phishing mencoba telepon ke Telepon Phishing, [92] Federal Trade Commission.
Hukum tanggapan
Pada tanggal 26 Januari 2004, US Federal Trade Commission mengajukan gugatan pertama terhadap phisher dicurigai. Terdakwa, sebuah California remaja, diduga menciptakan sebuah halaman web yang dirancang untuk terlihat seperti America Online website, dan menggunakannya untuk mencuri informasi kartu kredit. Negara-negara lain telah diikuti ini memimpin dengan menelusuri dan menangkap phisher. Seorang gembong phishing, Valdir Paulo de Almeida, ditangkap di Brasil untuk memimpin salah satu yang terbesar phishing cincin kejahatan , yang dalam dua tahun mencuri antara US $ 18 juta dan US $ 37 juta. Inggris otoritas dipenjara dua orang pada Juni 2005 untuk mereka peran dalam penipuan phishing, dalam kasus tersambung ke US Secret Service Operasi Firewall, yang ditargetkan terkenal “carder” website. Pada tahun 2006 delapan orang ditangkap oleh polisi Jepang atas dugaan penipuan phishing dengan menciptakan Yahoo palsu Jepang situs Web, jaring sendiri ¥ 100 juta (US $ 870,000). Penangkapan berlanjut pada tahun 2006 dengan FBI Operasi Cardkeeper menahan sekelompok enam belas di Amerika Serikat dan Eropa.
Di Amerika Serikat , Senator Patrick Leahy memperkenalkan Undang-Undang Anti-Phishing tahun 2005 di Kongres pada tanggal 1 Maret 2005. Ini tagihan , jika telah ditetapkan menjadi undang-undang, akan penjahat subyek yang menciptakan situs web palsu dan dikirim palsu e-mail dalam rangka untuk menipu konsumen untuk denda sampai US $ 250.000 dan penjara hingga lima tahun. Inggris memperkuat arsenal hukum terhadap phishing dengan Penipuan Act 2006 , yang memperkenalkan suatu pelanggaran umum penipuan yang dapat membawa sampai tahun hukuman penjara sepuluh, dan melarang pengembangan atau kepemilikan phishing kit dengan maksud untuk melakukan penipuan.
Perusahaan juga bergabung dengan upaya untuk menindak phishing. Pada tanggal 31 Maret 2005, Microsoft mengajukan tuntutan hukum federal 117 di Pengadilan Distrik AS untuk Distrik Barat Washington . Gugatan menuduh ” John Doe “terdakwa memperoleh password dan informasi rahasia. Maret 2005 juga melihat kemitraan antara Microsoft dan pemerintah Australia mengajar aparat penegak hukum cara untuk memerangi berbagai kejahatan cyber, termasuk phishing. Microsoft mengumumkan lebih lanjut direncanakan 100 tuntutan hukum di luar Amerika Serikat pada Maret 2006, diikuti oleh dimulainya , per November 2006, dari 129 tuntutan hukum pencampuran dan sipil tindakan pidana. AOL memperkuat upaya melawan phishing pada awal tahun 2006 dengan tiga tuntutan hukum mencari total US $ 18 juta di bawah tahun 2005 amandemen Virginia Undang-Undang Kejahatan Komputer, dan Earthlink telah bergabung dalam dengan membantu mengidentifikasi enam orang kemudian dibebankan dengan phishing penipuan di Connecticut .
Pada bulan Januari 2007, Jeffrey Brett Goodin California menjadi terdakwa pertama yang dihukum oleh juri di bawah ketentuan -SPAM Act BISA tahun 2003 . Dia ditemukan bersalah karena mengirimkan ribuan e-mail kepada pengguna America Online, sedangkan menyamar sebagai departemen penagihan AOL, yang mendorong pelanggan untuk mengirimkan informasi kartu pribadi dan kredit. Menghadapi kemungkinan tahun 101 di penjara untuk pelanggaran CAN-SPAM dan lainnya jumlah sepuluh termasuk penipuan kawat , penggunaan yang tidak sah kartu kredit, dan penyalahgunaan itu merek dagang AOL, ia dijatuhi hukuman untuk melayani 70 bulan. Goodin sudah dalam tahanan karena gagal tampil untuk sidang sebelumnya dan mulai menjalani hukuman penjara segera
Sebuah teknik phishing telah dijelaskan secara rinci pada tahun 1987, dan penggunaan yang tercatat pertama dari istilah “phishing” dibuat pada tahun 1996. Istilah ini merupakan varian dari memancing, mungkin dipengaruhi oleh phreaking , dan menyinggung umpan digunakan untuk “menangkap” informasi keuangan dan password.
Dowload Versi PDF Klik Disini !
Sejarah phishing
Sebuah teknik phishing digambarkan secara rinci, dalam sebuah makalah dan presentasi yang disampaikan kepada International HP Users Group, Interex, menyebutkan tercatat pertama dari istilah “phishing” ada di alt.online-service.america-online Usenet newsgroup pada tanggal 2 Januari 1996, walaupun istilah ini mungkin telah muncul sebelumnya dalam edisi cetak dari majalah hacker 2600 .
Awal phishing di AOL
Phishing di AOL adalah berkaitan erat dengan warez masyarakat yang dipertukarkan perangkat lunak bajakan dan adegan hacking yang dilakukan penipuan kartu kredit dan kejahatan online lainnya. Setelah AOL dibawa dalam langkah-langkah di akhir tahun 1995 untuk mencegah palsu menggunakan, algoritma yang dihasilkan nomor kartu kredit untuk membuka rekening, AOL terpaksa phishing piutang yang sah dan pemanfaatan AOL.
Phisher, mengaku sebagai anggota staf AOL dan mengirim pesan instan kepada korban potensial, meminta dia untuk mengungkapkan password. Dalam rangka untuk memikat korban agar memberi informasi sensitif pesan mungkin termasuk keharusan seperti “memverifikasi account Anda “atau” mengkonfirmasi informasi penagihan “. Setelah korban telah mengungkapkan password, penyerang dapat mengakses dan menggunakan akun korban untuk tujuan penipuan atau spam . Baik phishing dan warezing di AOL umumnya diwajibkan ditulis program kustom, seperti AOHell . Phishing menjadi begitu umum di AOL bahwa mereka menambahkan garis pada semua pesan instan yang menyatakan: “tidak bekerja satu di AOL akan meminta password Anda atau informasi penagihan”, meskipun bahkan hal ini tidak membuat beberapa orang dari memberikan password mereka dan informasi pribadi jika mereka membaca dan percaya IM yang pertama. Seorang pengguna menggunakan kedua account AIM dan AOL account dari ISP secara bersamaan bisa phish anggota AOL dengan impunitas relatif sebagai rekening internet AIM dapat digunakan oleh anggota internet non-AOL dan tidak bisa mengambil tindakan (misalnya-dilaporkan kepada departemen KL AOL untuk disiplin tindakan.)
Akhirnya, kebijakan penegakan AOL sehubungan dengan phishing dan warez menjadi ketat dan memaksa software bajakan dari server AOL. AOL secara bersamaan mengembangkan sistem untuk segera menonaktifkan rekening yang terlibat dalam phishing, sering sebelum korban bisa merespon. Yang mematikan dari adegan warez di AOL disebabkan phisher paling untuk meninggalkan layanan tersebut.
Transisi dari AOL untuk lembaga keuangan
Penangkapan informasi account AOL mungkin telah menyebabkan phisher untuk informasi penyalahgunaan kartu kredit, dan menyadari bahwa serangan terhadap sistem pembayaran online adalah layak. Langsung upaya pertama yang diketahui terhadap sistem pembayaran terpengaruh E-gold pada bulan Juni 2001, yang diikuti dengan “id cek post-9/11″ lama setelah serangan September 11 di World Trade Center . Keduanya dilihat pada saat itu sebagai kegagalan, tetapi sekarang dapat dilihat sebagai percobaan awal terhadap serangan berbuah lebih terhadap bank mainstream. Pada tahun 2004, phishing diakui sebagai bagian industri sepenuhnya dari ekonomi kejahatan: spesialisasi muncul pada skala global yang menyediakan komponen untuk kas, yang dirangkai menjadi serangan selesai.
Teknik Phishing
Upaya phishing terbaru
Phisher menargetkan pelanggan bank dan layanan pembayaran online. E-mail, diduga dari Internal Revenue Service , telah digunakan untuk mengumpulkan data sensitif dari pembayar pajak AS. Sedangkan contoh pertama yang dikirim tanpa pandang bulu dengan harapan bahwa beberapa akan diterima oleh pelanggan dari bank diberikan atau layanan, Penelitian terbaru menunjukkan bahwa phisher mungkin pada prinsipnya dapat menentukan mana bank korban menggunakan potensial, dan target e-mail palsu yang sesuai. Versi Target phishing telah disebut tombak phishing. Beberapa serangan phishing baru-baru ini telah diarahkan secara khusus eksekutif senior dan lainnya target profil tinggi dalam bisnis, dan penangkapan ikan paus istilah telah diciptakan untuk jenis serangan.
Situs jaringan sosial kini target utama dari phishing, karena informasi pribadi di situs tersebut dapat digunakan dalam pencurian identitas . Pada akhir tahun 2006 sebuah worm komputer mengambil alih halaman di MySpace dan link diubah untuk peselancar langsung ke website yang dirancang untuk mencuri rincian login. Percobaan menunjukkan tingkat keberhasilan lebih dari 70% untuk serangan phishing pada jaringan sosial.
The RapidShare File situs berbagi telah ditargetkan oleh phishing untuk mendapatkan account premium, yang menghilangkan topi kecepatan download, auto-penghapusan upload, menunggu di download, dan waktu cooldown antara downloads.
Penyerang yang masuk ke TD Ameritrade ‘database (berisi semua 6,3 juta pelanggan nomor jaminan sosial , nomor rekening dan alamat email serta nama mereka, alamat, tanggal lahir, nomor telepon dan aktivitas perdagangan) juga ingin account username dan password , sehingga mereka meluncurkan Facebook tombak serangan phishing-ikuti.
Hampir setengah dari pencurian phishing pada tahun 2006 telah dilakukan oleh kelompok yang beroperasi melalui Jaringan Bisnis Rusia yang berbasis di St Petersburg .
Beberapa orang menjadi korban Scam agar, link yang diselenggarakan oleh T35 Web Hosting dan orang-orang kehilangan account mereka.
Ada situs web anti-phishing yang mempublikasikan pesan yang tepat yang telah baru-baru ini beredar internet, seperti FraudWatch Internasional dan Millersmiles . situs tersebut sering memberikan rincian spesifik tentang pesan tertentu.
Manipulasi Link
Sebagian besar metode phishing menggunakan beberapa bentuk penipuan teknis yang dirancang untuk membuat link dalam sebuah e-mail (dan situs web palsu itu mengarah kepada) tampaknya milik organisasi palsu. Salah eja URL atau menggunakan subdomain trik umum digunakan oleh phisher. Pada contoh URL berikut, http://www.yourbank.example.com/, tampak seolah-olah URL akan membawa Anda ke bagian contoh dari website yourbank; sebenarnya ini menunjukkan URL ke “yourbank” (yaitu phishing) bagian dari website contoh. Trik lain yang umum adalah untuk membuat teks ditampilkan untuk link (teks antara <a> tag ) menyarankan tujuan yang handal, ketika link tersebut benar-benar pergi ke phisher ‘situs. Link contoh berikut, http://en.wikipedia.org/wiki/Genuine , tampaknya membawa Anda ke sebuah artikel berjudul “Genuine”; mengklik justru akan membawa Anda ke artikel berjudul “Penipuan”. Di sudut kiri bawah browser paling dapat Anda pratinjau dan memverifikasi mana link tersebut akan membawa Anda. Berkeliaran kursor di atas link untuk beberapa detik akan melakukan hal yang sama.
Sebuah metode lama spoofing link yang digunakan mengandung @ ‘simbol’, awalnya dimaksudkan sebagai cara untuk memasukkan nama pengguna dan password (bertentangan dengan standar). Sebagai contoh, link @ http://www.google.com members.tripod.com / mungkin menipu pengamat biasa ia percaya bahwa ia akan membuka sebuah halaman pada www.google.com, sedangkan sebenarnya mengarahkan browser ke sebuah halaman di members.tripod.com, menggunakan username www.google. com: halaman terbuka normal, terlepas dari username yang disediakan. URL tersebut telah cacat di Internet Explorer , sedangkan Mozilla Firefox dan Opera menyajikan pesan peringatan dan memberikan pilihan untuk melanjutkan ke situs atau membatalkan.
Masalah lebih lanjut dengan URL yang telah ditemukan dalam penanganan nama domain internasionalisasi (IDN) di browser web , yang mungkin memungkinkan visual web identik mengarah ke alamat yang berbeda, mungkin berbahaya, website. Terlepas dari publisitas yang mengelilingi cacat, yang dikenal sebagai spoofing IDN atau homograf serangan , phisher telah mengambil keuntungan dari resiko yang sama, menggunakan buka redirectors URL pada situs-situs organisasi dipercaya untuk menyamarkan URL berbahaya dengan domain terpercaya. Bahkan sertifikat digital tidak memecahkan masalah ini karena sangat mungkin untuk phisher untuk membeli sertifikat yang sah dan kemudian mengubah konten untuk spoof website asli.
Penghindaran Filter
Phisher telah menggunakan gambar daripada teks untuk membuat lebih sulit untuk anti-phishing filter untuk mendeteksi teks yang umum digunakan di phishing e-mail.
Pemalsuan Website
Setelah korban mengunjungi situs phishing penipuan belum berakhir. Beberapa penipuan phishing menggunakan JavaScript perintah untuk mengubah address bar . Hal ini dilakukan baik dengan menempatkan gambar URL yang sah atas address bar, atau dengan menutup address bar asli dan membuka yang baru dengan URL yang sah .
Seorang penyerang bahkan dapat menggunakan kelemahan di situs Web sendiri’s script dipercaya terhadap korban. Jenis-jenis serangan (dikenal sebagai -site scripting cross ) sangat bermasalah, karena mereka langsung pengguna untuk sign in di bank mereka atau memiliki web layanan halaman, di mana segala sesuatu dari alamat web ke sertifikat keamanan yang benar muncul. Pada kenyataannya, link ke website ini dibuat untuk melakukan serangan, sehingga sangat sulit untuk melihat tanpa pengetahuan khusus. Hanya seperti sebuah cacat telah digunakan pada 2006 terhadap PayPal .
A Universal Man-in-the-middle (MITM) Phishing Kit, ditemukan pada tahun 2007, menyediakan sederhana-untuk menggunakan antarmuka yang memungkinkan phisher untuk meyakinkan mereproduksi website dan menangkap log-in detail masuk di situs palsu tersebut.
Untuk menghindari anti-phishing teknik yang memindai situs Web yang berhubungan dengan teks phishing, phisher telah mulai menggunakan Flash berbasis website-. Ini terlihat banyak seperti situs nyata, namun menyembunyikan teks dalam objek multimedia.
Telepon phishing
Tidak semua serangan phishing memerlukan website palsu. Pesan yang mengaku dari bank memberitahu pengguna untuk dial nomor telepon tentang masalah dengan rekening bank mereka. Setelah nomor telepon (yang dimiliki oleh phisher, dan yang disediakan oleh Voice over IP pelayanan) adalah keluar, meminta kata pengguna untuk memasukkan nomor rekening mereka dan PIN. Vishing (voice phishing) kadang-kadang menggunakan pemanggil-ID data palsu untuk memberikan kesan bahwa panggilan berasal dari organisasi yang terpercaya.
Teknik lainnya
Serangan lain berhasil digunakan adalah untuk meneruskan klien untuk itu sah situs bank, kemudian ke tempat jendela popup meminta mandat di atas situs web dengan cara yang muncul bank meminta informasi ini sensitif.
Salah satu teknik phishing terbaru adalah tabnabbing . Ia mengambil keuntungan dari beberapa tab bahwa pengguna menggunakan dan diam-diam redirect pengguna ke situs yang terkena.
Kembar Evil adalah teknik phishing yang sulit untuk dideteksi. Sebuah phisher menciptakan jaringan nirkabel palsu yang terlihat mirip dengan jaringan publik yang sah yang mungkin ditemukan di tempat-tempat umum seperti bandara, hotel atau kedai kopi. Setiap kali seseorang log on ke jaringan palsu, penipu mencoba untuk mencuri password mereka dan / atau informasi kartu kredit.
Kerusakan yang disebabkan oleh phishing
Beberapa kerusakan akibat phishing berkisar dari penyangkalan akses ke e-mail ke kerugian finansial yang besar. Diperkirakan bahwa antara bulan Mei 2004 dan Mei 2005, 1,2 juta pengguna komputer kira-kira di Amerika Serikat menderita kerugian akibat phishing, dengan total nilai sekitar US $ 929.000.000. Amerika Serikat bisnis kehilangan sekitar US $ 2 miliar per tahun sebagai klien mereka menjadi korban. Pada tahun 2007, serangan phishing meningkat. 3,6 juta orang dewasa kehilangan US $ 3,2 miliar dalam 12 bulan yang berakhir pada bulan Agustus 2007. Microsoft mengklaim estimasi ini terlalu berlebihan dan menempatkan hilangnya phishing tahunan di AS pada US $ 60 juta. Di Britania Raya kerugian dari web penipuan perbankan-terutama dari phishing-hampir dua kali lipat menjadi GB £ 23.2m pada tahun 2005, dari GB £ 12.2m pada tahun 2004, sementara 1 dari 20 pengguna komputer mengaku telah kehilangan ke phishing di tahun 2005.
Sikap diadopsi oleh badan perbankan Inggris APACS adalah bahwa “pelanggan juga harus mengambil tindakan pencegahan yang masuk akal … sehingga mereka tidak rentan terhadap kriminal.” Demikian pula, ketika banjir pertama serangan phishing memukul sektor perbankan Republik Irlandia pada bulan September 2006, Bank Irlandia awalnya menolak untuk menutup kerugian yang diderita oleh pelanggan (dan masih bersikeras bahwa kebijakan adalah untuk tidak melakukannya ), meskipun kerugian untuk lagu € 11.300 dibuat baik.
Anti-phishing
Ada beberapa teknik yang berbeda untuk memerangi phishing, termasuk legislasi dan teknologi yang dibuat khusus untuk melindungi terhadap phishing. Kebanyakan browser internet baru datang dengan software anti-phishing .
Tanggapan Sosial
Salah satu strategi untuk memerangi phishing adalah untuk melatih orang untuk mengenali usaha phishing, dan untuk menangani mereka. Pendidikan bisa efektif, terutama di mana pelatihan memberikan umpan balik langsung. Satu baru taktik phishing, yang menggunakan e-mail phishing ditargetkan pada tertentu perusahaan, yang dikenal sebagai phishing tombak, telah dimanfaatkan untuk melatih individu-individu di berbagai lokasi, termasuk Akademi Militer Amerika Serikat di West Point, NY. Dalam sebuah percobaan phishing Juni 2004 dengan tombak, 80% dari 500 kadet West Point yang mengirim e-mail palsu yang tertipu untuk mengungkapkan informasi pribadi.
Orang bisa mengambil langkah-langkah untuk menghindari phishing usaha dengan sedikit memodifikasi kebiasaan browsing mereka. Ketika dihubungi tentang akun yang perlu “diverifikasi” (atau topik lain yang digunakan oleh phisher), itu adalah tindakan pencegahan yang masuk akal untuk menghubungi perusahaan dari mana e-mail tampaknya berasal untuk memeriksa e-mail yang sah. Atau, alamat bahwa individu adalah yang asli tahu website perusahaan dapat diketik ke dalam bar alamat browser, bukan percaya setiap hyperlink dalam pesan phishing yang dicurigai.
Hampir semua sah e-mail dari perusahaan untuk pelanggan mereka berisi item dari informasi yang tidak tersedia bagi phisher. Beberapa perusahaan, misalnya PayPal , selalu alamat pelanggan mereka dengan username mereka di e-mail, jadi jika e-mail penerima secara generik (“Dear pelanggan PayPal”) kemungkinan untuk menjadi sebuah upaya phishing. E-mail dari bank dan perusahaan kartu kredit sering memasukkan nomor rekening parsial. Namun, penelitian terbaru telah menunjukkan bahwa masyarakat tidak biasanya membedakan antara beberapa digit pertama dan digit terakhir dari nomor rekening yang signifikan masalah-sejak digit pertama seringkali sama untuk semua klien dari lembaga keuangan . Orang bisa dilatih untuk memiliki kecurigaan mereka terangsang jika pesan tidak mengandung informasi pribadi tertentu. Upaya phishing pada awal tahun 2006, bagaimanapun, menggunakan informasi pribadi, yang membuatnya tidak aman untuk mengasumsikan bahwa kehadiran informasi pribadi saja jaminan bahwa pesan yang sah. Selain itu, penelitian terbaru menyimpulkan lain di bagian bahwa keberadaan informasi pribadi tidak tidak secara signifikan mempengaruhi tingkat keberhasilan serangan phishing, yang menunjukkan bahwa kebanyakan orang tidak memperhatikan detail tersebut.
The Anti-Phishing Working Group , sebuah asosiasi industri dan penegakan hukum, telah menyarankan bahwa teknik phishing konvensional bisa menjadi usang di masa depan karena orang-orang semakin sadar akan teknik rekayasa sosial yang digunakan oleh phisher. Mereka memperkirakan bahwa pharming dan lainnya menggunakan dari malware akan menjadi alat yang lebih umum untuk mencuri informasi.
Setiap orang dapat membantu mendidik masyarakat dengan mendorong praktek-praktek yang aman, dan menghindari yang berbahaya. Sayangnya, pemain terkenal bahkan diketahui menghasut pengguna untuk perilaku yang berbahaya, misalnya dengan meminta pengguna mereka untuk mengungkapkan password mereka untuk jasa pihak ketiga, seperti email.
Tanggapan Teknis
langkah-langkah Anti-phishing telah diimplementasikan sebagai fitur yang ditanamkan dalam browser, sebagai ekstensi atau toolbar untuk browser, dan sebagai bagian dari prosedur login website. Berikut ini adalah beberapa pendekatan utama untuk masalah.
Membantu untuk mengidentifikasi situs-situs yang sah
Kebanyakan website yang ditargetkan untuk phishing adalah situs aman yang berarti bahwa SSL dengan kriptografi PKI yang kuat digunakan untuk otentikasi server, di mana website URL digunakan sebagai identifier. Secara teori adalah mungkin untuk otentikasi SSL untuk digunakan untuk mengkonfirmasi situs untuk pengguna, dan ini adalah desain SSL v2′s persyaratan dan meta browsing aman. Tapi dalam prakteknya, ini mudah untuk mengelabui.
Kelemahan dangkal adalah bahwa keamanan pengguna browser interface (UI) tidak mencukupi untuk menghadapi ancaman yang kuat hari ini. Ada tiga bagian untuk mengamankan otentikasi TLS menggunakan dan sertifikat: menunjukkan bahwa sambungan dalam modus otentik, yang menunjukkan situs pengguna terhubung ke, dan menunjukkan yang berwenang mengatakan itu adalah situs ini. Ketiga diperlukan untuk otentikasi, dan perlu dikonfirmasi oleh / kepada pengguna.
Koneksi Secure
Tampilan standar untuk browsing aman dari pertengahan 1990-an sampai pertengahan tahun 2000-an adalah gembok. Pada tahun 2005, Mozilla menerjunkan bar URL kuning 2005 sebagai indikasi yang lebih baik dari sambungan aman. Inovasi ini kemudian terbalik karena sertifikat EV , yang menggantikan sertifikat tertentu menyediakan tingkat tinggi verifikasi identitas organisasi dengan tampilan hijau, dan sertifikat lainnya dengan favicon kotak biru meluas ke kiri URL bar (selain untuk mengaktifkan dari “http” menjadi “https” pada url itu sendiri).
Situs
Pengguna diharapkan untuk mengkonfirmasi bahwa nama domain pada URL bar browser sebenarnya mana mereka bermaksud pergi. URL dapat terlalu rumit untuk mudah dipecah. Pengguna sering tidak mengetahui atau mengenali URL dari situs-situs yang sah mereka berniat untuk terhubung ke, sehingga otentikasi menjadi berarti. Sebuah kondisi untuk otentikasi server yang berarti adalah untuk memiliki sebuah server identifier yang berarti bagi pengguna; banyak e-commerce situs akan mengubah nama domain dalam kumpulan mereka secara keseluruhan website, menambah kesempatan untuk kebingungan. Cukup menampilkan nama domain untuk website dikunjungi karena beberapa-phishing toolbar anti lakukan adalah tidak cukup.
Beberapa browser yang lebih baru, seperti Internet Explorer 8 , menampilkan seluruh URL abu-abu, hanya dengan nama domain sendiri di hitam, sebagai sarana untuk membantu pengguna dalam mengidentifikasi URL penipuan.
Pendekatan alternatif adalah petName ekstensi untuk Firefox yang memungkinkan jenis pengguna dalam label mereka sendiri untuk situs web, sehingga mereka nantinya dapat mengenali ketika mereka telah kembali ke situs. Jika situs tersebut tidak diakui, maka software baik dapat memperingatkan pengguna atau memblokir situs langsung. Ini merupakan sentris manajemen identitas-identitas pengguna server. Beberapa menyarankan bahwa gambar grafis yang dipilih oleh pengguna lebih baik dari sebuah petName.
Dengan munculnya sertifikat EV , browser sekarang biasanya menampilkan nama organisasi dalam warna hijau, yang jauh lebih terlihat dan diharapkan lebih konsisten dengan harapan pengguna. Sayangnya, vendor browser telah memilih untuk membatasi ini menampilkan tokoh hanya untuk sertifikat EV , sehingga pengguna untuk menjaga dirinya dengan semua sertifikat lainnya.
Siapa Otorita
browser perlu negara yang kewenangan yang membuat klaim tentang siapa pengguna terhubung ke. Pada tingkat yang paling sederhana, otoritas tidak disebutkan, dan karena itu browser adalah otoritas, sejauh pengguna yang bersangkutan. Para vendor browser mengambil tanggung jawab ini dengan mengendalikan daftar root CA diterima. Ini adalah praktek standar saat ini.
Masalah dengan hal ini adalah bahwa tidak semua otoritas sertifikasi (CA) menggunakan pemeriksaan sama baik atau berlaku, terlepas dari upaya oleh vendor browser untuk mengontrol kualitas. Juga tidak semua CA berlangganan ke model yang sama dan konsep bahwa sertifikat hanya sekitar mengautentikasi organisasi e-commerce;. Sertifikat Manufaktur adalah nama yang diberikan rendah nilai untuk sertifikat yang disampaikan pada kartu kredit dan email konfirmasi kedua mudah diselewengkan oleh penipu. Oleh karena itu, situs bernilai tinggi dapat dengan mudah palsu dengan sertifikat yang sah yang disediakan oleh CA lain. Ini bisa jadi karena CA di bagian lain dunia, dan tidak familiar dengan situs e-commerce bernilai tinggi, atau bisa juga bahwa perawatan tidak ada diambil sama sekali. Sebagai CA hanya dibebankan dengan melindungi para pelanggan sendiri, dan bukan pelanggan CA lainnya, cacat ini melekat dalam model.
Solusi untuk ini adalah bahwa browser harus menunjukkan, dan pengguna harus akrab dengan, nama otoritas. Ini menyajikan CA sebagai sebuah merek, dan memungkinkan pengguna untuk mempelajari beberapa CA bahwa dia akan datang ke dalam kontak dalam negara dan sektor-nya. Penggunaan merek juga sangat penting untuk menyediakan CA dengan insentif untuk meningkatkan memeriksa mereka, sebagai pengguna akan belajar merek dan memeriksa permintaan baik untuk situs bernilai tinggi.
Solusi ini pertama kali dipraktekkan pada awal versi IE7, ketika menampilkan sertifikat EV . Di layar itu, CA mengeluarkan ditampilkan. Ini merupakan kasus terisolasi, namun. Ada resistensi terhadap CA dicap di krom, sehingga mundur ke tingkat yang paling sederhana di atas: adalah browser yang otoritas.
Pengguna kelemahan mendasar dalam model keamanan browsing aman
Percobaan untuk meningkatkan keamanan UI telah menghasilkan keuntungan, tetapi juga terkena kelemahan mendasar dalam model keamanan. Penyebab yang mendasari kegagalan otentikasi SSL untuk dipekerjakan baik dalam browsing yang aman banyak dan saling terkait.
Keamanan sebelum ancaman
Karena browsing aman dimasukkan ke dalam tempatnya sebelum ancaman tampak jelas, tampilan keamanan kalah dalam “perang real estate” dari awal browser. Rancangan asli dari browser Netscape termasuk tampilan terkemuka nama situs dan nama CA, tapi ini dijatuhkan dalam rilis pertama. Pengguna sekarang sangat berpengalaman dalam tidak memeriksa informasi keamanan sama sekali.
Klik-melalui sindrom
situs , peringatan untuk dikonfigurasi buruk terus, dan tidak turun-dinilai. Jika sertifikat memiliki kesalahan di dalamnya (nama domain tidak cocok, kadaluwarsa), maka browser biasanya akan meluncurkan popup untuk memperingatkan pengguna. Sebagai alasan pada umumnya kesalahan konfigurasi kecil, pengguna belajar untuk melewati peringatan, dan sekarang, pengguna terbiasa untuk mengobati semua peringatan dengan penghinaan yang sama, sehingga Klik-melalui sindrom . Misalnya, Firefox 3 memiliki klik proses 4 untuk menambahkan pengecualian, tetapi telah terbukti diabaikan oleh pengguna yang berpengalaman dalam kasus nyata dari MITM . Bahkan saat ini, karena sebagian besar dari peringatan akan untuk misconfigurations tidak MITMs nyata, sulit untuk melihat bagaimana klik melalui sindrom akan pernah dihindari.
Kurangnya bunga
Faktor lain yang mendasari adalah kurangnya dukungan untuk virtual hosting. Penyebab khusus adalah kurangnya dukungan untuk Indikasi Nama Server di webservers TLS, dan biaya dan ketidaknyamanan memperoleh sertifikat. Hasilnya adalah bahwa penggunaan otentikasi terlalu jarang untuk menjadi apa pun kecuali kasus khusus. Hal ini menyebabkan kurangnya pengetahuan dan sumber daya dalam otentikasi dalam TLS, yang pada gilirannya berarti bahwa upaya oleh vendor browser untuk meng-upgrade UIS keamanan mereka telah lambat dan loyo.
komunikasi lateral
Model keamanan untuk browser aman meliputi banyak peserta: pengguna, vendor browser, pengembang, CA, auditor, vendor webserver, situs e-commerce, regulator (misalnya, FDIC), dan standar keamanan komite. Ada kurangnya komunikasi antara kelompok-kelompok berbeda yang berkomitmen untuk model keamanan. Misalnya, meskipun pemahaman otentikasi yang kuat pada tingkat protokol komite IETF, pesan ini tidak mencapai kelompok UI. vendor Webserver tidak memprioritaskan Indikasi Name Server (TLS / SNI) memperbaiki, tidak melihatnya sebagai memperbaiki keamanan melainkan fitur baru. Dalam prakteknya, semua peserta melihat yang lain sebagai sumber kegagalan menuju phishing, maka perbaikan lokal tidak diprioritaskan.
Hal-hal yang sedikit meningkat dengan Forum CAB, sebagai kelompok yang mencakup vendor browser, auditor dan CA . Tapi kelompok tidak memulai secara terbuka, dan hasilnya menderita dari kepentingan komersial pemain pertama, serta kurangnya paritas antara peserta. Bahkan saat ini, forum CAB tidak terbuka, dan tidak melibatkan perwakilan dari CA kecil, end-user, pemilik e-commerce, dll
Standar kemacetan
Vendor berkomitmen untuk standar, yang mengakibatkan efek outsourcing ketika datang ke keamanan. Meskipun ada banyak percobaan dan baik dalam meningkatkan keamanan UI, ini belum diadopsi karena mereka tidak standar, atau berbenturan dengan standar. Ancaman model dapat menemukan kembali diri mereka di sekitar bulan, mengambil standar sekitar 10 tahun untuk menyesuaikan.
Security YM model Otoritas Sertifikat
Pengendalian mekanisme yang digunakan oleh vendor browser atas CA belum substansial diperbaharui; model ancaman telah [ kontrol dan proses kualitas daripada CA tidak cukup disetel untuk melindungi pengguna dan pengalamatan dan saat ini ancaman aktual. Audit proses sangat membutuhkan memperbarui . Pedoman baru-baru ini EV mendokumentasikan model ini secara lebih rinci, dan mendirikan sebuah patokan yang baik, tetapi tidak mendorong perubahan yang mendasar yang akan dibuat.
Browser memperingatkan pengguna ke situs web penipuan
Pendekatan lain yang populer untuk memerangi phishing adalah menjaga daftar situs phishing diketahui dan untuk memeriksa website dengan daftar. IE7 browser Microsoft , Mozilla Firefox 2.0, Safari 3.2, dan Opera semuanya mengandung ini jenis-phishing tindakan anti. [69] [ 70] [71] [72] Firefox 2 digunakan Google software anti-phishing. Opera 9.1 menggunakan hidup blacklist dari PhishTank dan GeoTrust , serta hidup whitelists dari GeoTrust . Beberapa implementasi dari pendekatan ini mengirim URL mengunjungi ke layanan pusat untuk diteliti, yang telah meningkatkan kekhawatiran tentang privasi. [73] Menurut sebuah laporan oleh Mozilla pada akhir tahun 2006, Firefox 2 ditemukan lebih efektif daripada Internet Explorer 7 di mendeteksi situs penipuan dalam penelitian oleh sebuah perusahaan pengujian perangkat lunak independen.
Pendekatan diperkenalkan pada pertengahan 2006 melibatkan beralih ke sebuah servis DNS khusus yang menyaring domain dikenal phising: ini akan bekerja dengan browser apapun, dan mirip pada prinsipnya untuk menggunakan host file untuk memblokir iklan web.
Untuk mengurangi masalah situs phishing meniru situs korban oleh embedding gambar nya (seperti logo), beberapa pemilik situs telah mengubah gambar untuk mengirim pesan kepada pengunjung bahwa situs mungkin palsu. Gambar dapat dipindahkan ke nama file baru dan asli permanen diganti, atau server bisa mendeteksi bahwa gambar itu tidak diminta sebagai bagian dari browsing normal, dan bukannya mengirim gambar peringatan. dan aman secara total
login password
Dengan meningkatkan The Bank of America website adalah salah satu dari beberapa yang meminta pengguna untuk memilih gambar pribadi, dan menampilkan gambar yang dipilih pengguna dengan segala bentuk bahwa permintaan password. Pengguna layanan online bank diinstruksikan untuk memasukkan password hanya ketika mereka melihat gambar yang mereka pilih. Namun, penelitian baru menunjukkan beberapa pengguna menahan diri dari memasukkan password mereka ketika gambar tidak ada. Di samping itu, fitur ini (seperti bentuk lain dari -faktor otentikasi dua ) adalah rentan terhadap serangan lain, seperti yang diderita oleh Skandinavia bank Nordea pada akhir tahun 2005, dan Citibank pada tahun 2006.
Sebuah sistem yang sama, di mana sebuah otomatis yang dihasilkan “Identitas Cue” yang terdiri dari sebuah kata berwarna di dalam kotak berwarna ditampilkan kepada setiap pengguna situs web, sedang digunakan di lembaga keuangan lainnya.
kulit Keamanan adalah teknik terkait yang melibatkan overlay a-gambar yang dipilih pengguna ke form login sebagai isyarat visual yang membentuk sah. Berbeda dengan skema gambar website berbasis Namun, gambar itu sendiri dibagi hanya antara pengguna dan browser, dan bukan antara pengguna dan situs web. Skema ini juga bergantung pada saling otentikasi protokol, yang membuatnya lebih rentan terhadap serangan yang hanya mempengaruhi skema otentikasi pengguna.
Dynamic berbasis gambar otentikasi untuk anti-phishing
Masih teknik lain bergantung pada grid dinamis dari gambar yang berbeda untuk setiap percobaan login. Pengguna harus mengidentifikasi gambar-gambar yang sesuai kategori pra-dipilih (seperti anjing, mobil dan bunga). Hanya setelah mereka diidentifikasi secara benar gambar-gambar yang sesuai dengan kategori mereka, mereka diperbolehkan untuk memasukkan sandi alfanumerik mereka untuk menyelesaikan login. Berbeda dengan gambar statis digunakan pada website Bank of America, metode otentikasi berbasis gambar dinamis menciptakan kode akses satu kali untuk login, memerlukan partisipasi aktif dari pengguna, dan sangat sulit bagi sebuah website phishing dengan benar meniru karena akan perlu menampilkan kotak yang berbeda dari gambar yang dihasilkan secara acak yang termasuk kategori rahasia pengguna.
Menghilangkan mail phishing
Khusus filter spam bisa mengurangi jumlah phishing e-mail yang mencapai ‘petutur inbox mereka. Pendekatan-pendekatan ini bergantung pada pembelajaran mesin dan bahasa natural pemrosesan pendekatan untuk mengklasifikasikan phishing e-mail.
Monitoring dan pencopotan
Beberapa perusahaan menawarkan bank dan organisasi lain mungkin menderita dari phishing round-the-clock layanan penipuan untuk memantau, menganalisis dan membantu menutup situs-situs phishing. [89] Individu dapat berkontribusi dengan melaporkan phishing baik dan industri kelompok relawan, [90] seperti PhishTank . [91] Individu juga dapat berkontribusi dengan melaporkan phishing mencoba telepon ke Telepon Phishing, [92] Federal Trade Commission.
Hukum tanggapan
Pada tanggal 26 Januari 2004, US Federal Trade Commission mengajukan gugatan pertama terhadap phisher dicurigai. Terdakwa, sebuah California remaja, diduga menciptakan sebuah halaman web yang dirancang untuk terlihat seperti America Online website, dan menggunakannya untuk mencuri informasi kartu kredit. Negara-negara lain telah diikuti ini memimpin dengan menelusuri dan menangkap phisher. Seorang gembong phishing, Valdir Paulo de Almeida, ditangkap di Brasil untuk memimpin salah satu yang terbesar phishing cincin kejahatan , yang dalam dua tahun mencuri antara US $ 18 juta dan US $ 37 juta. Inggris otoritas dipenjara dua orang pada Juni 2005 untuk mereka peran dalam penipuan phishing, dalam kasus tersambung ke US Secret Service Operasi Firewall, yang ditargetkan terkenal “carder” website. Pada tahun 2006 delapan orang ditangkap oleh polisi Jepang atas dugaan penipuan phishing dengan menciptakan Yahoo palsu Jepang situs Web, jaring sendiri ¥ 100 juta (US $ 870,000). Penangkapan berlanjut pada tahun 2006 dengan FBI Operasi Cardkeeper menahan sekelompok enam belas di Amerika Serikat dan Eropa.
Di Amerika Serikat , Senator Patrick Leahy memperkenalkan Undang-Undang Anti-Phishing tahun 2005 di Kongres pada tanggal 1 Maret 2005. Ini tagihan , jika telah ditetapkan menjadi undang-undang, akan penjahat subyek yang menciptakan situs web palsu dan dikirim palsu e-mail dalam rangka untuk menipu konsumen untuk denda sampai US $ 250.000 dan penjara hingga lima tahun. Inggris memperkuat arsenal hukum terhadap phishing dengan Penipuan Act 2006 , yang memperkenalkan suatu pelanggaran umum penipuan yang dapat membawa sampai tahun hukuman penjara sepuluh, dan melarang pengembangan atau kepemilikan phishing kit dengan maksud untuk melakukan penipuan.
Perusahaan juga bergabung dengan upaya untuk menindak phishing. Pada tanggal 31 Maret 2005, Microsoft mengajukan tuntutan hukum federal 117 di Pengadilan Distrik AS untuk Distrik Barat Washington . Gugatan menuduh ” John Doe “terdakwa memperoleh password dan informasi rahasia. Maret 2005 juga melihat kemitraan antara Microsoft dan pemerintah Australia mengajar aparat penegak hukum cara untuk memerangi berbagai kejahatan cyber, termasuk phishing. Microsoft mengumumkan lebih lanjut direncanakan 100 tuntutan hukum di luar Amerika Serikat pada Maret 2006, diikuti oleh dimulainya , per November 2006, dari 129 tuntutan hukum pencampuran dan sipil tindakan pidana. AOL memperkuat upaya melawan phishing pada awal tahun 2006 dengan tiga tuntutan hukum mencari total US $ 18 juta di bawah tahun 2005 amandemen Virginia Undang-Undang Kejahatan Komputer, dan Earthlink telah bergabung dalam dengan membantu mengidentifikasi enam orang kemudian dibebankan dengan phishing penipuan di Connecticut .
Pada bulan Januari 2007, Jeffrey Brett Goodin California menjadi terdakwa pertama yang dihukum oleh juri di bawah ketentuan -SPAM Act BISA tahun 2003 . Dia ditemukan bersalah karena mengirimkan ribuan e-mail kepada pengguna America Online, sedangkan menyamar sebagai departemen penagihan AOL, yang mendorong pelanggan untuk mengirimkan informasi kartu pribadi dan kredit. Menghadapi kemungkinan tahun 101 di penjara untuk pelanggaran CAN-SPAM dan lainnya jumlah sepuluh termasuk penipuan kawat , penggunaan yang tidak sah kartu kredit, dan penyalahgunaan itu merek dagang AOL, ia dijatuhi hukuman untuk melayani 70 bulan. Goodin sudah dalam tahanan karena gagal tampil untuk sidang sebelumnya dan mulai menjalani hukuman penjara segera
Sebuah teknik phishing telah dijelaskan secara rinci pada tahun 1987, dan penggunaan yang tercatat pertama dari istilah “phishing” dibuat pada tahun 1996. Istilah ini merupakan varian dari memancing, mungkin dipengaruhi oleh phreaking , dan menyinggung umpan digunakan untuk “menangkap” informasi keuangan dan password.
Dowload Versi PDF Klik Disini !
2 komentar untuk "Apa Itu Phising ?"
[url=http://paydayloans.caffrica.com]online payday loans[/url]
short term loans
best acne treatment
acne scar treatment
acne scar treatment
cystic acne
adult acne
home remedies for acne
home remedies for acne
adult acne
cystic acne
acne scars
home remedies for acne
adult acne
cystic acne
adult acne
best acne treatment
adult acne
home remedies for acne
how to get rid of acne
http://how-to-getridofacne.webs.com/
how to get rid of acne scars
acne scars
Credit Card Consolidation Loan
http://hotelsintbilisi.webs.com/
best online dating sites
papaswingeria
New York Shark game
http://the scarygames.net/
Bila Ada Pertanyaan/Saran Opini Silakan Dilayangkan Di kotak Komentar/Buku Tamu
Dan Dimohon Para Visitor Menggunakan Bahasa Yang Sopan
Bila Tidak Menggunakan Bahasa Yang Sopan Komentar Anda Akan Kami Hapus
Mohon Maaf Bila Ingin Menyalin Artikel ini Harap Mencantumkan Sumbernya
When the Any Questions / Suggestions Please posted in Opinion Comment box / Guest Book
Please Use The Visitor and The Polite Language
When Not Using Polite Language That We Will Delete Your Comment
Sorry if this article Want to Copy Please Include the SourceSorry If you want to copy this article if Please Include the Source