Phishing

Phishing je lažno predstavljanje na internetu i korišćenje socijalnog inženjeringa kako bi se napadač predstavio kao osoba/organizacija od povjerenja. Kada se nađe u poziciji posjedovanja povjerenja žrtve napadač to koristi da dođe do povjerljivih informacija, obično brojeva računa, podataka o korisničkim nalozima i slično.

Iako je procenat korisnika koji budu zavarani ovim napadima relativno malen, u nekim slučajevima napadaču je dovoljno da zavara jednog korisnika i njegov cilj će biti ispunjen. Kada napadač glumi neki web sajt sa velikim prometom i poznatim imenom, čak i 5-6% od ukupnih korisnika je značajan broj. 

Postoji nekoliko standardnih načina da se izvedu ovakvi napadi : 

• Žrtva dobija email ili poruku nekog drugog tipa od napadača koji pokušava da je uvjeri da je potrebno da ponovo aktivira svoj nalog za neki web sajt ili da izvrši neku validaciju dajući mu link prema svome sajtu gdje će korisnik unjeti svoje povjerljive podatke.
• Napadač šalje prijeteću email poruku žrtvi optužujući ih za nešto i pri tome traži od njih neke lične informacije da verifikuju svoj identitet.
• Postavljanje softvera koji vrši nadzor aktivnosti korisnika na računaru u tajnosti i obavještava napadača o njima.

Napadači često kreiraju sajtove naziva sličnog originalu, npr. slicannaziv.com i sIicannaziv.com gdje je u prvom slucaju korišteno malo slovo L a u drugom veliko slovo i a korisniku u zavisnosti od fonta izgleda skoro identično. Naziv poput mojastranica.zvanicno.com možda zvuči kao da nepoznati naziv zvanicno pripada stranici kojoj vjerujemo – mojastranica.com međutim situacija je obrnuta i vlasnik domena zvanicno.com može da dodaje proizvoljne nazive ispred i zavarava korisnike postavljajući stranice koje izgledaju kao stranice stvarnih organizacija.

Zaštita od ovakvih napada je prepuštena određenim organizacijama ali i korisnicima koji bi radi sopstvene bezbjednosti trebali da se edukuju i obraćaju pažnju na linkove koje klikaju i adrese koje posjećuju.

Izvor:www.owasp.org