फिशिंग

विकिपीडिया, मुक्‍त ज्ञानकोशातून
Jump to navigation Jump to search
(काल्पनिक) बॅंकेच्या अधिकृत ईमेलच्या रूपात वेशात फिशिंग ईमेलचे उदाहरण. प्रेषक फिशरच्या वेबसाइटवर "पुष्टीकरण" करून गोपनीय माहिती उघडकीस आणण्याचा प्रयत्न करीत आहे. प्राप्त आणि विसंगती अनुक्रमे म्हणून शब्द चुकीचे स्पेलिंग लक्षात ठेवा. जरी बॅंकेच्या वेबपृष्ठाची URL वैध असल्याचे दिसत असले तरी फिशरच्या वेबपृष्ठावरील हायपरलिंक पॉईंट्स.

फिशिंग ही इलेक्ट्रॉनिक संप्रेषणातील विश्वासार्ह संस्था म्हणून स्वतःची ओळख करून वापरकर्तानाव, संकेतशब्द आणि क्रेडिट कार्ड तपशील यासारखी संवेदनशील माहिती मिळवण्याचा फसव्या प्रयत्न आहे. [१] [२] ईमेल स्पूफिंग [३] किंवा इन्स्टंट मेसेजिंगद्वारे सामान्यत: केले जाते, [४] हे सहसा वापरकर्त्यांना बनावट वेबसाइटवर वैयक्तिक माहिती प्रविष्ट करण्याचे निर्देश देते जे कायदेशीर साइटच्या देखाव्याशी आणि भावनांशी जुळते. [५]

फिशिंग हे सामाजिक अभियांत्रिकी तंत्राचे एक उदाहरण आहे जे वापरकर्त्यांना फसवण्यासाठी वापरले जात आहे. सोशल नेटवर्क्स, लिलाव साइट, बॅंका, ऑनलाइन पेमेंट प्रोसेसर्स किंवा आयटी प्रशासकांसारख्या विश्वासू पक्षांकडून संवाद साधण्याद्वारे वापरकर्त्यांना बहुतेक वेळा आमिष दाखविली जाते. [६]

फिशिंगच्या घटनांशी संबंधित असलेल्या प्रयत्नांमध्ये कायदे, वापरकर्त्याचे प्रशिक्षण, जनजागृती आणि तांत्रिक सुरक्षा उपायांचा समावेश आहे (फिशिंग हल्ल्यांमुळे सध्याच्या वेब सुरक्षिततेतील कमकुवतपणाचे वारंवार शोषण होत आहे).[७]

हा शब्द नव्याने तयार केलेला आहे जो homophone च्या मासेमारी .

तंत्र[संपादन]

भाला फिशिंग[संपादन]

विशिष्ट व्यक्ती किंवा कंपन्या निर्देशित फिशिंग प्रयत्नांना आपन भाले फिशिंग म्हणून ओळखतो . [८] बल्क फिशिंगच्या उलट, भाले फिशिंग हल्लेखोर त्यांच्या यशाची संभाव्यता वाढविण्यासाठी अनेकदा त्यांच्या लक्ष्याबद्दल वैयक्तिक माहिती गोळा करतात आणि वापरतात. [९] [१०] [११] [१२]

थ्रीट ग्रुप -4127 (फॅन्सी बियर) यांनी हिलरी क्लिंटन यांच्या 2016 च्या अध्यक्षीय मोहिमेशी संबंधित ईमेल खात्यांवर लक्ष्य देण्यासाठी भाले फिशिंग ची युक्ती वापरली. त्यांनी काही वापरकर्त्यांना धमकी देण्यासाठी 1,800 पेक्षा जास्त Google खात्यावर हल्ला केला आणि खाती- google.com डोमेन वर लागू केली. [१३] [१४]

व्हेलिंग या शब्दाचा अर्थ भाला फिशिंग हल्ल्यांचा संदर्भ आहे जे विशेषत: वरिष्ठ अधिकारी आणि इतर उच्च-लक्ष्यीय अधिकाऱ्यांवर निर्देशित केले जातात. [१५] या प्रकरणांमध्ये, अप्पर मॅनेजर आणि कंपनीमधील व्यक्तीची भूमिका लक्ष्य करण्यासाठी सामग्री तयार केली जाईल. व्हेलिंग अ‍ॅटॅक ईमेलची सामग्री कार्यकारी समस्या असू शकते जसे की सबपॉना किंवा ग्राहक तक्रारी. [१६]

क्लोन फिशिंग[संपादन]

क्लोन फिशिंग हा फिशिंग आक्रमणाचा एक प्रकार आहे ज्यासाठी कायदेशीर, आणि यापूर्वी वितरित केलेला, संलग्नक किंवा दुवा असलेल्या ईमेलची सामग्री आणि प्राप्तकर्ता पत्ता (एस) आहे आणि जवळजवळ एकसारखे किंवा क्लोन ईमेल तयार करण्यासाठी वापरला जातो. ईमेलमधील संलग्नक किंवा दुवा दुर्भावनायुक्त आवृत्तीने बदलला जाईल आणि नंतर मूळ प्रेषकाकडून आल्यासारखे दिसल्यासारखे बनावट ईमेल पत्त्यावरून पाठविले जाईल. हे मूळ किंवा मूळ आवृत्तीवर अद्ययावत केलेल्या आवृत्तीचे पुन्हा पाठविलेले असल्याचा दावा करू शकतो. सामान्यत: यासाठी एकतर प्रेषक किंवा प्राप्तकर्त्यास यापूर्वी दुर्भावनायुक्त तृतीय पक्षाने कायदेशीर ईमेल प्राप्त करण्यासाठी हॅक केले होते [१७] [१८]

दुवा हाताळणे[संपादन]

फिशिंगच्या बर्‍याच पद्धतींमध्ये ईमेलमध्ये लिंक बनविण्या साठी तयार केलेल्या मशिनिक फसवणुकीचा काही प्रकार वापरला जाउ शकतो (आणि त्याच्याकडे जाणारी स्पूफ वेबसाइट) स्पूफ केलेल्या संस्थेची असल्याचे दिसून येते . [१९] चुकीचे स्पेलिंग URL किंवा सबडोमेनचा वापर फिशरद्वारे वापरल्या जाणार्‍या साधारण युक्त्या आहेत. खालील उदाहरण URL मध्ये, http://www.yourbank.example.com/, असे दिसते की URL आपल्याला आपल्या बॅंक वेबसाइटच्या मेन विभागात नेईल ; वास्तविक ही URL मेन वेबसाइटच्या " yourbank " (म्हणजे फिशिंग) विभागाकडे निर्देश करते. लिंक प्रत्यक्षात फिशर्सच्या साइटवर गेल्यानंतर दुव्यासाठी प्रदर्शित केलेला मजकूर ( टॅगमधील मजकूर) विश्वसनीय गंतव्यस्थान बनविणे ही आणखी एक सामाधारण युक्ती आहे. बरेच डेस्कटॉप ईमेल क्लायंट आणि वेब ब्राउझर त्यावरील माउस फिरवत असताना स्थिती बारमध्ये दुव्याची लक्ष्य URL दाखवितात . हे वर्तन तथापि, काही परिस्थितींमध्ये फिशरद्वारे प्रस्तापित केले जाऊ शकते. [२०] समतुल्य मोबाइल अ‍ॅप्समध्ये सामान्यत: हे पूर्वाव लोकन वैशिष्ट्य नसू शकते .

आंतरराष्ट्रीयकृत डोमेन नाव (आयडीएन) आयडीएन स्पूफिंग [२१] किंवा होमोग्राफ हल्ल्या द्वारे शोषण केले जाऊ शकते, [२२] कायदेशीर साइटच्या दिसणारे तत्सम वेब पत्ते तयार करण्यासाठी, जे त्या ऐवजी दुर्भावनापूर्ण आवृत्ती आणतात. विश्वासू संस्थेच्या वेबसाइटवर ओपन यूआरएल रीडायरेक्टर्सचा वापर करुन फिशर्सने अशाच नाहीत फायदा उठविला आहे.. [२३] [२४] [२५] [२६]

फिल्टर चोरी[संपादन]

फिशर ईमेलमध्ये सामान्यत: वापरल्या जाणार्‍या व्यक्तीची ओळख पटविण्या साठी फिशर्सने अ‍ॅन्टी फिशिंग फिल्टर्सना कठिण करण्यासाठी मजकूऐवजी प्रतिमाचा वापर केलेला आहे. [२७] अधिक परिष्कृत ॲंटी-फिशिंग फिल्टर ओसीआर ( ऑप्टिकल कॅरेक्टर रिकग्निशन ) वापरून प्रतिमांमध्ये लपविलेले व्यक्ती पुनर्प्राप्त करण्यास तयार आहेत. [२८]

दुवा[संपादन]

'फिशिंग पेज' अर्थात फसवणुकीचे जाळे - Maharashtra Times

  1. ^ Ramzan, Zulfikar (2010). "Phishing attacks and countermeasures". In Stamp, Mark; Stavroulakis, Peter (eds.). Handbook of Information and Communication Security. Springer. ISBN 978-3-642-04117-4.
  2. ^ Van der Merwe, A J, Loock, M, Dabrowski, M. (2005), Characteristics and Responsibilities involved in a Phishing Attack, Winter International Symposium on Information and Communication Technologies, Cape Town, January 2005.
  3. ^ http://googleonlinesecurity.blogspot.jp/2012/01/landing-another-blow-against-email.html. Missing or empty |title= (सहाय्य)
  4. ^ Dudley, Tonia. https://www.sans.org/security-awareness-training/resources/stop-phish. Missing or empty |title= (सहाय्य)
  5. ^ https://www.7xter.com/2016/08/phishing.html. Missing or empty |title= (सहाय्य)
  6. ^ http://googleonlinesecurity.blogspot.jp/2012/06/safe-browsing-protecting-web-users-for.html. Missing or empty |title= (सहाय्य)
  7. ^ Jøsang, Audun; et al. (2007). "Security Usability Principles for Vulnerability Analysis and Risk Assessment" (PDF). Proceedings of the Annual Computer Security Applications Conference 2007 (ACSAC'07).
  8. ^ https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/phishing#spear-phishing. Missing or empty |title= (सहाय्य)
  9. ^ Stephenson, Debbie. http://www.firmex.com/blog/spear-phishing-whos-getting-caught/. Missing or empty |title= (सहाय्य)
  10. ^ Info Security magazine. 3 February 2018. Missing or empty |title= (सहाय्य); |access-date= requires |url= (सहाय्य)
  11. ^ Leyden, John (4 April 2011). The Register. Missing or empty |title= (सहाय्य); |access-date= requires |url= (सहाय्य)
  12. ^ Winterford, Brett (7 April 2011). itnews.com.au. itnews.com.au. Missing or empty |title= (सहाय्य); |access-date= requires |url= (सहाय्य)
  13. ^ https://www.secureworks.com/research/threat-group-4127-targets-google-accounts. Missing or empty |title= (सहाय्य)
  14. ^ Nakashima, Ellen; Harris, Shane (July 13, 2018). The Washington Post. Missing or empty |title= (सहाय्य); |access-date= requires |url= (सहाय्य)
  15. ^ https://www.webcitation.org/5w9YcgvUb?url=http://www.theregister.co.uk/2008/04/16/whaling_expedition_continues/. Archived from the original on January 31, 2011. Missing or empty |title= (सहाय्य)
  16. ^ https://web.archive.org/web/20111018140959/http://netforbeginners.about.com/od/scamsandidentitytheft/f/What-Is-Whaling-Spear-Phishing.htm. Archived from the original on October 18, 2011. Missing or empty |title= (सहाय्य)
  17. ^ https://www.cert.govt.nz/individuals/alerts/invoice-scams-affecting-new-zealand-businesses/. Missing or empty |title= (सहाय्य)
  18. ^ Parker, Tamsyn (18 August 2018). NZ Herald. Missing or empty |title= (सहाय्य); |access-date= requires |url= (सहाय्य)
  19. ^ https://www.webcitation.org/6mfqUkatY?url=http://www.bustspammers.com/phishing_links.html. Archived from the original on December 11, 2016. Missing or empty |title= (सहाय्य)
  20. ^ Cimpanu, Catalin. http://news.softpedia.com/news/hidden-javascript-redirect-makes-phishing-pages-harder-to-detect-505295.shtml. Missing or empty |title= (सहाय्य)
  21. ^ Johanson, Eric. https://web.archive.org/web/20050823111335/http://www.shmoo.com/idn/homograph.txt. Archived from the original on August 23, 2005. Missing or empty |title= (सहाय्य)
  22. ^ Evgeniy Gabrilovich & Alex Gontmakher (February 2002). "The Homograph Attack" (PDF). Communications of the ACM. 45 (2): 128. doi:10.1145/503124.503156.
  23. ^ Leyden, John (August 15, 2006). The Register. Missing or empty |title= (सहाय्य)
  24. ^ Levine, Jason. http://q.queso.com/archives/001617. Missing or empty |title= (सहाय्य)
  25. ^ Leyden, John (December 12, 2007). The Register. Missing or empty |title= (सहाय्य)
  26. ^ . May 15, 2011. Missing or empty |title= (सहाय्य)
  27. ^ Mutton, Paul. https://www.webcitation.org/5w9YzPsN0?url=http://news.netcraft.com/archives/2005/05/12/fraudsters_seek_to_make_phishing_sites_undetectable_by_content_filters.html. Archived from the original on January 31, 2011. Missing or empty |title= (सहाय्य)
  28. ^ http://www.powershow.com/viewfl/1f004e-ZDc1Z/The_use_of_Optical_Character_Recognition_OCR_software_in_spam_filtering_powerpoint_ppt_presentation. Missing or empty |title= (सहाय्य)