फिशिंग

विकिपीडिया, मुक्‍त ज्ञानकोशातून
Jump to navigation Jump to search
(काल्पनिक) बॅंकेच्या अधिकृत ईमेलच्या रूपात वेशात फिशिंग ईमेलचे उदाहरण. प्रेषक फिशरच्या वेबसाइटवर "पुष्टीकरण" करून गोपनीय माहिती उघडकीस आणण्याचा प्रयत्न करीत आहे. प्राप्त आणि विसंगती अनुक्रमे म्हणून शब्द चुकीचे स्पेलिंग लक्षात ठेवा. जरी बॅंकेच्या वेबपृष्ठाची URL वैध असल्याचे दिसत असले तरी फिशरच्या वेबपृष्ठावरील हायपरलिंक पॉईंट्स.

फिशिंग ही इलेक्ट्रॉनिक संप्रेषणातील विश्वासार्ह संस्था म्हणून स्वतःची ओळख करून वापरकर्तानाव, संकेतशब्द आणि क्रेडिट कार्ड तपशील यासारखी संवेदनशील माहिती मिळवण्याचा फसव्या प्रयत्न आहे. [१] [२] ईमेल स्पूफिंग [३] किंवा इन्स्टंट मेसेजिंगद्वारे सामान्यत: केले जाते, [४] हे सहसा वापरकर्त्यांना बनावट वेबसाइटवर वैयक्तिक माहिती प्रविष्ट करण्याचे निर्देश देते जे कायदेशीर साइटच्या देखाव्याशी आणि भावनांशी जुळते. [५]

फिशिंग हे सामाजिक अभियांत्रिकी तंत्राचे एक उदाहरण आहे जे वापरकर्त्यांना फसवण्यासाठी वापरले जात आहे. सोशल नेटवर्क्स, लिलाव साइट, बॅंका, ऑनलाइन पेमेंट प्रोसेसर्स किंवा आयटी प्रशासकांसारख्या विश्वासू पक्षांकडून संवाद साधण्याद्वारे वापरकर्त्यांना बहुतेक वेळा आमिष दाखविली जाते. [६]

फिशिंगच्या घटनांशी संबंधित असलेल्या प्रयत्नांमध्ये कायदे, वापरकर्त्याचे प्रशिक्षण, जनजागृती आणि तांत्रिक सुरक्षा उपायांचा समावेश आहे (फिशिंग हल्ल्यांमुळे सध्याच्या वेब सुरक्षिततेतील कमकुवतपणाचे वारंवार शोषण होत आहे).[७]

हा शब्द नव्याने तयार केलेला आहे जो homophone च्या मासेमारी .

तंत्र[संपादन]

भाला फिशिंग[संपादन]

विशिष्ट व्यक्ती किंवा कंपन्या निर्देशित फिशिंग प्रयत्नांना आपन भाले फिशिंग म्हणून ओळखतो . [८] बल्क फिशिंगच्या उलट, भाले फिशिंग हल्लेखोर त्यांच्या यशाची संभाव्यता वाढविण्यासाठी अनेकदा त्यांच्या लक्ष्याबद्दल वैयक्तिक माहिती गोळा करतात आणि वापरतात. [९] [१०] [११] [१२]

थ्रीट ग्रुप -4127 (फॅन्सी बियर) यांनी हिलरी क्लिंटन यांच्या 2016 च्या अध्यक्षीय मोहिमेशी संबंधित ईमेल खात्यांवर लक्ष्य देण्यासाठी भाले फिशिंग ची युक्ती वापरली. त्यांनी काही वापरकर्त्यांना धमकी देण्यासाठी 1,800 पेक्षा जास्त Google खात्यावर हल्ला केला आणि खाती- google.com डोमेन वर लागू केली. [१३] [१४]

व्हेलिंग या शब्दाचा अर्थ भाला फिशिंग हल्ल्यांचा संदर्भ आहे जे विशेषत: वरिष्ठ अधिकारी आणि इतर उच्च-लक्ष्यीय अधिकाऱ्यांवर निर्देशित केले जातात. [१५] या प्रकरणांमध्ये, अप्पर मॅनेजर आणि कंपनीमधील व्यक्तीची भूमिका लक्ष्य करण्यासाठी सामग्री तयार केली जाईल. व्हेलिंग अ‍ॅटॅक ईमेलची सामग्री कार्यकारी समस्या असू शकते जसे की सबपॉना किंवा ग्राहक तक्रारी. [१६]

क्लोन फिशिंग[संपादन]

क्लोन फिशिंग हा फिशिंग आक्रमणाचा एक प्रकार आहे ज्यासाठी कायदेशीर, आणि यापूर्वी वितरित केलेला, संलग्नक किंवा दुवा असलेल्या ईमेलची सामग्री आणि प्राप्तकर्ता पत्ता (एस) आहे आणि जवळजवळ एकसारखे किंवा क्लोन ईमेल तयार करण्यासाठी वापरला जातो. ईमेलमधील संलग्नक किंवा दुवा दुर्भावनायुक्त आवृत्तीने बदलला जाईल आणि नंतर मूळ प्रेषकाकडून आल्यासारखे दिसल्यासारखे बनावट ईमेल पत्त्यावरून पाठविले जाईल. हे मूळ किंवा मूळ आवृत्तीवर अद्ययावत केलेल्या आवृत्तीचे पुन्हा पाठविलेले असल्याचा दावा करू शकतो. सामान्यत: यासाठी एकतर प्रेषक किंवा प्राप्तकर्त्यास यापूर्वी दुर्भावनायुक्त तृतीय पक्षाने कायदेशीर ईमेल प्राप्त करण्यासाठी हॅक केले होते [१७] [१८]

दुवा हाताळणे[संपादन]

फिशिंगच्या बर्‍याच पद्धतींमध्ये ईमेलमध्ये लिंक बनविण्या साठी तयार केलेल्या मशिनिक फसवणुकीचा काही प्रकार वापरला जाउ शकतो (आणि त्याच्याकडे जाणारी स्पूफ वेबसाइट) स्पूफ केलेल्या संस्थेची असल्याचे दिसून येते . [१९] चुकीचे स्पेलिंग URL किंवा सबडोमेनचा वापर फिशरद्वारे वापरल्या जाणार्‍या साधारण युक्त्या आहेत. खालील उदाहरण URL मध्ये, http://www.yourbank.example.com/, असे दिसते की URL आपल्याला आपल्या बॅंक वेबसाइटच्या मेन विभागात नेईल ; वास्तविक ही URL मेन वेबसाइटच्या " yourbank " (म्हणजे फिशिंग) विभागाकडे निर्देश करते. लिंक प्रत्यक्षात फिशर्सच्या साइटवर गेल्यानंतर दुव्यासाठी प्रदर्शित केलेला मजकूर ( टॅगमधील मजकूर) विश्वसनीय गंतव्यस्थान बनविणे ही आणखी एक सामाधारण युक्ती आहे. बरेच डेस्कटॉप ईमेल क्लायंट आणि वेब ब्राउझर त्यावरील माउस फिरवत असताना स्थिती बारमध्ये दुव्याची लक्ष्य URL दाखवितात . हे वर्तन तथापि, काही परिस्थितींमध्ये फिशरद्वारे प्रस्तापित केले जाऊ शकते. [२०] समतुल्य मोबाइल अ‍ॅप्समध्ये सामान्यत: हे पूर्वाव लोकन वैशिष्ट्य नसू शकते . [२१]

आंतरराष्ट्रीयकृत डोमेन नाव (आयडीएन) आयडीएन स्पूफिंग [२२] किंवा होमोग्राफ हल्ल्या द्वारे शोषण केले जाऊ शकते, [२३] कायदेशीर साइटच्या दिसणारे तत्सम वेब पत्ते तयार करण्यासाठी, जे त्या ऐवजी दुर्भावनापूर्ण आवृत्ती आणतात. विश्वासू संस्थेच्या वेबसाइटवर ओपन यूआरएल रीडायरेक्टर्सचा वापर करुन फिशर्सने अशाच नाहीत फायदा उठविला आहे.. [२४] [२५] [२६] [२७]

फिल्टर चोरी[संपादन]

फिशर ईमेलमध्ये सामान्यत: वापरल्या जाणार्‍या व्यक्तीची ओळख पटविण्या साठी फिशर्सने अ‍ॅन्टी फिशिंग फिल्टर्सना कठिण करण्यासाठी मजकूऐवजी प्रतिमाचा वापर केलेला आहे. [२८] अधिक परिष्कृत ॲंटी-फिशिंग फिल्टर ओसीआर ( ऑप्टिकल कॅरेक्टर रिकग्निशन ) वापरून प्रतिमांमध्ये लपविलेले व्यक्ती पुनर्प्राप्त करण्यास तयार आहेत. [२९]

  1. ^ Ramzan, Zulfikar (2010). "Phishing attacks and countermeasures". In Stamp, Mark; Stavroulakis, Peter. Handbook of Information and Communication Security. Springer. आय.एस.बी.एन. 978-3-642-04117-4. 
  2. ^ Van der Merwe, A J, Loock, M, Dabrowski, M. (2005), Characteristics and Responsibilities involved in a Phishing Attack, Winter International Symposium on Information and Communication Technologies, Cape Town, January 2005.
  3. ^ http://googleonlinesecurity.blogspot.jp/2012/01/landing-another-blow-against-email.html.  हरवलेले किंवा मोकळे |शीर्षक= (सहाय्य)
  4. ^ Dudley, Tonia. https://www.sans.org/security-awareness-training/resources/stop-phish.  हरवलेले किंवा मोकळे |शीर्षक= (सहाय्य)
  5. ^ https://www.7xter.com/2016/08/phishing.html.  हरवलेले किंवा मोकळे |शीर्षक= (सहाय्य)
  6. ^ http://googleonlinesecurity.blogspot.jp/2012/06/safe-browsing-protecting-web-users-for.html.  हरवलेले किंवा मोकळे |शीर्षक= (सहाय्य)
  7. ^ Jøsang, Audun (2007). "Security Usability Principles for Vulnerability Analysis and Risk Assessment.". Proceedings of the Annual Computer Security Applications Conference 2007 (ACSAC'07). 
  8. ^ https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/phishing#spear-phishing.  हरवलेले किंवा मोकळे |शीर्षक= (सहाय्य)
  9. ^ Stephenson, Debbie. http://www.firmex.com/blog/spear-phishing-whos-getting-caught/.  हरवलेले किंवा मोकळे |शीर्षक= (सहाय्य)
  10. ^ Info Security magazine. 3 February 2018.  |अॅक्सेसदिनांक= जरुरी |दुवा= (सहाय्य)
  11. ^ Leyden, John (4 April 2011). The Register.  |अॅक्सेसदिनांक= जरुरी |दुवा= (सहाय्य)
  12. ^ Winterford, Brett (7 April 2011). itnews.com.au (itnews.com.au).  |अॅक्सेसदिनांक= जरुरी |दुवा= (सहाय्य)
  13. ^ https://www.secureworks.com/research/threat-group-4127-targets-google-accounts.  हरवलेले किंवा मोकळे |शीर्षक= (सहाय्य)
  14. ^ Nakashima, Ellen; Harris, Shane (July 13, 2018). The Washington Post.  |अॅक्सेसदिनांक= जरुरी |दुवा= (सहाय्य)
  15. ^ https://www.webcitation.org/5w9YcgvUb?url=http://www.theregister.co.uk/2008/04/16/whaling_expedition_continues/. (आधीच्या मूळ आवृत्तीत त्रूटी जाणवल्याने विदागारातील आवृत्ती दिनांक January 31, 2011 रोजी मिळविली).  हरवलेले किंवा मोकळे |शीर्षक= (सहाय्य)
  16. ^ https://web.archive.org/web/20111018140959/http://netforbeginners.about.com/od/scamsandidentitytheft/f/What-Is-Whaling-Spear-Phishing.htm. (आधीच्या मूळ आवृत्तीत त्रूटी जाणवल्याने विदागारातील आवृत्ती दिनांक October 18, 2011 रोजी मिळविली).  हरवलेले किंवा मोकळे |शीर्षक= (सहाय्य)
  17. ^ https://www.cert.govt.nz/individuals/alerts/invoice-scams-affecting-new-zealand-businesses/.  हरवलेले किंवा मोकळे |शीर्षक= (सहाय्य)
  18. ^ Parker, Tamsyn (18 August 2018). NZ Herald.  |अॅक्सेसदिनांक= जरुरी |दुवा= (सहाय्य)
  19. ^ https://www.webcitation.org/6mfqUkatY?url=http://www.bustspammers.com/phishing_links.html. (आधीच्या मूळ आवृत्तीत त्रूटी जाणवल्याने विदागारातील आवृत्ती दिनांक December 11, 2016 रोजी मिळविली).  हरवलेले किंवा मोकळे |शीर्षक= (सहाय्य)
  20. ^ Cimpanu, Catalin. http://news.softpedia.com/news/hidden-javascript-redirect-makes-phishing-pages-harder-to-detect-505295.shtml.  हरवलेले किंवा मोकळे |शीर्षक= (सहाय्य)
  21. ^ https://www.phishprotection.com/products/malware-and-ransomware-protection/.  हरवलेले किंवा मोकळे |शीर्षक= (सहाय्य)
  22. ^ Johanson, Eric. https://web.archive.org/web/20050823111335/http://www.shmoo.com/idn/homograph.txt. (आधीच्या मूळ आवृत्तीत त्रूटी जाणवल्याने विदागारातील आवृत्ती दिनांक August 23, 2005 रोजी मिळविली).  हरवलेले किंवा मोकळे |शीर्षक= (सहाय्य)
  23. ^ Evgeniy Gabrilovich; Alex Gontmakher (February 2002). "The Homograph Attack". Communications of the ACM 45 (2): 128. डी.ओ.आय.:10.1145/503124.503156.  Unknown parameter |last-author-amp= ignored (सहाय्य)
  24. ^ Leyden, John (August 15, 2006). The Register.  हरवलेले किंवा मोकळे |शीर्षक= (सहाय्य)
  25. ^ Levine, Jason. http://q.queso.com/archives/001617.  हरवलेले किंवा मोकळे |शीर्षक= (सहाय्य)
  26. ^ Leyden, John (December 12, 2007). The Register.  हरवलेले किंवा मोकळे |शीर्षक= (सहाय्य)
  27. ^ . May 15, 2011.  हरवलेले किंवा मोकळे |शीर्षक= (सहाय्य)
  28. ^ Mutton, Paul. https://www.webcitation.org/5w9YzPsN0?url=http://news.netcraft.com/archives/2005/05/12/fraudsters_seek_to_make_phishing_sites_undetectable_by_content_filters.html. (आधीच्या मूळ आवृत्तीत त्रूटी जाणवल्याने विदागारातील आवृत्ती दिनांक January 31, 2011 रोजी मिळविली).  हरवलेले किंवा मोकळे |शीर्षक= (सहाय्य)
  29. ^ http://www.powershow.com/viewfl/1f004e-ZDc1Z/The_use_of_Optical_Character_Recognition_OCR_software_in_spam_filtering_powerpoint_ppt_presentation.  हरवलेले किंवा मोकळे |शीर्षक= (सहाय्य)