Phishing
Fra Wikipedia, den frie encyklopedi
Phishing dreier seg om snoking eller fisking etter sensitiv informasjon, som passord eller kredittkortnummer. Uttrykket kommer fra engelsk «fishing», der f-en er erstattet med «ph» (vanlig hackersjargong).
Innhold |
[rediger] Framgangsmåte
En vanlig framgangsmåte er at en person sender en epost og utgir seg for å være fra for eksempel en stor bank. Eposten sendes ut til en rekke personer og opplyser for eksempel om at det er problemer med noen kredittkort fra den banken. Problemet kan derimot, ifølge eposten, løses lett ved å følge en vedlagt link til en nettside, svare på spørsmål der og fylle inn personalia og kredittkortinformasjon. Denne informasjonen brukes så til å tappe kredittkortet for penger. Det hele gjøres mer troverdig ved at eposten ser ut som den er fra en anerkjent bank og at nettsiden man kommer til ser helt ut som de offisielle nettsidene til denne banken.
I tillegg kan eposten for eksempel bruke et script som først åpner bankens faktiske nettsider og deretter et mindre vindu, som angriperen laster fra sin server, hvor adressefeltet ikke er synlig. Dette gjør at det for mange ser ut som man er kommet inn på bankens nettsider og det føles tryggere å fylle inn den aktuelle informasjonen.
[rediger] Spear phishing
Dette er den mer avanserte og sofistikerte utgaven av phishing, som ofte retter seg mot bedrifter. Her samler angriperen inn mer informasjon på forhånd, for eksempel om kunde, leverandør, avtaler og samarbeidspartnere. Denne informasjonen brukes så til å bygge kredibilitet i en epost, ved å referere til interne ting og navn som er kjent for mottageren.
[rediger] Beskyttelse
Det finnes flere ulike programmer på nett for deteksjon av phishing og flere nye nettlesere, som Internet Explorer 7 og Firefox, inkluderer anti-phishingfiltre. Det er likevel liten tvil om at brukeropplæring også er et meget viktig aspekt for å beskytte seg best mulig mot phishing.
