Phishing: Eine Interessante Torsion Auf Einem Allgemeinen Scam
Nachdem Zwei Sicherheit Einschätzungen Ich Sicher Sein Müssen, Recht?
---------------------------------------
Stellen Sie vor sich, daß Sie das CIO eines nationalen Geldinstituts sind und Sie vor kurzem einen Zustand des kunston-line-Verhandlungservices für Ihre Kunden entfaltet haben. Sicherzustellen Netzumkreis Ihrer Firma ist sicher, führten Sie zwei externe Sicherheit Einschätzungen und Eindringprüfungen durch. Als der Abschlußbericht hereinkam, wurde Ihrer Firma sauberes Gesundheitszustand gegeben. Anfangs Sie Filz entlastet und überzeugt in Ihren Sicherheitsmaßnahmen. Kurz danach, wendete Ihre Entlastung an Interesse. "ist sie wirklich möglich, daß wir sind vollständig sicher?" Sie gegeben Skepsis, Sie entscheiden, eine weitere Meinung zu erhalten.
Der Tag der Eindringprüfung-Reportanlieferung ist jetzt zur Hand. Gegründet auf den vorhergehenden Einschätzungen, erwarten Sie, nichts aber positive Informationen zu erhalten......
Die Resultate Waren Weniger Als Gefallend
-----------------------------------
Während dieser Eindringprüfung gab es einige interessante Entdeckungen, aber wir werden auf eine konzentrieren, die den Wind aus jedermann heraus klopfen würde, das für die Sicherheit der Online-System verantwortlich ist. Besonders wenn Sie im Geschäft des Geldes sind.
Die meisten Leute sind mit der Bezeichnung "Phishing" vertraut. Dictionary.com definiert das Wort Phishing als "die Praxis der anlockenden unsuspecting Internet-Benutzer zu einer gefälschten Web site, indem es authentisch-schauendes email mit dem realen Firmenzeichen der Organisation verwendet, um die Kennwort-, finanzielle oder persönlicheinformationen zu stehlen, oder stellt einen Virusangriff vor; die Kreation einer Web site Replik für das Täuschen der unsuspecting Internet-Benutzer in das Einreichen der persönlichen oder finanziellen Informationen oder der Kennwörter ". Obgleich Spam/freiwillige E-mail und direkter web serverkompromiß die allgemeinsten Methoden von Phishing sind. Es gibt andere Weisen, diese betrügerische Tätigkeit zu vollenden.
Internet-Fräser-Kompromiss-Marken Für Einen Schlechten Tag
----------------------------------------------
In diesem Fall wurde der Internet-Fräser verglichen, indem man eine weithin bekannte Cisco Verwundbarkeit verwendete. Sobald dieses vollendet wurde, war der Himmel die Begrenzung bis zu, was getan werden könnte, um die Organisation auszuwirken. Obwohl das web server der Firma sicher war und die Brandmauer, die das web server schützte, ausreichend zusammengebaut wurde, was zunächst gebildet diese irrelevanten Verteidigungssysteme stattfand.
Anstatt, einen doppelten LOGON-Aufstellungsort auf einem externen System aufzustellen, Spam dann aussendend, um einen Kunden zu verleiten, um ihre Benutzernummer, Kennwort und Kontonummer, eine andere Annäherung oben zu geben genommen, wurde eine viel schändlichere Annäherung.
Phishing Zu Persönlicher Oder Finanzieller Information
----------------------------------------------
Sie erinnern sich an diesen Fräser, der verglichen wurde? Für Beweis der Konzeptzwecke, wurde die Fräserkonfiguration geändert, um allen Internet-Verkehr nachzuschicken, der für das gesetzmaßige web server, zu einem anderen web server gesprungen wurde, in dem Benutzernummer, Kennwort und Kontoinformationen gesammelt werden konnten. Das erste mal diese Informationen eingetragen wurden, würde der Kunde eine vieldeutige Störung empfangen. Das zweite mal als die Seite lud, adressierte das gefälschte web server den Kunden zum realen Aufstellungsort um. Als der Benutzer die erbetenen Informationen wieder eintrug, bearbeitete alles gerechte Geldstrafe.
Niemand, nicht der Kunde noch die Firma hatten jede mögliche Idee, die schändliches etwas auf ging. Keine Glocken oder pfeifen ausgingen, keine fragten die Störung. Warum sie wurde, konnten sie das falsche Kennwort innen gesetzt haben, oder es war eine typische Störung auf mit einer Webseite wahrscheinlich, der jeder von Zeit zu Zeit beschäftigt.
An diesem Punkt können Sie Ihre Phantasie übernehmen lassen. Der Angreifer kann möglicherweise nicht vorwärts bewegen und die Informationen verwenden, die sofort gesammelt werden. Es könnte Tage oder Wochen sein, bevor es verwendet wird. Jede mögliche Spur von was wirklich stattfand, um die Informationen zu sammeln, wurde das meiste wahrscheinliche, Geschichte zu sein.
Was Tun, Verlassen Sie Wirklich Eine Sicherheit Einschätzungen
--------------------------------------------------
Ich kann nicht Ihnen erklären, wieviele Male mir mit Sicherheit Einschätzung Reports dargestellt worden bin, die viel Informationsausgabe von einer ab Lager oder geöffneten Quelle automatisierter Sicherheit Analysator hübsch sind. Obgleich ein Angreifer gleiche oder die ähnlichen Werkzeuge während eines Angriffs benutzen kann, beruhen sie nicht nur auf diesen Informationen, um ihr Ziel zu erreichen. Eine wirkungsvolle Eindringprüfung- oder Sicherheitseinschätzung muß durch jemand, das nicht nur "Sicherheit Verwundbarkeit" und versteht, wie man durchgeführt werden ab Lagerwerkzeuge laufen läßt. Die Person, die das Einschätzung Muß durchführt, also bewaffnet mit den Werkzeugen und der Erfahrung, die die trifft oder übersteigt, würde ein möglicher Angreifer haben.
Zusammenfassung
----------
Ob Sie ein kleines sind, mittlere, sind große Firma, müssen Sie achtgeben sehr über, wem Sie sind qualifiziert, um einen Bericht der Verteidigungssysteme Sicherheit Ihrer Firma oder Sicherheit Profil durchzuführen entscheiden. Gerade weil eine Organisation Sie mit Bescheinigungen darstellt, wie Beratern mit ihrem CISSP....., bedeutet es nicht, daß diese Leute jede realistische Erfahrung haben. Alle Bescheinigungen in der Welt können nicht Ihnen versichern, daß die Resultate, die vollständig sind Sie vom Engagieren in einer Sicherheit Einschätzung empfangen,/durchführen. Eine zweite Meinung zu erhalten ist gegeben angebrachtes, was auf dem Spiel stehen kann. Wenn Sie nicht gut fühlten und wußten, daß etwas mit Ihnen falsch war, würden Sie für gerade eine Meinung des Doktors abrechnen?
Ziemlich aufrichtig, habe ich nie einen Hacker getroffen (mich weiß, daß ich für das Verwenden dieser Bezeichnung, ich immer zugeschlagen erhalte), der eine Bescheinigung hat, anzugeben, daß sie wissen, was sie tun. Sie wissen, was sie tun, weil sie es, über und über wieder getan und ein komplettes Verständnis der Netzsysteme und -software haben haben. Auf dieses die eine Sache, die sie, daß keine Kategorie oder Bescheinigung Sie unterrichten können, daß ist, Phantasie haben.
Über Den Autor
----------------
Darren Miller ist ein Informationen Sicherheit Berater mit über sechzehn Jahren Erfahrung. Er hat vielen Technologie- u. Sicherheitsartikel geschrieben, von denen einige in national verteilten Zeitschriften u. in Zeitschriften veröffentlicht worden sind. Wenn Sie mit Darren in Verbindung treten möchten, können Sie E-mail er an Darren.Miller@ParaLogic.Net. Wenn Sie mehr über Computersicherheit bitte wissen möchten, besuchen Sie uns an http://www.defendingthenet.com.
Artikel Quelle: Messaggiamo.Com
Related:
» Seo Elite: New Seo Software!» AntiSpywareBOT
» Reverse Mobile
» Error Nuker
Holen Sie sich den HTML-Code fü Webmaster
Fügen Sie diese Artikel Ihrer Website jetzt hinzu!
Webmaster veröffentlichen Sie Ihre Artikel
Keine Anmeldung erforderlich! Füllen Sie das Formular aus und Ihr Artikel wird im Messaggiamo.Com Artikel-Verzeichnis aufgenommen!
