Phishing

Un exemple d'un phishing e-mail, déguisé en un fonctionnaire e-mail d'un (fictif) banque. L'expéditeur tente de tromper le destinataire à divulguer des informations confidentielles en «confirmant» il sur le site de l 'pirate. Notez l'orthographe des mots reçus et divergence. Notez également que même si le URL de la banque de page web semble être légitime, l'hyperlien serait effectivement pointé sur la page Web du pirate.

Phishing est l'acte de tenter d'acquérir des informations telles que noms d'utilisateur, mots de passe, et des détails de carte de crédit (et parfois, indirectement, de l'argent) se faisant passer pour une entité digne de confiance dans une communication électronique . Communications prétendant être des sites Web populaires sociale, sites d'enchères, processeurs de paiement en ligne ou les administrateurs informatiques sont couramment utilisés pour attirer le public non averti. Les courriels d'hameçonnage peuvent contenir des liens vers des sites qui sont infectés par malware. Hameçonnage est typiquement effectuée par e-mail spoofing ou la messagerie instantanée, et il dirige souvent les utilisateurs à entrer les coordonnées à un faux site dont aspect et la convivialité sont presque identiques à celui légitime. Phishing est un exemple de techniques d'ingénierie sociale utilisées pour tromper les utilisateurs, et exploite les pauvres facilité d'utilisation de technologies de sécurité Web actuelles. Les tentatives visant à faire face au nombre croissant d'incidents de phishing signalés comprennent la législation, la formation des utilisateurs, la sensibilisation du public, et des mesures de sécurité techniques.

Une technique de phishing a été décrite en détail en 1987, et (selon son créateur) de la première utilisation enregistrée du terme «phishing» a été faite en 1995. Le terme est une variante de la pêche, probablement influencé par phreaking, et fait allusion à «appâts» utilisés dans l'espoir que la victime potentielle sera «mordre» en cliquant sur un lien malveillant ou ouvrir une pièce jointe malveillante, auquel cas leur information financière et les mots de passe peuvent alors être volés.

Histoire et état actuel du phishing

Une technique de phishing a été décrite en détail, dans un document et la présentation remis à l'international Les utilisateurs HP Groupe, Interex. La première mention du terme "phishing" se trouve dans l'outil de piratage AOHell (selon son créateur), qui comprenait une fonction pour voler les mots de passe des utilisateurs d'America Online. Un cas récent et populaire de phishing est la campagne de phishing ciblant chinois, soupçonnés comptes Gmail de fonctionnaires hautement cotées des États-Unis et le gouvernement de la Corée du Sud, l'armée et les militants politiques chinois. Le gouvernement chinois continue de nier les accusations de prendre part à des cyber-attaques de l'intérieur de ses frontières, mais la preuve a été révélé que la propre Armée populaire de libération de la Chine a aidé dans le codage des logiciels cyber-attaque.

Phishing tôt AOL

Phishing sur AOL a été étroitement associé à la communauté warez que échangé logiciels piratés et la scène de piratage qui a commis la fraude de carte de crédit et d'autres crimes en ligne. Après AOL a des mesures à la fin de 1995 afin d'éviter à l'aide de faux, généré algorithmique numéros de carte de crédit pour ouvrir des comptes, craquelins AOL recours à de phishing pour les comptes légitimes et exploiter AOL.

Un pirate pourrait se présenter comme un membre du personnel AOL et envoyer un message instantané à une victime potentielle, lui demandant de révéler son mot de passe. Afin d'attirer la victime à renoncer à des informations sensibles le message pourrait inclure des impératifs tels que "vérifier votre compte» ou «confirmer les informations de facturation". Une fois que la victime avait révélé le mot de passe, l'attaquant peut accéder et utiliser le compte de la victime à des fins frauduleuses ou spamming. Les deux phishing et warezing sur AOL programmes écrite sur mesure généralement requis, tels que AOHell. Phishing est devenu si répandu sur AOL qu'ils ont ajouté une ligne sur tous les messages instantanés indiquant: "personne ne travaille chez AOL vous demandera votre mot de passe ou informations de facturation", mais même cela n'a pas empêché certaines personnes de loin de donner leurs mots de passe et des informations personnelles se ils lisent et croyaient l'IM en premier. Un utilisateur utilisant à la fois un compte AIM et un compte AOL d'un FAI simultanément pourrait phish membres d'AOL avec une relative impunité que les comptes internet AIM pourrait être utilisé par les membres de l'internet non-AOL et ne pouvait être exécuté (IE- signalé service AOL TOS pour disciplinaire action.)

Finalement, l'application de la politique d'AOL en matière de phishing et warez devenu plus strict et forcé logiciels piratés hors des serveurs AOL. AOL développé simultanément un système de désactiver rapidement les comptes impliqués dans phishing, souvent avant les victimes pourraient répondre. La fermeture de la warez scène sur AOL a causé la plupart des phishers de quitter le service.

Le terme "phishing" est dit avoir été inventé par bien connu milieu des années 1990 spammeur et pirate Khan C Smith, et son utilisation a été rapidement adopté par les groupes tout au long de warez AOL. AOL application permettrait de détecter les mots utilisés dans AOL bavardoirs de suspendre les comptes des personnes impliquées dans les logiciels de piratage et comptes de négociation volé. Le terme a été utilisé parce que «<> <'est la seule étiquette la plus fréquente de HTML qui a été trouvé dans toutes les transcriptions de clavardage naturellement, et en tant que telle ne peut pas être détecté ou filtrée par le personnel AOL. Le symbole <> <a été remplacé par un libellé faisant référence à des cartes de crédit volées, les comptes, ou activité illégale. Depuis le symbole ressemblait à un poisson, et en raison de la popularité de phreaking, il a été adapté comme "phishing".

Transition d'AOL aux institutions financières

La capture des informations de compte AOL peut avoir conduit phishers informations de carte de crédit pour abuser, et à la réalisation que les attaques contre les systèmes de paiement en ligne sont possible. La première tentative directe connue contre un système de paiement affectés E-gold en Juin 2001, qui a été suivi d'un "post-9/11 id vérifier" peu de temps après les attentats du 11 Septembre sur le World Trade Centre . Les deux étaient considérés à l'époque comme des échecs, mais peut maintenant être considéré comme premières expériences à l'égard des attaques plus fructueuses contre les banques traditionnelles. En 2004, le phishing a été reconnu comme une partie entièrement industrialisé de l'économie de la criminalité: spécialisations sont apparues à l'échelle mondiale qui a fourni des composants pour de l'argent, qui ont été assemblés en attaques finis.

techniques de Phishing

Les tentatives de phishing récents

Un tableau montrant l'augmentation dans les rapports de phishing d'Octobre 2004 to Juin 2005

Les hameçonneurs ciblent les clients des banques et des services de paiement en ligne. E-mails, soi-disant de la Internal Revenue Service, ont été utilisés pour glaner des données sensibles des contribuables américains. Alors que les premiers exemples ont été envoyés indistinctement dans l'espoir que certains seraient reçus par les clients d'une banque ou un service donné, la recherche récente a montré que les hameçonneurs peuvent en principe être en mesure de déterminer quelles banques utilisent les victimes potentielles, et de cibler les e-mails de faux en conséquence. Les sites de réseaux sociaux sont aujourd'hui une cible privilégiée de l'hameçonnage, puisque les données personnelles dans ces sites peuvent être utilisés dans le vol d'identité; à la fin de 2006, un ver informatique a repris sur les pages MySpace et liens modifiés pour diriger les internautes vers des sites Web conçus pour dérober des informations de connexion. Les expériences montrent un taux de réussite de plus de 70% pour les attaques de phishing sur les réseaux sociaux.

Le Le partage de fichiers RapidShare site a été ciblé par le phishing pour obtenir un compte premium, qui élimine bouchons de vitesse sur les téléchargements, auto-suppression des ajouts, attend sur les téléchargements, et temps de recharge fois entre les téléchargements.

Les attaquants qui ont fait irruption dans La base de données de TD Ameritrade (contenant tous les 6,3 millions de clients » numéros de sécurité sociale, numéros de compte et les adresses e-mail ainsi que leurs noms, adresses, dates de naissance, numéros de téléphone et de l'activité de trading) voulait aussi les compte noms d'utilisateur et mots de passe, donc ils ont lancé une lance de suivi attaque de phishing.

Près de la moitié des vols de phishing en 2006 ont été commis par des groupes opérant à travers le Russie Réseau d'affaires basé à Saint- Pétersbourg .

Pour plus d'exemples à travers le monde actuels, voir Phish du mois.

Il ya des sites anti-phishing qui publient des messages exacts qui ont circulé récemment sur Internet, tels que FraudWatch International et Millersmiles. Ces sites offrent souvent des détails spécifiques sur les messages particuliers. Aujourd'hui à réduire travailler avec le code source des pages web, les pirates ont mis en place un outil de phishing appelé Super Phisher qui rend le travail facile par rapport à la méthode manuelle de la création d'un des sites Web de phishing.

Liste des techniques de phishing

Phishing

Phishing est une façon de tenter d'acquérir des informations telles que noms d'utilisateur, mots de passe, et des détails de cartes de crédit se faisant passer pour une entité digne de confiance dans une communication électronique .

Spear Phishing

Les tentatives de phishing dirigés contre des individus ou des entreprises spécifiques ont été appelé spearphishing. Les attaquants peuvent recueillir des renseignements personnels sur leur objectif d'augmenter leur probabilité de succès.

Clone Phishing

Un type d'attaque phishing lequel un légitime et rendu antérieurement, e-mail contenant une pièce jointe ou un lien a eu son contenu et le destinataire adresse (s) et seront utilisés pour créer un presque identique ou email cloné. La pièce jointe ou un lien dans le courriel est remplacé par une version malveillants et ensuite envoyés à partir d'une adresse e-mail usurpée à sembler venir de l'expéditeur d'origine. Il peut prétendre être une ré-émission de l'original ou d'une version mise à jour à l'original.

Cette technique pourrait être utilisée pour pivoter (indirectement) d'une machine déjà infectée et prendre pied sur une autre machine, en exploitant la confiance sociale associée à la connexion présumées en raison de deux parties recevant le message d'origine.

Pêche à la baleine

Plusieurs récentes attaques de phishing ont été adressant spécifiquement à des cadres supérieurs et d'autres cibles de haut niveau au sein des entreprises, et de la chasse à la baleine terme a été inventé pour ces types d'attaques.

Filtre fraude

Les hameçonneurs ont utilisé des images au lieu de texte pour le rendre plus difficile pour les filtres anti-phishing pour détecter texte couramment utilisé dans les e-mails de phishing.

Site faux

Une fois que la victime visite le site de phishing, la déception ne est pas terminée. Certaines arnaques de phishing utilisent Commandes JavaScript afin de modifier la barre d'adresse. Cela se fait soit en plaçant une photo d'une URL légitime sur la barre d'adresse, ou en fermant la barre d'adresse d'origine et en ouvrir un nouveau avec l'URL légitime.

Un attaquant peut même utiliser des failles dans ses propres scripts d'un site web de confiance contre la victime. Ces types d'attaques (connus sous le nom cross-site scripting) sont particulièrement problématiques, parce qu'ils dirigent à l'utilisateur de se connecter à leur banque ou propre page Web de services, où tout, de la Adresse Web à la certificats de sécurité semble correcte. En réalité, le lien vers le site est conçu pour mener à bien l'attaque, ce qui rend très difficile à repérer sans connaissances spécialisées. Juste une telle faille a été utilisé en 2006 contre PayPal.

A Universal Man-in-the-middle (MITM) Phishing Kit, découvert en 2007, fournit une interface simple à utiliser qui offre une pirate de reproduire convaincante sites Web et capturer log-in informations saisies sur le site faux.

Pour éviter les techniques anti-phishing qui scannent des sites Web pour le texte relatif phishing, les phishers ont commencé à utiliser Sites basés sur Flash. Ceux-ci regardent un peu comme le vrai site web, mais cachent le texte dans un objet multimédia.

phishing de téléphone

Toutes les attaques de phishing nécessitent pas un faux site Web. Messages qui prétendent provenir d'une banque dit aux utilisateurs de composer un numéro de téléphone au sujet des problèmes avec leurs comptes bancaires. Une fois le numéro de téléphone (détenue par le pirate, et fournie par un Service de voix sur IP) a été composé, dit invites aux utilisateurs d'entrer leur numéro de compte et votre NIP. Hameçonnage vocal (voix phishing) utilise parfois des données identification de l'appelant faux pour donner l'apparence que les appels proviennent d'un organisme de confiance.

D'autres techniques

• Une autre attaque utilisé avec succès est de transmettre au client de site Web légitime d'une banque, puis de placer une fenêtre demandant des informations d'identification sur le dessus du site d'une manière qui il semble que la banque demande ces informations sensibles.
• Une des dernières techniques de phishing est Tabnabbing. Il tire parti des multiples onglets que les utilisateurs utilisent et de rediriger un utilisateur vers le site affecté silence.
• Jumeaux diaboliques est une technique de phishing qui est difficile à détecter. Un pirate crée un réseau sans fil de faux qui ressemble à un réseau public légitime qui peut être trouvé dans les lieux publics tels que les aéroports, les hôtels ou cafés. Chaque fois que quelqu'un se connecte au réseau de faux, les fraudeurs essaient de capturer leurs mots de passe et / ou des informations de carte de crédit.

Les dommages causés par phishing

Les dommages causés par phishing varie de refus d'accès aux e-mail à une perte financière importante. On estime que, entre mai 2004 et mai 2005, environ 1,2 millions d'utilisateurs d'ordinateurs dans le États-Unis ont subi des pertes causées par phishing, totalisant environ US $ 929 000 000. Les entreprises des États-Unis perdent un montant estimé à $ 2 milliards de dollars par année que leurs clients deviennent victimes. En 2007, les attaques de phishing escalade. 3,6 millions d'adultes américains ont perdu $ 3,2 milliards au cours des 12 mois se terminant en Août 2007. Microsoft prétend que ces estimations sont grossièrement exagérés et met la perte de phishing annuelle aux États-Unis à 60 millions de dollars. Dans les Royaume-Uni des pertes de services bancaires par Internet de fraude, la plupart par phishing-presque doublé pour atteindre GB £ 23,2 millions en 2005, à partir de GB £ 12,2 millions en 2004, tandis que 1 à 20 utilisateurs d'ordinateurs ont affirmé avoir perdu face à l'hameçonnage en 2005.

La position adoptée par l'organisme bancaire britannique APACS est que "les clients doivent aussi prendre des précautions raisonnables ... de sorte qu'ils ne sont pas vulnérables à la responsabilité pénale." De même, lorsque la première vague d'attaques de phishing a frappé le secteur bancaire de la République d'Irlande en Septembre 2006, le Bank of Ireland a initialement refusé de couvrir les pertes subies par ses clients (et il insiste encore que sa politique est de ne pas le faire), bien que les pertes à hauteur de € 11.300 ont été faites bien.

Anti-phishing

Il existe plusieurs techniques différentes pour lutter contre le phishing, y compris la législation et de la technologie créée spécifiquement pour protéger contre le phishing. La plupart des nouveaux navigateurs Internet viennent avec logiciel anti-phishing. Téléphone, site web, e-mail et phishing peuvent être signalés aux autorités, comme décrit ci-dessous .

Réponses sociales

Une stratégie de lutte contre le phishing est de former les gens à reconnaître les tentatives de phishing, et de traiter avec eux. L'éducation peut être efficace, surtout lorsqu'une formation fournit une rétroaction directe. Une nouvelle tactique de phishing, qui utilise le phishing e-mails ciblés à une entreprise en particulier, connu sous le nom spear phishing, a été mise à profit pour former des personnes à divers endroits, y compris United States Military Academy de West Point, NY. Dans une expérience Juin 2004 spear phishing, 80% des 500 cadets de West Point qui ont été envoyés un e-mail à partir d'un faux inexistante colonel Robert Melville à West Point, était amené à cliquer sur un lien qui étaient censés prendre à une page où ils entreraient renseignements personnels. (La page les a informés qu'ils avaient été attirés.)

Les gens peuvent prendre des mesures pour éviter les tentatives de phishing en modifiant légèrement leurs habitudes de navigation. Lorsque contacté au sujet d'un compte devant être «vérifié» (ou tout autre sujet utilisée par les hameçonneurs), ce est une sage précaution de contacter la société à partir de laquelle l'e-mail provient apparemment de vérifier que l'e-mail est légitime. Sinon, l'adresse que l'individu sait est un véritable site de la société peut être tapé dans la barre d'adresse du navigateur, plutôt que de faire confiance tout les liens hypertexte dans le message suspecté de phishing.

Presque tous les légitimes des messages électroniques d'entreprises à leurs clients contiennent une information qui ne est pas facilement accessible aux phishers. Certaines entreprises, par exemple PayPal, traite toujours leurs clients par leur nom d'utilisateur dans les e-mails, si un e-mail du destinataire traite de manière générique ("Cher client PayPal"), il est susceptible d'être une tentative de phishing. E-mails de banques et sociétés de cartes de crédit comprennent souvent des numéros de compte partielles. Toutefois, des recherches récentes ont montré que le public ne fait pas de distinction entre généralement les premiers chiffres et les derniers chiffres d'un numéro d'un compte problème important, puisque les premiers chiffres sont souvent les mêmes pour tous les clients d'une institution financière. Les gens peuvent être formés à leurs soupçons éveillés si le message ne contient pas de renseignements personnels. Les tentatives de phishing au début de 2006, cependant, utilisé des informations personnalisées, ce qui le rend dangereux de supposer que la présence de renseignements personnels garantit que seul un message est légitime. Par ailleurs, une autre étude récente a conclu en partie que la présence de renseignements personnels ne affecte pas significativement le taux de réussite des attaques de phishing, ce qui suggère que la plupart des gens ne font pas attention à ces détails.

Le Groupe de travail Anti-Phishing, une industrie et d'association de l'application de la loi, a suggéré que les techniques classiques de phishing pourraient devenir obsolètes à l'avenir que les gens sont plus conscients des techniques d'ingénierie sociale utilisées par les hameçonneurs. Ils prédisent que pharming et d'autres utilisations de malware devenus des outils les plus courants pour voler des informations.

Tout le monde peut aider à éduquer le public en encourageant des pratiques sécuritaires, et en évitant ceux qui sont dangereux. Malheureusement, même les joueurs bien connus sont connus pour inciter les utilisateurs à des comportements dangereux, par exemple en demandant à leurs utilisateurs de révéler leurs mots de passe pour les services de tiers, tels que le courrier électronique.

Des réponses techniques

Les mesures anti-phishing ont été mises en œuvre de fonctionnalités intégrées dans les navigateurs, comme des extensions ou barres d'outils pour les navigateurs, et dans le cadre des procédures de connexion du site. Voici quelques-unes des principales approches du problème.

Aider à identifier des sites Web légitimes

La plupart des sites ciblés pour du phishing sont des sites Web sécurisés qui signifie que SSL avec une cryptographie forte PKI est utilisée pour l'authentification du serveur, où l'URL du site web est utilisé comme identifiant. En théorie, il devrait être possible pour l'authentification SSL pour être utilisée pour confirmer le site à l'utilisateur, et cela à l'exigence de conception SSL v2 et la méta de navigation sécurisée était. Mais dans la pratique, ce est facile à tromper.

La faille superficielle, ce est que l'interface utilisateur de sécurité du navigateur (UI) est insuffisante pour faire face à de fortes menaces d'aujourd'hui. Il ya trois parties à l'authentification sécurisée en utilisant TLS et des certificats: indiquant que la connexion est en mode authentifié, indiquant quel site l'utilisateur est connecté, et indiquant l'autorité qui dit que ce est ce site. Toutes les trois sont nécessaires pour l'authentification, et doivent être confirmées par / à l'utilisateur.

Connexion sécurisée

L'affichage standard pour la navigation sécurisé à partir du milieu des années 1990 jusqu'au milieu des années 2000 était le cadenas. En 2005, Mozilla a dépêché une jaune barre d'adresse comme une meilleure indication de la connexion sécurisée. Cette innovation a ensuite été inversée en raison de la certificats EV, qui a remplacé certains certificats garantissant un haut niveau de vérification de l'identité de l'organisation avec un écran vert, et d'autres certificats avec un bleu prolongée boîte de favicon à gauche de la barre d'URL (en plus de l'interrupteur de «http» à «https» dans l'URL elle-même).

Quel site

On se attend à l'utilisateur de confirmer que le nom de domaine dans la barre d'URL du navigateur était en fait où ils comptaient aller. URL peuvent être trop complexe pour être facilement analysée. Souvent, les utilisateurs ne savent pas ou ne reconnaissent l'URL des sites légitimes qu'ils ont l'intention de se connecter à, de sorte que l'authentification devient vide de sens. Une condition pour l'authentification du serveur significative est d'avoir un identificateur de serveur qui est significatif pour l'utilisateur; de nombreux sites e-commerce vont changer les noms de domaine dans leur ensemble global de sites Web, en ajoutant à la possibilité de confusion. Il suffit de l'affichage du nom de domaine pour le site visité, que certaines barres d'outils anti-phishing font, ne est pas suffisant.

Certains navigateurs plus récents, tels que Internet Explorer 8, afficher l'URL complète en gris, avec juste le nom de domaine lui-même en noir, comme un moyen d'aider les utilisateurs à identifier les URL frauduleuses.

Une autre approche est la l'extension pour Firefox qui petname permet aux utilisateurs tapent dans leurs propres étiquettes pour les sites Web, afin qu'ils puissent plus tard reconnaître quand ils sont retournés sur le site. Si le site ne est pas reconnu, alors le logiciel peut soit prévenir l'utilisateur ou de bloquer le site pure et simple. Cela représente la gestion d'identité centrée sur l'utilisateur des identités de serveur. Certains suggèrent que une image graphique sélectionnée par l'utilisateur est mieux qu'un petname.

Avec l'avènement de certificats EV, les navigateurs affichent désormais généralement le nom de l'organisation en vert, ce qui est beaucoup plus visible et est je l'espère plus conforme aux attentes de l'utilisateur. Les éditeurs de navigateurs ont choisi de limiter cet affichage de premier plan que pour certificats EV, laissant l'utilisateur se débrouiller par lui-même avec tous les autres certificats.

Qui est l'Autorité

Le navigateur doit préciser qui est l'autorité qui fait la demande de qui l'utilisateur est connecté. Au niveau le plus simple, aucune autorité est déclaré, et donc le navigateur est l'autorité, dans la mesure où l'utilisateur est concerné. Les éditeurs de navigateurs prennent cette responsabilité en contrôlant une liste des autorités de certification racine acceptable. Ce est la pratique standard actuelle.

Le problème, ce est que toutes les autorités de certification (CA) emploient pas aussi bonne ni applicable contrôle, indépendamment de tentatives par les éditeurs de navigateurs pour contrôler la qualité. Tous les CA ne ne vous abonner à la même modèle et le concept que les certificats sont seulement authentifier organisations de commerce Fabrication certificat est le nom donné aux certificats de faible valeur qui sont livrés sur une carte de crédit et un email de confirmation. deux d'entre eux sont facilement perverti par les fraudeurs. Ainsi, un site de grande valeur peut être facilement usurpée par un certificat valide fournie par un autre CA. Ce pourrait être parce que le CA est dans une autre partie du monde, et ne est pas familier avec les sites de commerce électronique de grande valeur, ou il pourrait être que personne ne prend soin du tout. Comme le CA ne est chargé de protéger ses propres clients, et non pas les clients d'autres filiales, cette faille est inhérente au modèle.

La solution à cela est que le navigateur doit montrer, et l'utilisateur doit être familier avec, le nom de l'autorité. Ceci présente l'CA comme une marque, et permet à l'utilisateur d'apprendre la poignée de CA qu'elle est susceptible d'entrer en contact au sein de son pays et son secteur. L'utilisation de la marque est également essentiel de fournir au CA une incitation à améliorer leur contrôle, que l'utilisateur va apprendre la marque et exiger une bonne vérification pour les sites de grande valeur.

Cette solution a d'abord été mis en pratique dans les premières versions IE7, lors de l'affichage certificats EV. Dans cet affichage, l'autorité de certification émettrice est affiché. Ce était un cas isolé, cependant. Il ya une résistance aux CA étant de marque sur le chrome, résultant dans un repli au niveau le plus simple ci-dessus: le navigateur est l'autorité de l'utilisateur.

Défauts fondamentaux dans le modèle de navigation sécurisée de sécurité

Des expériences visant à améliorer l'interface utilisateur de sécurité ont entraîné des avantages, mais ont également révélé des failles fondamentales dans le modèle de sécurité. Les causes sous-jacentes de l'échec de l'authentification SSL pour être utilisés correctement dans la navigation sécurisée sont nombreux et imbriqués.

Les utilisateurs ont tendance à ne pas vérifier les informations de sécurité, même quand il est explicitement affiché à eux. Par exemple, la grande majorité des sites sont des avertissements pour les erreurs de configuration, pas un MITM (man dans l'attaque du milieu). Les utilisateurs ont appris à contourner les avertissements et de traiter tous les avertissements avec le même dédain, ce qui entraîne Click-through syndrome. Par exemple, Firefox 3 a un processus quatre-clic pour ajouter une exception, mais il a été montré pour être ignoré par un utilisateur expérimenté dans un cas réel de MITM.

Un autre facteur sous-jacent est le manque de soutien pour l'hébergement virtuel. Les causes spécifiques sont un manque de soutien pour Nom du serveur Indication dans les serveurs Web TLS, et la dépense et les inconvénients de l'acquisition de certificats. Le résultat est que l'utilisation de l'authentification est trop rare pour être autre chose qu'un cas particulier. Cela a causé un manque général de connaissances et de ressources dans l'authentification au sein de TLS, qui à son tour a fait que les tentatives des fournisseurs de navigateur pour mettre à niveau leurs interfaces de sécurité ont été lents et terne.

Le modèle de sécurité pour le navigateur sécurisé comprend de nombreux participants: facile à utiliser, navigateur fournisseur, développeurs, CA, vérificateur, serveur web fournisseur, site de commerce électronique, les régulateurs (par exemple, la FDIC), et les comités de normes de sécurité. Il ya un manque de communication entre les différents groupes qui se sont engagés à le modèle de sécurité. Par exemple, bien que la compréhension de l'authentification forte est au niveau des comités de protocole IETF, ce message ne atteint pas le groupe d'assurance-chômage. Webserver fournisseurs ne accordent pas la priorité du Nom du serveur Indication (TLS / SNI) fixer, ne voyant pas comme un correctif de sécurité, mais à la place une nouvelle fonctionnalité. Dans la pratique, tous les participants se tournent vers les autres comme la source des échecs menant à l'hameçonnage, par conséquent, les corrections locales ne sont pas une priorité.

Questions légèrement améliorées avec le Forum ACR, telles que ce groupe comprend les fournisseurs de navigateur, les auditeurs et les autorités compétentes. Mais le groupe n'a pas commencé d'une manière ouverte, et le résultat a souffert d'intérêts commerciaux des premiers joueurs, ainsi que d'un manque de parité entre les participants. Même aujourd'hui, le forum de l'ACR ne est pas ouvert, et ne comprend pas de représentants de petites AR, les utilisateurs finaux, les propriétaires de commerce, etc.

Les vendeurs se engagent à des normes, ce qui entraîne un effet de sous-traitance en matière de sécurité. Bien qu'il y ait eu de nombreuses et bonnes expériences dans l'amélioration de l'interface utilisateur de sécurité, ceux-ci ne ont pas été adoptées parce qu'elles ne sont pas standard, ou entrer en conflit avec les normes. Les modèles de menaces peuvent se réinventer dans environ un mois; Les normes de sécurité prennent environ 10 ans pour se adapter.

Les mécanismes de contrôle employées par les éditeurs de navigateurs plus les CA ne ont pas été mises à jour sensiblement; le modèle de la menace a. Le processus de contrôle et de qualité sur les CA est insuffisamment accordée à la protection des utilisateurs et de l'adressage des menaces réelles et actuelles. Les procédures d'audit sont en grand besoin de mise à jour. Les dernières lignes directrices EV documenté le modèle actuel plus en détail, et a établi une bonne référence, mais ne poussez pas pour les modifications importantes à apporter.

Navigateurs alerte aux utilisateurs de sites Web frauduleux

Une autre approche populaire pour la lutte contre le phishing est de maintenir une liste de sites de phishing connus et le contrôle des sites à la liste. IE7 navigateur de Microsoft , Mozilla Firefox 2.0, Safari 3.2 et Opera contiennent tous ce type de mesure anti-phishing. Firefox 2 utilisé Google logiciel anti-phishing. Opera 9.1 utilise en direct listes noires de PhishTank et GeoTrust, ainsi que de vivre listes blanches de GeoTrust. Certaines implémentations de cette approche envoyer les URL visitées à un service central à vérifier, qui a soulevé des préoccupations concernant la vie privée. Selon un rapport publié par Mozilla à la fin de 2006, Firefox 2 se est avérée plus efficace que Internet Explorer 7 à détecter les sites frauduleux dans une étude réalisée par une société indépendante de tests de logiciels.

Une approche introduite à la mi-2006 implique de passer à un service DNS spécial qui filtre les domaines de phishing connus: cela va travailler avec ne importe quel navigateur, et est similaire dans son principe à l'aide d'un hosts pour bloquer annonces Web.

Pour atténuer le problème des sites de phishing imitant un site victime en intégrant ses images (tels que logos), plusieurs propriétaires de sites ont modifié les images à envoyer un message au visiteur qu'un site peut être frauduleux. L'image peut être déplacé vers un nouveau nom de fichier et l'original remplacé de façon permanente, ou un serveur peut détecter que l'image n'a pas été demandée dans le cadre de la navigation normale, et au lieu d'envoyer une image d'avertissement.

Augmenter les connexions de mot de passe

Le Banque du site de l'Amérique est l'un des nombreux qui demandent aux utilisateurs de sélectionner une image personnelle, et d'afficher cette image sélectionnée par l'utilisateur avec des formes qui demandent un mot de passe. Les utilisateurs de services en ligne de la banque êtes invité à entrer un mot de passe que quand ils voient l'image qu'ils ont choisi. Cependant, une étude récente suggère quelques utilisateurs se abstiennent d'entrer leur mot de passe lorsque les images sont absents. En outre, cette fonction (comme d'autres formes de authentification à deux facteurs) est vulnérable à d'autres attaques, comme celles subies par la banque scandinave Nordea à la fin de 2005, et Citibank en 2006.

Un système similaire, dans lequel un généré automatiquement "Identité Cue" constituée d'un mot de couleur dans une boîte de couleur se affiche à chaque utilisateur de site, est utilisé à d'autres institutions financières.

peaux de sécurité sont liées à une technique qui consiste à superposer une image sélectionnée par l'utilisateur sur le formulaire de connexion comme un repère visuel que la forme est légitime. Contrairement à l'image des régimes à base de sites Web, cependant, l'image elle-même est partagée seulement entre l'utilisateur et le navigateur, et non pas entre l'utilisateur et le site web. Le régime se appuie également sur un protocole d'authentification mutuelle, ce qui le rend moins vulnérable aux attaques qui affectent seulement les schémas d'authentification par l'utilisateur.

Encore une autre technique repose sur une grille dynamique d'images qui est différente pour chaque tentative de connexion. L'utilisateur doit identifier les photos qui correspondent à leurs catégories pré-choisis (tels que les chiens, les voitures et les fleurs). Ce ne est qu'après qu'ils ont correctement identifié les images qui correspondent à leurs catégories sont-ils autorisés à entrer leur mot de passe alphanumérique pour terminer la connexion. Contrairement aux images statiques utilisées sur la Banque du site Amérique, une méthode d'authentification basée sur l'image dynamique crée un code d'accès unique pour la connexion, nécessite la participation active de l'utilisateur, et il est très difficile pour un site de phishing à reproduire correctement car il serait besoin d'afficher une grille différente des images générées aléatoirement qui comprend catégories secrets de l'utilisateur.

Éliminer courrier phishing

Spécialisé filtres anti-spam peuvent réduire le nombre de courriels hameçons qui atteignent les boîtes de réception de leurs destinataires. Ces approches reposent sur l'apprentissage automatique et traitement du langage naturel approche de classer courriels de phishing. l'authentification par adresse e-mail est une autre nouvelle approche.

Surveillance et retrait

Plusieurs compagnies offrent des banques et d'autres organisations susceptibles de souffrir de l'hameçonnage services rond-le-horloge pour surveiller, analyser et aider à arrêter sites web de phishing. Les individus peuvent contribuer en signalant phishing aux deux groupes de bénévoles et de l'industrie, tels que PhishTank. Les particuliers peuvent également contribuer en signalant téléphone tentatives de phishing à Téléphone Phishing, la Federal Trade Commission. Phishing pages web et de courriels peuvent être signalés à Google. Le Crime Complaint Internet Centre noticeboard porte phishing et ransomware alerte.

Des réponses juridiques

Le 26 Janvier 2004, les États-Unis Federal Trade Commission a déposé la première plainte contre un pirate présumé. Le défendeur, une californienne adolescent, aurait créé une page Web conçue pour ressembler à la Amérique du site en ligne, et l'a utilisé pour voler des informations de carte de crédit. D'autres pays ont emboîté le pas en traçant et en arrêtant les hameçonneurs. Un pivot de phishing, Valdir Paulo de Almeida, a été arrêté en Brésil pour diriger l'un des plus grand phishing réseaux criminels, qui en deux ans ont volé entre US $ 18 millions et 37 millions de dollars. Autorités britanniques emprisonnés deux hommes en Juin 2005 pour leur rôle dans une escroquerie de type phishing, dans une affaire reliée à la US Secret Service Operation Firewall, qui visait sites notoires "de CARDER". En 2006 huit personnes ont été arrêtées par la police japonaises sur des soupçons de fraudes phishing en créant de faux sites Web Yahoo Japon, se filet ¥ 100 000 000 (US $ 870,000). Les arrestations se sont poursuivies en 2006 avec le FBI Opération Cardkeeper détention d'un gang de seize ans aux États-Unis et en Europe.

Au Etats-Unis , sénateur Patrick Leahy a présenté la Loi Anti-Phishing de 2005 en Congrès le 1er Mars 2005. Ce projet de loi, si elle avait été adoptée dans la loi, aurait soumis des criminels qui ont créé de faux sites Web et des e-mails envoyés faux afin de frauder les consommateurs à des amendes allant jusqu'à 250.000 dollars et des peines de prison allant jusqu'à cinq ans. Le Royaume-Uni a renforcé son arsenal juridique contre le phishing à la Loi sur la fraude 2006, qui introduit une infraction générale de fraude qui peuvent transporter jusqu'à une peine de prison de dix ans, et interdit le développement ou la possession de kits de phishing avec l'intention de commettre une fraude.

Les entreprises ont également rejoint l'effort pour sévir contre le phishing. Le 31 Mars 2005, Microsoft a déposé 117 poursuites fédérales dans la US District Court pour le District Ouest de Washington. Les procès accusent " les défendeurs John Doe "de mots de passe et obtenir des informations confidentielles. Mars 2005 a également vu un partenariat entre Microsoft et les gouvernements responsables de l'application de la loi d'enseignement australiens façon de lutter contre divers crimes cybernétiques, y compris phishing. Microsoft a annoncé une nouvelle planifiées 100 poursuites en dehors des États-Unis en Mars 2006, suivi par le début, à partir de Novembre 2006, de 129 poursuites mélangeant actions pénales et civiles. AOL a renforcé ses efforts de lutte contre le phishing au début de 2006 avec trois poursuites visant un total de US $ 18,000,000 en vertu des modifications apportées en 2005 à la Loi sur les crimes informatiques de la Virginie, et Earthlink a rejoint en en aidant à identifier six hommes par la suite chargés de phishing fraude Connecticut.

En Janvier 2007, Jeffrey Brett Goodin de Californie est devenue le premier accusé reconnu coupable par un jury en vertu des dispositions de la loi CAN-SPAM de 2003. Il a été reconnu coupable d'envoyer des milliers d'e-mails aux utilisateurs d'America Online, tout en se présentant comme le service de facturation d'AOL, qui a incité clients à soumettre des informations personnelles et de carte de crédit. Face à une possibilité de 101 années de prison pour la violation CAN-SPAM et dix autres chefs d'accusation, y compris la fraude de fil, l'utilisation frauduleuse de cartes de crédit et l'utilisation abusive de la marque d'AOL, il a été condamné à purger 70 mois. Goodin avait été en détention depuis le défaut de comparaître pour une audience plus tôt et a commencé à purger immédiatement sa peine de prison.