Phishing

Phishing ist eine Art von Betrug über das Internet, durch die ein Angreifer versucht, das Opfer zu glauben, um sensible persönliche Informationen zu verleiten.

Es ist eine rechtswidrige Tätigkeit, die eine Social-Engineering-Technik verwendet: indem er zufällige E-Mails, die die Website Grafiken Bank oder Post zu imitieren versucht ein Angreifer, Opfer von dem Passwort zu erhalten Zugriff auf das Konto, das Kennwort Genehmigung der Zahlungen oder die Anzahl der Kreditkarte. Diese Art von Betrug kann auch mittels Telefon oder per SMS erreicht werden

Die erste urkundliche Erwähnung des Begriffs Phishing ist der Usenet-Newsgroup-alt.online service.america-online 2. Januar 1996, obwohl der Begriff kann zuvor in der gedruckten Ausgabe des Magazins für Hacker 2600 erschien sein Der Begriff Phishing ist eine Variante des Angeln, wahrscheinlich durch Phreaking beeinflußt und spielt auf die Verwendung von immer ausgefeiltere Techniken, um "Fisch" für Passwörter und Finanzdaten eines Benutzers. Das Wort kann auch mit dem Sprach leet, in der der Buchstabe f ist häufig mit ph ersetzt verknüpft werden. Die populäre Theorie, dass es sich um ein Kunstwort aus Passwort Ernte ist ein Beispiel für pseudoetimologia.

Angriffsmethode

Die Standard-Prozessmethoden Phishing-Angriff kann in den folgenden Phasen zusammenfassen:

  • der Angreifer sendet die glücklosen und ahnungslose Benutzer eine E-Mail-Nachricht, die simuliert in Grafiken und Inhalte, zu einer Institution an den Empfänger bekannt.
  • Die E-Mail enthält fast immer Hinweise auf bestimmte Situationen oder Probleme, die mit ihren Leistungsbilanz / Konten oder durch ein Angebot an Geld aufgetreten.
  • die E-Mail fordert den Empfänger auf einen Link in der Nachricht folgen, um eine Strafe zu vermeiden und / oder um seine Position mit dem Institut oder Unternehmen, in dem die Nachricht simuliert die Grafik und Einstellung zu regularisieren.
  • der Link zur Verfügung gestellt, ist aber wirklich nicht auf der offiziellen Website, aber eine Kopie fiktiven scheinbar ähnlichen auf der offiziellen Website, die auf einem Server durch die Phisher gesteuert befindet, um die Anfrage und erhalten von persönlichen Daten des Empfängers, in der Regel mit der Ausrede, einer Bestätigung oder die Notwendigkeit, eine Authentifizierung für das System zu machen; Diese Information wird von dem Server durch den phisher betrieben wird, gespeichert und dann am Ende in den Händen des Angreifers.
  • der Phisher verwendet diese Informationen, um Waren zu kaufen, Geld oder übertragen, auch als "Brücke" für weitere Angriffe.

Manchmal enthält die E-Mail die Einladung zu einer neuen "Beschäftigungsmöglichkeiten" zu machen, die der Bank eine eigene Online-Konto zur Verfügung stellen, um den Kredit für die dann im Ausland durch Systeme neu übertragenen Beträge zu empfangen Gelduebergabe, Halten eines Prozentsatz der Menge, die sehr hohe Zahlen erreichen kann. In Wirklichkeit ist es das gestohlene Geld mit Phishing, für die der Inhaber des Kontos Begünstigten online, oft in gutem Glauben, der Begehung der Straftat der Geldwäsche. Diese Aktivität führt zur phisher Verlust eines bestimmten Prozentsatzes von dem, was er zu stehlen könnte, aber es ist ein Interesse, das Geld in viele Berichte und erneut Austausch in verschiedenen Ländern übernommen zu dispergieren, da es schwieriger wird, die Identität des Spuren Cyberkriminalität und vollständig zu rekonstruieren der Mechanismus rechtswidrig. Außerdem, wenn die Übertragungen mit mehreren Ländern, die Zeit für den Wiederaufbau von Bankgeschäften werden länger, oft dient er als Rechtshilfeersuchen und die Eröffnung des Verfahrens in den lokalen Gerichte jedes betroffenen Landes.

Verteidigung

Es muss zu Websites entnommen werden besucht unecht. Um die Authentizität der Website das beste, was zu tun ist, das Passwort falsch beim ersten Versuch ENTER zu überprüfen; wenn die Website erkennt als falsch, die Website und "authentisch und wir geben das zweite Mal, das richtige Passwort.

Im Falle der E-Mail mit der Bitte um persönliche Daten, Kontonummern, Passwörter oder Kreditkarte, ist es ratsam, vor dem Löschen, eine Kopie der zuständigen Behörden und teilen der Bank oder anderen Beteiligten, so dass sie weitere Bestimmungen zu machen gegen die gefälschte Seite und ihre Nutzer zu informieren.

Der Kunde kann die Bewegungen von der Erklärung, die an einem Geldautomaten oder von Ihrem Girokonto online gesehen werden können zu prüfen.
Viele Institutionen bieten ein SMS-Alert-Service, effektiver, weil die Bewegung, sobald Meldeverfahren möglich ist, nicht, wenn es seine Registrierung, die in einem Abstand von mehreren Tagen sein kann dauert. Der Dienst kann durch die ATM aktiviert werden, in der Geschäftsstelle oder Online-Umgebung und besteht aus Senden einer Nachricht an die vom Kunden angegebene Anzahl, für Rücknahmen oder Zahlungen, die die von diesen festgelegten Betrag überschreiten. Des Teils der Nachricht in Echtzeit, wenn die Bewegung durchgeführt wird.
Der Service ist kostenlos; die Kosten für die Meldung ist abhängig von der Telefongesellschaft. Die Bank ist nicht verpflichtet, diese Art von Service zu bieten, und die Telefongesellschaften übernehmen keine Gewähr Empfang von SMS in bestimmten Zeiten, die insbesondere zu erhöhen kann, wenn der Kunde im Ausland mit seinem Empfangsterminal.

Die Person, die die Zahlungen Dritter mit seiner Kreditkarte oder EC-Karte gemacht erkennt, sollten Sie die Hotline der Bank kontaktieren, um die Karte sperren zu stellen: der Anruf wird aufgezeichnet und ist ein Code-Block zugeordnet. Es sollte dann an die Polizei zu beschweren, und gehen Sie zu der Agentur eine Kopie der Beschwerde und den Sperrcode. Im Falle von Ladungen "abnorme" nach, zum Beispiel, weil aus dem Ausland und eingetragene oder mit Valuta im Anschluss an den Block und der Beschwerde registriert, müssen Sie zurückgehen, um die Beschwerde und ripresentarne Kopie Zweig integrieren.
Die Agentur übernimmt die Rechtsabteilung der Bank Ausstand der Zahlungen und der Anspruch für die Abrechnung. Die Rechtsabteilung überprüft, ob der Kunde war körperlich nicht in der Lage für die Durchführung der Hauptbuch, weil die Erklärung oder der Antrag nachweisen, dass er in einem anderen Ort war; wenn Vorsatz oder Fahrlässigkeit; Selbstbehalte können variieren und werden nicht zurückerstattet, wenn der Vertrag von Kartenaktivierung sorgt für die Haftung in diesen Fällen aber bleibt es in der Verantwortung des Kunden.

Im Falle der Zulassung von Fremden, sollte der Kontoinhaber nicht die Mittel zu erhalten, und fragen Sie die Bank, um die Umkehr der Bewegungsbetrag. Ein häufiges Anliegen der Benutzer, die das Klopfen leiden, ist zu verstehen, wie tat den Täter wissen, dass sie ein Konto bei der Bank oder Online-Service in der Nachricht-Köder aufgeführt haben. Normalerweise muss der Phisher nicht, ob sein Opfer hat ein Konto bei der Service durch ihre Wirkung gezielt: sendet nur die gleiche Botschaft-Köder in einer sehr großen Anzahl von E-Mail, so dass Spam, in der Hoffnung, für die zu erreichen Wenn einige Benutzer, die tatsächlich ein Konto bei der genannten Dienststelle. Daher bedarf es keiner defensive Maßnahmen abgesehen von der Anerkennung und Stornierung der E-Mail, dass die versuchte Klopfen enthält.

Im Fall der verwandten Problem wie Pharming jedoch bekannt, gibt es keine echte Lösung für die hinteren und ist notwendig für präventive Maßnahmen. Eine erste Steuer gegen Verschütten Websites zu verteidigen, ist es, das Symbol, eine Sperre in allen Browsern angezeigt, was darauf hinweist, dass ja eine sichere Verbindung hergestellt. Diese Verbindung gewährleistet die Vertraulichkeit der Daten, während ihre Integrität und Authentifizierung der anderen Partei stattfinden, nur in Anwesenheit einer digitalen Signatur, die optional und nicht gemeldet ist.

In der Tat kann eine SSL-Verbindung aufgebaut werden mit zertifizierten unwahr, durch ein Paar von öffentlicher und privater Schlüssel gültig ist, für diejenigen, die wollen, Phishing bekannt, aber sind nicht das tatsächliche Ort. Beispielsweise berichtet die Bescheinigung, dass die Website it.encyclopedia.org verwendet einen öffentlichen Schlüssel, das ist eigentlich, dass der Phisher. Der Browser anstatt der Benutzer interessiert ist, sollte die Website von einer Zertifizierungsstelle zu besuchen, um zu kontrollieren: die Datenbank zeigt, die öffentlichen Schlüssel und eine Identifikation des Inhabers, wie IP-Adresse oder die Adresse der Website.

Einige Websites haben eine spezielle Anti-Phishing-Toolbar, die die Echtheit jeder Seite von der Website über die digitale Signatur heruntergeladen, zum Beispiel überprüft. Die Anmeldeseite der Web-Seite ist einfach zu imitieren. Im Browser gibt es eine Option, um den HTML-Code von Web-Seiten, die Sie kopieren und an anderer Stelle, um eine identische Website erhalten anzuzeigen. Die betrügerische E-Mail enthält einen Link, der nicht auf der Original-Website verweist, aber seine Nachahmung enthalten. In die freien Felder des Formulars enthalten Daten werden in einer Datenbank oder in einer Textdatei auf der Platine gespeichert.

Eine andere Technik besteht aus Einsetzen tippen Anwendungen Keylogger. In diesem Fall können die Verbindungen zu der ursprünglichen Stelle, die nicht unbedingt eine Nachahmung beziehen, und der Abgriff der Daten zum Zeitpunkt ihrer Zugabe zu der Tastatur. Diese Zeilen Code kann mit der Eröffnung einige Links, oder durch das Lesen der gleichen E-Mail ausgeführt werden, wenn Sie Ihre E-Mail-Programm oder Ihr Internet Service Provider keine ausreichenden Schutzmaßnahmen nicht ergreifen.

Es gibt auch spezielle Programme, wie beispielsweise Bar Anti Verschütten Netcraft und Blacklists, die Sie, um den Benutzer zu warnen, wenn Besuch einer Website wahrscheinlich nicht authentisch zu ermöglichen. Benutzer von Microsoft Outlook / Outlook Express können auch über das kostenlose Programm Delphish, einer Symbolleiste in das MS Outlook / MS Outlook Express eingefügt, mit dem Sie die verdächtige Links in E-Mails finden suchen. Diese Programme und die häufigste Browser sie verwenden Whitelist mit den logischen Adressen und die IP der Authentifizierungsseiten aller Banken, die eine Anti-Klopfen auf jeden Fall hilfreich sein würde.

Wenn der Benutzer nicht über ein Girokonto Online halten und erhält regelmäßige Erklärungen Mail, können Sie den Spam-Filter gesetzt, durch Eingabe der Adresse der Bank. Auf diese Weise wird die E-Mail mit einer Rücksprungadresse oder einen Link in den Text an die Bank wird in den Spam-Ordner enthalten sein, macht es einfach, um den Verdächtigen zu identifizieren. Benutzer von Internet Explorer kann eine Anti-Klopfen mit einer schwarzen Liste zu verwenden, und vergleicht die Adresse einer Web-Seite mit den in einer weltweiten Datenbank, zentrale, von Microsoft verwaltet und von anonymen Meldungen der Benutzer selbst zugeführt vermutet.

Ein ähnlicher Schutz ist in Mozilla Firefox, die es dem Benutzer bietet, um zwischen der Überprüfung der Websites basierend auf einer schwarzen Liste und die Verwendung der Anti-Tapping von Google angeboten wählen vorhanden. Jedoch durch die verschiedenen Browser-Hersteller freigegebenen keine Banken solcher Daten bzw. bis an die Behörden, die das Know-how zu den Themen Internet und das Web haben eingestellt. Die Verdunkelung der webseite der Verschüttung ist keine einfache Aufgabe, wenn diese als eine Sub-Domain eines anderen Web-Adresse gehostet werden. In diesem Fall wird die Dimmung der Hostdomäne müssen Sie als "false" Authentifizierungsseite ist nicht aufgelistet ICANN, sondern lokal auf dem Server. Der Standort kann noch werden schnell überschattet zu einer anderen Web-Adresse zugeordnet ist.

Sie können auf eine Seite eines "Köderstelle" eine Adresse binden ähnlich, aber nicht identisch mit der von der Website "kopiert". Der durchschnittliche Benutzer ist immer noch schwierig, eine Phishing-Seite von der der Bank gezielt zu unterscheiden. Die Adressleiste können Sie eine Adresse wie "Name des Banca.autethicationPage.php Domain-Host" in die entsprechende IP-Adresse enthalten, die Adresse des Domain-Host, das Symbol "in ASCII, oder das Äquivalent binäre oder hexadezimale, so dass die Adresse der Ressource von "Phishing" und ähnlichen etwas länger als das, was gefälscht worden.

Schadensersatz

Für die italienischen Rechtsvorschriften sind die Banken nicht verpflichtet, die Kunden aus Computerbetrug zu gewährleisten. Sie sind daher nicht verpflichtet, die zu Unrecht wegen einer Verletzung des Internetkonto des Kunden oder das Klonen von ihren Debit- oder Kreditkarten erhoben zu zahlen. Eine jüngste Entscheidung der Richter in Mailand, 10. Oktober 2008 festgestellt, dass nur die Existenz einer vertraglichen Verpflichtung der Bank, den Kunden von jeder Art von Aggression zu den hinterlegten Beträge zu entschädigen kann für das Unternehmen Qualifikation zugeschrieben werden beschädigt durch das Verbrechen.

Einzelverträge für die Eröffnung eines Bankkontos und Online-Banking kann vorsehen, dass in bestimmten Fällen ist die Bank verpflichtet, den Kunden zu Unrecht gezahlter Beträge in Abzug zu kompensieren. Oft wird die Bank durch das Risiko von Diebstahl oder Verlust von Daten und Identifikationskarten abgedeckt. Die Kosten für diese Rückversicherungs auf Kunden, die ab und zu von Vertragsklauseln für diese Art der Dachdeckung profitieren zu ihren Gunsten aufgehoben.

Das Institut lehnt in der Regel eine Entschädigung, wenn der Kunde zusätzlich zu dem Verlust der Karte, er die Zugangs-PIN auch verloren; Auch für das Homebanking weigert sich, das Geld zu zahlen, wenn der Kunde das Login-Passwort mit dem Token verloren. Dies stellt Fahrlässigkeit des Kunden und die Möglichkeit der absichtlichen Betrug an die Bank: der Kunde kann an Dritte Ihre Daten und das Papier, die im Einvernehmen mit dem Kunden kann Abhebungen zu übertragen, während die Inhaber erklärt den Verlust oder Diebstahl.

Allerdings gelten die Bank die Verantwortung sowohl die in DL 196/03 festgelegten Mindestsicherheitsmaßnahmen, um die persönlichen Daten der Kunden zu schützen, besteht darin, alle geeigneten Vorsorgemaßnahmen, dass im Lichte des technischen Fortschritts kann die Verringerung umzusetzen Mindest Risiken. In der Tat, im Falle eines Diebstahls der Anmeldeinformationen, obwohl die Bank wirft Ihnen vor, verantwortlich zu sein, weil es könnte, um Phishing-Mails geantwortet haben, ist es erforderlich, an den Richter zu beweisen, dass sie alle Maßnahmen, um die Risiken zu minimieren implementiert.

Wenn die Bank keine Maßnahmen, die in anderen Banken zur Verhinderung von Computerbetrug, unerlaubten Zugriff, usw. üblich sind, zum Beispiel zu implementieren, könnte man benötigt, um Sie für den Schaden auszugleichen. Die Europäische Empfehlung Nr. 489 von 1997 besagt, dass der Zeitpunkt der Mitteilung der Bank Sie betrogen wurden, der Kontoinhaber nicht für die Verwendung von seinem Konto durch Dritte haftbar gemacht werden, so dass das Geld zurück muss, um ihn zurückzugeben.

Gerichtsverfahren und die ersten Verurteilungen

Im Jahre 2007 ein Urteil des Gerichts von Mailand gab es, zum ersten Mal in Italien, die Überzeugung von Mitgliedern einer länderübergreifenden Verband zu kriminellen Phishing gewidmet. Dieses Urteil wurde vor dem Obersten Gerichtshof im Jahr 2011 bestätigt.

Im Jahr 2008, ein Urteil des Gerichts von Mailand, hat stattdessen zum ersten Mal in Italien die Verurteilung wegen Geldwäsche Themen wie Finanzmanager erreicht wurden, um die Aktivitäten der Sammlung und Wieder Transfer von Geld von Erträgen aus Straftaten Phishing bereitgestellt zu Lasten der Sparer Italienisch

Diese beiden Entscheidungen sind daher angegeben, welche Normen können auf diese neue kriminelle Phänomen in Italien Phishing angewandt werden, da noch nicht spezifisch geregelt ist, im Gegensatz zu anderen Gesetzen - vor allem die Amerikaner -, die Strafgesetze belastende Ad-hoc müssen

  0   0
Vorherige Artikel Sonne
Nächster Artikel Alexis Masbou

In Verbindung Stehende Artikel

Kommentare - 0

Keine Kommentare

Fügen Sie einen Kommentar

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Zeichen übrig: 3000
captcha