Phishing

Phishing (pecanje) jest pokušaj da se dobiju osjetljive informacije kao što su korisnička imena, lozinke i podaci o kreditnoj kartici, prikrivajući se kao pouzdan entitet u elektronskoj komunikaciji.^[1][2] Obično se to radi putem email spoofing-a^[3] ili direktnih poruka,^[4] tako što se korisnik uputi na lažno mjesto koje može biti slično stvarnoj stranici (npr. Paypal stranica), ali je ustvari pod kontrolog prevaranta koji će tako doći do osjetljivih podataka.^[5]

Primjer phishing e-pošte, prerušen u službenu e-poštu iz (fiktivne) banke. Pošiljalac pokušava da prevari primaoca u otkrivanju povjerljivih informacija tako da ga "potvrdi" svoj račun.

Phishing je primjer socijalnog inženjeringa koji se koristi za obmanjivanje korisnika.

Sama riječ je neologizam od ribolova (eng. fishing)

Tehnike

Tipovi pecanja

Spear phishing

Ovakvi pokušaji pecanja su usmjereni na određene pojedince ili firme.^[6] Napadači tako ciljano prikupljaju i koriste lične informacije svoje mete, da bi ostvarili veću vjerovatnoću uspjeha.^{[7][8][9][10]}

Clone phishing

Ovakva vrsta iskorištava već postojeći email, koji napadač može uzeti, klonirati, i napraviti skoro identičan mail. Tako žrtva misli da je email legitiman jer izgleda isto kao i original. Napadač tako može usmjeriti svoju žrtvu na lažne linkove.

Whaling

Termin whaling (bos. kitolov) isto je što i spear phishing, ali su mete na višim položajima.^[11] U tim slučajevima, sadržaj će biti izrađen tako da cilja na višeg menadžera.

Anti-phishing

Firme i osobe mogu koristiti više načina da se odbrane.

Firefox 2.0.0.1 Phishing sumnjivo upozorenje

Obuka korisnika

Ljudi mogu biti obučeni da prepoznaju pokušaje phishinga. To može biti korisno, posebno tamo gdje obuka naglašava konceptualno znanje^[12] i pruža direktnu povratnu informaciju.^[13][14]

Korisnik mora biti oprezan u situacijama kada se kontaktira o računu koji treba da bude "verifikovan". Također, bolje je da direktno odete na stranicu na koju se želite prijaviti, neko da kliknete na link u nekoj poruci ili emailu.^[15]

Neke kompanije, npr. PayPal, uvijek se obraćaju svojim klijentima putem korisničkog imena u e-porukama, tako da ako se primjeti da rečenica počinje sa ("Dragi PayPal korisniče"), to je vjerovatno pokušaj phishinga.^[16]

Tehnički pristupi

Preglednici koji upozoravaju korisnike na lažne web-lokacije

Još jedan popularan pristup borbi protiv phishinga je održavanje liste poznatih phishing lokacija i provjera web stranice u odnosu na listu. Internetski preglednici kao što su Google Chrome, Internet Explorer, Mozilla Firefox , Safari i Opera sadrže ovu vrstu anti-phishing mjera.^{[17][18][19][20][21]}

Filtriranje pošte

Specijalizovani filteri za neželjenu poštu mogu smanjiti broj phishing e-poruka koje pristignu u poštanski sandučić. Ovi pristupi se oslanjaju na Mašinsko učenje^[22]