Admin Admin
จำนวนข้อความ : 1108 : 62 Registration date : 07/10/2007
| เรื่อง: Phishis mail? Fri Apr 10, 2009 5:20 am | |
| http://en.wikipedia.org/wiki/Phishing From Wikipedia, the free encyclopedia
Not to be confused with fishing, pish, or Phish.
In the field of computer security, phishing is the criminally fraudulent process of attempting to acquire sensitive information such as usernames, passwords and credit card details by masquerading as a trustworthy entity in an electronic communication. Communications purporting to be from popular social web sites auction sites,online payment processors or IT Administrators are commonly used to lure the unsuspecting. Phishing is typically carried out by e-mail or instant messaging,[1] and it often directs users to enter details at a fake website whose look and feel are almost identical to the legitimate one. Even when using server authentication, it may require skill to detect that the website is fake. Phishing is an example of social engineering techniques used to fool users,[2] and exploits the poor usability of current web security technologies.[3] Attempts to deal with the growing number of reported phishing incidents include legislation, user training, public awareness, and technical security measures. A phishing technique was described in detail in 1987, and the first recorded use of the term "phishing" was made in 1996. The term is a variant of fishing,[4] probably influenced by phreaking,[5][6] and alludes to baits used to "catch" financial information and passwords.
Contents
http://www.bettaquality.com
2 Phishing techniques 2.1 Social engineering 2.2 Link manipulation 2.3 Filter evasion 2.4 Website forgery 2.5 Phone phishing 2.6 Other techniques
3 Damage caused by phishing 4 Anti-phishing 4.1 Social responses 4.2 Technical responses 4.2.1 Helping to identify legitimate websites 4.2.1.1 Fundamental flaws in the security model of secure browsing
4.2.2 Browsers alerting users to fraudulent websites 4.2.3 Augmenting password logins 4.2.4 Eliminating phishing mail 4.2.5 Monitoring and takedown
4.3 Legal responses
5 See also 6 References 7 External links
แก้ไขล่าสุดโดย Admin เมื่อ Fri Apr 10, 2009 5:49 am, ทั้งหมด 2 ครั้ง | |
|
Admin Admin
จำนวนข้อความ : 1108 : 62 Registration date : 07/10/2007
| เรื่อง: Re: Phishis mail? Fri Apr 10, 2009 5:34 am | |
| http://chaiyakorna.spaces.live.com/blog/cns!21C45022AB79AA3B!172.entry?sa=384486156
ณ ปี 2007 ใครต่อใครก็ใช้ Internet ใครต่อใครก็ใช้งาน email ใครต่อใครก็ใช้งาน Instant Messaging (MSN, Yahoo, AOL and etc.) คงไม่มีใครโต้แย้งว่าสิ่งต่างๆ เหล่านี้ ช่วยย่อโลกใบนี้ให้เล็กลง ช่วยให้เราติดต่อสื่อสารกันได้มากขึ้น ทั้งในรูปแบบ Same time-Different Place (i.e. IM, VoIP and VDO Conf.) คืออยู่ต่างสถานที่ ณ เวลาเดียวกัน หรือในแบบ Different Time-Different Place คือคนละเวลาคนละสถานที่ (i.e. email, web board, blog, podcast and e-learning) เข้ามาทดแทนรูปแบบการทำงานแบบ Same Time-Same Place หรือ ลักษณะการประชุมแบบพบหน้ากัน เทคโนโลยีต่างๆ เหล่านี้มิได้นำมาเพียงแค่ความสะดวกในการสื่อสารเท่านั้น หากแต่ยังนำมาซึ่งพิษภัยที่แฝงมาในรูปแบบต่างๆ ซึ่งอาจก่อให้เกิดความเสียหายต่อตัวบุคคลเอง เช่นเสียทรัพย์ อับอายเสียชื่อเสียง หรือสร้างความเสียหายในระดับองค์กรได้ วันนี้จึงขอถือโอกาสแนะนำให้ได้รู้จักกับอีกหนึ่งพิษภัยที่แฝงมากับ เทคโนโลยี ซึ่งสร้างปัญหาและความเสียหายให้กับสังคมผู้ใช้ Internet อย่างมากในปัจจุบัน และผู้ใช้งาน Internet ทุกคนล้วนมีโอกาสตกเป็นเหยื่อผู้เคราะห์ร้ายได้ทั้งสิ้น และภัยคุกคามที่ว่านั้นก็คือ Phishing
Phishing เป็นคำที่พ้องเสียงกับคำว่า Fishing ที่แปลว่าการตกปลานั่นเอง โดยการแทนอักษร F ด้วย Ph ตามรูปแบบแฟชั่นและวัฒนธรรมของ Hacker โดยวัตถุประสงค์ของการทำ Phishing นั้น ก็เพื่อล่อลวงให้เหยื่อผู้เคราะห์ร้ายเปิดเผยข้อมูลส่วนตัว เช่น ชื่อ อายุ หน้าที่การงาน เงินเดือน สถานภาพสมรส และอื่นๆ แต่ที่พบมากและชัดเจนที่สุดคือการหลอกล่อเพื่อเอาเลขที่บัตรเครดิต และ user name/password/PIN Code/Security Code เพื่อนำไปทำรายการ online payment หรือเข้าไปจัดการกับบัญชีธนาคารของผู้ที่ตกเป็นเหยื่อนั่นเอง
ทีนี้เราลองมาดูรูปแบบและวิธีการทำ Phishing ตลอดจนเหตุที่มาว่าทำไมถึงเปรียบเทียบวิธีการนี้กับการตกปลา ลองนึกภาพตามนะครับ สมมติว่าวันหนึ่งคุณได้รับ email (เหยื่อล่อ) จากธนาคารแห่งหนึ่งที่คุณมี Online Banking Account อยู่ ซึ่งมีเนื้อหาดังรูป
Email นี้ถูกส่งมาพร้อมกับ Logo ของธนาคารในรูปแบบที่เป็นทางการที่จะทำให้ท่านเชื่อได้ว่า email นี้น่าจะถูกส่งมาจากธนาคารนั้นจริงๆ เมื่อท่านได้อ่านข้อความแล้วหลงเชื่อ (ติดกับดัก)โดยเกรงว่า account จะถูกระงับจึงรีบ take action โดยคลิ๊กไปที่ Link ที่ระบุไว้ใน email จากนั้น เจ้า Internet Explorer ก็ทำการเปิดหน้า webpage ที่ดูแล้วก็น่าจะเป็น web ของธนาคารนั้นขึ้นมา ท่านจึงกรอก user name และ password ของท่านลงไป จากนั้นก็มีข้อความขึ้นมาว่า “การยืนยันสมบูรณ์ ขอบคุณที่ใช้บริการ” ท่านก็จะคิดว่าทุกอย่างเสร็จสิ้นสมบูรณ์ด้วยดี แต่อันที่จริงแล้ว ข้อมูลของท่านได้ตกไปอยู่ในมือของ Hacker หรือ Phisher เป็นที่เรียบร้อยแล้ว
องค์ประกอบหลักในการทำ Phishing นั้น ส่วนใหญ่ประกอบด้วย 2 ส่วนคือ
1. Email(Bait หรือ เหยื่อล่อ) ที่ถูกร่างขึ้นเพื่อสร้างความน่าเชื่อถือ และมีข้อความหลอกล่อต่างๆ เพื่อให้ผู้อ่านหลงเชื่อและ Click ไปยัง Link ที่เตรียมไว้ให้ใน email ฉบับนั้น ซึ่ง email นี้อาจถูกส่งกระจายหว่านไปทั่วโดยไม่มีการเลือกกลุ่มเป้าหมายแต่อย่างใดหรือที่เราเรียกว่าการทำ spam mail ซึ่งหลายคนอาจเคยได้รับอยู่บ่อยๆ หรือบางกรณีที่ email ที่ถูกทำขึ้นมานี้ถูกส่งไปยังกลุ่มลูกค้าของธนาคารนั้นๆ โดยเฉพาะ (focus group)
2. Fake Webpage คือหน้า webpage ที่ Phisher พยายามสร้างขึ้นมาให้เหมือนหรือใกล้เคียงกับ site จริงมากที่สุด เพื่อให้เหยื่อผู้หลงเชื่อกรอกข้อมูลส่วนตัวต่างๆ ที่ต้องการลงไป เทคนิคที่พบมากในปัจจุบันที่ใช้ในการล่อลวง
1. การใช้ชื่อ Domain ใกล้เคียง เช่น www.kosikornbank.com เพื่อหลอกล่อลูกค้าของ www.kasikornbank.com
2. แก้ไขชื่อผู้ส่ง (Sender) email ให้เข้าใจว่ามาจากธนาคารเป้าหมาย
3. การทำ Link หลอก เช่น ใน email เราอาจเห็นตัวหนังสือที่คลิ๊กได้เขียนว่า http://www.scb.com แต่พอคลิ๊กเข้าไปกลับพาเราไปที่ site อื่นแทน เช่น http://202.124.254.20/abcd/../s%20%25/scb/login.asp เป็นต้น
4. มีการเรียกเว็บไซต์จริงขึ้นมา และทำเป็น Pop-up window เพื่อให้คนเข้าใจว่าเป็น Pop-up window ของเว็บไซต์นั้น
5. การทำเนื้อหาของ email ให้อยู่ในรูปของ รูปภาพ หรือ image file เพื่อหลบหลีกการตรวจจับหรือระบบกลั่นกรองจำพวก Content Filtering
6. มีการระบุชื่อ และ/หรือที่อยู่ (ตามใบแจ้งหนี้) ของผู้รับ email ลงไปใน email (personalized) เพื่อให้ดูน่าเชื่อว่าธนาคารเป็นผู้ส่งมามากยิ่งขึ้น คำแนะนำสำหรับผู้ให้บริการ (Service Providers)
1. พยายามสร้างหรือ consolidate ให้เป็น Single Service-Brand เช่น ไม่ว่าจะต้องการเข้าใช้บริการอะไรของธนาคาร SCB ก็ให้เข้าไปที่ www.scb.co.th ที่เดียว หรือ ของกลุ่ม ปตท. ก็เข้าไปที่ www.pttgrp.com แล้วจึง Link ต่อไปยังหน้าที่ให้บริการที่ต้องการ ตรงนี้จะมีประโยชน์ในการประชาสัมพันธ์ให้ลูกค้าจดจำเพียงแค่ชื่อเดียว และไม่สับสน
2. สร้างช่องทางในการรับรายงานกรณีมีผู้พบเห็นการแอบอ้างหรือทำ Phishing กับกลุ่มลูกค้าของท่าน
3. สร้างกระบวนการในการแจ้งเตือน สร้าง Awareness และ Educate ลูกค้า คำแนะนำสำหรับผู้ใช้บริการ (Users)
1. ให้ระลึกไว้เสมอว่า ในโลกไซเบอร์นั้น มีพวก 18-Crown หรือ 18 มงกุฎ ที่คอยจะหาผลประโยชน์จากพวกเราอยู่มากมาย และพวกนี้มีกระบวนการทำงานแบบมืออาชีพและใช้เทคนิคที่ซับซ้อนมากขึ้นทุกวัน ดังนั้นทุกคนควรใช้เทคโนโลยีด้วยความระแวดระวัง และคอยติดตามข่าวสาร เกี่ยวกับเทคนิคและวิธีการรูปแบบใหม่ๆ อยู่เสมอ
2. หลีกเลี่ยงการคลิ๊ก Link ที่อยู่ใน email หากไม่มั่นใจที่มาของ email นั้น
3. คอยสังเกตว่า Link ที่ให้มานั้นตรงกับ Text ที่เขียนแสดงไว้หรือไม่ โดยการเอาเมาส์ไปวางบน Link แล้วสังเกต URL ที่แสดงอยู่ใน Status Bar ด้านล่างของ Browser
4. พยายามพิมพ์ URL เข้าไปที่ช่อง Address ของ Browser ด้วยตัวเองโดยพยายามเข้าจากหน้าแรกสุดแล้วค่อยๆ Navigate ไปยังหน้าของบริการที่ต้องการ จากนั้นอาจทำ Bookmark เอาไว้เพื่อความสะดวกในการเข้าใช้งานครั้งต่อๆ ไป | |
|
Admin Admin
จำนวนข้อความ : 1108 : 62 Registration date : 07/10/2007
| เรื่อง: Re: Phishis mail? Fri Apr 10, 2009 5:44 am | |
| From: salon-monique@hotmail.com To: salon-monique@hotmail.com Subject: Verify Your Account Now To Avoid It Closed Date: Thu, 9 Apr 2009 15:28:28 -0400
Dear Account User
This Email is from Hotmail Customer Care and we are sending it to every Hotmail Email User Accounts Owner for safety. we are having congestions due to the anonymous registration of Hotmail accounts so we are shutting down some Hotmail accounts and your account was among those to be deleted. We are sending this email to you so that you can verify and let us know if you still want to use this account. If you are still interested please confirm your account by filling the space below.Your User name, password, date of birth and your country information would be needed to verify your account.
Due to the congestion in all Hotmail users and removal of all unused Hotmail Accounts, Hotmail would be shutting down all unused Accounts, You will have to confirm your E-mail by filling out your Login Information below after clicking the reply button, or your account will be suspended within 24 hours for security reasons.
* Username: .............................. * Password: ................................ * Date of Birth: ............................ * Country Or Territory: ................
After following the instructions in the sheet, your account will not be interrupted and will continue as normal. Thanks for your attention to this request. We apologize for any inconveniences.
Warning!!! Account owner that refuses to update his/her account after two weeks of receiving this warning will lose his or her account permanently. Sincerely, The Windows Live Hotmail Team
www.salonmonique.com | |
|