Phishing: 일반적인 사기에 재미있는 강선전도
2개의 안전 평가가 나, 맞던 안전해야 한 후에?
---------------------------------------
당신이 국가 금융 제도의 CIO이고 최근에 당신의 고객을 위한 최신식 온라인 거래 서비스를 배치했다는 것을 상상하십시오. 당신의 회사의 네트워크 둘레를 확인하는 것은 안전하다, 당신은 2개의 외부 안전 평가 및 침투 시험을 수행했다. 최종보고서가 들어올 때, 당신의 회사는 건강진단서를 주어졌다. 우선, 당신 구호되고, 당신의 안보 조치에서 자부하는 펠트. 그 후 곧, 당신의 기복은 관심사로 돌았다. "우리가 완전하게 안전하다?" 가능한 그것은 진짜로 이다 당신을 회의론, 당신은 1개의 의견을 더 얻는 것을 결정한다 주어진다.
침투 시험 보고서 납품의 일은 지금 바로 가까이에 이다. 이전 평가에 바탕을 두어, 당신은 긍정적인 정보를 얻을 것으로 예상한다 ......
결과는 이어 만족시키기 보다는 보다 적게
-----------------------------------
이 침투 시험 도중, 몇몇 재미있는 발견이 있었다, 그러나 우리는 온라인 체계의 안전에 책임있을 누군가에서 바람을 두드릴 것에 집중하기 위하여 려고 하고 있다. 특히 당신이 돈의 사업에서 인 경우에.
대부분의 사람들은 기간 "Phishing"에 익숙하다. Dictionary.com는 "진짜 조직의 로고를 가진 확실하 보는 암호를 이용해서 가짜 웹사이트에 기대 밖 인터넷 사용자 유혹의 연습으로 낱말 Phishing를, 재정 적이고 인적사항 훔치기 위하여 정의하거나, 전자 우편을, 바이러스 공격을 소개한다; 개인 재정적인 정보 또는 암호를" 복종시키기로 기대 밖 인터넷 사용자를 바보짓을 하기를 위한 웹사이트 복사의 창조. SPAM/자발적인 전자 우편 및 직접적인 웹 서버 타협이 Phishing의 일반적인 방법이더라도. 이 사기 활동을 달성하는 다른 방법이 있다.
인터넷 대패 타협은 나쁜 날 동안 만든다
----------------------------------------------
이런 경우에, 인터넷 대패는 CISCO 유명한 취약성을 사용해서 타협되었다. 일단 이것이 달성되면, 하늘은 행해질 수 있던 조직에 충격을 가하기 위하여 무슨이까지 한계이었다. 비록 회사의 웹 서버가 안전했, 그리고 다음 무관했던 이 방위 체계에게 만들어 일어난 무엇이 웹 서버를 보호하고 있던 방호벽이 충분하게 형성되었더라도.
그들의 사용자 고유 번호를, 암호 포기하기 위하여 고객을 유혹하기 위하여 그 때 SPAM 및 계좌 번호를, 또 다른 한개 발송하는 외부 체계에 이중 로그인 위치, 설치 대신에 접근은, 훨씬 못된 접근 채택되었다.
개인 재정적인 정보를 위한 Phishing
----------------------------------------------
당신은 타협된 그 대패를 기억하는가? 목적 착상의 증명을 위해, 대패 윤곽은 사용자 고유 번호, 암호 및 계정 정보가 모아질 수 있던 다른 웹 서버에 정당한 웹 서버를 위해, 바운스된 모든 인터넷 소통량을 발송하기 위하여 바꾸였다. 이 정보가 들어갈 첫번째로, 고객은 애매한 과실을 받을 것입니다. 페이지가 적재할 두번째로, 가짜 웹 서버는 진짜 위치에 고객의 방향을 바꿨다. 사용자가 요구하는 정보를 재입력할 때, 모두는 잘 일했다.
아무도에는, 고객, 도 아니다 회사는 아닙니다 못되었던 무언가가 가고 있던 어떤 아이디어든지 있었다. 종 또는 호각은, 아무도 문제시했다 과실을 약해지지 않았다. 왜 그들 하고자 한지, 그들은 틀린 암호를 안으로 둘 수 있었다, 또는 확률이 높았다 모두가 때때로를 취급하는 웹 페이지에 전형적인 과실.
이 시점에서는, 당신은 당신의 상상이 점거하게 할 수 있다. 공격기는 전진하고 즉시 수집된 정보 사용하지 않을지도 모른다. 사용되기 전에 일 또는 주일 수 있었다. 실제로 일어난 정보를 모으기 위하여 무슨이의 어떤 자취든지 거의 확실하게 역사일 것입니다.
하는 무엇이 당신은 안전 평가에서 진짜로 나간다
--------------------------------------------------
나는 얼마나 많은 시간을 나가 거의 off-the-shelf 또는 오픈 소스 자동화한 안전 해석기에서 정보 출력인 안전 평가 보고로 선물된지 당신에게 말할 수 없다. 공격기가 공격 도중 동일한 것 또는 유사한 공구를 사용할지도 모르다, 이 정보를 유일하게 그들의 목표를 도달하기 위하여 의지하지 않는다. 효과적인 침투 시험 또는 안전 평가는 뿐만 아니라 "안전 취약성"를 이해하는 누군가와 off-the-shelf 공구를 달리는 방법에 의해 실행되어야 한다. 평가를 수행해 사람은 공구에 무장한 이렇게 해야 하고 잠재적인 공격기를 그들을 만나거나 초과한다 경험하는 것은 가지고 있을 것입니다.
결론
----------
당신은 작다는 것을, 중간, 큰 회사는 이다, 조심해야 당신이 인 당신의 회사의 안전 방위 체계의 검토, 또는 안전 단면도를 실행하는 자격이 되어 누구를에 관하여 결정하는지 당신은 아주 한다. 다만 조직은 그들의 CISSP를 가진 고문과 같은 신임장에 당신을 ..... 선물하기 때문에 이 사람들은 어떤 실사회 경험든지 다는 것을 의미하지 않는다. 세계에 있는 모든 증명서는 당신이 안전 평가에서 관여시키기에서 받는 결과가 철저하/완료한ㄴ다는 것을 당신을 확신할 수 없다. 두번째 의견을 주어진 위태로워진 일지모른는 무슨이 얻는 것은 적합하다. 무언가는 당신과 다는 것을 당신이 잘 느끼고지 않, 그리고 알고 있던 경우에, 당신은 다만 1개의 닥터의 의견을 위해 침전할는가 것입니다?
확실히 솔직하게, 나는 나가 이 기간, 나 사용을 위해 꽝 닫아 항상 얻을 것이라는 점을 증명서가 하고 있는 무슨을 그들은 알고 있다는 것을 주장하는 있는 해커 (나는 알고 있다) 결코 만나지 않았다 것은. 그들은 그것을, 계속해서 또다시 하고기, 네트워크 시스템과 소프트웨어의 완전한 이해가 있기 때문에 하고 있는 무슨을 알고 있다. 그의 위에, 다는 것을 종류 또는 증명서는 당신을 가르칠 수 없다 그들이, 상상 가지고 있는 1개의 것.
저자에 관하여
----------------
Darren 밀러는 경험 16 년 이상을 가진 정보 안전 고문이다. 그는 많은 것에게 몇몇이 국가에 회람된 잡지 & 정기간행물에서 간행된 기술 & 안전 기사를 썼다. 당신이 Darren를 접촉하고 싶어을 경우에 당신은 Darren.Miller@ParaLogic.Net에 그를 이메일을 보낼 수 있다. 당신이 컴퓨터 보안에 관하여 더 많은 것을 알고 싶어을 경우에 http://www.defendingthenet.com에 저희를 방문하십시오.
ꀰ사냴ꀰ: Messaggiamo.Com
Related:
» Seo Elite: New Seo Software!» AntiSpywareBOT
» Reverse Mobile
» Error Nuker
샹냈 삤퀰 삻쁄 쁔냜
ꃀ큘쁘 샹사쁴킸샐쁴 뀸쀜끼 삔ꀀ 샀ꀈ 냹삥!
샹냈 삤퀰샐ꂌ ꀰ사끼 쀜삜큘ꀰ
쁄냈삔 냱끝 큄쀘! ꃀ큘쁘 삑생쁄 삑쀱큘ꃠ쁴 뀸쀜낔 Messaggiamo.Com 뀔뀉킠났!
