Phishing: 有趣的转弯在共同的诈欺
在二个安全评估我必须是安全, 正确之后?
---------------------------------------
想象您是全国财政机关的CIO 并且您最近部署了科技目前进步水平网上交易服务为您的顾客。确定您的公司的网络周长是安全, 您执行了二个外在安全评估和渗透测试。当总结报告进来, 您的公司被给了一个健康证明书。起初, 您毛毡被解除, 和确信对您的安全措施。突然尔后, 您的安心转向了关心。"是它真正地可能, 我们是完全地安全?" 被给您怀疑, 您决定得到一个更多观点。
渗透实验报告交付的天现在手头。根据早先评估, 您准备获得没什么但正面信息......
结果是比喜欢
-----------------------------------
在这个渗透测试期间, 有几个有趣的研究结果, 但我们集中于一个会敲风在任何人外面负责任对在线系统安全。特别如果您是在金钱的事务。
多数人民通晓期限"Phishing" 。Dictionary.com 作为"诱使信任的互联网用户实践定义词Phishing 到一个假网站由使用地道看的电子邮件以真正的组织的商标, 为窃取密码, 财政或个人信息, 或介绍病毒攻击; 一件网站复制品的创作为唬弄信任的互联网用户入递交个人或财政信息或密码"。虽然SPAM/未经请求的电子邮件和直接网络服务器妥协是Phishing 最共同的方法。有其它方式完成这欺骗活动。
互联网路由器妥协牌子一坏天
----------------------------------------------
在这种情况下, 互联网路由器由使用妥协了一个知名的CISCO 弱点。一旦这是成功的, 天空是极限就什么能做冲击组织。即使公司的网络服务器是安全, 并且保护网络服务器的防火墙充分地被配置了, 什么发生了其次做这些防御系统毫不相关。
而不是设定一个复制注册站点在一个外部系统, 然后派出SPAM 为了诱惑顾客放弃他们的用户识别号、密码, 和帐号, 其它方法, 一种更加恶毒的方法采用了。
Phishing 对于个人或财政信息
----------------------------------------------
您记住妥协的那台路由器? 为概念目的证明, 路由器配置被修改批转所有互联网交通一定为合法的网络服务器, 对用户识别号、密码, 和帐户信息能被收集的其它网络服务器。第一次这信息被输入了, 顾客会接受一个模棱两可的错误。第二次页装载了, 假网络服务器改顾客方向对真正的站点。当用户再进入被请求的信息, 一切服务正义罚款。
没人, 不是顾客, 亦不公司有恶毒事去的任一个想法。响铃或口哨没有去, 没人对错误表示怀疑。为什么会他们, 他们能投入了错误密码, 或它是可能的一个典型的错误在大家处理时常的网页。
这时, 您能让您的想像力接管。攻击者不能前进和使用信息立即被收集。这能是几天或几星期在它被使用之前。什么的任一踪影实际上发生收集信息很可能会是历史。
什么做您真正地离开安全评估
--------------------------------------------------
我无法告诉您多少次我被提出了以安全几乎是信息产品从一台现成或开放来源自动化的安全分析仪的评估报告。虽然攻击者也许使用同样或相似的工具在攻击期间, 他们单一地不依靠这信息到达他们的目标。一个有效的渗透测试或安全评估必须由某人了解不仅"在安全上的弱点" 并且怎样执行跑现成的工具。人执行评估必需做很武装与工具并且遇见或超出那些的经验一个潜在的攻击者会有。
结论
----------
是否您小, 中等, 是大公司, 您必须非常小心关于谁您决定是合格执行您的公司的安全防御系统回顾, 或安全性配置文件。正因为组织提出您与证件, 譬如顾问与他们的CISSP....., 它不意味这人民有任一真实世界的经验。所有证明在世界无法保证您您接受从参与安全评估的结果是详尽的/完成。得到第二个观点是适当的被给什么可以成败未定。如果您没有感觉好, 和知道某事错误与您, 您会安定为一个医生的观点吗?
相当坦率地, 我从未遇见了一位黑客(我知道我将得到关上至于使用这规定, 我总), 有一份证明阐明, 他们知道什么他们做着。他们知道什么他们做着因为他们做了它, 多次, 和有对网络系统和软件的完全理解。在那顶部, 他们有的这一件事类或证明无法教您是, 想像力。
关于作者
----------------
Darren 米勒是一个信息安全顾问以经过十六年经验。他写了许多技术& 安全文章, 一些被出版了在全国性被散布的杂志& 期刊。如果您会想与Darren 联系您能电子邮件他在Darren.Miller@ParaLogic.Net 。如果您会想知道更多关于计算机安全请拜访我们在 http://www.defendingthenet.com 。
文章来源: Messaggiamo.Com
Related:
» Seo Elite: New Seo Software!» AntiSpywareBOT
» Reverse Mobile
» Error Nuker
网管得到HTML代码
加上这条到你的网站!
网站管理员提交你的文章
无须登记!填写好的表格和你的文章是在 Messaggiamo.Com 目录!
