현대의 피싱 시도는 잘 실행되고 점점 더 어려워지고 있습니다. 소프트웨어 공급망은 최신 소프트웨어 개발 및 배포의 복잡하고 필수 구성 요소입니다. 일부 해커는 인터넷에서 나오고 모든 연결된 컴퓨터의 도어에서 전자적으로 "노크"하는 "포트 스캔"소프트웨어라고 알려진 것을 사용합니다. 그러나 어떻게 자신을 찾을 것인지 확인할 수 있습니다. 그러나 어떻게 또는 왜 더 많은 것을 찾아야하는지 전혀 모릅니다.
개인화 된 PageRank를 사용하면 특히 상단에서 괜찮은 결과를 얻을 수 있지만, 스팸이 바닐라 호출 락 접근 방식을 사용하여 눈에 띄게 높은 순위를 얻는 스팸을 발견하기 위해 특히 순위에서 스크롤 할 필요는 없습니다. 포경 공격은 높은 수준의 개인화를 통합합니다. 위험 평가는 피싱 공격의 실제 위험에 대해 조직을 보호하는 데 필수적입니다. 이러한 위험을 이해하고 포괄적 인 보안 조치를 구현함으로써 조직은 잠재적 인 위협으로부터 시스템과 데이터를 더 잘 보호 할 수 있습니다.
위협으로부터 보호 : 인프라 보호에는 다양한 위협으로부터 예방, 최소화 및 복구를위한 보안 조치가 포함됩니다. 여기에는 맬웨어 또는 피싱 시도로 알려진 악성 웹 사이트에 대한 액세스를 방지하는 강력한 웹 필터링 모듈이 포함되어 있습니다. 여기에는 비밀번호를 추측하고, 누군가가 정보에 액세스 할 수있는 장치에 맬웨어를 설치하고, 장치를 물리적으로 가져오고, 데이터를 검토하고, 정부에서 회사에 데이터를 위해 법적 요청을함으로써 계정에 침입하는 것이 포함됩니다. 이 구멍은 웹 클라이언트가 제공 한 데이터가 서버 측 스크립트에서 즉시 사용하여 해당 사용자의 결과 페이지를 생성 할 때 나타납니다.
또 다른 주요 단점은 많은 불안한 사이트가 단순히 클라이언트 스크립트없이 작동하지 않으므로 사용자가 해당 사이트의 보호를 비활성화하고 시스템을 위협으로 열어야한다는 것입니다. 1990 년대에 처음 개발되었을 때 HTTPS와 SSL/TLS는 온라인 은행 및 신용 카드를받는 쇼핑 사이트와 같은 특정 종류의 웹 사이트에만 필요하거나 유용한 "특별한"보호로 간주되었습니다. Netcraft는 2006 년 6 월 16 일 PayPal 웹 사이트의 보안 결함을 사기꾼이 적극적으로 활용하여 신용 카드 번호 및 PayPal 사용자에 속하는 기타 개인 정보를 훔치는 것을 발표했습니다.
간단히 말해, 피싱은 해커가 비밀번호, 은행 계좌 세부 정보 또는 신용 카드 번호와 같은 개인 정보를 제공하도록 속이는 온라인 사기 유형입니다. 불행히도 외부 컨텐츠는 여전히 사용자를 속이는 태그로 페이지에로드 할 수 있으며, 몸캠피싱 이는 종종 사용자를 속일 수 있습니다. 2009 년 5 월 4 일 - 사이버 악당 피싱 제도에 대한 최근의보고에 비추어, 나는 모든 사람들에게 사회 공학 공격에 대해 상기시키고 싶습니다. 그리고 사람들이 자신의 개인 정보를 공개하도록 사람들을 속이는 거짓말과 조작 방법에 대해 상기시키고 싶습니다.
예를 들어, Javascript 조각이 URL 요청 매개 변수에 액세스 하고이 정보를 사용하여 자체 페이지에 일부 HTML을 작성 하고이 정보는 HTML 엔티티를 사용하여 인코딩되지 않으면 XSS 홀이 존재할 수 있습니다. 고용주가 일을 시작하기 전에 개인 정보를 요청하거나 지불을 요청하는 경우 조심해야합니다. 지난 10 년 동안 수백만 명의 고객의 카드 데이터가 손상되었습니다.
검증되지 않은 사용자 제공 데이터가 HTML 인코딩없이 결과 페이지에 포함 된 경우 클라이언트 측 코드가 동적 페이지에 주입 될 수 있습니다. 이는 일반적으로 XSS 익스플로잇으로 우회 된 크로스 도메인 제한뿐만 아니라 전체 클라이언트 측 샌드 박스를 우회합니다. 클론 피싱을 감지하기 위해 이메일 필터링 솔루션 및 스캔 기술과 같은 비즈니스에 사용할 수있는 다양한 도구가 있습니다. Hotmail 사이트의 스크립트 필터링 코드는 깨진 HTML과 Internet Explorer의 구문 분석 알고리즘을 제거하지 못했습니다.
유형 0 취약점의 예는 한 번 javascript가 문서화 변수를 통해 현재 URL을 필터링 또는 인코딩없이 페이지에 쓰는 데 Javascript가 사용 된 Bugzilla가 생성 한 오류 페이지에서 찾은 예입니다. 2. Mallory는 Bob의 웹 사이트에 반영된 XSS 취약성이 포함되어 있음을 관찰합니다. 4. Alice는 Bob의 웹 사이트에 로그인 한 동안 Mallory가 제공 한 URL을 방문합니다. 피싱 전자 메일로 인해 심각한 손상이 발생할 수 있지만 좋은 소식은 피싱 공격에 대한 먹이 떨어지는 것을 주문하기 위해 식별 할 수있는 몇 가지 일반적인 적기가 있다는 것입니다.
세 번째 변경 사항은 브라우저가 사이트가 의심 스러울 수 있다고 판단하는 휴리스틱입니다. 브라우저와 웹 기술이 여전히 개발 중이라는 사실 외에도 Javascript가 HTML 구문에 엄격하게 통합 되었기 때문입니다. 다음은 찾아야 할 최악의 것입니다. 방금 좋은 피드백을 받고있는 피싱 시뮬레이션을 시작했으며 여기에서 공유하고 싶었습니다. 피싱이 사이버 공격의 최고 위협 벡터로 남아 있다는 것은 의심의 여지가 없습니다.
대부분의 피싱 공격은 웹 사이트, 실제 메일 또는 전화로 올 수 있지만 이메일 형태로 제공됩니다. 또한 악의적 인 링크를 식별하는 데 도움이되는 링크 스캐너 용 시장에서 사용할 수있는 도구가 있습니다. 모든 "사악한"HTML을 식별하고 제거하거나 인코딩하여 중화하려는 일부 웹 응용 프로그램이 있습니다.
가장 신뢰할 수있는 방법은 웹 애플리케이션이 화이트리스트에 나타나지 않는 HTML, 스트립 태그 및 속성을 구문 분석하고 유효한 HTML을 출력하는 것입니다. 이 취약점에 대한 악용은 html이 포함 된 핫 메일 사용자에게 악의적 인 이메일을 보내는 것으로 구성되었습니다. 현재까지 알려진 XSS 취약점에는 세 가지 유형이 있습니다. 사기꾼들은 진보에 따라 당신을 나란히 유지하고 당근을 그대로 유지할 수있을만큼 똑똑합니다. 그러나 숙련 된 사기꾼은 브랜드의 커뮤니케이션 스타일을 모방하는 데 탁월하여 진정한 담당자 인 것처럼 보일 수 있습니다.