בעקבות פירצות האבטחה האחרונות שבוצעו ע"י האקרים מטורקיה , אציג כאן את שיטת ההאקינג דיוג
דיוג- Phishingהוא ניסיון לגניבת מידע רגיש על ידי התחזות ברשת האינטרנט. המידע עשוי להיות, בין היתר, שמות משתמש וסיסמאות או פרטים פיננסיים. פישינג מתבצע באמצעות התחזות לגורם לגיטימי המעוניין לקבל את המידע. לרוב שולח הגורם המתחזה הודעת מסרים מידיים או דואר אלקטרוני בשם אתר אינטרנט מוכר, בה מתבקש המשתמש ללחוץ על קישור. לאחר לחיצה על הקישור מגיע המשתמש לאתר מזויף בו הוא מתבקש להכניס את הפרטים אותם מבקש המתחזה לגנוב.[המילה פישינג נכתבת באנגלית (Phishing) והיא מושפעת מהמילה Phreaking. כך, מוחלפת האות F באותיות Ph. באופן דומה מזכירה המילה העברית "דיוג" את המילה דַּיִג.
אתרים נפוצים שפעולות פישינג מתבצעות בשמם הם אתרי רשתות חברתיות כגון יו טיוב, פייסבוק ומייספייס, אתרי מכירות פומביות כגון איביי ואתרי בנקים כגון בנק אוף אמריקה.
שיטות דיוגניסיון דיוג מסווה כפניה אמיתית מבנק בארצות הברית. המכתב מכיל את הלוגו של הבנק, אינו כולל פניה אישית ואמור להפחיד את המקבל בתוכנודיוג הוא שיטה של הנדסה חברתית שמטרתה להערים על המשתמש לבצע פעולה המסכנת את המחשב שלו על ידי הטעייה, הפחדה או פיתוח ציפיות. הודעות דיוג נכתבות כך שיראו אמינות, הן עשויות להכיל את סמל הארגון אליו מתחזים, או לפנות באופן ישיר למקבל ההודעה (דיוג כזה נקרא דיוג ממוקד). כתובת השולח עשויה להיות דומה לכתובת ממנה נוהג הארגון לשלוח את הודעותיו בדרך כלל. לעתים נעשה שימוש ביותר מאמצעי תקיפה אחד כך שמחשב פרוץ עשוי להפיץ הודעות דיוג בשמו לכתובות הכלולות בפנקס הכתובות שלו ובכך להגדיל את אמינות ההודעה
דואר זבל אלקטרוני
פעולות דיוג נעשות בדרך כלל בדואר זבל אלקטרוני, כלומר באמצעות פנייה למספר גדול מאוד של נמענים, כך שמבחינתו של השולח, די באחוז קטן מאוד של נופלים בפח כדי להוות הצלחה מבחינתו. הפנייה בהודעות אלה בדרך כלל אינה אישית (למשל: "לקוח יקר"), אך לעתים מתבסס השולח על רשימת שמות שנפלה לידיו, כגון רשימת כל העובדים או הלקוחות בארגון מסוים, ופונה באופן אישי לכל נמען, צעד המגביר את אמינותה של הודעת הדיוג. בנוסף, לעתים מציין השולח כתובות ושמות של חברות, ארגונים ואנשים אמיתיים (שמות וכתובות של משרדי עורכי דין, מספרי חשבון בנק אמיתיים וכו') לצורך הגברת אמינות ההודעה.
בשיטה זו משתמשים המתחזים בקישור המטעה את המשתמש לחשוב שהקישור עליו הוא מקיש והאתר אליו הוא מגיע שייכים לחברה לגיטימית. למשל, הלינק
HTTP://WWW.bank.credit.com עשוי להטעות משתמש לחשוב שהוא נכנס לעמוד האשראי באתר bank.com כאשר למעשה הוא נכנס לעמוד הנקרא bank תחת האתר credit.com. אם העמוד מעוצב כמו דף הכניסה של הבנק, המשתמש עשוי להכניס את פרטיו וכך לאפשר למתחזה לבצע פעולות בשמו.
שיטה נוספת היא יצירת קישור בעל טקסט המטעה את המשתמש. למשל הקישור בנק עשוי להטעות את המשתמש לחשוב שהוא לוחץ על קישור שיוביל אותו לעמוד בנק כאשר למעשה הקישור יוביל אותו לעמוד הונאה.
שיטה ישנה יותר היא שימוש בסימן @ כחלק מקישור. קישור הכולל את הסימן @ מאפשר למשתמש להכניס שם משתמש וסיסמה כחלק מהקישור לאתר הדורש זאת. באתרים בהם לא נדרשים שם משתמש וסיסמה הדפדפן מתעלם מהטקסט המופיע לפני סימן ה-@. כך, הכתובת
HTTP://he.wikipedia.org@en.wikipedia.com נראית כאילו היא מובילה לויקיפדיה העברית כאשר למעשה היא מובילה לויקיפדיה האנגלית.
בדפדפנים מודרניים כתובת המפנה לאתר המכיל @ לא תפתח או שתוצג הודעת אזהרה
לחיצה על קישור עשויה להוביל משתמש לדף מזויף הנראה כמו דף של אתר לגיטימי. כאשר המשתמש מכניס את פרטיו הדף מפנה אותו באופן אוטומטי לאתר האמיתי ומכניס עבורו את הפרטים כך שהמשתמש אינו יודע שמסר את פרטיו לאתר מזויף. שיטות מסוג זה נקראות "אדם באמצע" (Man in the Middle).
שיטות מתוחכמות יותר כוללות את שינוי הכתובת בשורת הכתובת של הדפדפן והצגת תמונה של הכתובת הנכונה או סגירת שורת הכתובת האמיתית והצגת שורת כתובת מזויפת בדפדפן. שיטות XSS מאפשרות לאתר להפעיל תוכנה במחשב הקורבן כך שניתן למעשה לבצע כל פעולה מתוך המחשב בהרשאות המשתמש. שיטה זו קשה מאוד לזיהוי על ידי מי שאינו מומחה. בשנת 2006 נתגלתה פרצה מסוג זה באתר Paypal
מתוך ויקפידיה
וקצת מידע אישי,
בגדול כל אתר בו אתם מזינים כתובת מייל וסיסמא יכול להחשד כאתר מזיק
כלומר , יכול להיות שנתנו לכם לינק לאתר מאסטרקארד ( כך פעלו הטורקים) שהוא בעצם ריק מתוכן
ברגע שתקישו את הפרטים שלכם להרשמה ( יוזר וסיסמא) , האתר "שומר" את הנתונים שלכם לבסיס הנתונים של ההאקר ובעזרתו הוא יכול לעשות שימוש בפרטים שלכם באתרים מתוך הנחה (נכונה) שפרטי ההתחברות שלכם בכל האתרים דומים
התחבר
הרשמה
שאלות נפוצות
חיפוש
