Sosial tanggapan
Salah satu strategi untuk memerangi phishing adalah untuk melatih orang untuk mengenali upaya phishing, dan untuk menangani mereka. Pendidikan bisa efektif, terutama di mana pelatihan memberikan umpan balik langsung. Salah satu taktik yang lebih baru phishing, yang menggunakan phishing e-mail ditargetkan pada perusahaan tertentu, yang dikenal sebagai phishing tombak, telah dimanfaatkan untuk melatih individu di berbagai lokasi, termasuk Amerika Serikat Akademi Militer di West Point, NY. Dalam sebuah percobaan Juni 2004 dengan phishing tombak, 80% dari 500 kadet West Point yang dikirim palsu e-mail dari Robert tidak ada Kolonel Melville di West Point, yang tertipu untuk mengklik link yang konon akan mdmbawa mereka ke halaman di mana mereka akan memasukkan informasi pribadi. (Halaman yang memberitahu mereka bahwa mereka telah terpikat.)
Orang bisa mengambil langkah untuk menghindari upaya phishing dengan sedikit memodifikasi kebiasaan browsing mereka. Ketika dihubungi tentang account yang perlu "diverifikasi" (atau topik lain yang digunakan oleh phisher), itu adalah tindakan pencegahan yang masuk akal untuk menghubungi perusahaan dari mana e-mail tampaknya berasal untuk memeriksa bahwa e-mail yang sah. Atau, alamat bahwa individu tahu adalah situs web asli perusahaan dapat diketik ke dalam address bar browser, daripada mempercayai setiap hyperlink dalam pesan phishing yang dicurigai.
Hampir semua sah e-mail dari perusahaan kepada pelanggan mereka mengandung item dari informasi yang tidak tersedia bagi phisher. Beberapa perusahaan, misalnya PayPal, selalu alamat pelanggan mereka dengan nama pengguna mereka dalam e-mail, jadi jika e-mail alamat penerima secara generik ("pelanggan PayPal yang terhormat") kemungkinan untuk menjadi sebuah upaya phishing. E-mail dari bank dan perusahaan kartu kredit sering termasuk nomor rekening parsial. Namun, penelitian terbaru telah menunjukkan bahwa masyarakat tidak biasanya membedakan antara beberapa digit pertama dan beberapa digit terakhir dari nomor rekening-masalah yang signifikan sejak beberapa digit pertama sering sama untuk semua klien dari lembaga keuangan . Orang dapat dilatih untuk memiliki kecurigaan mereka terangsang jika pesan tidak mengandung informasi pribadi tertentu. Phishing usaha pada awal 2006, bagaimanapun, menggunakan informasi pribadi, yang membuatnya tidak aman untuk mengasumsikan bahwa adanya informasi pribadi sendiri menjamin bahwa pesan adalah sah. Selain itu, studi lain baru-baru ini menyimpulkan di bagian bahwa kehadiran informasi pribadi tidak terlalu mempengaruhi tingkat keberhasilan serangan phishing, yang menunjukkan bahwa kebanyakan orang tidak memperhatikan detail seperti itu.
Kelompok Anti-Phishing Working, sebuah asosiasi industri dan penegakan hukum, telah menyarankan bahwa teknik phishing konvensional dapat menjadi usang di masa depan karena orang-orang semakin sadar akan teknik rekayasa sosial yang digunakan oleh phisher. Mereka memprediksi bahwa penggunaan pharming dan lainnya malware akan menjadi alat yang lebih umum untuk mencuri informasi.
Setiap orang dapat membantu mendidik masyarakat dengan mendorong praktek yang aman, dan dengan menghindari yang berbahaya. Sayangnya, bahkan terkenal pemain diketahui menghasut pengguna untuk perilaku berbahaya, misalnya dengan meminta pengguna untuk mengungkapkan password mereka untuk layanan pihak ketiga, seperti email
Salah satu strategi untuk memerangi phishing adalah untuk melatih orang untuk mengenali upaya phishing, dan untuk menangani mereka. Pendidikan bisa efektif, terutama di mana pelatihan memberikan umpan balik langsung. Salah satu taktik yang lebih baru phishing, yang menggunakan phishing e-mail ditargetkan pada perusahaan tertentu, yang dikenal sebagai phishing tombak, telah dimanfaatkan untuk melatih individu di berbagai lokasi, termasuk Amerika Serikat Akademi Militer di West Point, NY. Dalam sebuah percobaan Juni 2004 dengan phishing tombak, 80% dari 500 kadet West Point yang dikirim palsu e-mail dari Robert tidak ada Kolonel Melville di West Point, yang tertipu untuk mengklik link yang konon akan mdmbawa mereka ke halaman di mana mereka akan memasukkan informasi pribadi. (Halaman yang memberitahu mereka bahwa mereka telah terpikat.)
Orang bisa mengambil langkah untuk menghindari upaya phishing dengan sedikit memodifikasi kebiasaan browsing mereka. Ketika dihubungi tentang account yang perlu "diverifikasi" (atau topik lain yang digunakan oleh phisher), itu adalah tindakan pencegahan yang masuk akal untuk menghubungi perusahaan dari mana e-mail tampaknya berasal untuk memeriksa bahwa e-mail yang sah. Atau, alamat bahwa individu tahu adalah situs web asli perusahaan dapat diketik ke dalam address bar browser, daripada mempercayai setiap hyperlink dalam pesan phishing yang dicurigai.
Hampir semua sah e-mail dari perusahaan kepada pelanggan mereka mengandung item dari informasi yang tidak tersedia bagi phisher. Beberapa perusahaan, misalnya PayPal, selalu alamat pelanggan mereka dengan nama pengguna mereka dalam e-mail, jadi jika e-mail alamat penerima secara generik ("pelanggan PayPal yang terhormat") kemungkinan untuk menjadi sebuah upaya phishing. E-mail dari bank dan perusahaan kartu kredit sering termasuk nomor rekening parsial. Namun, penelitian terbaru telah menunjukkan bahwa masyarakat tidak biasanya membedakan antara beberapa digit pertama dan beberapa digit terakhir dari nomor rekening-masalah yang signifikan sejak beberapa digit pertama sering sama untuk semua klien dari lembaga keuangan . Orang dapat dilatih untuk memiliki kecurigaan mereka terangsang jika pesan tidak mengandung informasi pribadi tertentu. Phishing usaha pada awal 2006, bagaimanapun, menggunakan informasi pribadi, yang membuatnya tidak aman untuk mengasumsikan bahwa adanya informasi pribadi sendiri menjamin bahwa pesan adalah sah. Selain itu, studi lain baru-baru ini menyimpulkan di bagian bahwa kehadiran informasi pribadi tidak terlalu mempengaruhi tingkat keberhasilan serangan phishing, yang menunjukkan bahwa kebanyakan orang tidak memperhatikan detail seperti itu.
Kelompok Anti-Phishing Working, sebuah asosiasi industri dan penegakan hukum, telah menyarankan bahwa teknik phishing konvensional dapat menjadi usang di masa depan karena orang-orang semakin sadar akan teknik rekayasa sosial yang digunakan oleh phisher. Mereka memprediksi bahwa penggunaan pharming dan lainnya malware akan menjadi alat yang lebih umum untuk mencuri informasi.
Setiap orang dapat membantu mendidik masyarakat dengan mendorong praktek yang aman, dan dengan menghindari yang berbahaya. Sayangnya, bahkan terkenal pemain diketahui menghasut pengguna untuk perilaku berbahaya, misalnya dengan meminta pengguna untuk mengungkapkan password mereka untuk layanan pihak ketiga, seperti email
teknis tanggapan
Anti-phishing langkah telah diimplementasikan sebagai fitur yang ditanamkan pada browser, sebagai ekstensi atau toolbar untuk browser, dan sebagai bagian dari prosedur login website. Berikut ini adalah beberapa pendekatan utama untuk masalah ini.
Anti-phishing langkah telah diimplementasikan sebagai fitur yang ditanamkan pada browser, sebagai ekstensi atau toolbar untuk browser, dan sebagai bagian dari prosedur login website. Berikut ini adalah beberapa pendekatan utama untuk masalah ini.
Membantu untuk mengidentifikasi situs web yang sah
Kebanyakan website yang ditargetkan untuk phishing adalah situs aman yang berarti bahwa SSL dengan kriptografi PKI kuat digunakan untuk otentikasi server, di mana URL website digunakan sebagai identifier. Dalam teori itu harus mungkin untuk otentikasi SSL untuk digunakan untuk mengkonfirmasi situs untuk pengguna, dan ini adalah desain persyaratan SSL v2 dan meta browsing aman. Tapi dalam prakteknya, ini mudah trik.
Kelemahan dangkal adalah bahwa keamanan pengguna browser interface (UI) tidak cukup untuk menghadapi ancaman kuat saat ini. Ada tiga bagian untuk mengamankan otentikasi menggunakan TLS dan sertifikat: menunjukkan bahwa sambungan dalam modus dikonfirmasi, menunjukkan situs yang pengguna terhubung ke, dan yang menunjukkan otoritas mengatakan itu adalah situs ini. Ketiganya diperlukan untuk otentikasi, dan perlu dikonfirmasi oleh / kepada pengguna.
http://en.wikipedia.org/wiki/Phishing
Kebanyakan website yang ditargetkan untuk phishing adalah situs aman yang berarti bahwa SSL dengan kriptografi PKI kuat digunakan untuk otentikasi server, di mana URL website digunakan sebagai identifier. Dalam teori itu harus mungkin untuk otentikasi SSL untuk digunakan untuk mengkonfirmasi situs untuk pengguna, dan ini adalah desain persyaratan SSL v2 dan meta browsing aman. Tapi dalam prakteknya, ini mudah trik.
Kelemahan dangkal adalah bahwa keamanan pengguna browser interface (UI) tidak cukup untuk menghadapi ancaman kuat saat ini. Ada tiga bagian untuk mengamankan otentikasi menggunakan TLS dan sertifikat: menunjukkan bahwa sambungan dalam modus dikonfirmasi, menunjukkan situs yang pengguna terhubung ke, dan yang menunjukkan otoritas mengatakan itu adalah situs ini. Ketiganya diperlukan untuk otentikasi, dan perlu dikonfirmasi oleh / kepada pengguna.
http://en.wikipedia.org/wiki/Phishing
