Coordonator: Av. Marius-Cătălin Preduţ

Prima pagină » Articole juridice » Infractiuni Informatice » Phishing-ul

Phishing-ul

  Publicat: 01 Jan 2008       7960 citiri       Sursa: Securizare.ro        Secţiunea: Infractiuni Informatice  


Codul muncii comentat Marius-Catalin Predut
Un nou tip de atac asupra calculatoarelor personale si mai ales asupra corporatiilor este modalitatea de "pescuire" a informatiilor din computer si a informatiilor despre utilizator.

Retea formata din sute de milioane de calculatoare, conectate intre ele, pe principiul \"oricine cu oricine\", pe care se gasesc cateva zeci de mii de servere care asteapta, gata sa deserveasca cereri de la oricare din milioanele de calculatoare client.
Ramura a economiei in cadrul careia se realizeaza circulatia marfurilor de la producator la consumator prin indeplinirea functiei de echilibru dintre oferta si cererea de produse si servicii.
Socoteala scrisa sub forma de balanta cu doua parti (debit si credit) care reflecta valoric si uneori in unitati naturale, in ordine cronologica si sistematica,
Conform art.208 Cod Penal, luarea unui bun mobil din posesia sau detentia altuia, fara consimtamintul acestuia, in scopul de a si-l insusi pe nedrept, se pedepseste cu inchisoare de la unu la 12 ani.
1. Persoana fizica sau juridica ce sufera un prejudiciu sau o vatamare a drepturilor sale prin fapta ilicita a unei alte persoane si care este indreptatita sa
Asemanare intre doua sau mai multe notiuni, situatii, fenomene etc.
Conform art.208 Cod Penal, luarea unui bun mobil din posesia sau detentia altuia, fara consimtamintul acestuia, in scopul de a si-l insusi pe nedrept, se pedepseste cu inchisoare de la unu la 12 ani.
Cauza care inlatura caracterul penal al faptei, prevazuta in cap. V, t. II, art. 51, C. pen., partea generala,
1. Interzicere prevazute de lege cu privire la savarsirea unor fapte, incheierea unor acte ori desfasurarea unei activitati.
Mijloc juridic procesual pus la dispozitia partii interesate, procurorului etc.,
(lat. fraus, fraudis). Inducere in eroare, inselaciune, act de rea-credinta savarsit sprea a realiza un profit material prin atingere adusa drepturilor altei persoane
Cauza care inlatura caracterul penal al faptei, prevazuta in cap. V, t. II, art. 51, C. pen., partea generala,
1. Indicatie pe scrisori, colete, etc., ce contine numele si domiciliul destinatarului.
Rezultat al masurilor de protectie a muncii si al acelor masuri care urmaresc asigurarea confortului fizic, psihic si social al omului in procesul muncii.
Ramura a economiei in cadrul careia se realizeaza circulatia marfurilor de la producator la consumator prin indeplinirea functiei de echilibru dintre oferta si cererea de produse si servicii.
Stirea, comunicarea de noutate, plus de cunostinte despre un obiect, o persoana sau un fenomen, prin care receptorul isi inlatura o stare de incertitudine.
Modalitate a actului juridic, obligatie, care consta intr-un eveniment viitor si sigur, care suspenda, pana la indeplinirea lui, punerea in executare a actului sau exigibilitatea obligatiei, termen suspensiv,
Act oficial prin care se confirma (de catre anumite organe de stat)
Persoana fizica sau juridica ce trimite scrisori, pachete, bani, produse, marfuri etc.
Procedura juridica prin care un act sau un inscris este recunoscut in mod legal de catre o autoritate notariala.
Procedura juridica prin care un act sau un inscris este recunoscut in mod legal de catre o autoritate notariala.
(lat. fraus, fraudis). Inducere in eroare, inselaciune, act de rea-credinta savarsit sprea a realiza un profit material prin atingere adusa drepturilor altei persoane
Socoteala scrisa sub forma de balanta cu doua parti (debit si credit) care reflecta valoric si uneori in unitati naturale, in ordine cronologica si sistematica,
Rezultat al masurilor de protectie a muncii si al acelor masuri care urmaresc asigurarea confortului fizic, psihic si social al omului in procesul muncii.
Termenul de "phishing" l-ati auzit, poate, de multe ori, insa stiti cu adevarat ce inseamna? Este intr-adevar periculos sau este doar o alarma falsa? Cert este ca hackerii nu dorm. Oricat de mult ne-am lua masuri, ei descopera noi metode de a patrunde prin zidul de securitate dintre computer sau retea si Internet. Insa aceasta nu inseamna ca nu ne putem proteja de aceste noi metode de scotocire prin documente. Fenomenul este mai putin cunoscut in Romania, dar suntem la fel de expusi, ba chiar mai expusi decat utilizatorii din alte parti ale lumii. De aceea trebuie sa intelegem cu adevarat ce este si cum functioneaza metoda de fraudare numita PHISHING.

Pesti si pescari

"Pescarii" utilizeaza e-mail-urile de tip spam pentru a-si directiona victimele catre site-uri web create de catre hackeri, site-uri care la prima vedere par a fi de incredere. Cele mai vizate site-uri sunt cele de comert electronic. Cati dintre dumnevoastra nu ati primit un mesaj urgent de la un "pescar" travestit intr-un reprezentant de incredere al site-ului unei companii de e-commerce recunoscuta, incercand astfel sa captureze de la dumneavoastra informatii personale sub un anume pretext. "Anti-Phishing Working Group" apreciaza ca aproape cinci procente dintre destinatarii e-mail-urilor provenite de la "pescari" raspund acestora, intrand astfel in hora. Procentul este mult mai mare daca tinem cont ca la e-mail-urile de tip spam raspund numai unu la suta dintre destinatari.

"Pescarii" si-au dezvoltat metodele si tehnicile de "pescuire", utilizand coduri malitioase ascunse in fisiere foto sau in aplicatii Web, aplicatii care instaleaza diverse aplicatii fantoma, care sunt activate imediat ce e-mail-ul respectiv este deschis si care acceseaza pagini Web care par inofensive la prima vedere, dar care in realitate iti "aplica o lovitura" cand tu esti fara aparare. Care ar putea fi efectele acestor manevre? Destul de simplu. Ei pot anihila eforturile celor care promoveaza comertul electronic, avand impact asupra utilizarii serviciilor online.

Este de asteptat ca in cursul acestui an numarul celor afectati de noua metoda de atac sa fie din ce in ce mai mare. Expertii in securitate apreciaza ca nu va exista companie care sa nu fie atacata in acest mod. Din acest motiv, multe
dintre companii au apelat la servicii de monitorizare zilnica a retelei proprii, astfel incat sa fie alertati in timp util in legatura cu atacurile care-i implica.

Deoarece phishing-ul este o metoda de furt de identitate, este de asteptat ca astfel de atacuri sa fie orientate catre centrele de date si in special catre companiile mari. Dar asta nu inseamna ca utilizatorul obisnuit este lasat in pace. Pentru hackeri orice victima este pretioasa; orice identitate este valoroasa. Informatiile obtinute din aceasta sursa sunt folosite cu succes pentru fundamentarea altor scheme de atac asupra respectivei entitati. De exemplu, trimitand un e-mail de tip spam unei liste de clienti despre care se cunoaste ca utilizeaza acelasi serviciu bancar este mult mai eficient pentru "pescari" decat sa aleaga persoanele la intamplare. Prin analogie cu viata reala, pentru a pescui ai nevoie de un carlig. Daca pescarul a reusit sa obtina informatii despre un utilizator nu-i ramane decat sa se foloseasca de aceste informatii. Astfel hotul patrunde in interiorul bazei de date travestit ca utilizator, poate accesa toate resursele retelei si va genera milioane de cazuri de furt de identitate. Deoarece sunt foarte eficiente, metodele de "pescuire" devin din ce in ce mai sofisticate si mai des utilizate, ceea ce determina o crestere masiva a celor indusi in eroare. In consecinta, "sezonul de pescuit" este oficial deschis, dar asta nu inseamna ca nu exista prohibitie. Vestea buna este ca cele mai multe dintre masurile software de securitate, adoptate pentru protectia antivirus pot proteja compania si impotriva acestor intrusi.

Asemenea virusilor, aceasta modalitate de atac a fost lansata de hackerii doritori sa se strecoare nevazuti in oricare computer aparut in cale . La inceput ti se pare ca nu s-a intamplat nimic, dar dintr-o data vei observa ca lucrurile merg din ce in ce mai prost. Aceasta metoda se dovedeste foarte eficienta in frauda bancara, sistemele slab protejate fiind vulnerabile in fata unui "jaf" de proportii. Atacatorii folosesc anunturi si spam-uri pentru a instala un virus de tip troian care captureaza parolele si celelalte detalii bancare. Metoda este practicata cu precadere pentru transferarea fondurilor ilegale in diverse retele bancare - o noua metoda de spalare a banilor.

Motivele pentru care exista foarte multe persoane care cad in plasa "pescarilor" sunt multiple. Cei indusi in eroare au si ei deficientele lor, nu numai de securitate a calculatoarelor, ci mai ales de limba. Mesajele sunt scrise in engleza de cele mai multe ori, iar intelegerea aproximativa a textului poate duce la considerarea lor ca mesaje reale. Cel mai recent mod de operare al pescarilor este acela de a lansa prin e-mail un cod capabil sa modifice modul si adresa de accesare a paginilor Web, astfel incat in momentul in care accesezi Internetul esti redirectionat automat catre o pagina de web falsa.

Aceasta metoda poate afecta orice afacere sau companie care are o componenta online. Phishing-ul poate afecta, de asemenea, securitatea retelei. De exemplu, daca intr-o companie utilizatorilor le este permis sa-si aleaga singuri "user name"-ul si parola, acestea ar trebui sa isi revizuiasca politica de securitate . Cand un pescar afla, de exemplu, ca Popescu Ion este utilizator al unui site de comert electronic si acesta se autentifica cu username "pion" si parola "superman", ei vor folosi aceasta informatie pentru a se autentifica in locul acestuia pentru a afla mai multe informatii despre el. Astfel, vor afla la ce companie lucreaza si daca aceasta este de interes, vor incerca sa acceseze reteaua respectivei companii utilizand acelasi user name si parola. Astfel, din aproape in aproape, "pescarii" vor incerca sa afle user name-ul si parola administratorului de retea. Astfel, o data autentificati in retea cu entitatea Popescu Ion, vor incerca sa afle informatii despre alti utilizatori ai acelei retele pana cand reusesc sa prinda "pestele cel mare".

Cum ne aparam?

Una dintre metodele de combatere a phishing-ului este, dupa parerea expertilor, educarea utilizatorilor. Dar practic aceasta are stransa legatura cu notiunea pe care o au utilizatorii despre utilitatea e-mail-urilor necunoscute primite. Utilizatorii interni sunt veriga cea mai slaba din lantul de securitate a retelei. Totusi, foarte multi au invatat ca nu trebuie sa deschida e-mail-urile venite de la adrese necunoscute sau cele cu titluri ciudate, precum si cele cu content dubios. Opinia generala este ca ar fi suficient sa avertizezi in legatura cu existenta phishing-ului si a efectelor acestuia. Pe termen lung companiile trebuie sa ajunga la o intelegere in a utiliza o modalitate de legitimare unanima acceptata pentru autentificarea e-mail-urilor. Un certificat de expeditor de incredere poate functiona cu S/MIME, o aplicatie suportata de cele mai multe dintre aplicatii de e-mail. Cel mai util ar fi ca fiecare e-mail sa contina o semnatura digitala a celui care l-a trimis, iar aceasta semnatura sa fie un standard de autentificare. Ce ati putea face pentru a inlatura astfel de pericole? O idee este aceea de a diversifica detaliile necesare pentru autentificare.

Concluzie

Intr-o lume a virusilor, a spam-urilor, troienilor, software-uri spyware si a altor metode de frauda informatica totul depinde de noi. Fiecare dintre utilizatori trebuie sa stie sa separe "binele de rau", sa nu acceseze e-mail-urile dubioase, sa nu acceseze adrese web suspecte, sa isi actualizeze sistemele de operare si software-urile antivirus. Insa daca tinem cont de toate acestea, nu inseamna ca vom fi protejati in totalitate. Dar in cazul unui "atac" nu vom fi gasiti cu "garda jos". Dupa cum s-a vazut, hackerii gasesc intotdeauna metode de ocolire a sistemelor de siguranta, precum si noi metode de fraudare, iar fishing-ul este una dintre ele. Insa si aceasta a fost contracarata de expertii in securitate . Dar cat va dura pana cand cei rau intentionati vor gasi o noua metoda de a patrunde in sistemele informatice?



Citeşte mai multe despre:   



Comentează: Phishing-ul
Jurisprudenţă

CCR. Neconstitutionalitatea art. 453 alin. (3) si (4) CPP ref. la posibilitatea revizuirii hotararii de achitare
Pronuntaţă de: Curtea Constitutionala a Romaniei

Hotararea in Cauza Serban impotriva Romaniei din 5 iulie 2016
Pronuntaţă de: CEDO

Decizia ICCJ 5/2017. Medicul sef de sectie din cadrul unui spital public are calitatea de functionar public in sensul legii penale
Pronuntaţă de: Inalta Curte de Casatie si Justitie



Ştiri Juridice

Avocatul Marius Coltuc cercetat penal pentru fals si favorizarea infractorului
13 Aug 2017 | 356

Legislaţie

LEGEA nr. 17/2017 privind aprobarea Ordonantei de urgenta a Guvernului nr. 1/2016 pentru modificarea Legii nr. 134/2010 privind Codul de procedura civ
LEGEA nr. 17 din 17 martie 2017 privind aprobarea Ordonantei de urgenta a Guvernului nr. 1/2016 pent ...

OUG 55/2017, privind indemnizatia lunara pentru cresterea copiilor
OUG nr. 55/2017 - modificarea si completarea OUG nr. 111/2010 privind concediul si indemnizatia luna ...

OUG 53/2017, privind modificarea si completarea Codului muncii
OUG nr. 53/2017 - modificarea si completarea Legii nr. 53/2003 Codul muncii Publicata in Monito ...