blog.icewolf.ch

Let's talk about IT!
posts - 2247, comments - 295, trackbacks - 0

My Links

Archives

Post Categories

icewolf

Die wichtigsten Begriffe der IT Angriffe

Im Microsoft Sicherheitsnewsletter vom Mai 2008 wurden die wichtigsten Begriffe von Internet Betrügereien und Angriffen kurz und einfach erklärt. Hier die Zusammenfassung:

Spoofing: Generelles Vorgehen zum Erlangen einer "erlaubten" Adresse - und damit eines "Zugangs" - durch Täuschen, Verschleiern oder Manipulieren der "verwendeten" Adresse (DNS, IP, Mail, ARP, DHCP, MAC, etc.) "Prinzip Absender-Tarnkappe"


Phishing: Der Versuch über eine vorgetäuschte URL auf eine authentisch aussehende Webseite zu lenken, um dort an die Kundendaten (bestenfalls Kreditkarten- oder Bank-Daten) eines Benutzers zu gelangen. "Schau mir (genau) in die Augen, Kleiner- URL".


Pharming: "Weiterentwicklung" des Phishing, bei der über manipulierte DNS-Anfragen des Browser - also manipuliert Namensauflösungen von IP-Adressen - gearbeitet wird. SSL-Zertifikate mit extended validation schützen.


Spamming: Massenhafter Versand von E-Mails mit z.B. werblichen oder illegalen Inhalten, die den Empfängern ungewollt und unverlangt (vorzugsweise in betrügerischer Absicht) zugestellt werden. Weltweit über 90% des Mail-Aufkommens. "Botnetze ahoi."


Spear-Phishing (Spearing): Gezielte Phishing-Angriffe, bei denen einzelne, speziell ausgewählte Organisationen adressiert werden - im Gegensatz zum "Gießkannen-Prinzip" des Spammens. "Interessante Unternehmen, interessante Mails..."


Whaling: Personen in entsprechenden Positionen gezielt anschreiben, um sie über schädliche Mail-Anhänge oder den Besuch einer speziell präparierten Website zu infizieren. "Die großen, dicken Fische an den Haken bekommen."


Slamming: Unterschieben von Telekommunikationsverträgen. "Ungewollter Anbieterwechsel."


Skimming: Technische Manipulation von Geldautomaten (z.B. Lese-Aufsatz, ggf. mit Videofunktion) zum Auslesen bzw. Ausspähen von EC- oder Kreditkartendaten incl. PIN-Eingabe. "Augen auf beim Geldkauf."


Dumpster-Diving (Dumpstering): Durchsuchen von Müll und Abfällen eines Opfers in der Hoffnung über diesen Weg an vertrauliche oder nützliche, für einen späteren Angriff verwendbare Daten heranzukommen. Kein Kommentar dazu.


Key-Logging: Hard- oder Software-seitiges Protokollieren (loggen) von Tastatureingaben zwecks Missbrauch. "Wesentlich komfortabler als über die Schulter schauen."


Hyperjacking : Nicht autorisierte Übernahme des Bereitstellungs-
mechanismus (sog. "Hypervisor") virtueller Maschinen. "Kontrollierst Du den Hypervisor, kontrollierst Du ALLES, was auf ihm läuft."


Vishing (Voice / VoIP Phishing): Automatisch generierte, telefonische Anfragen, die zur Angabe von persönliche Daten auffordern. "Herzlichen Glückwunsch, Sie haben gewonnen. Tut-tut-tut"

Grüsse
Andres Bohren

Print | posted on Saturday, May 31, 2008 7:03 AM | Filed Under [ Web Security Windows ]

Powered by:
Powered By Subtext Powered By ASP.NET