Wykres porównania
| Podstawa do porównania | Wyłudzanie informacji | Spoofing |
|---|---|---|
| Podstawowy | Phishing scammer podszywają się pod wiarygodne organizacje i osoby w celu zdobycia zaufania do swoich celów i kradzieży informacji. | Podszywanie się pod oszusta niekoniecznie próbuje ukraść jakiekolwiek informacje, ale może raczej próbować osiągnąć inne złośliwe cele. |
| Związek | Ataki phishingowe mogą wykorzystywać fałszowanie jako strategię. | Podszywanie się nie musi być wyłudzaniem informacji. |
| Proces | Phishingowi towarzyszy kradzież informacji. | Podszywanie się niekoniecznie wymaga kradzieży informacji. |
| Wykonuje | Wyszukiwanie | Dostawa |
Definicja phishingu
Phishing to forma socjotechniki, w ramach której oszusta próbuje w nieuczciwy sposób pobierać poufne informacje użytkowników, imitując komunikację elektroniczną z zaufanej organizacji w sposób zautomatyzowany.
Na przykład atakujący tworzy swoją własną stronę internetową, która wygląda identycznie z prawdziwą stroną banku. Następnie atakujący wysyła wiadomość e-mail do legalnego klienta banku, aby ją oszukać. Poczta jest rodzajem ostrzeżenia dotyczącego bezpieczeństwa konta i wspomina, że bank chce wydać nowe hasło ze względu na obawy związane z bezpieczeństwem oraz fałszywy link do strony internetowej. Kiedy klient klika adres URL wyświetlony w wiadomości e-mail, w międzyczasie klient zostaje przekierowany na stronę atakującego. Klient jest proszony o podanie poufnych informacji, a klient ewidentnie dzieli się wrażliwymi informacjami, ponieważ nie uznała, że strona jest fałszywa, ponieważ wygląda dokładnie tak samo. Następnie osoba atakująca używa danych swojego konta, aby dokonywać zakupów zgodnie z zachowaniem klienta.
Atak phishingowy obejmuje trzy próby phishingu.
- Po pierwsze, program pocztowy wysyła fałszywe wiadomości e-mail, SMS, VOIP, wiadomości na portalu społecznościowym, aby skierować użytkowników do fałszywej witryny internetowej.
- Następnie tworzona jest fałszywa strona internetowa, która zachęca użytkownika do podania poufnych informacji.
- Na ostatnim etapie informacje poufne są wykorzystywane do osiągnięcia wypłaty.
Istnieją różne rodzaje phishingu, takie jak phishing phishingowy, phishing włóczęgów, phishing telefoniczny itp.
Definicja fałszowania
Podszywanie się jest podobne do wyłudzania informacji, gdy osoba atakująca utożsamia tożsamość legalnego użytkownika i udaje, że jest to inna osoba lub organizacja, która ma złośliwe zamiary, w celu naruszenia bezpieczeństwa systemu lub kradzieży informacji o użytkownikach. Istnieją różne rodzaje ataków polegających na fałszowaniu, takich jak spoofing adresów IP, fałszowanie adresów e-mail, fałszowanie adresów URL, fałszowanie adresów MAC i fałszowanie DNS .
W przeciwieństwie do phishingu atak spoofowania może spowodować uszkodzenie bez kradzieży informacji. Na przykład osoba atakująca A wysyła podrobioną wiadomość e-mail do użytkownika B, korzystając z tożsamości użytkownika C. Użytkownik B dostrzeże, że odebrana wiadomość e-mail pochodzi od użytkownika C i ewidentnie odpowie. Podszywana wiadomość e-mail mogła zostać wysłana w złym celu.
Kluczowe różnice między wyłudzaniem a fałszowaniem
- Spoofing może być częścią phishingu, ale nie jest to dokładnie phishing.
- Podczas phishingu poufne informacje są kradzione przez atakującego. Natomiast podszywanie się niekoniecznie musi towarzyszyć kradzieży informacji.
- Phishing wykonuje oszukańcze odzyskiwanie poufnych informacji prawowitego użytkownika. Odwrotnie, fałszowanie powoduje dostarczenie złośliwego pliku lub wiadomości.
Wniosek
Phishing i Spoofing mają na ogół na celu wykorzystanie bezpieczeństwa lub kradzież poufnych informacji w celu uzyskania korzyści finansowych. Phishingowi zawsze towarzyszy kradzież informacji, podczas gdy w przypadku podszywania się nie jest to konieczne. Spoofing może być częścią phishingu, ale nie jest phishingiem.
