Sumário

O fraud do Internet deve ser dirigido como duas edições específicas: fraud que usa a tecnologia do Internet como uma parte integral do fraud; o fraud que está ocorrendo já por outros meios e pelo Internet é um meramente outro método da entrega.

Os métodos existem que os fraudsters do batente que empregam mal a tecnologia, que pode ràpidamente ser executada, mas os fatores tais como a aceitação da indústria e a responsabilidade potencial excedente dos interesses se as reivindicações precedentes da segurança poderiam ser reivindicadas ser inaccurate vontade atrasam a introdução. Muito esforço é gastado que promove logos e self-regulation desconcertante, e tentando travar fraudsters, whilst o adoption de padrões formais e o accreditation para a segurança (tal como ISO 17799) estão começando somente ocorrer.

Os crimes novos do ambiente do Internet podem existir, como máquinas defraudando ou causar o dano do negócio pela negação de ataques do serviço ou do vírus, e estes requererão as etapas sociais e legais para dirigir-se lhes. Entretanto, o Internet forneceu o fraudster com o acesso a um mercado significativamente mais grande do que sempre antes que e o esforço estivesse requerido criar um ambiente onde o fraud fosse resistido pelo projeto melhor que pelo seguro.

Introdução

O fraud do Internet é dito ser negócio grande. Mas o que é ele, e faz usando o Internet críam o fraud, ou é o Internet apenas uma maneira diferente de entregar o fraud tradicional do `'.

O Fraud está persuadindo essencialmente alguém de algo com intenção iludir-se, talvez com intenção criminal. O deceit pode ser persuadi-lo parte com dinheiro, bens, serviços, direitas ou informação.

Para as finalidades deste papel nós não estamos indo examinar métodos do fraud, mas olhamos as técnicas gerais, como são aplicados, e como, se em tudo, o Internet puder ser usado fazer aquelas técnicas mais fáceis para o criminoso de se usar realizar um fraud ou escapar da deteção.

Técnicas gerais do fraud

A chave ao fraud é persuadi-lo que algo é real, quando no fato não está. Uma vez que você aceita que a falsificação é real então o fraud pode ocorrer - o que quer que é. Se você está comprando a torre de Eiffel em Paris ou a ponte da porta dourada em San Francisco (ambos são reais e foram vistos por milhões dos povos - e foram regularmente `vendido') a essência devem acreditar a proposta que lhe é posta.

Outros tipos de fraud persuadem-no essencialmente fazer algo na opinião (errada) que deve ser feita, ou aceitar algo no estabelecimento que prova ser sem o valor que você foi conduzido acreditar. Mas todos voltam à mesma coisa - o fraudster tem que persuadi-lo que sua visão do mundo é correta.

Como nós opomos normalmente o fraud

Na vida ordinária há muitas coisas ajustadas até a ajuda evita o fraud. Na maior parte nós confiamos em coisas físicas - edifícios (tais como bancos) ajudar nos provar que nós estamos tratando do algo real - que falamos aos povos no telefone em um número que esteja em um diretório nos ajude acreditar que são quem nós esperamos. Em um nível mais sofisticado, os negócios têm que ser registados e os diretores nomeiam e dirigem-se ao público feito. Há também umas agências com um dever a responder ao excesso das queixas as práticas negociando dos negócios.

Como faz o mapa do Internet ao mundo real

O Internet é rather diferente. O problema o mais grande para o usuário do Internet é que não há nenhuma referência física ao uso. Você não pode ir a uma livraria física em www.amazon.com. Você tem que acreditar o que o computador lhe diz, e aquele é o começo dos problemas.

Nós temos muitos exemplos práticos onde os povos começam o erro físico do mundo - põem seus cartões de banco em ATMs falsificado e entram em seus pinos, dizem seus amigos e crianças suas senhas (às vezes no público), eles assinam até o `começam' negócios rápidos ricos com povos que não conhecem - são assim como bem nós punho dos jogos até o mundo do Internet, de onde Web site são exatamente tão bons justo como seu desenhador pretendeu?

A resposta prática é justa mal. O Internet é introduzído no mercado como uma zona anonymous. A informação está livre e os usuários são anonymous. Agora algumas daquelas características são desejáveis. Quando você entra em uma loja é a loja que tem que o dizer que são. Se você pagar com dinheiro que nunca saberão quem você é e nenhumas de suas direitas legais são afetadas. Dão-lhe um recibo e você pode verificar alguns dos detalhes e começar correções feitas no ponto. Se você quiser o crédito você tem que dizer-lhes mais sobre você, mas não necessariamente muito muito.

O Internet, pela comparação, é anonymous se você é o seller ou o cliente. Para o seller é tão anonymous como querem o fazer. Isto, naturalmente, pôde ser pensado de como atrativa a um fraudster.

Evitando frauds óbvios no Internet

Algumas fontes potenciais do fraud - deturpando um negócio como aquele de alguma outra pessoa - estão sendo tratadas lentamente de. O registo do Domain Name alcançou quase o ponto onde há alguma certeza que www.harrods.com é a versão da correia fotorreceptora de uma loja de departamento famosa em Knightsbridge, Londres. Mas é ainda muito longe inteiramente de ser resolvido. É ainda possível registar www.harrodds.com, www.harrodss.com. Você pode copí a coisa real sem demasiada dificuldade, e com um pouco de sorte e alguma soletração confunde um fraudster pode ainda estar no negócio.

Mas este tipo de fraud poderia ser evitado legislating para trazer a Web site o registo conhecido na linha com réguas do registo da companhia, de onde os nomes similares e a “passagem fora “são tratados já de. Os métodos para obter os nomes do Web site que são primeiramente para o comércio do `' poderiam também ser dirigidos para assegurar-se de que pudessem somente ser obtidos por negócios registados, e que a ligação entre o Domain Name e o negócio registado é uma matéria do registro público.

Alguns frauds mais menos óbvios

O Internet usa uma tecnologia chamada TCP/IP a fim emitir uma informação entre um ponto no Internet e outro. Não foi projetado infelizmente ser seguro, ele foi projetado ser resilient. Em conseqüência é possível ler a informação que viaja em torno do Internet, e alterá-la também. Conseqüentemente, é possível ambos para ler a informação que não é protegida e a informação da cópia que foi protegida usando o cryptography, (uma técnica que fizesse a informação ilegível ao desautorizado) e à mudança a informação desprotegida sem ser detectado.

O efeito deste é criar uma situação onde o fraud possa ser realizado mesmo quando uma transação genuína está ocorrendo. O Fraud pôde incluir pôr nomes do outro receptor sobre a lista de distribuição para fazê-lo acreditá-los é envolvido também ou no acordo com o o que está indo sobre. (Isto pode acontecer no mundo físico - processando tempos múltiplos de uma transação do cartão de crédito no papel e forjando a assinatura da conta válida.)

O fraud é subtle porque é impossível para um ou outro partido detectar. É eficaz porque o fraudster pode ter recolhido a informação que permite que impersonate completamente ambos os partidos no futuro.

Soluções para problemas técnicos

Estes frauds requerem uma manipulação das tecnologias do Internet, e assim que podem ser resistidos pela tecnologia. Entretanto, a tecnologia que está sendo introduzída no mercado para resolver este problema fixa os soquetes mergulha (SSL), na maneira em que é executado, tem fraquezas fundamentais, e foi mostrado geralmente para ser capaz de ser defraudado. Muitos outros esquemas, baseados em códigos de prática e de logos mostrados em Web site, embora digno nse, são ingualmente capazes de ser defraudado. Parece estranho que algum que anuncia parece sugerir que tecnologia do encryption que usa um algoritmo de 40 bocados é perfeitamente seguro para o comércio, whilst também dizendo que 128 algoritmos do bocado são essenciais.

As tecnologias alternativas tais como aquelas de ArticSoft estão sendo entregadas agora que permitem a extremidade - usuários para ganhar o validation imediato do índice do Web site próprio. Requerem o software estar atual nas máquinas da extremidade - usuários a agir em nome do usuário para realizar verificações que o usuário pode ser impedido se fazendo por fraudsters competentes.

Requerem também procedimentos competentes do registo para comerciantes do Internet fazê-la mais difícil para que um fraudster incorpore o sistema e finja-o ser genuína. Tais procedimentos do registo são reivindicados estar no lugar para o SSL.

Um dos desenvolvimentos internacionais os mais importantes para definir o comportamento da segurança foi o adoption do código do ISO 17799 do padrão de prática internacional para a gerência da segurança da informação. É um padrão detalhado da gerência para dirigir-se à escala cheia das edições para a informação protegendo. O adoption e a aplicação Sensible do padrão podiam fornecer benefícios significativos ao negócio e aos consumidores. Self - os esquemas regulamentares fariam bem para considerar adotá-lo como meios de fornecer um frame comum da referência para reivindicações da segurança e da privacidade.

Soluções para ajudar à compreensão do usuário

Projeto do Web site

As aproximações básicas a desenvolver e a projetar o Internet muitos Web site são baseadas na facilidade da execução para o Web site consistente com a forma atual do `' para a aparência e executar a tecnologia a mais atrasada. A experiência da segurança do usuário é pela maior parte de transições unexplained aos endereços do Web site que não se relacionam a onde começaram. Que contradicts a experiência real do mundo do usuário e realmente promove o potencial do fraud forçando o usuário a aceita a inconsistência ou ignora-a. Ambas as posições significam que o fraudster pode introduzir sua versão da realidade sem deteção pronta.

O movimento a adicionar as janelas pop-up unexplained, as unexplained outras janelas, informação movente e outras características similares têm que ser contrastados com a confusão do usuário do local ele ou está tratando de e o potencial do fraud que traz. Também a introdução de monitorar o software e programas similares pode somente aumentar o nível do mistrust que fundamental o usuário tem no Internet. De um ponto doméstico do usuário da vista isto é pouco brevemente de cortar. Assim como você conhece os guys bons do bad?

Re-making a presença de locais inteiros de noite contradicts o mundo físico onde a mudança tem que ser anunciada e é muito evolucionário. Acontece no tempo lento onde os clientes regulares constroem acima da aceitação e da experiência. Tentar educar usuários para viver com mudança rápida está criando a mudança cultural em Japão onde as taxas do take-up do produto novo se estão reduzindo ràpidamente.

Apresentação da segurança

A informação da segurança necessita ser proactive e tangible. As soluções da segurança que confiam em logos de estática ou que requerem o usuário executar ações específicas e realizar então verificações manuais do seus próprios são danificadas. As verificações físicas do mundo não trabalham que a maneira assim lá não é nenhuma transferência da experiência ao Internet.

A informação da segurança vai distante além de fazer reivindicações sobre' a tecnologia do SSL de 40 bocados'. No mundo físico você sabe onde a loja está e não pode se mover ràpidamente. A posição de um local de Internet é mais menos do que desobstruída. A informação Provable é needed mostrar o endereço negociando do negócio, da informação real do contato, da lei governando e de uma ligação eficaz daquela a toda a transação que está sendo empreendida.

A informação da segurança deve ser considerada quando as transações não terminam apenas tanto quanto quando sucedem. No mundo físico o usuário pode ver quando uma transação não terminou, mas o Internet falta essa experiência visual. Os formulários que restauram sem explanação, ou falha para as razões que não são explicadas inteiramente nelas, contribuem à inabilidade de um usuário detectar ocorrer do fraud. Tais técnicas são usadas geralmente por fraudsters ganhar a informação.

Faz os usuários da ajuda da lei

Os esforços consideráveis estão sendo feitos por agências do enforcement de lei impedir o fraud (alguns muitos outros erros criminal ou civis) que usa o Internet e prosecute wherever possível. A proteção dos dados, se stemming o diretivo europeu, das direitas humanas, do Portability e do Accountability da informação da saúde dos E.U. agem (HIPAA), parece ter apreciado menos ação visível, embora essa informação seja needed além à informação do cartão de crédito a fim cometer frauds do Internet tais como o roubo da identidade.

O problema as caras da lei é criado pela natureza non-nacional do Internet, e pela natureza nacional da lei. Mesmo se houver umas ofensas apropriadas, poder proseguir com sucesso é difícil, e para o consumidor ordinário que daunting rather. Para o consumidor, produzir a evidência disponível por muito tempo depois que um fraud foi detectado é também problematic. A situação é confundida mais mais pelo desejo da indústria válida coletar tanta informação do consumidor como possível - algo que o fraudster quer também, mas para razões diferentes.

Se também tem que ter cuidado que a lei não é usada em vez da ação da indústria. Fazer a algo uma ofensa não significa que nada necessita ser feito. O ato recente do Millennium dos E.U. Digital é percebido por algum como impedir expo de mecanismos inadequados da segurança. Dado que o usuário é realmente esse expôs por inadequacies da segurança, consideração cuidadosa necessita ser reação entregada do usuário a tal situação.

Conclusões

O fraud do Internet tem-lhe duas costas distintas.

Um resulta das diferenças entre fazer o negócio no mundo físico e dematerialized o mundo do Internet. Esta abertura accentuated pelo mundo do `do Internet' ao ponto onde o usuário não tem nenhum ponto de referência convencional. Isto sae do mal do usuário colocado para fazer julgamentos adequados do tipo, não meramente sobre a segurança e a possibilidade de fraud.

Os outros resultados dos inadequacies técnicos no infrastructure usado pelos fornecedores de serviço. A falta do regulamento desobstruído permitiu as práticas do registo tornar-se que não são aceitáveis seja là onde for para fazer o negócio. Os mecanismos previamente disponíveis da segurança foram executados nas maneiras que não protegem o usuário e que requerem, se seguidas, o esforço unreasonable do usuário e a instrução significativa do usuário.

Os mecanismos tais como a lei podem fornecem algum auxílio, mas cuidado necessita ser tomado que a lei não está usada como uma desculpa para práticas de negócio inadequadas. Seria sensible assegurar-se de que um dever do cuidado para executar a mais melhor prática estivesse incluído na legislação para expo alguns que não se protegeram, seus accionistas ou seus clientes. Self - o regulamento é uma outra aproximação essencial, mas deve evitar de transformar-se todo o self e nenhum regulamento se for carregar a convicção real a uma comunidade de usuário suspicious, e suas práticas devem ser desobstruídas, óbvias e compreensíveis ao homem ordinário. O mundo de papel tem feito já este assim que a roda que re-inventing não é requerida.

A introdução de tecnologias novas coloca responsabilidades em cima de seus implementers. Os colaboradores têm uma responsabilidade começá-la tècnica direita. Os implementers têm uma responsabilidade tratar de suas dimensões sociais e cultural, e não podem estar para trás e ignorar estes. O projeto profissional do Web site carrega bastante mais responsabilidade do que meramente classificando para fora as palavras chaves, os termos da busca e um mapa de local.

Referências:
  •  A correia fotorreceptora que spoofing permite que um atacante críe da “uma cópia sombra” do local inteiro. www.cs.princeton.edu/sip/pub/spoofing.html
  •  Spoofing a correia fotorreceptora inteira. www.bau2.uibk.ac.at/matic/spoofing.htm
  •  Que a correia fotorreceptora spoofing? www.nmrc.org/faqs/hackfaq/hackfaq-9.html
  •  Demonstração de Spoofing da correia fotorreceptora do laboratório de Dartmouth PKI - www.cs.dartmouth.edu/~pkilab/demos/spoofing/index.shtml
  •  Alguma correia fotorreceptora que spoofing pode ser visível, assim que é útil manter estas pontas na mente: www.washington.edu/computing/windows/issue22/spoofing.html
  •  Navegador e Microsoft Internet Explorer. A correia fotorreceptora que spoofing permite que um atacante críe da “uma cópia sombra” do World Wide Web inteiro. Acessos à correia fotorreceptora www.secinf.net/info/www/security16.txt da sombra
  •  O ato de copyright do Millennium de Digital (DMCA). O DMCA está sendo usado silenciar investigadores, cientistas de computador e críticos. www.anti-dmca.org
  •  As provisões no capítulo 12 do ato de copyright dos E.U., decretado no ato de copyright do Millennium de Digital (“DMCA”) devem repealed ou golpeado para baixo como unconstitutional - www.petitiononline.com/nixdmca/petition.html
  •  O lawsuit de New York parece ser o primeiro para usar o ato de copyright do Millennium de Digital (DMCA) tentar restringir um programa de computador - www.wired.com/news/politics
  •  O Authentication quem é local é ele realmente? por ArticSoft www.articsoft.com/wp_authentication.htm
  •  A cara em mudança da segurança da correia fotorreceptora por ArticSoft www.articsoft.com/wp_changingface.htm
  •  Fraud do cartão de crédito, ligação ao Home Page do alto dez. O Bait: Surf o Internet e ver imagens www.ftc.gov/bcp/conline/edcams/dotcon/credit.htm do adulto
  •  O fraud do cartão de crédito bateu 1 em 20 usuários. E o roubo da identidade bateu 1 em 50 durante o ano passado, mostras do estudo. Por Bob Sullivan MSNBC. www.msnbc.com/news/718115.asp
  •  Ao redor 900.000 vítimas através de 22 países. O fraud o mais grande do cartão de crédito sempre. As transações Fraudulent do cartão de crédito geraram usando o comerciante do Web site do adulto. www.faughnan.com/ccfraud.html
  •  5.2 por cento dos respondents dizendo que tinham sido victimized pelo fraud do cartão de crédito em 2001 -- e 1.9 por cento disseram que tinham sido victimized pelo roubo www.cnn.com/2002/TECH/internet/03/04/fraud.online.survey/ da identidade
  •  2000) referências do ISO 17799 (podem ser encontradas em www.bsi-global.com e em www.xisec.com m

Article Source: http://www.articleset.com