ممکن است بابت این قضیه کمی نگران شده باشید، اما در صورتی که حواستان را جمع کنید و چند دستور العمل ساده را که در ادمه به ان می پردازیم رعایت کنید، هرگز دچار این نوع از حملات نمی شوید. بنابر این همراه ما باشید و تا انتها این مقاله را مطالعه کنید.
فیشینگ یکی از انواع حملات سایبری (هک) می باشد که روشی از مهندسی اجتماعی به شمار می اید. شخص هکر در این حملات قصد برداشت نام کاربری ، رمز عبور ، اطلاعات حساب کاربری، شماره کارت و از این قبیل موارد را داد. در حملاتی که به صورت مهندسی اجتماعی انجام می شود ، هکر وانمود می کند که از یک سازمان مورد اعتماد از شما درخواست اطلاعات دارد. در واقع هکر یا در اصطلاح فیشر قصد فریب شما را دارد.
فیشینگ نام های دیگری مانند رمز گیری یا تله گذاری نیز دارد. در حمله فیشینگ مناسب ترین بستر برای دریافت اطلاعات توسط هکر ، شبکه های اجتماعی و درگاه های پرداخت آنلاین می باشند.
در این نوع از هک ایمیل یا پیامی به شخص قربانی ارسال می شود که حاوی یک لینک یا بدافزار می باشد. فرد قربانی با کلیک بر روی لینک یا نصب بدافزار این امکان را به هکر می دهد تا حریم خصوصی قربانی را در اختیار بگیرد.
فیشینگ برای اولین بار در سال 1987 معرفی شد اما در سال 1995 میلادی مورد استفاده قرار گرفت. در واقع کلمه فیشینگ از عبارت password harvesting fishing گرفته شده است که معنی این عبارت : شکار رمز کاربر از طریق یک طعمی می باشد.
اولین شکایت از یک فیشر در سال 2004 علیه یک نوجوان کالیفرنیایی انجام شد. این فیشر سایت American online را جعل کرده بود و توانسته بود اطلاعات کاربران این سایت را به سرقت ببرد.
بنیان گذاران این روش نفوز در ایران فرشید امیر شقاقی و مانی رضوانی می باشند.
درواقع این افراد که به صورت غیرقانونی عملی می کنند ، ابتدا یک سایت که از لحاظ امنیت ضعیف می باشد را هک کرده و یک درگاه پرداختی مانند پی پال و ای پی طراحی می کنند.
فیشر ها ممکن است خودشان سایت نیز راه اندازی کنند و درگاه تقلبی خود را طراحی کنند و از طریق ایمیل یا شبکه های اجتماعی شخص قربانی را به صفحه پرداخت هدایت کنند.
معمولا ترفند فیشر ها در این نوع از فیشینگ ، راه اندازی سایت هایی با نام شبیه به سایت معروف است.برای مثال دامنه arnazon که شباهت زیادی با amazon دارد.
این درگاه های جعلی شباهت بسیاری با درگاه اصلی دارند به گونه ای که نمی توان از طریق ظاهر آن ها را از هم تشخیص داد. به همین دلیل قربانیان زیادی در این روش نفوز مورد حمله قرار گرفته اند.
هنگامی که شخص قربانی قصد خرید از درگاه پرداخت آنلاین را دارد ، می بایست فیلد های شماره کارت ، تاریخ اعتبار ، رمز دوم و cvv2 را تکمیل کنند. با تکمیل این فیلد ها ، شخص نفوز گر اطلاعات مورد نیاز را برداشته و اقدام به سرقت پول های قربانی می کند.
شخص قربانی پس از اینکه مورد حلمه قرار گرفت می تواند این نتایج را تجربه کند:
•کلاهبرداری و اشکار کردن اطلاعات فرد قربانی
•سرقت از حساب بانکی
•خرید های غیر مجاز از کارت اعتباری
در این مورد نمی توان به قطعیت گفت فیشر به شماره کارت و رمز آن نیاز دارد. ممکن است او رمز حساب کاربری شما در یک سایت را تارگت قرار داده باشد. بنابراین او می تواند اطلاعات مختلفی از شما بخواهد و خودش می داند که کجا از آن ها استفاده کند.
این اطلاعات می تواند یک یا چند مورد باشد:
•شماره تلفن
•نام کاربری و پسورد حساب کاربر شما
•اطلاعات کارت های بانکی مانند شماره کارت ، تاریخ اعتبار ، رمز دوم و..
•تصاویر و اطلاعات شخصی شما
•تاریخ تولد
•اطلاعات شغلی و شرکتی شما
•مشخصات بیوگرافی شما
•و...
بنابراین در حلمه های سایبری هدف فقط اطلاعات حساب بانکی و کارت شما نیست و ممکن است هکر قصد دریافت اطلاعات شخصی شما نیز باشد.
1. فیشر فریبنده (درخواست انجام کار)
این مورد که یکی از روش های قدیمی فیشینگ می باشد و امروزه کمتر استفاده می شود به این صورت انجامی می شود که یک ایمیل یا پیام از طریق شبکه های اجتماعی به شخص قربانی ارسال می شود. در این پیام ارسال شده ، از شخص قربانی می خواهند با لینک ارسال شده وارد وبسایت شده و با ترفندی یک پراخت خیلی کم انجام دهد.
برای مثال از فرد قربانی در خواست می شود : "برای شرکت در مسابقه برنده میلیونی کافیست 1000 تومن را از طریق درگاه سایت پرداخت کنید تا به صورت اتوماتیک ثبت نام شوید."
به این صورت فرد اطلاعات حساب بانکی خود را در کادر های درگاه پرداخت اینترنتی وارد می کند. و در همین حین فرد هکر اطلاعات را به دست می آورد.
2.جعل وبسایت با دامنه بسیار شبیه
همانطور که کمی قبل تر گفتیم در این روش فیشر ها با استفاده از یک url شبیه به سایت معتبر کاربر را وارد درگاه اینترنتی خود می کنند. این روش نیز در چند سال پیش بسیار مورد استفاده قرار می گرفت اما به مرور زمان این روش به شکل پیشرفته تری انجام شد.
در روش جدید تر جعل وبسایت ، هکر با سوء استفاده از ضعف امنیتی یک سایت ، ان را هک کرده و با استفاده از قطعه کدی از جاوا اسکریپت شخص را پس از کلیک روی پرداخت انلاین به درگاه جعلی خود هدایت می کند. لازم به ذکر است که در این روش نیز همانند قبل فیشر سعی میکند url سایت خود را با url سایتی که هک کرده است انتخاب کند.
3.فیشینگ از طریق تماس تلفنی
این نوع از فیشینگ امروزه بیشتر مورد استفاده قرار میگیرد. در این روش با شخص قربانی تماس گرفته می شود و فیشر خود را نماینده یک شرکت معتبر معرفی می کند. در این حین از کاربر تقاضای اطلاعات بانکی می کند و کاربر در این روش مهندسی اجتماعی فریب خورده و اطلاعات خود را در اختیار فیشر قرار می دهد.
در این روش ،فیشر بدون استفاده از وبسیات و هدایت کاربر می تواند اطلاعات قربانی را به دست آورد.
4.تب نبینگ
این روش که جدید ترین روش فیشینگ حساب می شود به این صورت عمل می کند که هنگامی که صفحات و تب های زیادی باز کردید ، به شکل خیلی اهسته ، شما را به سایت هدف هدایت می کنند.
با وجود اینکه این نوع از فیشینگ ها امروزه کمتر از قبل مورد استفاده قرار می گیرند ، اما با این وجود باز هم به دلیل اینکه به صورت انبوه ارسال می شوند ، می تواند قربانی زیادی داشته باشد.
در فیشینگ های ایمیلی معمولا به جای اینکه نام شما ذکر شود شما را کاربر گرامی سایت .... معرفی می کنند. برای مثال شما را کاربر گرامی بانک سامان یا مشترک گرامی بانک ملت صدا می کنند.
در ادامه این نوع از فیشنیگ ها از شما در خواست می شود حساب بانکی خود را از طریق لینک زیر بررسی کنید.
پیام هایی که از این طریق ارسال می شود معمولا به این شکل می باشد :
• حساب شما در حالت تعلیق قرار گرفته است لطفا حساب بانکی خود را چک کنید.
• برای دریافت جایزه 10 هزار تومن هزینه ارسال را از طریق درگاه زیر پرداخت کنید.
• شما برنده جایزه 10 میلیونی مجموعه ما شده اید ، برای واریز پول اطلاعت حساب بانکی خود را وارد کنید.
و...
همانطور که تا به حال یادگرفته اید ، فیشینگ یکی از روش های نفوذ یا هک غیر قانونی است که به صورت مهندسی اجتماعی انجام می شود. روش مهندسی اجتماعی به این شکل انجام می شود که در آن فرد قربانی دچار فریب می شود.
بنابراین سعی کنید هیچوقت گول این افراد سود جو را نخورید! همیشه در پیام هایی که از طریق ایمیل یا شبکه های اجتماعی و یا حتی اس ام اس دریافت می کنید به صورت منطقی عمل کنید.
در حالت بعدی یعنی فیشینگ از طریق یو ار ال های جعلی ، سعی کنید یکبار همیشه از دامنه اصلی درگاه های پرداخت استفاده کنید.
سعی کنید ابتدا در قسمت پسورد یک پسور غیر واقعی وارد کنید تا با عبارت خطا مواجه شوید هرچند این روش زیاد مطمئن نیست و شخص هکر نیز می تواند به صورت رندم این پاسخ ها را به شما نشان دهد.
و در اخر سعی کنید به جای استفاده از کیبورد تلفن همراه یا کامپیوتر از کیبورد خود درگاه استفاده کنید که اعداد در آن به صورت بی نظم درج شده اند.
با رعایت این موارد شما می توانید تا حد زیادی امنیت خود را در مقابله تمامی جرائم سایبری حفظ کنید.
گردآوری: بخش اینترنت و کامپیوتر بیتوته