فیشینگ اطلاعات
تکنولوژی

فیشینگ چیست؟ چطور در دام آن نیفتیم؟

مدیر نظرات: ۰ زمان تقریبی مطالعه: 6 دقیقه


امروزه با توسعه‌ فناوری، انجام تراکنش‌های مالی خیلی ساده شده و فقط رغبت پس از ورود به درگاه بانک دلخواه، اطلاعات کارت اعتباری خود را وارد کنید. در سطح کلان و سازمانی هم همین‌طور است. مثلا اگر سازمانی نیت داشته باشد کمپین تبلیغاتی راه بیندازد، دیگر احتیاجی به آگاه‌کردن یک‌به‌یک کارکنان و صحبت‌کردن با آنها نیست و این کار توسط ارسال گروهی ایمیل به کارکنان انجام می‌گردد. اما این سکه روی دیگری هم دارد و سادگیی که فناوری برای ما فراهم می‌کند، می‌تواند تاوان سنگینی داشته باشد. منظورمان از تاوان سنگین حمله‌های سایبری و جرائم اینترنتی است. فیشینگ (phishing) یکی از شایع‌ترین انواع این جرائم و حمله‌هاست. در این مقاله مفصل توضیح خواهیم داد که فیشینگ چیست و چه باید بکنیم که در دام آن نیفتیم. همراه ما بمانید.


نمایش

فیشینگ چیست و چگونه انجام می‌گردد.

فیشینگ نوعی حمله سایبری است یا کامل‌تر بگوییم، نوعی حمله مهندسی اجتماعی (social engineering attack). این نوع حمله‌های سایبری با دو هدف انجام می‌شوند:

  • سرقت اطلاعات محرمانه شخصی مثل گذرواژه، رمز ایمیل و رمز و اطلاعات محرمانه کارت‌های اعتباری بانکی؛
  • سرقت اطلاعات محرمانه سازمان‌ها و ارگان‌های خصوصی و دولتی.

مثلا در حالت اول، فرض می‌کنیم به‌نیت پرداخت وجه به درگاه بانکی موردنظرتان هدایت شده‌اید. اگر کسی که برای این حمله‌های سایبری برنامه‌ریزی کرده، شما را هدف قرار دهد، به درگاهی جعلی وارد خواهید شد که شکل‌ و شمایلش دقیقا شبیه درگاه اصلی است، اما مثل آنچه در تصویر زیر می‌بینید تفاوت‌هایی جزئی در لینک نوار آدرس (address bar) صفحه‌ای وجود دارد که به آن هدایت شده‌اید. اگر در این صفحه و درگاه جعلی اطلاعات کارت بانکی خود را وارد کنید، تمام این اطلاعات محرمانه در اختیار فیشر قرار می‌گیرند.

در حالت دوم هم حمله‌های فیشینگ به این صورت انجام می‌شوند که مثلا ایمیلی برای تمام کارکنان ارگانی خصوصی یا دولتی فرستاده می‌گردد.که حاوی لینکی مخرب یا بدافزارها است. کسی که قربانی این حملات شود و روی لینک کلیک کند، به صفحه‌ای هدایت خواهد شد که در آن اطلاعات محرمانه ارگان مذکور در اختیار فیشر یا مهاجم قرار می‌گیرد. پس از آن قادر خواهد بود بدافزارهایی را روی سیستم عامل‌های کارکنان (یا حتی کارفرمایان) نصب کند و پول یا مالکیت معنوی ارگان را به سرقت ببرد.

چگونه از جعلی‌نبودن درگاه بانکی مطمئن شویم؟

وقتی برای پرداخت وجه وارد درگاه بانکی می‌شوید، توضیحاتی را که در تصویر زیر مشاهده می‌کنید به‌توجه دلخواه قرار دهید. تمام مغایرت احتمالی می‌تواند بیانگر حمله فیشینگ باشد و اگر اطلاعات کارت بانکی خود را وارد کنید، شاید قربانی جرائم اینترنتی و سایبری شوید و اطلاعات حسابتان در اختیار کلاهبرداران قرار بگیرد.

شناسایی درگاه اصلی بانک برای جلوگیری از حمله فیشینگ

انواع حمله‌های فیشینگ

فیشینگ به شکل‌های گوناگونی انجام می‌گردد.که شایع‌ترین آنها ارسال ایمیلِ حاوی لینک‌های مخرب و بدافزارهاست. مسلما انواع دیگری هم دارد که در ادامه راجع‌ به هر یک اطلاعاتی در اختیار شما خواهیم گذاشت.

۱. فیشینگ همه‌ای (spear phishing)

در این نوع حملات، هکر یا فیشر با تحقیق و بررسی کامل تمام اطلاعات شخصی یک یا چند نفر از کارکنان یک مجموعه را می‌یابد.همچون نام، محل اشتغال، عنوان شغلی، آدرس ایمیل و اشخاص مورداعتمادِ او. بعد با ارسال پیام‌هایی متقاعدکننده سعی می‌کند قربانی را وادار به انتقال وجه یا کارهای دیگر کند.

۲. والینگ (whaling)

هدف اصلی در این نوع حملات فیشینگ کارفرمایان و مقامات عالی‌رتبه ارگان‌ها هستند. بیشتر وقت‌ها در شبکه‌های اجتماعی و فضای مجازی اطلاعات شخصی زیادی راجع‌ به این اشخاص وجود دارد. فیشر یا هکر از این اطلاعات برای ارسال پیام‌های کاملا شخصی‌سازی‌شده استفاده می‌کند و قربانی را برای رسیدن به مقاصد خود فریب می‌دهد.

۳. اِسمیشینگ و ویشینگ (smishing and vishing)

در این دو نوع حمله فیشینگ به‌جای ارسال ایمیل و راهکارهای دیگر مثل آن، از تلفن همراه هوشمند استفاده می‌گردد. هکر یا فیشر در اِسمیشینگ، کارش را با ارسال پیام کوتاه به موبایل قربانی پیش می‌برد و در ویشینگ، با برقراری تماس تلفنی. در بیشتر موارد پس از برقراری تماس تلفنی به قربانی گفته می‌گردد.که حساب بانکی‌اش در معرض خطر کلاهبرداری است و باید هرچه سریع‌تر اطلاعات کامل کارت اعتباری و حساب بانکی‌اش را در اختیار کسی قرار دهد که با او تماس گرفته است تا از وقوع همین موضوع جلوگیری کند.

هکر یا فیشر در این مواقع خود را یکی از کارکنان بانک یا فردی مشابه جا می‌زند.

۴. اَنگلر فیشینگ (angler phishing)

در این نوع حمله سایبری، هکر یا فیشر در یکی از بسترهای شبکه‌های اجتماعی (اینستاگرام، توییتر و…) حسابی درست می‌کند که تصویر پروفایل، تعداد دنبال‌کننده‌ها، توضیحات درج‌شده در قسمت بیو (bio) و دیگر چیزها دقیقا مثل حسابی می‌باشد که برند یا شرکتی معتبر در آن پلتفرم دارد. پس از‌آن با مشتریان و بازار هدف آن شرکت ارتباط برقرار می‌کند و به‌شکل‌های گوناگون از آنها سوءاستفاده می‌کند.

چگونه در دام فیشینگ نیفتیم؟

همان‌طور که گفتیم، مجرمان سایبری از راهکارهای گوناگونی اعم از ارسال ایمیل، پیام کوتاه، پیام‌دادن در بسترهای شبکه‌های اجتماعی (دایرکت) و تماس تلفنی برای پی‌بردن به اطلاعات شخصی و محرمانه افراد و سوءاستفاده از آنها استفاده می‌کنند. اما نشانه‌هایی وجود دارند که با توجه‌کردن به آنها می‌توانید آگاه این حملات شوید و در دام فیشینگ نیفتید. در این بخش تعدادی از مهم‌ترینشان را معرفی خواهیم کرد.

۱. فراخوان به اقدام فوری و ضروری

اگر ایمیل یا پیامی برایتان ارسال شد که در آن توضیح داده شده بود برای کسب منفعت یا پاداشی بخصوص یا برای جلوگیری از زیان باید فوری روی لینکی کلیک کنید که در اختیار شما گذاشته شده است، بد نیست کمی منتظر باشید و با توجه پیام و لینک ارسالی را بررسی کنید.

تشکیل احساس فوریت یکی از راهکارهای اصلی فیشینگ برای فریب‌دادن قربانی‌های این نوع حملات سایبری است.

۲. دریافت پیام یا ایمیل برای بار نخست از ارسال‌کننده‌ای گمنام

دریافت پیام یا ایمیل برای بار نخست از ارسال‌کننده‌ای که نمی‌شناسید مسئله خیلی شایعی نیست، به‌ویژه اگر ارسال‌کننده خارج از مجموعه‌ای باشد که در آن مشغول‌ به‌ کار هستید. در چنین مواقعی هم بد نیست مراقب باشید و پیام و لینک پیوستی آن را به‌توجه بررسی کنید.

۳. غلط‌های املایی یا دستوری در متن و لینک پیام‌ها

ارگان‌های دولتی و خصوصی معتبر بیشتر وقت‌ها یک تیم ویراستاری دارند که پیش از ارسال پیام برای مشتریان و بازار هدف، متن پیام‌ها را برای پیداکردن غلط‌های املایی یا دستوری به‌توجه بازبینی می‌کنند. اگر پیامی دریافت کردید که حاوی غلط‌های املایی یا دستوری بود، باید به اصالت آن شک کنید.

۴. تغییرات جزئی و نامحسوس در لینک نوار آدرس وب‌سایت‌های معتبر

وقتی پیامی دریافت می‌کنید که برای حمله سایبری فیشینگ طراحی و نوشته شده است، با کلیک‌کردن روی لینکی که پیوست پیام است، به وب‌سایتی هدایت خواهید شد که شکل‌ و شمایل دقیقا شبیه به وب‌سایت دلخواه شماست، اما در اصل جعلی است و فیشر یا هکر به‌نیت دریافت اطلاعات محرمانه شما را وارد آن می‌کند.

از وب‌سایت‌های خارجی اگر مثال بزنیم، فیشر یا هکر نوشته نوار آدرس وب‌سایتی مثل Microsoft.com را به چیزی شبیه rnicrosoft.com تغییر می‌دهد یا مثل آنچه در تصویر زیر می‌بینید، آدرس yahoo.com به چیزی شبیه yah00.com تغییر می‌یابد.

تغییر آدرس بار از روشهای فیشینگ

اگر اطلاعات حساب کاربری خود را در وب‌سایت جعلی وارد کنید، در اختیار هکر قرار می‌گیرد و می‌تواند از آن برای مقاصد خود استفاده کند.

اگر به صحت و اصالت پیامی که دریافت کرده‌اید شک دارید، به‌هیچ‌وجه روی لینک‌هایی که برایتان ارسال می‌شوند کلیک نکنید، به‌ویژه اگر شغل حساسی دارید و در ارگان‌های دولتی یا سازمان‌های خصوصی بزرگ فعالیت می‌کنید.
مثلا اگر از سازمان یا ارگانی معتبر ایمیلی برای شما ارسال شد و به اصالت آن شک کردید، می‌توانید با سازمان یا ارگان مربوطه تماس بگیرید و مسئله را با آنها در بین بگذارید. همین‌طور اگر ایمیل یا پیام ارسالی از طرف کسی باشد که از او شناخت کافی دارید، چون گاهی هکر با انجام تحقیقات گسترده اشخاص نزدیک به قربانی‌ را شناسایی می‌کند و پیام‌هایی جعلی را از طرف آنها می‌فرستد.

چگونه از حملات فیشینگ جلوگیری کنیم؟

پیش از هر چیز لازم است اطلاعات کافی درباره حملات فیشینگ و انواع آن پیدا کنید و بدانید که در چه مواقعی باید به اصالت پیامی که برای شما فرستاده شده است یا تماسی که با شما گرفته‌اند شک کنید. مثلا اگر کسی با شما تماس گرفت و خواستار اطلاعات حساب بانکی شد، تا از صحت حرف‌هایش مطمئن نشده‌اید، نباید این اطلاعات محرمانه را در اختیارش بگذارید.

نکته دیگری که باید به آن توجه کنید، به‌روزرسانی مداوم سیستم عامل‌، نرم‌افزارهای آنتی‌ویروس و وصله‌های امنیتی (فایروال و نظایر آن) سیستمی می‌باشد که از آن استفاده می‌کنید. در این حالت اگر فیشر بخواهد بدافزاری را به سیستم شما منتقل کند، کار خیلیسخت‌تری خواهد داشت. در بیشتر مرورگرهای محبوب مثل گوگل کروم و فایرفاکس هم نوارابزارهای مخصوص ضدفیشینگ (anti-phishing add-ons) وجود دارند که می‌توانند برای جلوگیری از این‌گونه حملات خیلیمؤثر باشند.

شما بگویید

نظر شما چیست؟ آیا تا به‌ حال قربانی حملات فیشینگ شده‌اید؟ می‌توانید راجع‌ به جزئیات تجربه‌ای که داشته‌اید اطلاعاتی در اختیارمان بگذارید؟ راهکار دیگری سراغ دارید که توسط آن بتوان از وقوع این حملات جلوگیری کرد؟

اگر مایل باشید، می‌توانید در قسمت «ارسال دیدگاه» تجربه‌ها و نظرات خود را با ما و مخاطبان مجله چگونه به اشتراک بگذارید و با اطلاعات ارزشمندی که اضافه می‌کنید، مقاله را پربارتر کنید.

مطالب مرتبط
IP چیست
IP چیست؛ هرآنچه باید بدانید
محافظت از خاک و محیط زیست با کشاورزی پایدار
کشاورزی پایدار چیست؛ فواید، منابع و اصول آن
۲۰ افزونه‌ رایگان کروم که بهره‌وری شما را بالا می‌برند
۲۰ افزونه‌ رایگان کروم که بهره‌وری شما را بالا می‌برند
چطور در لینکد‌‌ین یک پروفایل حرفه‌ای داشته باشیم؟
چطور در لینکد‌‌ین یک پروفایل حرفه‌ای داشته باشیم؟
جستجو در گوگل با ۲۶ نکته حرفه‌ای
جستجو در گوگل با ۲۶ نکته حرفه‌ای
۴ گام برای حذف تبلیغات اینترنتی در گوگل کروم
۴ گام برای حذف تبلیغات اینترنتی در گوگل کروم
۶ دلیل مهم برای دانلود اپلیکیشن سفر درون‌شهری مانند اسنپ
۶ دلیل مهم برای دانلود اپلیکیشن سفر درون‌شهری مانند اسنپ
تاثیر اپلیکیشن‌های درخواست خودروی آنلاین مانند «اسنپ» بر سطح رفاه جامعه
تاثیر اپلیکیشن‌های درخواست خودروی آنلاین مانند «اسنپ» بر سطح رفاه جامعه
۱۰ مورد از بهترین‌ اپلیکیشن‌هایی که یک ایرانی مدرن باید در گوشی خود داشته باشد
۱۰ مورد از بهترین‌ اپلیکیشن‌هایی که یک ایرانی مدرن باید در گوشی خود داشته باشد
تغییرات باورنکردنی در زندگی از ۱۰ سال پیش تا کنون
تغییرات باورنکردنی در زندگی از ۱۰ سال پیش تا کنون
نظرات

نظرتان را با ما به اشتراک بگذارید!

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیشنهاد ها