هنگامیکه شخصی تلاش می کند دیگری را فریب دهد تا اطلاعات شخصی او را در اختیارش بگیرد، یک حمله فیشینگ رخ می دهد. شبکههای اجتماعی و وبگاه های پرداخت آنلاین از جمله اهداف حملات فیشینگ هستند. علاوه بر آن، ایمیل هایی که با این هدف ارسال میشوند و حاوی پیوندی به یک وبگاه هستند در اکثر موارد حاوی بدافزار هستند. حقه فیشینگ یکی از تکنیک های مهندسی اجتماعی برای فریب کاربران می باشد که علی القاعده از ضعف امنیتی یک وب سایت برای انجام عملیات مجرمانه خود استفاده میکنند. برای اولین بار حقه فیشینگ در سال 1987 تعریف شد و اولین باری که واژه فیشینگ برای نام گذاری این واژه استفاده گردید، سال 1996 بود.
فیشینگ یا سرقت آنلاین، در عمل به صورت کپی دقیق رابط گرافیکی یک وبگاه معتبر مانند بانک های آنلاین انجام می شود. ابتدا کاربر از طریق ایمیل یا آگهی های تبلیغاتی سایت های دیگر، به این صفحه قلابی راهنمایی می شود. سپس از کاربر درخواست می شود تا اطلاعاتی مانند اطلاعات کارت اعتباری مهم و حساس را آنجا وارد کند. در صورت گمراه شدن کاربر و وارد کردن اطلاعات خود، فیشرها(مهاجمان) به اطلاعات شخص دسترسی کاربر پیدا میکنند و فیشینگ حساب بانکی صورت میگیرد.
تکنیک های متداول حقه فیشینگ
یکی از شیوههای متداول و رایج در فیشینگ ارسال ایمیل های حاوی لینک ها و آدرس های متعلق به سازمانهای غیر واقعی و جعلی است. آدرس هایی که تنها تفاوت آنها با آدرس اصلی یک یا دو حرف است یا از دامین های فرعی گمراه کننده برای ایجاد آنها استفاده شده است. مثلا در عکس زیر، همانطور که مشاهده میکنید آدرس سایت آمازون اشتباه است ولی چشم کاربر ممکن است دچار خطای دید شود.
- وب سایت جعلی
تنها با ورود و بازدید یک قربانی به سایت جعلی عمل کلاهبرداری صورت نمیپذیرد. در برخی از روش های فیشینگ از دستورات جاوا اسکریپت استفاده میشود تا نوار آدرس را اصلاح کند و تغییر دهد. این کار با قرار دادن تصویر یک آدرس اینترنتی قانونی و موجه در نوار آدرس یا بستن نوار آدرس اصلی و باز کردن یک نوار آدرس جدید که حاوی آدرس اینترنتی قانونی و موجه است، انجام میشود.
یک فیشر حتی می تواند از نقایص موجود در برنامه جاوا اسکریپت یک سایت معتبر و قانونی علیه قربانیان خوداستفاده نمایند. این نوع حملهها(معروف به کراس سایت اسکریپتینگ) به طور خاص سخت و پیچیده هستند، چون آنها قربانی را به صفحه اینترنتی ثبت نام خدمات بانکی خود ارجاع می دهند. صفحه ای که در آن همه چیز از آدرس سایت گرفته تا گواهی الکترونیکی امنیتی، همه درست و صحیح به نظر می رسند. در حقیقت لینک دادن به صفحه اصلی حقه ای برای به ثمر رساندن سرقت و انجام دادن حمله است. با انجام این کار کشف این حمله برای افرادی که دانش لازم را ندارند، کار بسیار سختی است.
یک برنامه فیشینگ در سطح جهانی با عنوان Man-in-the-middle، که در سال 2007 کشف شد، از یک رابط ساده استفاده میکرد که به فیشر(مهاجم) اجازه می داد بدون هیچ مشکلی سایت های خاصی را مجددا ایجاد کند و جزئیات اطلاعات ورود(login) افراد(نام کاربری و رمز عبور) وارد شده در وب سایت جعلی را برای ورود به سایت های اصلی ثبت و ضبط کند.
برای از کار انداختن تکنیک ها و برنامههایی که وب سایت ها را با هدف پیدا کردن متون و علائم مرتبط با فیشینگ اسکن و بررسی میکنند، فیشرها به تازگی شروع به استفاده از وب سایت هایی کرده اند که با برنامههای فلش ،ساخته شده اند. این گونه سایت ها بسیار واقعی به نظر می رسند اما در واقع در این سایت ها متون و علائم مرتبط با فیشینگ پشت ظاهر برنامههای فلش، پنهان شده اند.
- فیشینگ از طریق تلفن
از حملات فیشینگی که نیاز به استفاده از یک وب سایت جعلی و ساختگی ندارند، می توان به فیشینگ از طریق تلفن اشاره کرد. این نوع حملات شامل پیام هایی میشوند که ادعا میکنند از طرف بانک هستند و از استفاده کنندگان خدمات بانکی می خواهند با توجه به مشکلی که برای حساب های آنها به وجود آمده است، با یک شماره تماس بگیرند. به محض این که مشتری با این شماره تلفن (که متعلق به مهاجم است و یک سرویس تلفن اینترنتی است) تماس بگیرد، از مشتری خواسته میشود که شماره حساب و رمز خود را وارد کند و از این، با دستیابی به اطلاعات مشتری، سرقت آنلاین انجام میشود. اطلاعات فیشرهایی که از سرویس تلفن اینترنتی استفاده میکنند، گاهی اوقات از دادههای جعلی برای آی دی کالر(Caller ID) [1] استفاده می نمایند تا برای مشتریان این گونه به نظر برسد که این تماس از طرف یک سازمان مطمئن و معتبر انجام میشود.
شناسایی یک ایمیل فیشینگ
- ایمیل ها به صورت همگانی و انبوه فرستاده میشوند، به همین دلیل آنها شما را نمیشناسند و ایده ای درباره اینکه چه کسی هستید ندارند. در نتیجه ممکن است از طرف بانک پارسیان برای شما ایمیلی با مضمون وارد کردن اطلاعات حساب یا شماره کارت شما برایتان ارسال شود. در اینصورت این ایمیل قطعا تقلبی است.
- اگر شرکت های معتبر برای شما ایمیل ارسال کند، هیچگاه در این ایمیل های ارسالی، غلط املایی وجود ندارد پس اگر غلط املایی مشاهده کردید بدانید که این ایمیل تقلبی است.
- اگر شرکت خاصی به دلیل اختلال از شما درخواست تصحیح اطلاعات خود را داشته باشد، قطعا به نام کاربری یا اطلاعات حساب شما اشاره خواهد کرد. پس اگر اطلاعات نادرست یا فقط بخشی از اطلاعات را مشاهده کردید، در یک قدمی فیشینگ قرار گرفته اید.
- اگر ایمیلی دریافت کردید که در آن با ضرب العجل از شما خواسته شده بود که برای مثال در ۲۴ ساعت آینده اقدام به لاگین کردن و تعویض اطلاعات کاربری کنید بدانید که به احتمال زیاد این یک ایمیل فیشینگ است.
راه حل های جلوگیری از فیشینگ
- با توجه به حساسیت بالای تراکنش های مالی و افزایش فیشنگ ها، سامانه امضای همراه می تواند به عنوان اصلی ترین و مطمئن ترین فناوری در احراز هویت دیجیتالی امن کاربران به سامانه ها و نرم افزارهای کاربردی و امضای دیجیتال تراکنش های حساس و مهم به کار رود. همچنین این راهکار مبتنی بر استانداردهای بین المللی توسعه یافته و از پشتوانه حقوقی و قانونی برخوردار می باشد. برای اطلاعات بیشتر پیرامون این محصول می توانید به این صفحه مراجعه کنید.
- از دیگر روش های جلوگیری از فیشینگ، استفاده از رمز های یکبار مصرف (OTP) است. برای اطلاعات بیشتر درباره این روش و مزایا و معایب آن می توانید به صفحه مربوطه مراجعه کنید.
1: یکی از خدمات تلفنی روی تلفنهای آنالوگ و دیجیتال، نمایش شماره تماس گیرنده در هنگام زنگ تلفن است. همچنین امکان نمایش یک نام برای تماس گیرنده روی صفحه نمایش تلفن شخص دریافت کننده تماس، یک دستگاه جداگانه متصل به آن و یا روی رایانه شخصی وجود دارد.