تا به حال اسم فیشینگ به گوشتان خورده است؟ میدانید فیشینگ چیست و چگونه باید از حملات آن در امان باشید؟ فیشینگ یا Phishing به روش سرقتی گفته میشود که برای دستیابی به اطلاعات محرمانه افراد مانند شماره حساب و رمز بانکی انجام میشود. به این صورت که صفحه جعلی برای وارد کردن اطلاعات کاربر ساخته میشود و کاربر بدون اطلاع از جعلی بودن آن صفحه، اقدام به وارد کردن اطلاعات خود میکند. هکر و سیستم طراحی شده ی او، اطلاعات کاربر مانند شماره کارت و رمز دوم او را ذخیره میکند و در فرصت مناسب حساب را خالی میکند! اهمیت این موضوع به قدری است که تصمیم گرفتیم در این بلاگ به صورت مفصل به آن بپردازیم، به شما پیشنهاد میکنیم 5 دقیقه از وقت خود را به این مقاله اختصاص دهید تا یکبار برای همیشه از این موضوع حیاتی که ممکن است برای هر کسی اتفاق بیفتد اطلاع پیدا کنید.
آنچه در این مطلب میخوانید:
فیشینگ چیست؟
رایج ترین جرم از جرایم سایبری در سال های اخیر، که فیشر در آن اقدام به سرقت اطلاعات و حساب بانکی کاربران میکند فیشینگ Password Harvesting Fishing) شکار گذرواژهی کاربر ازطریق طعمه) نام دارد. در واقع این افراد که هکر هستند از عدم آگاهی کاربران نسبت به صفحات جعلی سو استفاده میکنند و اطلاعات آنها را به سرقت میبرند. تنها راهی که میتواند این سرقت را به صفر برساند، استفاده از رمز پویا یا همان رمزهای یکبار مصرف است که از سال 99 در کشور اجرایی شده است. کلاه برداران فیشینگ عموما از موضوعات رایجی که در جامعه اتفاق میافتد و ذهن مردم را به خود مشغول میکند استفاده میکنند تا عملیات آنها طبیعی تر جلوه کند. اگر بخواهیم با یک مثال برای شما شفاف سازی کنیم تا متوجه سادگی و پیش پا افتادگی این اتفاق شوید، از رایج ترین نوع آن که با ارسال پیامک فیشینگ انجام میشود باید یاد کنیم.
مثلا آنها پیامک انبوه به تعداد زیادی از افراد ارسال میکنند، در متن پیامک اشاره به یارانه و سبد حمایتی خانوار یا موضوعات این چنینی میکنند و از کاربران درخواست میکنند برای دریافت این تسهیلات یا شارژ رایگان روی لینک کلیک کنند. با کلیک روی لینک به خودی خود اتفاقی نمیافتد اما در آنجا توضیحاتی ارائه میکنند که شما را قانع کنند با پرداخت مبلغی ناچیز میتوانید از این تسهیلات بهره مند شوید. وارد کردن اطلاعات بانکی همانا و خالی شدن حساب شما همان! فیشینگ تنها به درگاه های پرداخت الکترونیکی ختم نمیشود و انواع مختلفی دارد که در ادامه به آنها اشاره میکنیم.
انواع حمله فیشینگ
فیشینگ با ارسال ایمیل
در این روش کلاهبرداران با ارسال ایمیل کاربران را مجاب میکنند که اطلاعات بانکی خود را وارد کنند. این ایمیلها که عموما از آدرس جعلی یک سایت معتبر فرستاده میشوند با هدف هایی مانند تکمیل اطلاعات در وبسایت، شارژ هدیه و ثبت نام یارانه و … انجام میشوند. با تکمیل اطلاعات در آن وبسایت اطلاعات شما در اختیار فیشر قرار میگیرد. همچنین اعلام کردن درخواستی از جانب بانک نیز بسیار در فیشینگ با ایمیل دیده میشود. باید در نظر داشته باشید که بانک ها هیچ وقت از طریق ایمیل درخواست های این چنینی از شما نخواهند داشت.
فیشینگ تلفنی
با برقراری تماس با افراد و جلب نظر آن ها با جوایز از آن ها درخواست میشود اطلاعات خود را اعلام کنند تا جایزه نقدی به حساب آن ها واریز شود. این افراد عموما با شماره هایی ناشناس تماس میگیرند و اعلام میکنند که از سوی منابع معتبری مثل بانک با شما ارتباط برقرار کرده اند. فیشر ها از تمامی امکانات به روز برخوردار هستند و ممکن است برای وارد کردن اطلاعات شما یک کد دستوری اعلام کنند که از آن طریق اقدام کنید. پس هیچ کدام از این موارد دلیل بر معتبر بودن منبع نیست و باید به یاد داشته باشید در هیچ صورتی اطلاعات کارت بانکی خود خصوصا رمز اول و دوم را به هیچ منبعی حتی بانک اعلام نکنید.
فیشینگ با درگاه پرداخت جعلی (تشخیص درگاه پرداخت جعلی)
اهمیت توجه به درگاه پرداخت از هر موضوعی بیشتر است. امروزه که فرصت افراد کم است و استقبال از خرید های اینترنتی بیشتر شده، باید توانایی تشخیص درگاه های پرداخت جعلی از معتبر در افراد ایجاد شود. فیشر ها با طراحی وبسایت های فروشگاهی و اضافه کردن محصولات به آنها اقدام به تبلیغات و ارائه پیشنهاد های شگفت انگیز به کاربران میکنند تا آن ها را مجاب به خرید کنند. از خرید کردن از فروشگاه هایی که ای نماد ندارند و قیمت های بسیار ناچیزی را برای محصولات در نظر میگیرند خودداری کنید. خرید از این وبسایت ها با درگاه پرداخت جعلی انجام میشود و بدون بروز اتفاقی با موفقیت سپری میشود. پس از خرید، اطلاعات کارت شما به دست هکرها میرسد و موجودی آن به سرقت میرود. برای تشخیص درگاه پرداخت تقلبی راه هایی وجود دارد که در ادامه به آنها اشاره میکنیم:
- آدرس صفحه پرداخت امن با https شروع شده باشد نه http
- درگاه پرداخت شاپرک حتما با نام shaparak نوشته شده باشد نه نام های مشابه مانند shaaparak
- دامنه صفحه پرداخت حتما باید ir باشد نه com
- امن ترین درگاه های پرداخت با ادرس https://xxx.shaparak.ir نمایش داده میشوند و حروف x محل قرارگرفتن نام یکی از pspها یا شرکت های پرداخت الکترونیک است. برای مثال،https://asan.shaparak.ir درگاه پرداخت آپ است.
- در برخی موارد هیچ لینکی از درگاه وجود ندارد و تنها عکسی از درگاه پرداخت شاپرک در آن صفحه وجود دارد، به این درگاه ها نباید اعتماد کنید.
فیشینگ با دستگاه پوز (POS) و ATM
کلاهبرداری به سبک فیشینگ با دستگاه پوز و ATM هم اتفاق میفتد. این دستگاه های تقلبی با ذخیره سازی اطلاعات کارت شما قادر هستند موجودی حساب شما را برداشت کنند. در وهله اول از بازگو کردن رمز خود به فروشندگان خودداری کنید اما اگز ناچار به این کار بودید از کارتی استفاده کنید که موجودی آن محدود باشد.
فیشینگ با استفاده از ارسال پیامک
حمله های فیشینگ از طریق پیامک به این صورت است که پیامکی تقلبی از جانب بانک یا برنامه های معتبر یا سازمان های دولتی برای شما ارسال میشود. در این پیامک ها لینکی قرار دارد که آنها با بهانه های مختلفی شما را ترغیب به کلیک بر روی لینک میکنند. برای اطلاع از این نوع فیشینگ و نیفتادن در دام آن، به سرشماره پیامکی ارسال شده به خوبی دقت کنید. سرشماره بانک یا مراکز معتبر شناخته شده هستند. این پیامک ها به صورت گروهی از طریق سامانه ارسال پیامک ارسال میشوند. سامانه های ارسال پیامک تخصصی با مانیتورینگ حرفه ای، اجازه ارسال این پیامک های با محتوای مجرمانه را نخواهند داد.
چگونه از فیشینگ در امان باشیم؟
- بررسی کامل آدرس درگاه خرید با توجه به توضیحات داده شده
- بررسی کامل محتوای ارسال شده در پیامک و ایمیل
- عدم خرید از فروشگاه های نامعتبر و ناشناس
- نصب اپلیکیشن ها و نرم افزارها فقط از اپ استورها و سایت های معتبر
- عدم توجه و اعتماد به تماس های مشکوک
- استفاده از رمزعبورهای غیر همسان در برنامه های مختلف و آپدیت مداوم آن
- استفاده از تائید هویت های دو مرحله ای
- عدم استفاده از وای فای مکان های عمومی
- استفاده از برنامه ها و افزونه های ضد فیشینگ
- به روز رسانی مرورگرها