فیشینگ چیست؟

هنگامیکه شخصی تلاش می‌ کند دیگری را فریب دهد تا اطلاعات شخصی او را در اختیارش بگیرد، یک حمله فیشینگ رخ می ‌دهد. شبکه‌های اجتماعی و وبگاه‌ های پرداخت آنلاین از جمله اهداف حملات فیشینگ هستند. علاوه بر آن، ایمیل هایی که با این هدف ارسال می‌شوند و حاوی پیوندی به یک وبگاه هستند در اکثر موارد حاوی بدافزار هستند. حقه فیشینگ یکی از تکنیک های مهندسی اجتماعی برای فریب کاربران می ‌باشد که علی‌ القاعده از ضعف امنیتی یک وب سایت برای انجام عملیات مجرمانه خود استفاده می‌کنند. برای اولین بار حقه فیشینگ در سال 1987 تعریف شد و اولین باری که واژه فیشینگ برای نام گذاری این واژه استفاده گردید، سال 1996 بود.

فیشینگ یا سرقت آنلاین، در عمل به صورت کپی دقیق رابط گرافیکی یک وبگاه معتبر مانند بانک‌ های آنلاین انجام می ‌شود. ابتدا کاربر از طریق ایمیل یا آگهی‌ های تبلیغاتی سایت ‌های دیگر، به این صفحه قلابی راهنمایی می ‌شود. سپس از کاربر درخواست می‌ شود تا اطلاعاتی مانند اطلاعات کارت اعتباری مهم و حساس را آنجا وارد کند. در صورت گمراه شدن کاربر و وارد کردن اطلاعات خود، فیشرها(مهاجمان) به اطلاعات شخص دسترسی کاربر پیدا می‌کنند و فیشینگ حساب بانکی صورت می‌گیرد. 

تکنیک های متداول حقه فیشینگ

• دستکاری URL سایت ها

یکی از شیوه‌های متداول و رایج در فیشینگ ارسال ایمیل های حاوی  لینک ها و آدرس های متعلق به سازمان‌های غیر واقعی و جعلی است. آدرس هایی که تنها تفاوت آن‌ها با آدرس اصلی یک یا دو حرف است یا از دامین ‌های فرعی گمراه کننده برای ایجاد آن‌ها استفاده شده است. مثلا در عکس زیر، همانطور که مشاهده می‌کنید آدرس سایت آمازون اشتباه است ولی چشم کاربر ممکن است دچار خطای دید شود.

• دور زدن فیلترها
  

  فیشرها با استفاده کردن از عکس به جای متن، کار فیلترهای ضد فیشینگ را که برای شناسایی متن‌هایی که عموما در ایمیل های حاوی آدرس های جعلی یافت می‌شوند، را سخت می‌کنند.

• وب سایت جعلی
  
  

  تنها با ورود و بازدید یک قربانی به سایت جعلی عمل کلاهبرداری صورت نمی‌پذیرد. در برخی از روش های فیشینگ از دستورات جاوا اسکریپت استفاده می‌شود تا نوار آدرس را اصلاح کند و تغییر دهد. این کار با قرار دادن تصویر یک آدرس اینترنتی قانونی و موجه در نوار آدرس یا بستن نوار آدرس اصلی و باز کردن یک نوار آدرس جدید که حاوی آدرس اینترنتی قانونی و موجه است، انجام می‌شود.
  یک فیشر حتی می تواند از نقایص موجود در برنامه جاوا اسکریپت یک سایت معتبر و قانونی علیه قربانیان خوداستفاده نمایند. این نوع حمله‌ها(معروف به کراس سایت اسکریپتینگ) به طور خاص سخت و پیچیده هستند، چون آن‌ها قربانی را به صفحه اینترنتی ثبت نام خدمات بانکی خود ارجاع می دهند. صفحه ای که در آن همه چیز از آدرس سایت گرفته تا گواهی الکترونیکی امنیتی، همه درست و صحیح به نظر می رسند. در حقیقت لینک دادن به صفحه اصلی حقه ای برای به ثمر رساندن سرقت و انجام دادن حمله است. با انجام این کار کشف این حمله برای افرادی که دانش لازم را ندارند، کار بسیار سختی است.

  یک برنامه فیشینگ در سطح جهانی با عنوان Man-in-the-middle، که در سال 2007 کشف شد، از یک رابط ساده استفاده می‌کرد که به فیشر(مهاجم) اجازه می داد بدون هیچ مشکلی سایت های خاصی را مجددا ایجاد کند و جزئیات اطلاعات ورود(login) افراد(نام کاربری و رمز عبور) وارد شده در وب سایت جعلی را برای ورود به سایت های اصلی ثبت و ضبط کند.

  برای از کار انداختن تکنیک ها و برنامه‌هایی که وب سایت ها را با هدف پیدا کردن متون و علائم مرتبط با فیشینگ اسکن و بررسی می‌کنند، فیشرها به تازگی شروع به استفاده از وب سایت هایی کرده اند که با برنامه‌های فلش ،ساخته شده اند. این گونه سایت ها بسیار واقعی به نظر می رسند اما در واقع در این سایت ها متون و علائم مرتبط با فیشینگ پشت ظاهر برنامه‌های فلش، پنهان شده اند.

• فیشینگ از طریق تلفن
  

  از حملات فیشینگی که نیاز به استفاده از یک وب سایت جعلی و ساختگی ندارند، می توان به فیشینگ از طریق تلفن اشاره کرد. این نوع حملات شامل پیام هایی می‌شوند که ادعا می‌کنند از طرف بانک هستند و از استفاده کنندگان خدمات بانکی می خواهند با توجه به مشکلی که برای حساب های آن‌ها به وجود آمده است، با یک شماره تماس بگیرند. به محض این که مشتری با این شماره تلفن (که متعلق به مهاجم است و یک سرویس تلفن اینترنتی است) تماس بگیرد، از مشتری خواسته می‌شود که شماره حساب و رمز خود را وارد کند و از این، با دستیابی به اطلاعات مشتری، سرقت آنلاین انجام می‌شود. اطلاعات فیشرهایی که از سرویس تلفن اینترنتی استفاده می‌کنند، گاهی اوقات از داده‌های جعلی برای آی دی کالر(Caller ID) [1] استفاده می نمایند تا برای مشتریان این گونه به نظر برسد که این تماس از طرف یک سازمان مطمئن و معتبر انجام می‌شود.

شناسایی یک ایمیل فیشینگ 

• ایمیل ها به صورت همگانی و انبوه فرستاده می‌شوند، به همین دلیل آن‌ها شما را نمی‌شناسند و ایده ای درباره اینکه چه کسی هستید ندارند. در نتیجه ممکن است از طرف بانک پارسیان برای شما ایمیلی با مضمون وارد کردن اطلاعات حساب یا شماره کارت شما برایتان ارسال شود. در اینصورت این ایمیل قطعا تقلبی است.
• اگر شرکت های معتبر برای شما ایمیل ارسال کند، هیچگاه در این ایمیل های ارسالی، غلط املایی وجود ندارد پس اگر غلط املایی مشاهده کردید بدانید که این ایمیل تقلبی است.
• اگر شرکت خاصی به دلیل اختلال از شما درخواست تصحیح اطلاعات خود را داشته باشد، قطعا به نام کاربری یا اطلاعات حساب شما اشاره خواهد کرد. پس اگر اطلاعات نادرست یا فقط بخشی از اطلاعات را مشاهده کردید، در یک قدمی فیشینگ قرار گرفته اید.
• اگر ایمیلی دریافت کردید که در آن با ضرب العجل از شما خواسته شده بود که برای مثال در ۲۴ ساعت آینده اقدام به لاگین کردن و تعویض اطلاعات کاربری کنید بدانید که به احتمال زیاد این یک ایمیل فیشینگ است.

راه حل های جلوگیری از فیشینگ

• با توجه به حساسیت بالای تراکنش های مالی و افزایش فیشنگ ها، سامانه امضای همراه می ‌تواند به عنوان اصلی ‌ترین و مطمئن ترین فناوری در احراز هویت دیجیتالی امن کاربران به سامانه‌ ها و نرم ‌افزارهای کاربردی و امضای دیجیتال تراکنش های حساس و مهم به کار رود. همچنین این راهکار مبتنی بر استانداردهای بین ‌المللی توسعه یافته و از پشتوانه حقوقی و قانونی برخوردار می ‌باشد. برای اطلاعات بیشتر پیرامون این محصول می توانید به این صفحه مراجعه کنید.
• از دیگر روش های جلوگیری از فیشینگ، استفاده از رمز های یکبار مصرف (OTP) است. برای اطلاعات بیشتر درباره این روش و مزایا و معایب آن می توانید به صفحه مربوطه مراجعه کنید.

1: یکی از خدمات تلفنی روی تلفن‌های آنالوگ و دیجیتال، نمایش شماره تماس گیرنده در هنگام زنگ تلفن است. همچنین امکان نمایش یک نام برای تماس گیرنده روی صفحه نمایش تلفن شخص دریافت کننده تماس، یک دستگاه جداگانه متصل به آن و یا روی رایانه شخصی وجود دارد.