[ad_1]
دانشنامه علمی توتیا – مهدی اسدی وصفی: فیشینگ، فارمینگ، کلیک جکینگ، داکسینگ و… . ممکن است هر یک از این نام ها، بیانگر خاطره ای تلخ برای شما باشد. این موارد روش های کلاهبرداری مدرن و مبتنی بر کامپیوتر است. در دوران دانش آموزی، هنگام یادگیری مبحثی از کتاب ها ابر و باد و مه و خورشید در خدمت بودند تا بلکه چیزی بیاموزیم.
فیشینگ
یک روز خیلی زیاد از موبایلم استفاده کردم و از آنجا که خطم ایرانسل بود، شارژم تمام شد. به سرعت به اینترنت متصل شدم تا کد شارژ تهیه کنم. سایت خاصی را هم نمی شناختم. طبیعی است که با جست و جوگر گوگل سایتی را پیدا کردم. در کادر جست و جوی گوگل نوشتم شارژ ایرانسل و روی یکی از نتایج کلیک کردم. صفحه باز شد و پس از وارد کردن مشخصات شارژ به درگاه بانک X وصل شدم تا پول شارژ را پرداخت کنم.
وقتی مشخصات کارت، رمز دوم و سایر اطلاعات را وارد کردم با کلیک بر گزینه پرداخت بعد از مدتی پیغام آمد: «با عرض پوزش ارتباط با سرور موقتا مقدور نمی باشد.» از آنجا که عجله داشتم بی خیال شدم و گفتم به یک عابربانک برسم، شارژ می خرم. بعد از ده دقیقه پیامی آمد. به گوشی نگاه کردم. نوشته بود: «برداشت از حساب ۲۰ میلیون تومان و مانده حساب ۳ هزار تومان.»
فیشینگ چیست؟
برخی Phishing را مخفف عبارت Harvesting Fishing Password (شکار کردن رمز عبور کاربر از طریق یک طعمه) و برخی دیگر آن را Fishing (استعاره از کلمه ماهیگیری) تعبیر کرده اند؛ اما در اصطلاح کامپیوتری به معنای شبیه سازی قسمت هایی از یک سایت آشنا یا معروف است تا با گمراه کردن کاربر، به اطلاعات شخصی وی دسترسی پیدا کنند.
فرایند کلاهبرداری از طریق فیشینگ
مرحله اول
مرحله دوم
مرحله سوم
تکنیک های فیشینگ
۱٫ دستکاری و تقلب در لینک ها و آدرس ها
ارسال لینک ها و آدرس های متعلق به سازمان های غیرواقعی و جعلی از طریق ایمیل، یکی از شیوه های متداول و رایج در فیشینگ است. در این تکنیک کلاهبردار تنها با تغییر یک یا چند حرف از حروف آدرس اصلی یا از دامین های فرعی گمراه کننده برای ایجاد آن ها استفاده می کند. محتوای ایمیل به قدری شبیه به نسخه اصلی و قانونی است که کاربر هیچ شکی به تقلبی بودن سایت نمی کند و به سایت اعتماد می کند. در این تکنیک برای گمراه کردن کاربر از اسامی معتبری مانند gmail یا از حرف @ در آدرس استفاده می شود تا بتواند اعتماد کاربر را جلب کند.
۲٫ دور زدن فیلتر
۳٫ وب سایت جعلی
کلاهبرداری از طریق فیشینگ با وب سایت جعلی تنها با ورود و بازدید قربانی از سایت جعلی رخ نمی دهد، بلکه ممکن است کلاهبردار با دستورات جاوا اسکریپت، نوار آدرس را تغییر دهید. درواقع فیشر با قرار دادن تصویر یک آدرس اینترنتی قانونی و موجه در نوار آدرس یا بستن نوار آدرس اصلی و باز کردن نوار آدرسی جدید با آدرسی اینترنتی قانونی و موجه، این کار را انجام می دهد.
حتی ممکن است کلاهبردار با استفاده از نقایص موجود در برنامه جاوا اسکریپت سایتی معتبر و قانونی، قربانی را به صفحه اینترنتی که در آن همه چیز از آدرس سایت گرفته تا گواهی امنیتی، همه درست و صحیح به نظر می رسند، هدایت کند.
در حقیقت لینک دادن به صفحه اصلی ترفندی برای به ثمر رساندن سرقت و انجام دادن حمله است. کشف این نوع حمله ها (که به کراس سایت اسکریپتینگ معروف هستند) برای افرادی که دانش لازم را ندارند، کار بسیار سختی است. فیشرها بدین دلیل از این تکنیک استفاده می کنند که گاهی ساب دامین های سایت تقلبی به اندازه ای طولانی است که در نگاه اول آدرس اصلی سایت قابل دیدن نیست.
۴٫ بدافزارهای فیشینگ
نرم افزارهایی هستند که معمولا از طریق پیوست های ایمیل یا به عنوان لینک دانلود مثلا یک فیلم به هدف تحویل داده می شود. سپس این بدافزارها بر روی کامپیوتر، موبایل یا سایر دستگاه ها نصب شده و اعمال مختلفی را انجام می دهند. این بدافزارها ممکن است اقدام به تغییر دادن محتوای صفحات کنند یا کاربر را به صفحات دلخواه هکر هدایت کرده، سپس از تکنیک های دیگر برای به دست آوردن اطلاعات مهم استفاده کنند.
۵٫ فیشینگ از طریق تلفن
حملات فیشینگ فقط به اینترنت محدود نمی شوند و ممکن است فیشینگ با تلفن صورت پذیرد. در این روش مهاجم با فرستادن پیام، خود را کارمند بانک جا می زند و از مشتری می خواهد برای رفع مشکل حسابش در اسرع وقت، با یک شماره (که یک سرویس تلفن اینترنتی و متعلق به کلاهبردار است) تماس بگیرد.
به محض تماسِ مشتری دستوراتی به او داده می شود تا شماره حساب و رمز خود را وارد کند و به اصطلاح در قلاب ماهیگیر بیفتد. در این روش فیشرها برای واقعی جلوه دادن تماس، گاهی اوقات از داده های جعلی برای کالر آی دی (نمایش شماره تماس گیرنده روی تلفن) استفاده می کنند.
۶٫ فیشینگ از طریق پیام رسان
تلگرام، وایبر، واست آپ، یاهو مسنجر و…، برنامه های پیام رسانی هستند که برای کاربران خود امکان برقراری ارتباط متنی، صوتی و تصویری را با کاربران دیگری که در فهرست آن ها هستند، فراهم می سازند. هکرها می توانند با شناسایی دوستان هدف مورد نظر و ساخت حساب کاربری با مشخصات یکی از دوستان وی یا هک کردن اکانت یکی از دوستانش، به شخص مورد نظر دسترسی پیدا کنند.
۷٫ نرم افزارهای جاسوسی
در این تکنیک، فیشر از روش های مختلف مانند کلیک کردن بر روی یک لینک، نرم افزارهای جاسوسی را وارد سیستم می کند که این نرم افزار به صورت یک کد مخرب هیچ تخریب یا عمل دیگری انجام نمی دهد تا وقتی که کاربر آدرس یک وب سایت معروف مانند سایت یک بانک را درج کند، این نرم افزار به کار افتاده و کاربر را به صورت خودکار به یک وب سایت جعلی شبیه بانک هدایت می کند.
۸٫ سایر روش ها
نوع دیگری از حمله به این شرح است که قربانی را به وب سایت اصلی بانک ارجاع می دهند، سپس یک پنجره پاپ آپ در بالای صفحه سایت به شکلی در می آید که کاربر تصور می کند این صفحه و این سایت متعلق به بانک است. از این طریق اطلاعات حساس قربانی درخواست می شود که قربانی با اعتمادی که به سایت دارد، اطلاعات خود را وارد می کند.
روش دیگر که یکی از جدیدترین روش های فیشینگ است، تب نبینگ نام دارد. در این روش از صفحاتی که کاربر باز کرده استفاده می شود . کاربر به طور آهسته به سایت ساختگی ارجاع داده می شود.
نکاتی برای شناسایی و پیشگیری از حملات فیشینگ
۱٫ همان طور که بیان شد، بیشتر هدف فیشینگ دسترسی به اطلاعات شخصی و به ویژه اطلاعات مربوط به حساب شماست. احتیاط و بهترین روش برای جلوگیری از تحقق هدف فیش این است که حساب یا کارتی که با آن خدمات اینترنتی انجام می دهید، حداقل موجودی را داشته باشد؛ زیرا در صورت دسترسی کلاهبردار به اطلاعات شما ضربه زیادی به شما نمی رسد.
شایان ذکر است که اگر هم برای نقل و انتقالات خود سقف تعیین کنید، باز فیشر می تواند با خرید کالاهایی چون سکه موجودی کارت شما را خالی کند. همچنین از سیستم اطلاعات یک بار مصرف که در برخی از بانک ها فعال شده، استفاده کنید به این روش که در هر بار استفاده اینترنت، یک رمز برای شما پیامک می شود که با وارد کردن آن رمز فقط برای یک بار، می توانید فرایند خود را به اتمام برسانید.
۲٫ منطق این حملات بر این پایه روان شناسی استوار است که اعتماد قربانی را جلب کند. در این گونه حملات مهاجمان با ایجاد روابط صمیمی و دوستانه خود را به هدفشان نزدیک می کنند و پس از جلب اعتماد قربانی، از وی درخواست اطلاعات یا کاری را می کنند که به آن نیاز دارند. معمولا افرادی که با چاپلوسی و زبان بازی میانه خوبی دارند، می توانند در انجام این گونه حملات موفق باشند.
بنابراین با اعتماد نکردن بی دلیل و بیش از اندازه می توانید بیشتر حملات را ناکارآمد کنید. معیار شما برای اعتماد به طرف مقابل قانون باشد تا لطمه ای نبینید یا در صورت شکست احتمالی لااقل پشتوانه و حمایت قانون را داشته باشید.
۳٫یکی از روش های رایج در فیشینگ ارسال آدرس با ایمیل است. به هیچ وجه به آدرس ارسال کننده ایمیل اعتماد نکنید! اگر ایمیلی در پوشه هرزنامه یا اسپم شما بود، به احتمال زیاد محتوای آن یا تبلیغاتی است یا فیشینگ. این ایمیل های ناشناس و ضمائم آن ها را باز نکنید!
۴٫ آدرس سایت ها را خود وارد کنید و روی لینک هایی که از صحت آن ها مطمئن نیستید، کلیک نکنید.
۵٫ قبل از هرگونه اقدامی برای پیام دریافتی پیرامون درستی پیام تحقیق کنید. از آنجا که از هک شدن اکانت دوستتان اطلاع ندارید، بنابراین چنانچه به پیام هایش مشکوک شدید، با دوستتان به صورت تلفنی تماس بگیرید یا از سوال های از پیش تعیین شده استفاده کنید.
۶٫ اگر از شما درخواست پاسخ دادن یا فرستادن یک کد شده باشد، به هیچ وجه کد گفته شده را به آن شماره نفرستید.
۷٫ به خاطر داشته باشید که اصلاح اطلاعات حساب بانکی هیچ گاه به صورت تلفنی صورت نمی گیرد. چنانچه تغییر یا اصلاحی نیاز باشد، حتما باید به صورت حضوری و با امضای فرم های مشخص انجام شود. دریافت پیامی در این زمینه خبر از کلاهبرداری می دهد.
۸٫ همان طور که گفته شد، افراد معمولا به لینک هایی که متن آن ها خود به صورت لینک است، اعتماد کرده و بدون توجه به لینک اصلی، بر روی آن کلیک می کنند. با بردن اشاره گر ماوس بر روی لینک، در پایین مرورگر و در قسمت استاتوس بار، می توانید آدرس اصلی را که لینک به آن اشاره می کند، ببینید. به عبارت دیگر، هیچ وقت به متن لینک به عنوان آدرس آن نگاه نکنید.
۹٫ دانش خود را در مورد مباحث هک و امنیت و انواع آسیب پذیری ها افزایش دهید. با افزایش دانش خود نه تنها می توانید این حملات را تشخیص دهید، بلکه به دلیل آشنایی با مباحث در این زمینه از وسواس جلوگیری می شود و با اطمینان بیشتر می توانید از امکانات مدرن استفاده کنید.
۱۰٫ از ذخیره اطلاعات حساب یا اطلاعات خصوصی خود روی گوشی ها خودداری کنید.
۱۱٫ یکی از مواردی که زمینه ساز وقوع و موفقیت حمله فیشینگ است، بی حوصلگی و بی توجهی کاربران به هشدارهای امنیتی است. متاسفانه در اکثر موارد کاربران دقت و توجه کافی برای خواندن متن پیام های هشداری که به آن ها داده می شود، به کار نمی برند و این به نوبه خود این امکان را به سارق می دهد تا حمله خود را عملی سازد. از این رو پیشنهاد می شود اگر خسته شده اید، کارهای حساس بانکی و مالی برخط را کنار بگذارید؛ زیرا تمام کارهایی که در زمان خستگی انجام می دهید، می تواند ریسک بالای امنیتی را به همراه داشته باشد.
سایر روش های هک حساب کاربری آنلاین
روش هایی برای هک کردن حساب کاربری آنلاین
داکسینگ: انتشار عمومی اطلاعات مهم و محرمانه شخصی از طریق شبکه های اجتماعی.
فارمینگ: هدایت کاربران از یک وب سایت مشروع به وب سایت متقلب برای اهدافی نظیر استخراج اطلاعات محرمانه.
اسپوفینگ: فریب دادن کامپیوترها یا کاربران به وسیله مخفی کردن یا هویت های جعلی. ایمیل اسپوفینگ از یک ایمیل جعلی یا شبیه سازی آدرس ایمیل واقعی بهره می گیرد.
بیتینگ: کسی به شما حافظه فلش یا سی دی و… می دهد که در آن نرم افزار مخرب وجود دارد، به کامپیوتر شما وصل می شود و یک در (در پشتی) به هکرها می دهد تا به اطلاعات شما دسترسی داشته باشند.
کراس- سایت اسکربیتینگ: تزریق کدهای مخرب به سایت های مورد اعتماد شما.
مهندسی اجتماعی: استراتژی هایی برای گرفتن اطلاعات مهم از مردم بدون اینکه احساس کنند بازجویی می شوند.
فیشینگ: به صورت رایج به صورت یک ایمیل معمولی از طرف شخصی یا سازمانی است که در آن نرم افزار یا لینک مخرب تعبیه شده است.
[ad_2]