حملات فیشینگ و راههای پیشگیری از آن

حملات فیشینگ و راههای پیشگیری از آن

فیشینگ روشی برای سرقت اطلاعات حساب های کاربری ، خواه حساب بانکی یا غیر بانکی می‌باشد. به عنوان مثال لینک صفحه‌ای برای شما ارسال می‌شود که ظاهری دقیقا همانند صفحه پرداخت درگاه های اینترنتی دارد و اگر شما به آدرس صفحه URL دقت نکنید اطلاعات بانکی شما بجای بانک، نزد هکر انجام دهنده فیشینگ ارسال می‌شود.
البته فیشینگ صرفا محدود به سرقت اطلاعات بانکی نمی‌شود ، دزدیدن نام کاربری و اکانت شبکه های اجتماعی، ایمیل، اکانت شرکتی خاص و ... در مجموعه فیشینگ دسته بندی می‌شوند.
در ادامه بررسی تعریف دقیق فیشینگ و انواع رایج آن پرداخته و راه های مقابله با آن را نیز تشریح می‌کنیم.

تعریف فیشینگ

هر نوع تلاشی که شخصی برای فریب دادن شخص دیگری در راستای بدست آوردن اطلاعات مهمی همچون سرقت نام کاربری و گذرواژه او انجام می‌دهد را فیشینگ می‌گویند.
فیشینگ در مجموعه بزرگتری از انواع هک با نام مهندسی اجتماعی دسته بندی می‌شود. مهندسی اجتماعی یکی از روش های مرسوم هک است که بر مسائل فنی تاکیدی ندارد و با تکیه بر پایه‌های روانشناسی سوژه هدف عمل می‌کند.
به عنوان مثال در مهندسی اجتماعی با ایجاد احساس طمع جهت دریافت مبلغ بالای یک قرعه کشی بانکی از وی اطلاعات بانکی می‌گیرند.
یا با ایجاد ترس از قطع شدن سرویس‌های یارانه‌ای دولتی، همچون قطع یارانه، ابطال کارت سوخت، قطع سهمیه های دولتی و ... سوژه مورد نظر اطلاعات خود را در اختیار هکر قرار می‌دهد.
سایت ها یا ربات‌های دوست یابی، ربات های تلگرام، پیش نهاد تخفیف های عجیب و غریب و ... از روش های رایج برای مانور دادن روی جمع آوری اطلاعات در راستای مهندسی اجتماعی هستند.
البته همیشه در لیست روش های هک به سبک مهندسی اجتماعی نام فیشینگ هم حضور دارد، اما باید این نکته را نیز در نظر داشت که فیشینگ روش های تکنیکالی نیز دارد که مهار و مقابله با آن از حیطه ی اکثر کاربران معمولی خارج است و ما در این مقاله تنها به همین اشاره مختصر به این نکته بسنده می‌کنیم.

انواع روش های فیشینگ

نحوه عملکرد رایج ترین نوع فیشینگ را در ابتدای این مقاله بررسی کردیم . در اکثرعملیات های فیشینگ با شبیه سازی رابط گرافیکی یا همان صفحه وب دریافت اطلاعات ، مثل صفحه‌های لاگین‌، ثبت نام، فراموشی رمز، پرداخت و ... رو به رو هستیم .
مرسوم ترین روش های فیشینگ عبارتند از:

جعل صفحه وب

مرسوم ترین روش انجام فیشینگ، جعل صفحه وب است. مثال ابتدای این مقاله دقیقا در همین دسته بندی قرار می‌گیرد. انجام جعل صفحه وب روش های گوناگونی دارد که نسبت به خلاقیت کلاهبرداران اینترنتی رو به افزایش است.
در این روش شبیه سازی صفحات تا حدی ممکن است تمیز انجام شود؛ که حتی برنامه نویسان حرفه ای کامپیوتر را نیز گول بزند. (نگران نباشید و مقاله را تا انتها دنبال کنید).
یکی از راهکارهای متداول در روش جعل صفحه وب، استفاده از دامین مشابه وب سایت های معروف با پسوند متفاوت ، مثلا به جای .ir از پسوند .info استفاده شود. حروف بدنه اصلی دامین بسیار شبیه دامین های معروف و معتبر است.

روش های رساندن لینک فیشینگ به کاربر

  • پیامک حاوی لینک
  • ایمیل
  • پیام رسان ها (تلگرام، واتس آپ، اینستاگرام)
  • وب سایت های فاقد نماد اعتماد الکترونیکی
  • حملات تکنیکال در جهت قاپیدن کاربران از سایت های دیگر
  • اپلیکیشن های موبایل نامعتبر
و ...
شایان ذکر است روش های فیشینگ همواره در حال تحول است.

فیشینگ تلفنی

فیشینگی که با تماس تلفنی صورت گرفته  و سعی بر آن دارد تا اطلاعات شخص را از طریق تلفن به دست آورد. به عنوان مثال با شخص تماس می‌گیرند و خود را از نهاد یا سازمانی رسمی معرفی کرده و از مخاطب درخواست اطلاعات شخصی همچون تاریخ تولد، شماره شناسنامه و ... می‌کنند که هریک از این موارد پتانسیل این را دارند تا پسورد یکی از حساب های کاربری و یا بانکی شخص باشند.

فیشینگ با اس ام اس

اس ام اس معمولا بصورت روشی برای ارسال متنی حاوی لینک فیشینگ بکار می رود. اما گاهی از خود اس ام اس برای ارسال و دریافت اطلاعات استفاده می‌شود. بسیار مراقب لینک‌های ارسالی در اس ام اس ها باشید. 
مرکز ماهر اعلام کرده که بر اساس رصد صورت گرفته، حملات فیشینگ بانکی در کشور در دو ماه گذشته، رشد شدیدی داشته است. این حملات عموما با محوریت انتشار اپلیکیشن‌های اندرویدی مخرب یا جعلی صورت می‌‌ پذیرد.

فیشینگ با دستگاه POS یا عابربانک های جعلی

در هنگام استفاده از دستگاه های کارت خوان بانکی یا عابربانک‌ها نسبت به معتبر بودن بانک سرویس دهنده و همچنین دستگاه اطمینان حاصل کنید.

راههای پیش گیری از فیشینگ

مهمترین راه برای مقابله با فیشینگ، پیشگیری از آن به واسطه تواندهی کاربران اینترنت است. انسان دنیای امروز باید دانش پایه ای در رابطه با کلاهبرداری های اینترنتی و فیشینگ داشته باشد.
در این قسمت سعی بر آن شده تا برخی از روش های مهم در جهت پیشگیری از فیشینگ بررسی شود . دقت داشته باشید که این تمام کار نیست و کاربران باید چرخیدن در فضای اینترنت را همچون رانندگی هوشیارانه انجام دهند.

فیشینگ با اپلیکیشن های اندروید

اپلیکیشن های نامعتبر اندرویدی نیز راهکار خوبی برای کلاهبرداران اینترنتی هستند تا از طریق آنها بتوانند به حساب های کاربری و بانکی مخاطبان دسترسی پیدا کنند.

راهکارهای پیشگیری از فیشینگ

  • از یک آنتی ویروس جامع و مورد اطمینان، استفاده کنید.
  • به ایمیل های ناشناس یا دارای لینک و یا فرم ورود اطلاعات به راحتی اعتماد نکنید.
  • اگر لینکی از طرف نهاد یا سازمانی برای شما اس ام اس شد حتما سعی کنید از صحت وجود آن نهاد یا سازمان اطمینان پیدا کنید و اگر قرار است پرداختی انجام دهید مستقیما از وب سایت رسمی آن سازمان این کار را پیگیری کنید.
  • به url یا آدرس صفحه دقت کنید. در ایران همواره باید آدرس درگاه های پرداخت اینترنتی به وب سایت شاپرک مرتبط باشد.
  • اگر به لینک پرداختی شک کردید؛ حتما آن را از طریق وب سایت رسمی یا اپلیکیشن مورد اطمینان خرید محصول یا خدمات و ... پیگیری کنید.
  • رمزهای بانکی خود را چند وقت یکبار عوض کنید.
  • استفاده از رمزهای یکبار مصرف برای کارت های اعتباری بانکی یکی از بهترین روش هاست.
  • اگر از سایتی ناگهان به سایت دیگری که حاوی فرم دریافت اطلاعات است؛ منتقل شدید بسیار مراقب صحت و سلامت سایت مقصد نهایی باشید.

مثال هایی از فیشینگ 

در ادامه دو نمونه از فیشینگ های اتفاق افتاده را برای شما بصورت تصویری تهیه کردیم. در این مثال ها به آدرس صفحات و توضیحات مندرج زیر تصاویر دقت فرمایید.

فیشینگ
طراحی بی‌نظیر یک سایت فیشینگ (درگاه بانکی جعلی) به آدرس شاپرک. به دو کاراکتر A در آدرس دقت کنید!


فیشینگ بانکی

نمونه‌ای دیگر از طراحی‌های شبیه موارد واقعی فیشینگ، به آدرس توجه کنید از شاپرک استفاده نشده. 



مرکز ماهر، این توصیه‌ها را جهت کاهش احتمال قربانی شدن در این حملات  پیشنهاد داده است:

پرهیز از نصب هرگونه برنامک اندرویدی از منابعی غیر از توزیع‌کنندگان شناخته شده و معتبر به ویژه پرهیز از نصب برنامک‌های منتشر شده در شبکه‌های اجتماعی و کانال‌ها.
حساسیت بیشترنسبت به هرگونه پرداخت درون اپلیکیشن‌های موبایلی حتی در صورت دریافت آن از طریق توزیع‌کنندگان معتبر. لازم به توجه است که هرگونه پرداخت درون برنامه‌ باید با انتقال کاربر به آدرس معتبر درگاه پرداخت از طریق صفحه مرورگر صورت پذیرد.
توجه داشته باشید که برنامک‌های متعددی حتی از طریق توزیع کنندگان شناخته شده منتشر شده‌اند که با فریب کاربر و با استفاده از درگاه‌های پرداخت معتبر از کاربر وجه دریافت کرده ولی در عمل هیچ خدمتی ارائه نمی‌کنند.
درگاه‌های پرداخت صرفا در آدرس‌های معرفی شده از سوی شرکت شاپرک در این آدرس و بصورت زیردامنه‌هایی از shaparak.ir‌ (بدون هرگونه تغییر در حروف) معتبر می‌باشند. هر گونه آدرسی غیر از این نامعتبر بوده و لازم است ضمن خودداری از وارد کردن اطلاعات در آن، نسبت به گزارش آن به مرکز ماهر(cert@certcc.ir) یا پلیس فتا جهت پیگیری و مقابله اقدام گردد.
توجه داشته باشید صرف مشاهده مجوز HTTPS معتبر در وب‌سایت به معنی اعتبار آن نیست. حتما به آدرس دامنه‌ی وب‌سایت دقت کنید.

نقش فرهنگ سازی در مبارزه با فیشینگ

همیشه با خودتان  بیاندیشید که شاید یک روز خودم هدف قرار بگیرم. فرهنگ سازی یک راه حل بسیار متمدن و کم هزینه برای پیش گیری از جرم است. دقت داشته باشید فیشینگ عمدتا یک راه تکنیکال و بسیار پیشرفته نیست؛ بلکه نوعی کلاهبرداری و دزدی است.
به عنوان شهروندانی قانونمند و حمایت گر از امنیت در فضای مجازی نقش مهمی برای پیشگیری از انواع کلاهبرداری و دزدی اینترنتی در آینده داریم.
inoti در راستای حمایت از این رویه فرهنگ سازی شما را به شرکت در کمپینی با عنوان #فیشینگ_تخصص_نیست_کلاهبرداری_است دعوت میکند.
در راستای پیشگیری از فیشینگ سخن بسیار است و روش های مقابله با فیشینگ همواره در حال بروزرسانی است.از شما خواهش می‌کنیم تا تجربیات و نظرات خود را در راستای اطلاع رسانی به سایر کاربران اینترنت در این کمپین به اشتراک بگذارید.