امروزه استفاده از اینترنت به یک امر عادی و روزمره برای همه ما شده است. بسیاری از امور را می توان با استفاده از آن با صرف انرژی و هزینه و زمان کمتری انجام داد. یکی از مهم ترین کاربردهای اینترنت، استفاده از فروشگاههای آنلاین است که اخیراٌ بسیار مورد استقبال عموم قرار گرفته است. همیشه افراد سودجو و همیشه حاضر در صحنه در همه زمینه ها حضور داشته اند که هدفشان این است تا با استفاده از تکنینک های مختلف شروع به کلاهبرداری و سرقت کنند. یکی از تهدیداتی که متوجه اطلاعات شخصی هر کاربری می باشد، فیشینگ است. توجه داشته باشید که به افراد هکری که اطلاعات شما را فیشینگ می کنند، فیشر گفته می شود و به تمام این فرایند Phishing گفته می شود.
تعریف فیشینگ:
حمله فیشینگ نوعی تلاش است که از طریق جعل و به منظور به دست آوردن اطلاعات شخصی افراد و در بستر اینترنت انجام می شود. در این اقدام، فیشر (کسی که حمله را انجام میدهد) با استفاده از برخی متدها، اقدام به شبیهسازی یک وبسایت، برنامه و یا حتی یک سرویس کرده و یا استفاده از آن، اطلاعات کاربران را به سرقت میبرد.
شاخص ترین بازار هدف فیشینگ، شبکه های اجتماعی و وب سایت های پرداخت آنلاین هستند که درآن، با بدست آوردن اطلاعاتی مثل نام کاربری، گذر واژه، اطلاعات حساب بانکی و … به جعل یک وب سایت، ایمیل و … می پردازند. به بیان ساده تر کلاهبرداران برای فیشینگ و خالیکردن حساب افراد از موضوعات جذابی مانند کارت سوخت، قطع یارانه، سبد حمایتی خانوار و خرید شارژ اینترنت رایگان سوءاستفاده میکنند.
پیشینه:
سال 1990: فیشینگ مبتنی بر الگوریتم
America Online (AOL) برای اولین بار در اوایل دهه 1990 مفهوم فیشینگ را معرفی کرد. اولین فیشرها در آن زمان، الگوریتمی را ساختند که به طور تصادفی به تولید شماره کارت اعتباری می پرداخت و از آن طریق وارد حساب های اصلی AOL می شدند. هنگامی که یکی از شماره های تصادفی تولیده شده با شماره حساب اصلی مطابقت پیدا می کرد، نفوذ کرده و اطلاعات آن را دستکاری می کردند.
سال 2000: فیشینگ ایمیل
نسل بعدی فیشرها پیشرفته تر و باهوش تر بودند. این نوع Phishing هزینه کمتری داشت وبسیار راحت تر جعل اطلاعات را انجام می داد. با این حال در سال های اول این نوع فیشینگها به راحتی قابل تشخیص بودند چون اشکالات گرامری زیادی داشتند.
سال 2003: کلاهبرداری از طریق دامنه وبسایت (دامین)
فیشرها پس از گذشت 3 سال روش جدیدی را به کار گرفتند. شروع به خرید دامنههایی مشابه دامنه های مشهور مثل yahoo-info.com و manager-apple.com کردند. این دامنه ها به آن ها در ارسال ایمیل های ساختگی بصورت مستقیم به قربانیان کمک کردند. در همان سال، کاربران Paypal هنگامی که ایمیلی مبنی بر تایید اعتبار حساب هایشان دریافت می کردند، مورد فیشینگ قرار گرفتند و فیشینگ ایمیل به این شرکت آسیب زد.
سال 2018: فیشینگ از طریق HTTPS
در این مرحله انواع مختلفی ابداع گردید و فیشینگ وارد مرحله جدیدی از کلاهبرداری شد به طوریکه Cybersecurity Ventures گزارش می دهد که خسارت های جرایم سایبری تا سال 2021 سالانه 6 تریلیون دلار آمریکا پیش بینی می شود – که فیشینگ نقش مهمی در آن را بازی می کند.
چند نمونه از روشهای فیشینگ عبارتند از:
- فیشینگ با جعل درگاه های پرداخت بانکی: در این روش فیشرها شماره کارتهای بانکی افراد را بدست آورده و به بهانه فروش کالا اطلاعات دیگر کارت را از افراد می گیرند.
- فیشینگ با جعل صفحات شبکه های اجتماعی: در این روش، فیشر با طراحی وبسایتی بسیار مشابه به وبسایت اصلی، اطلاعات کاربران را دریافت میکند. گاهی آنقدر آدرس سایت جعلی مشابه سایت اصلی است که تشخیص آن ها توسط کاربران به حداقل می رسد. در سال ۲۰۰۶، از این روش برای حمله به پیپل استفاده شد.
- فیشینگ ایمیلی: در این روش ایمیلی از ادرس جعلی و بسیار مشابه به آدرس اصلی برای کاربران ارسال می شود و کاربر را به کلیک بر روی لینک ارسال شده تشویق می کند. سپس به دریافت اطلاعات کارت های بانکی افراد می پردازد.
- فیشینگ تلفنی: در این روش، فیشینگ از طریق برقراری تماس با کاربران انجام می شود و فیشر با به کارگیری تکنیک هایی، اعتماد افراد را جلب کرده و آن ها را مجاب به بازگویی اطلاعات بانکی خود می کنند.
- فیشینگ پیامکی: همانند روش قبلی و تنها با این تفاوت که فیشینگ با ارسال پیامک انجام می شود.
- فیشینگ اطلاعات با شبکه وایرلس نا امن: درحقیقت Phishing از طریق شبکه وای فای عمومی و رایگان در برخی اماکن عمومی انجام می گردد. مسئول امنیتی به خصوص پلیس فتا بسیار درباره این نوع کلاهبرداری هشدار داده اند.
روشهای مقابله با Phishing:
- استفاده از فایروال
- مسدود کردن پاپ آپ ها
- بروز رسانی نرم افزارهای مرورگر
- استفاده از toolbarهای ضد فیشینگ
- نصب آنتی ویروس بر روی رایانه و تلفن همراه
- داشتن آگاهی درباره جدیدترین روش های فیشینگ
- عدم کلیک بر روی لینک های تبلیغاتی وب سایت های نامعتبر
- عدم ارسال اطلاعات مهم شخصی و مالی از طریق اینترنت به خصوص از طریق ایمیل
در دنیای امروز که اطلاعات و دیتاهای مهم همه ما در بستر اینترنت وجود دارد خطرات زیادی تهدیدکننده ما هستند. برای جلوگیری از سوء استفادههای احتمالی بالا بردن آگاهی و اطلاعات در این خصوص امری واجب است. امیدواریم با خواندن این مقاله اطلاعات مفیدی در اختیارتان گذاشته باشیم. در مقالات بعدی در تکنوکلاینت به موارد دیگری در این خصوص نیز میپردازیم.