سرقت دارائی‌های افراد و سازمان‌ها نیازمند عبور از ابزارهای بازدارنده و گشودن قفل‌های محافظ است. اما بسیاری از سارقین به‌جای تلاش برای مواجهه مستقیم با این نوع موانع، تلاش می‌کنند تا صاحبان این دارائی‌ها را به استخدام اهداف خود درآورند. بنا بر این بیت قدیمی از سنایی که: «چو دزدی با چراغ آید گزیده‌تر برد کالا»، برخی از سارقین در فضای مجازی نیز تلاش می‌کنند که با فریبکاری اطلاعات حیاتی کاربران را سرقت کرده و با کمک خود آنها، قدم‌های بعدی را راحت‌تر بردارند.

این نوع کسب اطلاعات که به نام فیشینگ شناخته شده از دهه ۹۰ میلادی مورد توجه بوده اما در سال‌های آخر قرن بیستم و با شتاب گرفتن کاربرد اینترنت و ابزارهای ارتباطی در رایانه‌ها، به‌طور عمومی شناخته شد. نام فیشینگ به مجموعه‌ای از فعالیت‌ها اطلاق می‌شود که با جعل نام، متن ایمیل، صفحه سایت، … تلاش می‌کند که کاربر را فریب داده و اطلاعات لازم برای دسترسی به داشته‌های الکترونیک وی از جمله نام کاربری، حساب بانکی، گذرواژه و موارد مشابه را به‌دست آورد. واژه‌ی فیشینگ، کوتاه شده عبارت Password Harvesting Fishing به معنای شکار گذرواژه کاربر از طریق یک طعمه است، در این واژه برای القاء مفهوم فریفتن به‌جای حرف F از PH استفاده شده است. در هر صورت فارغ از شکل نوشتاری، این کلمه بیانگر همه انواع تلاش‌هایی است که برای فریفتن کاربر با هدف به‌دست آوردن اطلاعات حساس وی انجام می‌شود.

شیوه کار فیشینگ

در حملات فیشینگ، سارقین تلاش می‌کنند که با ایجاد شرایط مختلف کاربر را به نحوی گمراه سازند که اطلاعات حساس خود را در اختیار آنها بگذارد. در واقع فیشینگ یکی از شیوه‌های موسوم به مهندسی اجتماعی که همه اقدامات فریبکارانه‌ای را که منجر به همراه کردن کاربر برای سرقت اطلاعات حساس او می‌شود، دربر می‌گیرد. این اطلاعات می‌تواند شامل نام کاربری و گذرواژه، اطلاعات حساب بانکی و موارد مشابه است. در این نوع حملات مهاجمان باهدف افزایش ضریب موفقیت خود تلاش می‌کنند ابتدا به‌گونه‌ای اعتماد کاربر را جلب کنند. شاید شما نیز با ایمیل‌هایی مواجه شده باشید که با ادعاهایی همچون افزایش امنیت حساب کاربری، یا وعده تصاحب جایزه‌ای بزرگ کاربر را تشویق به وارد شدن به یک صفحه خاص و ارسال اطلاعات مختلف می‌نماید.

سارقین اطلاعات در حملات از نوع فیشینگ از روش‌های مختلفی استفاده می‌کنند که شناخته‌شده‌ترین آنها عبارت است از:

  • سایت‌های تقلبی: یکی از فریبکارانه‌ترین اقدامات سارقین ایجاد سایت‌های جعلی اما با شمایل کاملاً مشابه سایت‌های اصلی است. مهم‌ترین انواع سایت‌هایی که سارقین برای ساخت نمونه تقلبی آنها تلاش می‌کنند، سایت‌های عملیات بانکی و مالی است، گرچه همه انواع صفحاتی که اطلاعات حساس کاربر را دریافت می‌کنند، می‌توانند موضوع اقدامات فریبکارانه باشند. در یک نمونه از این موارد در خبرها می‌خوانیم: “… برخی شهروندان با مراجعه به پلیس فتای تهران از کلاه‌برداری در پوشش انصراف از یارانه شکایت کردند، آنها اعلام کردند پیامک‌هایی دریافت کرده‌اند که چنانچه اطلاعاتشان به‌روز نشود یارانه آنها قطع خواهد شد. بعد هم به این بهانه از آنها اطلاعات حساب، شماره کارت، رمز دوم، نام پدر و CVV2 درخواست شده است… مشخص شد متهم سایت‌های جعلی راه‌اندازی کرده و با ارسال پیامک انبوه به مردم، آنها را به این سایت راهنمایی و پس از وارد کردن اطلاعات از حساب آنها پول برداشت می‌کند… تاکنون فقط در تهران ۳۴ شاکی که به این روش هدف کلاه‌برداری قرار گرفته‌اند، شناسایی شده‌اند… از این افراد بیش از ۳۰۰ میلیون تومان سرقت شده و پرونده در سایر استان‌ها نیز در حال پیگیری است.”
  • نشانی‌های ایمیل ساختگی: ایجاد نشانی‌های ساختگی یکی از شیوه‌های متداول فیشینگ است. در این روش، سارقین نمونه‌هایی مشابه با نشانی‌های سازمان‌ها و شرکت‌های معتبر ایجاد می‌کنند که تفاوت اندکی با نمونه واقعی دارد به‌گونه‌ای که کمتر مورد توجه کاربر قرار می‌گیرد. این نشانی‌ها عموماً به‌وسیله ایمیل برای کاربران ارسال شده و آنها را تشویق به ارسال اطلاعات حساس می‌نماید.
  • تماس‌های تلفنی ساختگی: در برخی اقدامات فریبکارانه پیام‌هایی که ظاهراً از طرف بانک فرستاده شده و از کاربر می‌خواهد تا مثلاً به دلیل وجود ایراد در حسابشان، شماره خاصی را شماره‌گیری کنند، پس از گرفتن شماره (که متعلق به سارق اطلاعات است) از کاربر خواسته می‌شود تا شماره حساب و پین (PIN) خود را وارد کند. به این نمونه توجه کنید: “معاون تشخیص و پیشگیری پلیس فتا به فیشینگ‌های تلفنی نیز اشاره کرد و گفت: در این مورد پیام‌هایی به ظاهر از سوی بانک ارسال می‌شود که طی آن از مخاطب درخواست می‌شود، جهت رفع نقصی از حساب خود، شماره خاصی را شماره‌گیری کند. بعد از گرفتن شماره که متعلق به فیشر است، از کاربر خواسته می‌شود تا شماره حساب و رمز خود را نیز وارد کند؛ در صورت اجابت این درخواست، مخاطب مورد بزه قرارگرفته و اطلاعات وی به سرقت می‌رود.”
  • هدایت به سایت‌های جعلی: یکی دیگر از نمونه‌های فیشینگ، انتقال کاربر به سایت‌های جعلی است. در این روش از طریق فعال شدن یک جاسوس‌افزار (spyware) که هیچ کار مخرب حساسیت‌زا انجام نمی‌دهد، کاربر در هنگام باز کردن مرورگر اینترنتی به سایت‌های جعلی هدایت و با ارسال انواع پیغام‌ها از او درخواست اطلاعات حساس می‌شود. در برخی نمونه‌های دیگر نیز دیده شده که مراجعه به برخی سایت‌ها منجر به باز شدن خودکار صفحات جدیدی می‌کند که کاربر را به سایت‌های جعلی مشابه با سیات های معتبر هدایت کرده و از او درخواست وارد کردن اطلاعات حساس را می‌نمایند.

مقابله با فیشینگ

مقابله با فیشینگ در قدم نخست نیازمند افزایش دقت و حساسیت کاربران است. بسیاری از حملات فیشینگ در همان گام نخست با رعیت برخی اقدامات کاربران قابل شناسایی و پیشگیری است. اما برخی ابزارها و روش‌های نرم‌افزاری نیز برای مقابله با این مشکل ایجاد شده است.

برای پرهیز از افتادن در دام ترفندهای فیشینگ لازم است کاربران توجه کنند که:

  • شک کنید: ایمیل‌های ناشناس، نشانی‌ها سایت‌های جدید، یا تغییرات کوچک در ظاهر سایت‌هایی مانند بانک و فروشگاه‌های آنلاین را با دقت و شک بررسی کنید.
  • هرگز از طریق پیوندهای موجود در ایمیل‌ها به سایت‌های مربوط به حساب‌های حساس خود وارد نشوید.
  • ایمیل‌ها و پیام‌هایی که تلاش می‌کند شما را با وعده جایزه و موارد مشابه تشویق به مراجعه به برخی سایت‌ها و یا ارسال اطلاعات کند، با تردید بررسی کنید.
  • در صورت دریافت پیام‌های که ادعا می‌شود از بانک‌ها و مؤسسات و سازمان‌های قابل اعتماد شما است، نشانی فرستنده پیام و مشخصات و محتویان آن را با دقت بررسی کنید. و برای اطمینان به سایت اصلی مراجعه نمایید. در برخی موارد ارسال‌کنندگان ایمیل‌های فیشینگ بخشی از متن را که می‌تواند توسط نرم افزارهای ایمنی شناسایی شود به‌صورت تصویر ذخیره کرده و در متن ایمیل قرار می‌دهند. وجود هرکدام از این موارد در یک ایمیل را زنگ خطر جدی تلقی کنید.
  • حملات فیشینگ محدود و منحصر به حساب‌های بانکی نیست، این نوع حملات برای دریافت هرگونه اطلاعات حساس شما انجام می‌شود.

برخی از شرکت‌های بزرگ تلاش‌هایی را برای شناسایی مراکز اجرای حملات فیشینگ انجام داده‌اند اما این اقدامات در صورت کم‌توجهی کاربران، اثربخشی مناسبی ندارند. اما این تلاش‌ها همچنان ادامه دارد. در یک دسته‌بندی کلی مقابله نرم‌افزاری با فیشینگ از روش‌های زیر انجام می‌شود:

الف) مرورگرهای اینترنتی: مرورگرهای شناخته شده اینترنتی حاوی امکانات مقابله با فیشینگ هستند و  لازم است کاربران با به‌روزرسانی مداوم مرورگرهای خود از این امکانات بهره ببرند.

ب) خدمات دهنده های ایمیل: بسیاری از نرم‌افزارهای خدمات دهنده ایمیل به امکانات مقابله با فیشینگ تجهیز شده و بر اساس بانک اطلاعات حاوی نشانی‌های ارسال‌کنندگان پیام‌های فیشینگ، مانع دریافت این پیام‌ها شده یا آنها را برای توجه کاربر علامت‌گذاری می‌کنند.

ج) نرم‌افزارهای مقابله با فیشینگ: این نوع نرم‌افزارهای یا به‌صورت مستقل یا به‌عنوان بخشی از یک نرم‌افزار ایمنی فعالیت می‌کنند. نکته مهم در مورد استفاده از این نرم‌افزارها، ضرورت به‌روز رسانی مستمر آنهاست. فهرست برخی از این نرم‌افزارها را از اینجـا ببینید.

سایر منابع مفید

همچنین می‌توانید برای دریافت اطلاعات بیشتر درباره حملات فیشینگ و شیوه‌ها و ابزار مقابله با آن به این مطالب مراجعه کنید:


ویدیوهای آموزشی امن گذر را از اینـجـا ببینید.


برای دسترسی به آرشیو بخش امن گذر، اینـجا و همینطور اینـجا را کلیک کنید.