no-img
فایل پیک

فیشینگ چیست؟ | فایل پیک


فایل پیک
اطلاعیه

گزارش خرابی لینک
اطلاعات را وارد کنید .

ادامه مطلب

فیشینگ چیست؟
امتیاز 5.00 ( 2 رای )
zip
بازدید: 612
25 دسامبر 2018

فیشینگ چیست؟


فیشینگ در انگلیسی Phishing به تلاش کردن هکرها برای بدست آوردن اطلاعات مهم، از جمله نام کاربری، رمز عبور ، اطلاعات حساب بانکی، اطلاعات کارت بانکی و … گفته می شود.

احتمالا برای شما هم این سوال ایجاد شود که فیشینگ واقعا چیست و آیا می تواند مشکل ساز باشد؟ سالانه میلیون ها نفر در جهان با افتادن به دام هکر های فیشنگ، ضررهای مالی و معنوی بسیار سنگینی را متحمل می گردند.

فیشینگ دقیقا چیست؟

بسیاری از کارشناسان و مهندسین شبکه و کامپیوتر، فیشینگ را اینگونه مطرح می کنند که هکرها با جعل صفحات بانک، ایمیل و … اطلاعات کاربر را به سرقت می برند. ولی واقعیت در مورد فیشینگ بسیار فراتر از این نظریه می باشد. فیشینگ را می توانیم اینگونه تشریح کنیم که در گام نخست، فیشینگ در واقع یک تکنیک مهندسی اجتماعی می باشد که هکر با استفاده از آن کاربر را ترغیب می کند از لینکی که برایش ارسال شده است، استفاده کند. مهارت بالا در مهندسی اجتماعی اولین و مهمترین تکینک در اجرای نقش فیشینگ می باشد که یک هکر در صورت عدم توانایی، در اجرای این تکنیک هر چقدر هم صفحاتی مشابه صفحات اصلی ایجاد کند، باز هم احتمال موفقیت آن بسیار پایین است.

یک هکر حرفه ای معمولا با تکنیک بسیار بالا، ابتدا قربانی خود را به دقت شناسایی و سپس از نقطه ضعف ها، علایق ، احساسات و … قربانی استفاده می کند، تا لینک حاوی صفحه جعلی سایت خود را در اختیار ایشان قرار دهد. هکر ها در این زمینه آنقدر مهارت دارند که به قربانی این اعتماد را می دهند که لینک ارسالی آنها کاملا قابل اعتماد و استناد می باشد.

فیشنگ چند نوع است؟

فیشنگ جهت جمع آوری اطلاعات

در این نوع فیشینگ که در ایران بسیار مرسوم نمی باشد، یک هکر اقدام به ارسال پیام های بسیار زیبا و پر مفهوم به کاربران می کند و اطلاعات مهم و قابل توجه ایشان را برایش ارسال می کند و سپس از او در خواست می کند از طریق لینکی که در اختیار او قرار داده است اقدام به ثبت نام کند. به عنوان مثال “شما برنده 1 میلیون دلار شده اید، جهت ادامه به لینک زیر مراجعه و با ثبت اطلاعات خود منتظر تماس تلفنی ما باشید” . هکر با این جمله کاربر را مجاب می کند که اطلاعات درخواستی را در فرم ثبت نام وارد کند. از آنجایی که کاربر احساس می کند با پر کردن فرم و ثبت نام، چیزی را از دست نمی دهد، اقدام به تکمیل فرم با اطلاعات واقعی نموده و ارسال می کند. کار هکر در اینجا به اتمام می رسد. اطلاعات مورد نیاز کاربر دریافت و ذخیره شد، حالا نوبت استفاده از آنها می باشد. استفاده از پسورد های وارد شده جهت تست پسورد ایمیل ، حساب کاربری در سایت ها و …

فیشینگ جعل وب سایت

محبوبیت این نوع فیشینگ در بین هکرهای ایرانی بسیار بالا می باشد. در این نوع فیشینگ، هکر یک صفحه با دقت بسیار بالا و کاملا مشابه صفحه اصلی یک سایت طراحی می کند و با استفاده از ارسال کاربر به مسیر این صفحه، اطلاعات بسیار مهم کاربر را دریافت می کنند. به عنوان مثال خود بنده با مجموعه ای از هکرها برخورد کرده بودم که روش کار آنها بدین صورت بود؛ یک صفحه جعلی با نام بسیار شبیه سایت یکی از اپراتور های موبایل کشور طراحی نموده بود و در این صفحه کاربران را مجاب می کرد که برای دریافت جایزه خود روی لینک زیر کلیک و ثبت نام کنید. هزینه ثبت نام فقط 1000 ریال می باشد. کاربر با مشاهده مبلغ بسیار ناچیز و با توجه به اینکه سایت دارای دامنه بسیار شبیه به دامنه برند را دارا می باشد و همچنین طراحی سایت نیز کپی سایت اصلی می باشد، اعتماد می کند و با کلیک به صفحه بعد ارجاع داده می شود. در صفحه بعد از کاربر مشخصات و آدرس دریافت می شود و سپس جهت تایید فرایند و واریز مبلغ ناچیز 1000 ریالی به صفحه بانک جعلی ارجاع داده می شود. نکته بسیار جالب در این فیشینگ صفحه پرداخت آن بود؛ که دقیقا مشابه صفحه اصلی شبکه پرداخت بانکی کشور بود و تنها تفاوت آن در یک کاراکتر و پسوند دامنه بود که خود بنده به عنوان یک کارشناس واقعا در نگاه اول احساس کردم صفحه واقعی بانک می باشد. ساب دامنه های واقعی، صفحات آدرس واقعی و حتی گواهینامه SSL روی دامنه، کاربر با مشاهده این صفحه و به خیال اینکه صفحه بانک می باشد، مشخصات کارت بانکی خود را وارد کرده و بعد از پرداخت به صفحه اپراتور موبایل بازگشت داده می شد. هیچ مبلغی از کاربر کسر نمی شد. در واقع مشخصات کارت بانکی کاربر در اختیار هکر قرار داشت.

همچنین هکر ها معمولا از باگ های XSS هدایت کننده بین سایتها نیز استفاده می کنند تا کاربران را به لینک دلخواه خود هدایت و اطلاعات کاربر را ذخیره کنند.

فیشینگ تلفنی

این نوع فیشینگ در ایران بصورت غیر رسمی استفاده می گردد ولی با هوشیاری زیاد و اطلاع رسانی های دقیق جلوی فعالیت این نوع هکرها در ایران گرفته شده است. در این نوع فیشینگ هکر با تماس از تلفن ثابت (که بعضا شماره آنها نیز جعلی بود) به قربانی تبریک می گفتند که برنده هدیه بسیار ارزشمند شده اند و از او جهت دریافت جایزه یا درخواست واریز وجه و یا درخواست اطلاعات حساب بانکی می کردند. حتی در برخی موارد با ارسال اس ام اس  به کاربر درخواست ارسال شماره کارت و مشخصات بانکی خود جهت ثبت در سامانه های مهم کشوری می کردند

البته هکرهای بین المللی طبق ادعاهای جدید، قادر هستند از طریق این تماس ها و با شگرد های خاص خود تلفن همراه قربانی را هک کنند.

روش های جلوگیری و کشف فیشینگ چیست؟

تشخیص سایتهای فیشینگ بسیار ساده است، ولی نیازمند کمی دقت در تمام مراحل استفاده از اینترنت می باشد که در زیر به آنها اشاره می کنیم:

  • از آدرس سایتی که قصد وارد نمودن اطلاعات و ثبت آنها دارید بصورت چند باره چک و سپس اطلاعات خود را وارد کنید.
  • در صورت شک به دامنه حتما از دامنه هویز گرفته شود.
  • آدرس سرویس های ایمیل را به هیچ عنوان بدون چک وارد نشوید.
  • قبل از باز نمودن لینک های داخل یک ایمیل ابتدا از ارسال کننده ایمیل و اصالت آن اطمینان حاصل کنید.
  • به هیچ عنوان پیوست ایمیل های ناشناس را باز نکنید.
  • به ایمیل های مشکوک پاسخ ندهید.
  • به عنوان ایمیل های: اطلاعات حساب بانکی شما، حساب شما مسدود شد، جهت فعال سازی مجددا اکانت شما و … بی اعتنا باشید.
  • ایمیل های با عنوان: شما برنده این ماه ما شدید، جهت دریافت جایزه ثبت نام کنید و …. مطئنا تنها هدفی دارند و آن هم هک اطلاعات خصوصی شماست.
  • حتما روی سیستم کامپیوتری خود که تمامی مبادلات و ارتباطات خود را با آن برقرار می کنید از نرم افزاری های آنتی ویرس معتبر و مخصوصا با قابلیت پشتیبانی از اینترنت که با نام Internet Security و یا Smart Security و امثال آنها معروف هستند، استفاده کنید و همیشه اجازه آپدیت را به آنتی ویروس خود بدهید.


موضوعات :
مقالات کاربردی
برچسب‌ها :
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

درباره نویسنده

فرشته ظریف

فرشته ظریف هستم متولد 1377 به از فیلم های تخیلی خوشم میاد و دلم می خواد در زمان پیشرفت بشر باز هم باشم همیشه می تونید به من ایمیل بزنید

فرشته ظریف 161 نوشته در فایل پیک دارد . مشاهده تمام نوشته های

دیدگاه ها


پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *