حمله فیشینگ (Phishing) یک نوع حمله سایبری است که در آن، هکرها با استفاده از روشهایی مانند ارسال ایمیلهای جعلی یا ساخت صفحات وب جعلی، سعی میکنند از کاربران اینترنتی اطلاعات حساس و مهمی مانند رمز عبور، اطلاعات بانکی، شماره کارت اعتباری و غیره را دریافت کنند و سپس از آنها برای هدفهای خود بهرهمند شوند.
هدف اصلی حمله فیشینگ
گاهی اوقات هکرها از شناسایی خطاهای امنیتی در سایتهای واقعی استفاده میکنند تا کاربران را به یک صفحه جعلی هدایت کنند. بهطورکلی، هدف اصلی حمله فیشینگ، دستیابی به اطلاعات حساس کاربران است. با دریافت این اطلاعات، هکرها میتوانند به حسابهای بانکی یا سایر حسابهای آنلاین کاربران دسترسی پیدا کنند و از آنها سوء استفاده کنند. برای جلوگیری از حمله فیشینگ، کاربران باید هویت ارسالکننده ایمیل یا مسنجر را بررسی کنند و در صورت شک، از طریق راههای ارتباطی مستقیم با شرکت یا سازمان مورد نظر، اطلاعات را تأیید کنند. همچنین، استفاده از رمزهای یکبار مصرف و تأییددو مرحلهای برای ورود به حسابهای آنلاین نیز میتواند از خطرات حمله phishing کاسته شود.
روش های شناسایی فیشینگ
هکرها ممکن است از روشهایی مانند ارسال پیامهای متنی (SMS) جعلی، ساخت صفحات وب جعلی (Phishing websites) ساخت نرمافزارهای جعلی (Malware) استفاده از شبکههای اجتماعی برای جذب کاربران و سایر روشها استفاده کنند. فیشینگ کارت بانکی، فیشینگ اینستاگرام و فیشینگ حساب بانکی، همه یک نوع حمله سایبری هستند که در آن، هکرها با استفاده از روشهایی مانند ارسال ایمیلهای جعلی، ساخت صفحات وب جعلی و استفاده از شبکههای اجتماعی، سعی میکنند از کاربران اینترنتی اطلاعات حساس و مهمی مانند رمز عبور، اطلاعات بانکی، شماره کارت اعتباری و غیره را دریافت کنند و سپس از آنها برای هدفهای خود بهرهمند شوند.
سایتهای فیشینگ نیز به صفحات وب جعلی گفته میشود که با ظاهری شبیه به صفحات وب رسمی یک سازمان یا شرکت، سعی میکنند کاربران را به وارد کردن اطلاعات حساس خود مانند نام کاربری، رمز عبور، اطلاعات بانکی و شماره کارت اعتباری در آن صفحه وب جعلی تشویق کنند. با وارد کردن این اطلاعات به صفحه جعلی، اطلاعات شخصی و حساس کاربر به دست هکرها میرسد و آنها میتوانند از آن به عنوان یک درگاه برای دسترسی به حساب بانکی، استفاده کنند.
روشهای جلوگیری از فیشینگ
بهطور کلی، تلاش برای گرفتن اطلاعات از کاربر با جعل وبگاه (attempt to trick a person into revealing information) هدف فیشینگ است. برای مقابله با سایتهای فیشینگ و حملات فیشینگ به حساب بانکی و کارت بانکی، باید اقدامات مناسبی را برای محافظت از اطلاعات حساس خود انجام دهید. این اقدامات میتواند شامل موارد زیر باشد:
- هرگز رمز عبور یا اطلاعات حساس خود را در لینکها و وبسایتهای ناشناس اعلام نکنید.
- از امضای دیجیتال برای تایید هویت ایمیلها استفاده کنید.
- هرگز لینکهای ایمیلهای مشکوک را کلیک نکنید.
- بهطور متناوب رمز عبور و اطلاعات حسابهای خود را عوض کنید.
- از اسکنرهای ویروسی مطمئن و نرمافزارهای امنیتی روزآمد استفاده کنید تا از آلوده شدن کامپیوتر و نفوذ کلاهبرداران جلوگیری کنید.
- هرگز اطلاعات حساس و رمزهای عبور را با ایمیل یا پیامک ارسال نکنید.
- اطمینان حاصل کنید که همیشه به صفحات رسمی بانکها و سایر سازمانها مراجعه میکنید و هرگز به صفحات وب جعلی وارد نمیشوید.
- از رمز عبور قوی و یکتا استفاده کنید و هیچگاه از یک رمز عبور برای حسابهای مختلف استفاده نکنید.
- همواره بهروزرسانی سیستمعامل و نرمافزارهای مورد استفاده خود باشید.
- استفاده از سرویسهای تأیید هویت دو مرحلهای برای ورود به حسابهای آنلاین.
هزینه حملات فیشینگ
سخت است که هزینه کل ناشی از کلاهبرداری های فیشینگ را بپردازیم، زیرا ضرر و زیان می تواند از چند دلار برای یک حمله فیشینگ علیه یک نفر تا حملات فیشینگ موفق علیه سازمان های بزرگ با هزینه میلیون ها دلار متغیر باشد. یک مقاله تحقیقاتی نشان میدهد که هزینه فیشینگ برای شرکتهای بزرگ تقریباً 15 میلیون دلار در سال است، در حالی که FBI پیشنهاد میکند که هزینه کل حملات آنلاین بیش از 43 میلیارد دلار برای مشاغل آمریکایی در سالهای اخیر هزینه داشته است.
smishing چیست؟
Smishing مخفف یا کوتاه شده SMS phishing است. ظهور سرویسهای پیامرسانی تلفن همراه به ویژه پیامرسان فیسبوک و واتساپ، روش جدیدی برای حمله به فیشرها ارائه کرده است. مهاجمان حتی نیازی به استفاده از ایمیلها یا برنامههای پیامرسان فوری برای رسیدن به هدف نهایی توزیع بدافزار یا سرقت اعتبار ندارند. ماهیت اتصال به اینترنت ارتباطات مدرن به این معنی است که پیامهای متنی نیز یک عامل حمله موثر هستند.
فیشینگ نیزه ای چیست؟
این نوع فیشینگ برای افراد یا شرکتهای خاصی انجام میشود، از این رو اصطلاح فیشینگ نیزهای به آن گفته میشود. با جمع آوری جزئیات یا خرید اطلاعات در مورد یک هدف خاص، مهاجم میتواند یک کلاهبرداری شخصی را راه اندازی کند. این در حال حاضر موثرترین نوع فیشینگ است و بیش از 90 درصد از حملات را به خود اختصاص میدهد.
کلون فیشینگ چیست؟
کلون فیشینگ شامل تقلید از ایمیل قانونی ارسال شده قبلی و اصلاح پیوندها یا فایل های پیوست شده به منظور فریب قربانی برای باز کردن یک وب سایت یا فایل مخرب است. به عنوان مثال، با گرفتن یک ایمیل و پیوست کردن یک فایل مخرب با نام فایل مشابه با فایل پیوست شده اصلی و سپس ارسال مجدد ایمیل با یک آدرس ایمیل جعلی که به نظر میرسد از فرستنده اصلی است، مهاجمان میتوانند از اعتماد آن سوء استفاده کنند. ارتباط اولیه به عنوان ترغیب قربانی به اقدام است.
سوالات متداول
پول فیشینگ چیست؟
فیشینگ یک نوع تقلب اینترنتی است که هدفش دریافت اطلاعات شخصی کاربران مثل اطلاعات حسابهای بانکی، اطلاعات کارتهای اعتباری، رمزعبورها و ... است. فیشینگ اغلب از طریق ایمیلها یا پیامهای ناشناسی انجام میشود که قربانیان را مجاب میکند که به لینکهایی کلیک کنند و اطلاعات حساس خود را وارد کنند یا بهخاطر کلیک نکردن بر لینک و افشای اطلاعات، تهدید میشوند.
چگونه میتوانم از ایمیلهای مشکوک جلوگیری کنم؟
- 1. هرگز به لینکهای مشکوک در ایمیل کلیک نکنید. ابتدا آدرس لینک را بررسی کنید تا مطمئن شوید به سایت معتبری متصل میشود.
- 2. هیچگاه هیچ فایل متنی یا الحاقی را دانلود نکنید مگر اینکه کاملا مطمئن هستید که از سوی فرستنده ای امن ارسال شده است.
- 3. ایمیلهای مشکوک را فیلتر کنید. تنظیمات فیلتر ایمیل خود را بهبود ببخشید تا ایمیلهای بیشتری را به عنوان اسپم شناسایی کند.
- 4. به ایمیلهایی که درخواست فوری ارسال اطلاعات حساس مانند شماره کارتهای اعتباری دارند، پاسخ ندهید و آنها را حذف کنید.
- 5. از آدرس ایمیل رمزنگاری شده برای تماس با بانک و سایر سایتهای حساس استفاده کنید.
فیشینگ در بانکداری چیست؟
فیشینگ به ایمیلهای جعلی گفته میشود که گیرندگان را فریب میدهند تا اطلاعات شخصی، مالی یا امنیتی حسابهای بانکی خود را به اشتراک بگذارند.
بیش از 10 سال هست که به صورت مستمر در زمینه وب فعالیت میکنم و مباحث برنامه نویسی و توسعه نرم افزار و تکنولوژی های جدید رو پیگیری میکنم.