(Translated by https://www.hiragana.jp/)
فیشینگ - ویکی‌پدیا، دانشنامهٔ آزاد پرش به محتوا

فیشینگ

از ویکی‌پدیا، دانشنامهٔ آزاد
نمونه‌ای از حمله فیشینگ از طریق جی‌میل

رمزگیری[۱][۲] یا ماهیگیری[۳] یا تله‌گذاری یا فیشینگ (به انگلیسی: Phishing) به تلاش برای به دست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی، آیپی و مانند آن‌ها از طریق جعل یک وبگاه، آدرس ایمیل و مانند آن‌ها گفته می‌شود. یا به بیان ساده‌تر هنگامی که شخصی تلاش می‌کند دیگری را فریب دهد تا اطلاعات شخصی او را در اختیارش بگیرد، یک حمله فیشینگ رخ می‌دهد و یک بازار غیرقانونی چندهزار میلیاردی را تشکیل داده‌است. به عبارتی دیگر فیشینگ نوعی حملهٔ سایبری است که غالباً برای سرقت اطلاعات کاربر از جمله اطلاعات ورود به سیستم و اطلاعات کارت‌های اعتباری مورد استفاده قرار می‌گیرد.[۴]

شبکه‌های اجتماعی و وبگاه‌های پرداخت آنلاین از جمله اهداف حملات فیشینگ هستند. علاوه بر آن، ایمیل‌هایی که با این هدف ارسال می‌شوند و حاوی پیوندی به یک وبگاه هستند در اکثر موارد حاوی بدافزار هستند.[۵]

طبق گزارش سالانهٔ شرکت پروفپوینت که ۳ اسفند ۱۴۰۰ منتشر شد بیش از ۸۰ درصد از سازمان‌ها، حداقل یک حملهٔ موفق فیشینگ را در سال ۲۰۲۱ تجربه کردند که در مقایسه با سال قبل از آن افزایشی حدود ۴۶ درصد را نشان می‌دهد.[۶]

تاریخچه

[ویرایش]

روش فیشینگ با جزئیات در سال ۱۹۸۷ (میلادی) توضیح داده شد. این واژه برای نخستین‌بار در سال ۱۹۹۵ مورد استفاده قرار گرفت. واژهٔ فیشینگ کوته‌نوشت گزارهٔ Password Harvesting Fishing (شکار گذرواژهٔ کاربر از طریق یک طعمه) است که در آن حرف Ph به جای F برای القای مفهوم فریفتن جایگزین شده‌است و از بنیان‌گذاران آن در ایران، می‌توان به فرشید امیرشقاقی و مانی رضوان اشاره کرد.[۷] استفاده از حرف «ح» به‌جای «ه» در واژهٔ «ماهیگیری» نیز از جایگزینی «f» با «ph» در «fishing» الگوبرداری شده‌است.[۸]

نحوهٔ کار فیشینگ

[ویرایش]

فیشینگ یا سرقت آنلاین، در عمل به صورت کپی دقیق رابط گرافیکی و ظاهر یک وبگاه معتبر مانند بانک‌های آنلاین انجام می‌شود. ابتدا کاربر از طریق ایمیل یا آگهی‌های تبلیغاتی سایت‌های دیگر، به این صفحهٔ قلابی راهنمایی می‌شود. سپس از کاربر درخواست می‌شود تا اطلاعاتی را که می‌تواند مانند اطلاعات کارت اعتباری مهم و حساس باشد آن‌جا وارد کند. در صورت گمراه شدن کاربر و وارد کردن اطلاعات خود، فیشرها به اطلاعات شخص دسترسی کاربر پیدا می‌کنند. از جمله سایت‌های هدف این کار می‌توان سایت‌های پی‌پل، ای‌بی و بانک‌های آنلاین را نام برد.

اطلاعاتی که سایت‌های فیشینگ ممکن است از کاربران بخواهند

[ویرایش]
  • نام کاربری و رمز عبور کاربر
  • شماره تلفن‌های کاربر
  • شماره‌های مربوط به حساب‌های بانکی
  • کدهای خصوصی مربوط به هر شخص
  • شماره‌های مربوط به کارت‌های اعتباری
  • سالروز تولد کاربر
  • اطلاعات مربوط به هویت کاربر
  • پرسش سؤال‌هایی مانند آنچه کاربر دوست دارد
  • درخواست اطلاعات خانوادگی کاربر (نام پدر و مادر و…)

راه‌های پی بردن به صفحات فیشینگ در ایران

[ویرایش]

یکی از راه‌های اصلی پی بردن به جعلی بودن درگاه پرداخت در سایتهای ایرانی این است که دامنهٔ شاپرک فقط ir. است؛ بنابراین در صورتی که با دامنه‌های com ,.org. یا سایر دامنه‌ها مواجه شدید، قطعاً درگاه پرداخت جعلی است.

بررسی این‌که آیا دامنهٔ اصلی دقیقاً برابر shaparak.ir است، جهت اطمینان حاصل کردن از اصلی بودن درگاه پرداخت کافی است.

ممکن است بخواهید جهت بررسی اصلی بودن درگاه پرداخت، در ابتدا رمز دوم خود را اشتباه وارد کنید و سپس در صورتی که پاسخ درگاه «رمز وارد شده صحیح نمی‌باشد» بود، از صحت درگاه پرداخت اطمینان حاصل کنید، اما این روش قابل اطمینان نیست؛ زیرا شخص هکر می‌تواند تمامی پاسخ‌ها را به «رمز وارد شده صحیح نمی‌باشد» تغییر دهد یا این‌که پاسخ‌ها را به صورت تصادفی به کاربر نشان دهد.

رمز دوم یک‌بار مصرف (رمز پویا) ی کارت بانکی خود را فعال کنید تا در صورتی که اطلاعات کارت بانکی شما به سرقت رفت، مهاجمان نتوانند مبلغ زیادی را از حساب شما برداشت کنند. سقف تراکنش غیرحضوری بدون رمز دوم پویا و با رمز دوم ایستا برای تمامی بانک‌ها به مبلغ ۱۰۰ هزارتومان کاهش پیدا کرده‌است.[نیازمند منبع]

جعل و دستکاری پیوندها و آدرس‌ها

[ویرایش]

این روش یکی از شیوه‌های متداول فیشینگ است. در این روش، پیوندها و آدرس‌های سازمان‌ها و شرکت‌های غیرواقعی و جعلی از طریق ایمیل ارسال می‌شوند. این آدرس‌ها با آدرس‌های اصلی تنها در یک یا دو حرف تفاوت دارند.[۹]

گریز از فیلترها

[ویرایش]

فیشرها برای جلوگیری از شناسایی متن‌های متداول فیشینگ در ایمیل‌ها توسط فیلترهای ضد فیشینگ از تصویر به جای نوشته استفاده می‌کنند.

جعل وبگاه

[ویرایش]

برخی از فیشرها از جاوااِسکریپت برای تغییر آدرس در نوار آدرس مرورگر استفاده می‌کنند تا هیچ جای شکی برای قربانی نماند. یک مهاجم حتی می‌تواند به کمک تزریق اسکریپت از طریق وبگاه از ایرادهای موجود در اسکریپت‌های یک سایت معتبر علیه خودش استفاده کند. در این نوع فیشینگ، از کاربر خواسته می‌شود تا در بانک خودش لاگین کند. ظاهراً همه چیز عادی است. از آدرس وبگاه گرفته تا گواهینامه امنیتی (به انگلیسی: Security Certificates). اما در واقعیت، پیوند به آن وبگاه دستکاری می‌شود تا با استفاده از عیب‌های موجود در اسکریپت‌های آن وبگاه، حمله انجام شود. با این حال این روش نیازمند دانش و آگاهی بالایی است. از این روش در سال ۲۰۰۶ برای حمله به وبگاه پی‌پل استفاده شد.

فیشینگ هم‌نگاره

[ویرایش]

فیشینگ هم‌نگاره (به انگلیسی: Homograph Phishing) تکنیکی است که در آن از نویسه (های) مشابه با نویسه (های) یک سایت واقعی به‌منظور جعل نشانی سایت و در نتیجه قابل باور ساختن آن از دید کاربر استفاده می‌شود.[۸]

فیشینگ تلفنی

[ویرایش]

همهٔ حملات فیشینگ نیازمند وبگاه قلابی نیستند. پیام‌هایی که ظاهراً از طرف بانک فرستاده شده و از کاربر می‌خواهد تا مثلاً به دلیل وجود ایراد در حسابشان، شمارهٔ خاصی را شماره‌گیری کنند نیز می‌تواند حمله فیشینگ باشد. پیش از گرفتن شماره (که متعلق به فیشر است و با سرویس صدا روی پروتکل اینترنت فراهم شده‌است)، از کاربر خواسته می‌شود تا شماره حساب و پین (PIN) خود را وارد کند.

فیشینگ نیزه‌ای

[ویرایش]

فیشینگ نیزه‌ای (Spear Phishing) تلاش‌های فیشینگ برای افراد یا شرکت‌های خاص، «فیشینگ نیزه‌ای» (یا «هدفمند») نامیده می‌شود.[۱۰] برخلاف فیشینگ فله‌ای، مهاجمان فیشینگ نیزه‌ای، بیشتر برای افزایش احتمال موفقیت از هدف خود، اطلاعات شخصی، گردآوری کرده و از آن استفاده می‌کنند.[۱۱][۱۲][۱۳][۱۴]

به بیانی فیشینگ نیزه‌ای تلاشی است هدفمند برای سرقت اطلاعات حساس مانند حساب اعتباری یا اطلاعات مالی از یک قربانی خاص که غالباً به دلایل مخرب انجام می‌شود. این امر با به‌دست آوردن اطلاعات شخصی دربارهٔ قربانی مانند دوستانش، زادگاهش، کارفرما، خریدهای آنلاین و مکان‌هایی که به آن‌ها مراجعه می‌کند، حاصل می‌شود. سپس فرد مهاجم برای به‌دست آوردن اطلاعات حساس، خود را از طریق ایمیل یا سایر پیام‌های آنلاین، به‌عنوان دوست یا نهادی قابل‌اعتماد معرفی می‌کند. این نوع حمله، موفق‌ترین شکل کسب اطلاعات محرمانه در اینترنت است که ۹۱٪ از حملات را به خود اختصاص داده‌است.[۴]

گروه خرس فانتزی روسیه از روش فیشینگ نیزه‌ای برای هدف گرفتن ایمیل‌های ستاد انتخاباتی هیلاری کلینتون در هنگام انتخابات ریاست‌جمهوری ایالات متحده آمریکا (۲۰۱۶) استفاده کردند. آن‌ها به بیش از ۱۸۰۰ حساب کاربری گوگل حمله کردند و دامنهٔ accounts-google.com را برای تهدید کاربران هدف، به کار گرفتند.[۱۵][۱۶]

روش‌های مقابله

[ویرایش]

استفاده از نرم‌افزارهای ضد هک و فیشینگ مانند کومودو اینترنت سکیوریتی که با دیوار آتش قدرتمند خود مانع هک شدن می‌شود. برای جلوگیری از افزایش آمار فیشینگ و سرقت اطلاعات باید آگاهی کاربران را افزایش داد. نباید به ایمیل‌هایی که از شما در آن‌ها خواسته شده تا فرمی را پر کنید اطمینان کرد. نباید اطلاعات حساب کاربری خود را در اختیار سایت‌ها قرار داد. کاربران برای پرداخت آنلاین باید از درگاه‌های مخصوص بانک‌ها استفاده کنند. تلاش کنید به ایمیل‌های داخل اسپم در حساب کاربری‌تان بی‌اعتنا باشید و آن‌ها را پاک کنید.[۱۷]

توجه به پیوندها

[ویرایش]

یکی از ساده‌ترین روش‌های مقابله با فیشینگ، دقت به آدرس وبگاه یا ایمیل دریافت شده‌است. برای نمونه در زمان ورود به حساب‌های حساس مانند ایمیل یا بانک، پیش از وارد کردن نام کاربری و گذرواژه، دقت به آدرس وبگاه ضروری است.

همچنین باید توجه داشت که وجود پروتکل HTTPS به تنهایی دلیلی بر امن بودن یک وبگاه نیست؛ چرا که هرشخصی می‌تواند برای وبگاه خود از این پروتکل استفاده کند.

پانویس

[ویرایش]
  1. «تاکتیک‌های دفاعی مؤثر برای مقابله با کلاهبرداری‌های اینترنتی». راه پرداخت. ۲۰۱۴-۰۳-۰۹. دریافت‌شده در ۲۰۱۹-۱۲-۳۱.
  2. مصطفی السان (۱۳۹۸). حق برخورداری از تأمین اجتماعی در فضای کسب‌وکار مجازی در اسناد بین‌المللی و نظام حقوقی ایران (PDF).[پیوند مرده]
  3. «نگاهی به تکنیک ماهیگیری در حملات سایبری» (PDF). رامونا پردازش نگار. ۲۰۲۲-۰۳-۱۱. دریافت‌شده در ۲۰۲۲-۰۳-۱۱.
  4. ۴٫۰ ۴٫۱ «پرونده / آشنایی با فیشینگ نیزه‌ای و شیوه‌های مقابله با آن». پایگاه اطلاع‌رسانی فناوری گرداب. ۱۹ مرداد ۱۴۰۱. دریافت‌شده در ۲۰۲۳-۰۶-۱۱.[پیوند مرده]
  5. «Safe Browsing- Protecting Web Users for 5 Years and Counting». ۱۹ جون ۲۰۱۲. دریافت‌شده در ۲۱ دسامبر ۲۰۱۲.
  6. «افزایش ۴۶ درصدی حملات ماهیگیری موفق». رامونا پردازش نگار. ۲۰۲۲-۰۲-۲۴. دریافت‌شده در ۲۰۲۲-۰۳-۱۶.
  7. «What is Phishing?». بایگانی‌شده از اصلی در ۲۳ ژانویه ۲۰۱۳. دریافت‌شده در ۱ دی ۱۳۹۱.
  8. ۸٫۰ ۸٫۱ «حملات ماهیگیری هم‌نگاره». رامونا پردازش نگار. ۲۰۲۲-۰۳-۰۱. دریافت‌شده در ۲۰۲۲-۰۳-۰۷.
  9. «کلاهبرداری فیشینگ چیست؟». پلیس فتا. ۲ بهمن ۱۳۹۰. بایگانی‌شده از اصلی در ۲۷ دسامبر ۲۰۱۲. دریافت‌شده در ۱ دی ۱۳۹۱.
  10. «Spear phishing». Windows IT Pro Center. دریافت‌شده در مارس ۴, ۲۰۱۹.
  11. Stephenson، Debbie (۲۰۱۳-۰۵-۳۰). «Spear Phishing: Who's Getting Caught?». Firmex. دریافت‌شده در ژوئیه ۲۷, ۲۰۱۴.
  12. «NSA/GCHQ Hacking Gets Personal: Belgian Cryptographer Targeted». Info Security magazine. ۳ فوریه ۲۰۱۸. دریافت‌شده در ۱۰ سپتامبر ۲۰۱۸.
  13. Leyden، John (۴ آوریل ۲۰۱۱). «RSA explains how attackers breached its systems». The Register. دریافت‌شده در ۱۰ سپتامبر ۲۰۱۸.
  14. Winterford، Brett (۷ آوریل ۲۰۱۱). «Epsilon breach used four-month-old attack». itnews.com.au. itnews.com.au. دریافت‌شده در ۱۰ سپتامبر ۲۰۱۸.
  15. "Threat Group-4127 Targets Google Accounts". www.secureworks.com (به انگلیسی). Retrieved 2017-10-12.
  16. Nakashima، Ellen؛ Harris، Shane (ژوئیه ۱۳, ۲۰۱۸). «How the Russians hacked the DNC and passed its emails to WikiLeaks». The Washington Post. دریافت‌شده در فوریه ۲۲, ۲۰۱۹.
  17. «فیشینگ چیست؟!». پایگاه خبری افکارنیوز. بایگانی‌شده از اصلی در ۳۰ اوت ۲۰۱۲. دریافت‌شده در ۲۹ اوت ۲۰۱۲.

منابع

[ویرایش]