فیشینگ
رمزگیری[۱][۲] یا ماهیگیری[۳] یا تلهگذاری یا فیشینگ (به انگلیسی: Phishing) به تلاش برای به دست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی، آیپی و مانند آنها از طریق جعل یک وبگاه، آدرس ایمیل و مانند آنها گفته میشود. یا به بیان سادهتر هنگامی که شخصی تلاش میکند دیگری را فریب دهد تا اطلاعات شخصی او را در اختیارش بگیرد، یک حمله فیشینگ رخ میدهد و یک بازار غیرقانونی چندهزار میلیاردی را تشکیل دادهاست. به عبارتی دیگر فیشینگ نوعی حملهٔ سایبری است که غالباً برای سرقت اطلاعات کاربر از جمله اطلاعات ورود به سیستم و اطلاعات کارتهای اعتباری مورد استفاده قرار میگیرد.[۴]
شبکههای اجتماعی و وبگاههای پرداخت آنلاین از جمله اهداف حملات فیشینگ هستند. علاوه بر آن، ایمیلهایی که با این هدف ارسال میشوند و حاوی پیوندی به یک وبگاه هستند در اکثر موارد حاوی بدافزار هستند.[۵]
طبق گزارش سالانهٔ شرکت پروفپوینت که ۳ اسفند ۱۴۰۰ منتشر شد بیش از ۸۰ درصد از سازمانها، حداقل یک حملهٔ موفق فیشینگ را در سال ۲۰۲۱ تجربه کردند که در مقایسه با سال قبل از آن افزایشی حدود ۴۶ درصد را نشان میدهد.[۶]
تاریخچه
[ویرایش]روش فیشینگ با جزئیات در سال ۱۹۸۷ (میلادی) توضیح داده شد. این واژه برای نخستینبار در سال ۱۹۹۵ مورد استفاده قرار گرفت. واژهٔ فیشینگ کوتهنوشت گزارهٔ Password Harvesting Fishing (شکار گذرواژهٔ کاربر از طریق یک طعمه) است که در آن حرف Ph به جای F برای القای مفهوم فریفتن جایگزین شدهاست و از بنیانگذاران آن در ایران، میتوان به فرشید امیرشقاقی و مانی رضوان اشاره کرد.[۷] استفاده از حرف «ح» بهجای «ه» در واژهٔ «ماهیگیری» نیز از جایگزینی «f» با «ph» در «fishing» الگوبرداری شدهاست.[۸]
نحوهٔ کار فیشینگ
[ویرایش]فیشینگ یا سرقت آنلاین، در عمل به صورت کپی دقیق رابط گرافیکی و ظاهر یک وبگاه معتبر مانند بانکهای آنلاین انجام میشود. ابتدا کاربر از طریق ایمیل یا آگهیهای تبلیغاتی سایتهای دیگر، به این صفحهٔ قلابی راهنمایی میشود. سپس از کاربر درخواست میشود تا اطلاعاتی را که میتواند مانند اطلاعات کارت اعتباری مهم و حساس باشد آنجا وارد کند. در صورت گمراه شدن کاربر و وارد کردن اطلاعات خود، فیشرها به اطلاعات شخص دسترسی کاربر پیدا میکنند. از جمله سایتهای هدف این کار میتوان سایتهای پیپل، ایبی و بانکهای آنلاین را نام برد.
اطلاعاتی که سایتهای فیشینگ ممکن است از کاربران بخواهند
[ویرایش]- نام کاربری و رمز عبور کاربر
- شماره تلفنهای کاربر
- شمارههای مربوط به حسابهای بانکی
- کدهای خصوصی مربوط به هر شخص
- شمارههای مربوط به کارتهای اعتباری
- سالروز تولد کاربر
- اطلاعات مربوط به هویت کاربر
- پرسش سؤالهایی مانند آنچه کاربر دوست دارد
- درخواست اطلاعات خانوادگی کاربر (نام پدر و مادر و…)
راههای پی بردن به صفحات فیشینگ در ایران
[ویرایش]یکی از راههای اصلی پی بردن به جعلی بودن درگاه پرداخت در سایتهای ایرانی این است که دامنهٔ شاپرک فقط ir. است؛ بنابراین در صورتی که با دامنههای com ,.org. یا سایر دامنهها مواجه شدید، قطعاً درگاه پرداخت جعلی است.
بررسی اینکه آیا دامنهٔ اصلی دقیقاً برابر shaparak.ir است، جهت اطمینان حاصل کردن از اصلی بودن درگاه پرداخت کافی است.
ممکن است بخواهید جهت بررسی اصلی بودن درگاه پرداخت، در ابتدا رمز دوم خود را اشتباه وارد کنید و سپس در صورتی که پاسخ درگاه «رمز وارد شده صحیح نمیباشد» بود، از صحت درگاه پرداخت اطمینان حاصل کنید، اما این روش قابل اطمینان نیست؛ زیرا شخص هکر میتواند تمامی پاسخها را به «رمز وارد شده صحیح نمیباشد» تغییر دهد یا اینکه پاسخها را به صورت تصادفی به کاربر نشان دهد.
رمز دوم یکبار مصرف (رمز پویا) ی کارت بانکی خود را فعال کنید تا در صورتی که اطلاعات کارت بانکی شما به سرقت رفت، مهاجمان نتوانند مبلغ زیادی را از حساب شما برداشت کنند. سقف تراکنش غیرحضوری بدون رمز دوم پویا و با رمز دوم ایستا برای تمامی بانکها به مبلغ ۱۰۰ هزارتومان کاهش پیدا کردهاست.[نیازمند منبع]
جعل و دستکاری پیوندها و آدرسها
[ویرایش]این روش یکی از شیوههای متداول فیشینگ است. در این روش، پیوندها و آدرسهای سازمانها و شرکتهای غیرواقعی و جعلی از طریق ایمیل ارسال میشوند. این آدرسها با آدرسهای اصلی تنها در یک یا دو حرف تفاوت دارند.[۹]
گریز از فیلترها
[ویرایش]فیشرها برای جلوگیری از شناسایی متنهای متداول فیشینگ در ایمیلها توسط فیلترهای ضد فیشینگ از تصویر به جای نوشته استفاده میکنند.
جعل وبگاه
[ویرایش]برخی از فیشرها از جاوااِسکریپت برای تغییر آدرس در نوار آدرس مرورگر استفاده میکنند تا هیچ جای شکی برای قربانی نماند. یک مهاجم حتی میتواند به کمک تزریق اسکریپت از طریق وبگاه از ایرادهای موجود در اسکریپتهای یک سایت معتبر علیه خودش استفاده کند. در این نوع فیشینگ، از کاربر خواسته میشود تا در بانک خودش لاگین کند. ظاهراً همه چیز عادی است. از آدرس وبگاه گرفته تا گواهینامه امنیتی (به انگلیسی: Security Certificates). اما در واقعیت، پیوند به آن وبگاه دستکاری میشود تا با استفاده از عیبهای موجود در اسکریپتهای آن وبگاه، حمله انجام شود. با این حال این روش نیازمند دانش و آگاهی بالایی است. از این روش در سال ۲۰۰۶ برای حمله به وبگاه پیپل استفاده شد.
فیشینگ همنگاره
[ویرایش]فیشینگ همنگاره (به انگلیسی: Homograph Phishing) تکنیکی است که در آن از نویسه (های) مشابه با نویسه (های) یک سایت واقعی بهمنظور جعل نشانی سایت و در نتیجه قابل باور ساختن آن از دید کاربر استفاده میشود.[۸]
فیشینگ تلفنی
[ویرایش]همهٔ حملات فیشینگ نیازمند وبگاه قلابی نیستند. پیامهایی که ظاهراً از طرف بانک فرستاده شده و از کاربر میخواهد تا مثلاً به دلیل وجود ایراد در حسابشان، شمارهٔ خاصی را شمارهگیری کنند نیز میتواند حمله فیشینگ باشد. پیش از گرفتن شماره (که متعلق به فیشر است و با سرویس صدا روی پروتکل اینترنت فراهم شدهاست)، از کاربر خواسته میشود تا شماره حساب و پین (PIN) خود را وارد کند.
فیشینگ نیزهای
[ویرایش]فیشینگ نیزهای (Spear Phishing) تلاشهای فیشینگ برای افراد یا شرکتهای خاص، «فیشینگ نیزهای» (یا «هدفمند») نامیده میشود.[۱۰] برخلاف فیشینگ فلهای، مهاجمان فیشینگ نیزهای، بیشتر برای افزایش احتمال موفقیت از هدف خود، اطلاعات شخصی، گردآوری کرده و از آن استفاده میکنند.[۱۱][۱۲][۱۳][۱۴]
به بیانی فیشینگ نیزهای تلاشی است هدفمند برای سرقت اطلاعات حساس مانند حساب اعتباری یا اطلاعات مالی از یک قربانی خاص که غالباً به دلایل مخرب انجام میشود. این امر با بهدست آوردن اطلاعات شخصی دربارهٔ قربانی مانند دوستانش، زادگاهش، کارفرما، خریدهای آنلاین و مکانهایی که به آنها مراجعه میکند، حاصل میشود. سپس فرد مهاجم برای بهدست آوردن اطلاعات حساس، خود را از طریق ایمیل یا سایر پیامهای آنلاین، بهعنوان دوست یا نهادی قابلاعتماد معرفی میکند. این نوع حمله، موفقترین شکل کسب اطلاعات محرمانه در اینترنت است که ۹۱٪ از حملات را به خود اختصاص دادهاست.[۴]
گروه خرس فانتزی روسیه از روش فیشینگ نیزهای برای هدف گرفتن ایمیلهای ستاد انتخاباتی هیلاری کلینتون در هنگام انتخابات ریاستجمهوری ایالات متحده آمریکا (۲۰۱۶) استفاده کردند. آنها به بیش از ۱۸۰۰ حساب کاربری گوگل حمله کردند و دامنهٔ accounts-google.com را برای تهدید کاربران هدف، به کار گرفتند.[۱۵][۱۶]
روشهای مقابله
[ویرایش]استفاده از نرمافزارهای ضد هک و فیشینگ مانند کومودو اینترنت سکیوریتی که با دیوار آتش قدرتمند خود مانع هک شدن میشود. برای جلوگیری از افزایش آمار فیشینگ و سرقت اطلاعات باید آگاهی کاربران را افزایش داد. نباید به ایمیلهایی که از شما در آنها خواسته شده تا فرمی را پر کنید اطمینان کرد. نباید اطلاعات حساب کاربری خود را در اختیار سایتها قرار داد. کاربران برای پرداخت آنلاین باید از درگاههای مخصوص بانکها استفاده کنند. تلاش کنید به ایمیلهای داخل اسپم در حساب کاربریتان بیاعتنا باشید و آنها را پاک کنید.[۱۷]
توجه به پیوندها
[ویرایش]یکی از سادهترین روشهای مقابله با فیشینگ، دقت به آدرس وبگاه یا ایمیل دریافت شدهاست. برای نمونه در زمان ورود به حسابهای حساس مانند ایمیل یا بانک، پیش از وارد کردن نام کاربری و گذرواژه، دقت به آدرس وبگاه ضروری است.
همچنین باید توجه داشت که وجود پروتکل HTTPS به تنهایی دلیلی بر امن بودن یک وبگاه نیست؛ چرا که هرشخصی میتواند برای وبگاه خود از این پروتکل استفاده کند.
پانویس
[ویرایش]- ↑ «تاکتیکهای دفاعی مؤثر برای مقابله با کلاهبرداریهای اینترنتی». راه پرداخت. ۲۰۱۴-۰۳-۰۹. دریافتشده در ۲۰۱۹-۱۲-۳۱.
- ↑ مصطفی السان (۱۳۹۸). حق برخورداری از تأمین اجتماعی در فضای کسبوکار مجازی در اسناد بینالمللی و نظام حقوقی ایران (PDF).[پیوند مرده]
- ↑ «نگاهی به تکنیک ماهیگیری در حملات سایبری» (PDF). رامونا پردازش نگار. ۲۰۲۲-۰۳-۱۱. دریافتشده در ۲۰۲۲-۰۳-۱۱.
- ↑ ۴٫۰ ۴٫۱ «پرونده / آشنایی با فیشینگ نیزهای و شیوههای مقابله با آن». پایگاه اطلاعرسانی فناوری گرداب. ۱۹ مرداد ۱۴۰۱. دریافتشده در ۲۰۲۳-۰۶-۱۱.[پیوند مرده]
- ↑ «Safe Browsing- Protecting Web Users for 5 Years and Counting». ۱۹ جون ۲۰۱۲. دریافتشده در ۲۱ دسامبر ۲۰۱۲.
- ↑ «افزایش ۴۶ درصدی حملات ماهیگیری موفق». رامونا پردازش نگار. ۲۰۲۲-۰۲-۲۴. دریافتشده در ۲۰۲۲-۰۳-۱۶.
- ↑ «What is Phishing?». بایگانیشده از اصلی در ۲۳ ژانویه ۲۰۱۳. دریافتشده در ۱ دی ۱۳۹۱.
- ↑ ۸٫۰ ۸٫۱ «حملات ماهیگیری همنگاره». رامونا پردازش نگار. ۲۰۲۲-۰۳-۰۱. دریافتشده در ۲۰۲۲-۰۳-۰۷.
- ↑ «کلاهبرداری فیشینگ چیست؟». پلیس فتا. ۲ بهمن ۱۳۹۰. بایگانیشده از اصلی در ۲۷ دسامبر ۲۰۱۲. دریافتشده در ۱ دی ۱۳۹۱.
- ↑ «Spear phishing». Windows IT Pro Center. دریافتشده در مارس ۴, ۲۰۱۹.
- ↑ Stephenson، Debbie (۲۰۱۳-۰۵-۳۰). «Spear Phishing: Who's Getting Caught?». Firmex. دریافتشده در ژوئیه ۲۷, ۲۰۱۴.
- ↑ «NSA/GCHQ Hacking Gets Personal: Belgian Cryptographer Targeted». Info Security magazine. ۳ فوریه ۲۰۱۸. دریافتشده در ۱۰ سپتامبر ۲۰۱۸.
- ↑ Leyden، John (۴ آوریل ۲۰۱۱). «RSA explains how attackers breached its systems». The Register. دریافتشده در ۱۰ سپتامبر ۲۰۱۸.
- ↑ Winterford، Brett (۷ آوریل ۲۰۱۱). «Epsilon breach used four-month-old attack». itnews.com.au. itnews.com.au. دریافتشده در ۱۰ سپتامبر ۲۰۱۸.
- ↑ "Threat Group-4127 Targets Google Accounts". www.secureworks.com (به انگلیسی). Retrieved 2017-10-12.
- ↑ Nakashima، Ellen؛ Harris، Shane (ژوئیه ۱۳, ۲۰۱۸). «How the Russians hacked the DNC and passed its emails to WikiLeaks». The Washington Post. دریافتشده در فوریه ۲۲, ۲۰۱۹.
- ↑ «فیشینگ چیست؟!». پایگاه خبری افکارنیوز. بایگانیشده از اصلی در ۳۰ اوت ۲۰۱۲. دریافتشده در ۲۹ اوت ۲۰۱۲.
منابع
[ویرایش]- مشارکتکنندگان ویکیپدیا. «Phishing». در دانشنامهٔ ویکیپدیای انگلیسی، بازبینیشده در ۱۵ اکتبر ۲۰۱۹.
- https://kaliboys.com/what-is-phishing/