فیشینگ چیست؟

فیشینگ (Phishing) ، تله گذاری و یا رمزگیری ، همانگونه که از نامش مشخص است راهی برای یک حمله سایبری و به دنبال آن سرقت اطلاعات، مشخصات مهم و خصوصی یک فرد، سازمان و یا شرکت است، که عموما از طریق ایمیل، تماس های تلفنی، رسانه های اجتماعی، پیامک و برنامه های مخرب انجام می گردد.

در هر یک از این روش ها هکرها به دلیل عدم اطلاعات کافی کاربر ، اعتماد کاربران و یا تشویق آنها به انجام کاری مشخصاتی از جمله : نام کاربری و کلمه عبور مربوط به حسابهای مهم مالی و شخصی ، مشخصات و رمز کارت های بانکی ، انتقال و حمل بدافزار و برنامه های مخرب را بنابر هدف خود بدون اطلاع فرد به دست می آورند.

اهداف و روش های این نوع کلاهبرداری متفاوت است ،گاها ممکن است هکرها با تشویق افراد و هدایت آنها به صفحه ای جعلی اطلاعات هویتی شخص را جهت سوء استفاده در شبکه های اجتماعی و یا اطلاعات حساب های بانکی جهت برداشت از کارت ، دریافت اطلاعات نام کاربری و یا کلمه عبور مربوط به شرکت های مهم را سرقت کنند.

در روش های حرفه ای و پیچیده تر، فیشینگ در برنامه های کاربردی روزمره و یا یک بازی طولانی می تواند اهداف و اطلاعات درخواستی هکرها را جمع آوری نماید.

هکرها قالبا سعی میکنند از رویدادهای پرمخاطب ، جذاب و داغ حاکم در شبکه های اجتماعی برای رسیدن به اهداف خود استفاده کنند به عنوان مثال: ارسال ایمیل و پیام هایی در رابطه با ویروس کرونا ، انتخابات ریاست جمهوری و … که ظاهرا شامل مطالبی مرتبط با عناوین اعلام شده می باشد ولی در اصل در جهت فریب کاربر مخاطب است.

فیشینگ از چه زمانی آغاز شد؟

می توان گفت اولین حمله ، خرابکاری و یا همان فیشینگ در اوسط دهه 1990 میلادی برای سرقت اطلاعات نام کاربری و کلمه عبور کاربران یک شرکت ارائه دهنده خدمات اینترنت در آمریکا صورت پذیرفت و باعث ایجاد یک بمب خبری در این رابطه و همچنین انتشار اطلاعیه و هشدارهایی به کاربران  از سوی شرکت AOL گردید.

در طی دو دهه اخیر تغییرات چشمگیر فناوری و چگونگی دسترسی گسترده کاربران به اینترنت و… عاملی برای تداوم و جذاب تر شدن این بستر برای حملات سایبری و فیشینگ توسط هکرها شد.

فیشینگ چگونه انجام می شود؟

یک حمله فیشینگ سعی در فریب کاربران هدف و دریافت اطلاعات محرمانه دارد ، در بالا به این مورد اشاره شد که ایمیل یکی از روش های متداول فیشینگ می باشد،  با رشد روز افزون و همه گیری استفاده تمامی اقشار جامعه از این خدمات، به صورت تخمینی روزانه بیش از 3.7 میلیارد نفر حدود 269 میلیارد ایمیل ارسال می کنند ، محققان تخمین زده اند که از هر 2000 ایمیل یک ایمیل فیشینگ می باشد و این بدین معنی است که روزانه حدود 135 میلیون حمله فیشینگ انجام میگردد.

اکثر افراد ایمیل های دریافتی خود را با دقت کمی بررسی می نمایند، و هکرها نیز از راه های زیرکانه با عناوینی فریبنده و وسوسه انگیز ، کاربران را به باز کردن ایمیل و کلیک بر روی تصویر و یا لینک ها ترقیب می کنند، که بیشتر این عناوین حاوی جملاتی مانند “جایزه ” ، “برنده” ، “شانس” ، “پول” و یا استفاده از جمله و یا عبارتهای تهدید آمیز ، امنیتی و امثال آن می باشد.

کافی است یک فرد فریب خورده و به عنوان مثال لینک “شما برنده خوش شانس ما شده اید”، جهت دریافت جایزه بر روی لینک زیر کلیک نمایید، را باز و بدون توجه به آدرس صفحه و بدون اطلاع از صحت و اعتبار فرستنده ایمیل، اقدام به ثبت اطلاعات خود نماید. تمامی اطلاعات وارد شده به آسانی توسط هکر دریافت و ذخیره خواهد شد.

در عصر کنونی اکثر افراد جامعه در حال استفاده از خدمات غیر حضوری و آنلاین در بستر اینترنت هستند و ساعات های بسیاری از روز را در شبکه های اجتماعی ، وب سایت ها ، ایمیل و وبلاگ ها به سر می برند و از مزایا و سرعت در انجام بسیاری از امور لذت می برند اما غافل از آن که این بسترها در مقابل تمامی مزیت هایشان راه و روش های جدیدی برای سوء استفاده برخی افراد سودجود برای مقاصد مالی ، شخصی ، اجتماعی و سیاسی ایجاد نموده اند.

چگونه از حملات فیشینگ در امان باشیم؟

به آسانی و تنها با یک کلمه می توان پاسخ این سوال را یافت “” آموزش”” ، بله آموزش تنها سلاحی است که می توان به دست کاربران در این فضا داد ، چرا که با بالا بردن آگاهی فرد استفاده کننده از پلتفرم های متفاوت امکان فریب و دور زدن آن بسیار بسیار کاهش می یابد.

برگزاری همایش های جمعی در مدارس ، دانشگاه ها ، سازمان ها ، شرکت ها و از همه مهمتر استفاده از تیزرهای اطلاع رسانی در بسترهای ارتباطی مانند تلویزیون و … در این راستا یکی از راه های موثر و همیشگی است.

هر چند امروزه شاهد رشد و پیشرفت نرم افزاری و سخت افزاری بسترهای ارتباطی از نظر امنیتی هستیم مانند استفاده از رمز های پویا ، احراز هویت های چندعاملی و…. اما همچنان تنها با همان ایده ساده ” آموزش” قادر خواهیم بود تا حد زیادی از خسارت های ناشی از فیشینگ جلوگیری نماییم.

یکی از رایج ترین روش های فیشینگ در ایران ، سرقت اطلاعات کارت بانکی افراد می باشد ، در چند سال اخیر با افزایش نرخ استفاده اشخاص از پرداخت های غیرحضوری و آنلاین ، سرقت اطلاعات و جلوگیری از آن به موضوع مهمی تبدیل و در همین راستا نیز اقدامات موثری توسط سازمان های مالی و امنیتی صورت پذیرفته است.

یکپارچه سازی آدرس صفحه های پرداخت pspها در بستر شاپرک را می توان یکی از مهمترین اقدامات در این زمینه نام برد، چرا که با توجه به تنوع این شرکت ها شاید به خاطر سپردن نام تمامی آنها کار مشکلی باشد به همین دلیل هم اکنون آدرس تمامی صفحه های پرداخت مربوط به تمامی شرکت های پرداخت زیر مجموعه ای از نام دامنه  shaparak.ir می باشد.

در زیر آدرس و تصویر صفحه پرداخت تعدادی از شرکت های psp محبوب و مورد استفاده کاربران نمایش داده می شود. هر فرد در درجه اول می بایست پس از انتقال به صفحه پرداخت ابتدا آدرس صفحه را در بالای مرورگر مطابقت و از صحت آن اطمینان حاصل و سپس اقدام به ثبت اطلاعات کارت خود نماید.

یکی دیگر از اقدامات مهم، اجباری نمودن استفاده از رمز پویا می باشد ، که شما می توانید با مراجعه به این لینک مقاله اختصاصی مربوط به رمز پویا را مطالعه نمایید.

اقدامات ضروری پس از فیشینگ اطلاعات

تمامی آموزش ها و مطالب فوق جهت آگاه سازی افراد و جلوگیری از بروز چنین مشکلاتی است ، اما اگر در دام چنین کلاهبرداری قرار گرفتید و مبلغی از کارت شما به صورت غیرمجاز برداشت شد ، پیشنهاد می گردد اقدامات اعلام شده در زیر را در اسرع وقت انجام دهید.

• در صورت دسترسی به پیشخوان مجازی بانک عامل ، کارت حساب بانکی خود را غیرفعال نمایید.
• در غیر این با شماره پشتیبانی امداد مشتریان بانک خود تماس حاصل فرمایید.
• و در صورت عدم دسترسی به دو مورد فوق ، با مراجعه به دستگاه ATM اقدامات مورد نیاز جهت تغییر رمز کارت را انجام دهید.
• با مراجعه به مراجع قضایی و انتظامی شکایت خود را مطرح نمایید.

آینده فیشینگ

پیش بینی میشود فیشینگ حداقل تا دو دهه آینده نیز وجود داشته و همچنان به دو دلیل تهدید محسوب شود :

1- سادگی در انجام

2- انجام آن توسط حداقل یک نفر نیز امکانپذیر است

چرا که هنوز افراد زیادی از بستر های ارتباطی استفاده می کنند که اطلاعاتی از این نوع تهدید ها و خطرات ندارند و یا حتی برخی افراد مطلع و باتجربه نیز گاها به دلایلی جذب یک فریب شوند ، که این موضوع می تواند برای برخی از افراد متخصص و باهوش در این حوزه کمی عجیب باشد که در حال حاضر شخصی تنها با یک پیامک “شما برنده شده اید” و یا “ما بانک شما هستیم” را بدون هیچ درنگی قبول و پیگیری نماید اما این یک واقعیت آشکار است.

علاوه بر تمامی اینها به دلیل هزینه های پایین در اجرای کمپین های مبارزه با فیشینگ و همچنین درصد کم احتمال دستگیری یک هکر ، این روش همچنان جزء یکی از گزینه های جذاب برای کلاهبرداران است.

بنابراین فیشینگ همچنان وجود خواهد داشت و هکرها به ایجاد راه های جدید برای فریب کاربران فکر می کنند ، اما ما می توانیم با اطلاع از کاری که می خواهیم انجام دهیم و کمی مطالعه و دقت هرگز در دام چنین افرادی قرار نگیریم.