فیشینگ، روشی زیرکانه برای کلاهبرداری

فیشینگ، فارمینگ، کلیک جکینگ، داکسینگ و... . ممکن است هر یک از این نام ها، بیانگر خاطره ای تلخ برای شما باشد. این موارد روش های کلاهبرداری مدرن و مبتنی بر کامپیوتر است.

فیشینگ، روشی زیرکانه برای کلاهبرداری

فیشینگ، فارمینگ، کلیک جکینگ، داکسینگ و... . ممکن است هر یک از این نام ها، بیانگر خاطره ای تلخ برای شما باشد. این موارد روش های کلاهبرداری مدرن و مبتنی بر کامپیوتر است. در دوران دانش آموزی، هنگام یادگیری مبحثی از کتاب ها ابر و باد و مه و خورشید در خدمت بودند تا بلکه چیزی بیاموزیم.

مادر صبح زود صبحانه فراهم می کرد تا با کلی ناز و عشوه میل کنیم. پدر با ماشین ما را به مدرسه می برد و پس از کلی شیطنت معلم با آرامش و گام به گام بحث را آموزش می داد و درآخر هم نیمی از بحث را گوش می دادیم و نیمی از آن را هم بی خیال می شدیم. همه سوختند تا ما چیزی یاد بگیریم و نشد. تصور کنید مفهوم فیشینگ را چگونه یاد گرفتم؟ سوختم تا یاد گرفتم. درواقع زمانه با سوزاندن من این موضوع را به من آموخت.

فیشینگ

یک روز خیلی زیاد از موبایلم استفاده کردم و از آنجا که خطم ایرانسل بود، شارژم تمام شد. به سرعت به اینترنت متصل شدم تا کد شارژ تهیه کنم. سایت خاصی را هم نمی شناختم. طبیعی است که با جست و جوگر گوگل سایتی را پیدا کردم. در کادر جست و جوی گوگل نوشتم شارژ ایرانسل و روی یکی از نتایج کلیک کردم. صفحه باز شد و پس از وارد کردن مشخصات شارژ به درگاه بانک X وصل شدم تا پول شارژ را پرداخت کنم.

وقتی مشخصات کارت، رمز دوم و سایر اطلاعات را وارد کردم با کلیک بر گزینه پرداخت بعد از مدتی پیغام آمد: «با عرض پوزش ارتباط با سرور موقتا مقدور نمی باشد.» از آنجا که عجله داشتم بی خیال شدم و گفتم به یک عابربانک برسم، شارژ می خرم. بعد از ده دقیقه پیامی آمد. به گوشی نگاه کردم. نوشته بود: «برداشت از حساب 20 میلیون تومان و مانده حساب 3 هزار تومان.»

فکر کردم کارت بانکی ام را دزدیده اند. سریع داخل کیفم را بررسی کردم. کارت داخل کیفم بود. شوکه شدم و تپش قلب عجیبی گرفتم. به خانواده زنگ زدم که ببینم کسی خریدی داشته است؛ دیدم همه بی اطلاع اند. فکر به جایی قد نمی داد. تنها چیزی که به ذهنم رسید تماس با پلیس بود. با توضیح ماجرا برای پلیس مرا به پلیس فتا ارجاع دادند و آن جا فهمیدم که مورد حمله قرار گرفته ام، فقط با ورود به یک سایت و وارد کردن اطلاعات کارت بانکی.

فیشینگ چیست؟

برخی Phishing را مخفف عبارت Harvesting Fishing Password (شکار کردن رمز عبور کاربر از طریق یک طعمه) و برخی دیگر آن را Fishing (استعاره از کلمه ماهیگیری) تعبیر کرده اند؛ اما در اصطلاح کامپیوتری به معنای شبیه سازی قسمت هایی از یک سایت آشنا یا معروف است تا با گمراه کردن کاربر، به اطلاعات شخصی وی دسترسی پیدا کنند.

فیشینگ یکی از تکنیک های مهندسی اجتماعی است که در آن کلاهبردار از ضعف امنیتی یک وب سایت برای انجام عملیات مجرمانه خود استفاده می کند.

فرایند کلاهبرداری از طریق فیشینگ

فرایند کلاهبرداری از طریق فیشینگ دارای سه مرحله به شرح زیر است:

مرحله اول

ثبت دامنه جعلی. مهاجم در آغاز فرایند کلاهبرداری از طریق فیشینگ، یک آدرس اینترنتی مشابه با سایت شرکت یا سازمان رسمی و واقعی را برای خود تهیه و ثبت می کند.

مرحله دوم

ایجاد یک سایت جعلی با ظاهری مشابه سایت اصلی. در این مرحله کلاهبردار، صفحه ای مشابه با صفحه متناظر سایت اصلی طراحی می کند تا از خطای چشمی کاربر در جهت فریب آن بهره ببرد. در بسیاری موارد این شباهت در فرم های ورود اطلاعات، پیوندها، فونت ها و سایر موارد نیز رعایت می شود تا کاربر کوچک ترین شکی به جعلی بودن سایت نکند. هرچه شباهت سایت جعلی به سایت اصلی بیشتر باشد، کاربر کمتر به جعلی بودن سایت شک می کند و احتمال به قلاب افتادن او بیشتر است.

مرحله سوم

شکار طعمه و کسب اطلاعات او. در این مرحله مهاجم با استفاده از روش هایی قربانیان خود را به سمت این سایت جعلی جذب می کند. یکی از مرسوم ترین روش ها، ارسال ایمیل برای میلیون ها آدرس است. البته ارسال ایمیل تنها راه صید طعمه نیست، بلکه روش های دیگری از قبیل قرار دادن بنر تبلیغاتی یا پیوندهای جعلی در صفحات سایت های دیگر برای هدایت کاربر به سایت های جعلی نیز وجود دارد. زمانی که کاربر به سایت هدایت شد، کلاهبردار با ظاهرسازی خوب و مناسب سایت، باعث می شود تا کاربر مجاب شود که وارد سایت شرکت یا سازمانی معتبر و رسمی شده است؛ بنابراین به راحتی اطلاعات شخصی خود را در محل های مورد نظر وارد می کند.

تکنیک های فیشینگ

مهاجمان برای انجام فیشینگ، تکنیک های گوناگونی انجام می دهند که در ادامه نحوه به کارگیری این تکنیک ها، تشریح می شود.

1. دستکاری و تقلب در لینک ها و آدرس ها

ارسال لینک ها و آدرس های متعلق به سازمان های غیرواقعی و جعلی از طریق ایمیل، یکی از شیوه های متداول و رایج در فیشینگ است. در این تکنیک کلاهبردار تنها با تغییر یک یا چند حرف از حروف آدرس اصلی یا از دامین های فرعی گمراه کننده برای ایجاد آن ها استفاده می کند. محتوای ایمیل به قدری شبیه به نسخه اصلی و قانونی است که کاربر هیچ شکی به تقلبی بودن سایت نمی کند و به سایت اعتماد می کند. در این تکنیک برای گمراه کردن کاربر از اسامی معتبری مانند gmail یا از حرف @ در آدرس استفاده می شود تا بتواند اعتماد کاربر را جلب کند.





2. دور زدن فیلتر

از آنجا که برخی فیلترهای ضدفیشینگ وجود دارد که متن های موجود در ایمیل های حاوی آدرس های جعلی را شناسایی می کند، فیشرها با استفاده از عکس به جای متن، کار این فیلترها را سخت کرده اند و در حقیقت این فیلترها در شناسایی این فیشینگ ها ناتوانند.

3. وب سایت جعلی

کلاهبرداری از طریق فیشینگ با وب سایت جعلی تنها با ورود و بازدید قربانی از سایت جعلی رخ نمی دهد، بلکه ممکن است کلاهبردار با دستورات جاوا اسکریپت، نوار آدرس را تغییر دهید. درواقع فیشر با قرار دادن تصویر یک آدرس اینترنتی قانونی و موجه در نوار آدرس یا بستن نوار آدرس اصلی و باز کردن نوار آدرسی جدید با آدرسی اینترنتی قانونی و موجه، این کار را انجام می دهد.

حتی ممکن است کلاهبردار با استفاده از نقایص موجود در برنامه جاوا اسکریپت سایتی معتبر و قانونی، قربانی را به صفحه اینترنتی که در آن همه چیز از آدرس سایت گرفته تا گواهی امنیتی، همه درست و صحیح به نظر می رسند، هدایت کند.

در حقیقت لینک دادن به صفحه اصلی ترفندی برای به ثمر رساندن سرقت و انجام دادن حمله است. کشف این نوع حمله ها (که به کراس سایت اسکریپتینگ معروف هستند) برای افرادی که دانش لازم را ندارند، کار بسیار سختی است. فیشرها بدین دلیل از این تکنیک استفاده می کنند که گاهی ساب دامین های سایت تقلبی به اندازه ای طولانی است که در نگاه اول آدرس اصلی سایت قابل دیدن نیست.

همچنین کاربران به اندازه کافی به آدرس سایت دقت نمی کنند و فقط با دیدن استایل صفحه، شروع به وارد کردن اطلاعات می کنند. نباید فراموش کرد که علاوه بر موارد فوق ایجاد یک وب سایت، بسیار ساده است و می تواند با هزینه ناچیز یا گاهی بدون هزینه، صفحه تقلبی مورد نظرش را بسازد.

4. بدافزارهای فیشینگ

نرم افزارهایی هستند که معمولا از طریق پیوست های ایمیل یا به عنوان لینک دانلود مثلا یک فیلم به هدف تحویل داده می شود. سپس این بدافزارها بر روی کامپیوتر، موبایل یا سایر دستگاه ها نصب شده و اعمال مختلفی را انجام می دهند. این بدافزارها ممکن است اقدام به تغییر دادن محتوای صفحات کنند یا کاربر را به صفحات دلخواه هکر هدایت کرده، سپس از تکنیک های دیگر برای به دست آوردن اطلاعات مهم استفاده کنند.

بدافزارهای فیشینگ معمولا در گروه حملات مرد میانی (Man-In-The-Middle) قرار دارند. برنامه فیشینگ Man-In-The-Middle، که در سال 2007 کشف شد، از رابطی ساده استفاده می کرد که به فیشر (مهاجم) اجازه می داد بدون هیچ مشکلی سایت های خاصی را مجددا ایجاد کند و جزییات اطلاعات ورود یا لاگین افراد (نام کاربری و رمز عبور) وارد شده در وب سایت جعلی را برای ورود به سایت های اصلی ثبت و ضبط کند.

5. فیشینگ از طریق تلفن

حملات فیشینگ فقط به اینترنت محدود نمی شوند و ممکن است فیشینگ با تلفن صورت پذیرد. در این روش مهاجم با فرستادن پیام، خود را کارمند بانک جا می زند و از مشتری می خواهد برای رفع مشکل حسابش در اسرع وقت، با یک شماره (که یک سرویس تلفن اینترنتی و متعلق به کلاهبردار است) تماس بگیرد.




به محض تماسِ مشتری دستوراتی به او داده می شود تا شماره حساب و رمز خود را وارد کند و به اصطلاح در قلاب ماهیگیر بیفتد. در این روش فیشرها برای واقعی جلوه دادن تماس، گاهی اوقات از داده های جعلی برای کالر آی دی (نمایش شماره تماس گیرنده روی تلفن) استفاده می کنند.

در این روش (Vishing)، مهاجم با ادغام این تکنیک ها (Phishing) و تماس های صوتی (Voice)، شانس موفقیت حمله خود را بسیار زیاد افزایش می دهد. همچنین ممکن است کاربران با تهدیدهای آنلاین آشنا باشند، اما با برقراری تماس صوتی یا پیامک در قالب رسمی و قانونی گول بخورند و هکر بتواند حملات فیشینگ خود را به صورت بهینه انجام دهد. توجه کنید که ممکن است برای جلب اعتماد شما، در طرف مقابل دستگاه خودکار پاسخگوی تلفن راه اندازی شده باشد.

6. فیشینگ از طریق پیام رسان

تلگرام، وایبر، واست آپ، یاهو مسنجر و...، برنامه های پیام رسانی هستند که برای کاربران خود امکان برقراری ارتباط متنی، صوتی و تصویری را با کاربران دیگری که در فهرست آن ها هستند، فراهم می سازند. هکرها می توانند با شناسایی دوستان هدف مورد نظر و ساخت حساب کاربری با مشخصات یکی از دوستان وی یا هک کردن اکانت یکی از دوستانش، به شخص مورد نظر دسترسی پیدا کنند.

از آنجا که هدف به دوستان خود اعتماد بیشتری دارد و اکانتی به نام یکی از دوستانش در دست هکر است، خیلی راحت می تواند فریب بخورد و اطلاعاتی را که هکر می خواهد در اختیار وی قرار دهد. به دلیل اینکه ایجاد یک اکانت با مشخصات دوست هدف بسیار ساده و در شرایطی غیرقابل ردگیری است و هر شخصی معمولا اعتماد زیادی به دوستان موجود در لیست خود دارد، کارآیی این تکنیک افزایش می یابد.

7. نرم افزارهای جاسوسی

در این تکنیک، فیشر از روش های مختلف مانند کلیک کردن بر روی یک لینک، نرم افزارهای جاسوسی را وارد سیستم می کند که این نرم افزار به صورت یک کد مخرب هیچ تخریب یا عمل دیگری انجام نمی دهد تا وقتی که کاربر آدرس یک وب سایت معروف مانند سایت یک بانک را درج کند، این نرم افزار به کار افتاده و کاربر را به صورت خودکار به یک وب سایت جعلی شبیه بانک هدایت می کند.

حالا شما وقتی می خواهید خدمات بانکی انجام دهید، وارد باکس مورد نظر البته در وب سایت جعلی شده و با وارد کردن رمز و شناسه کاربری، اطلاعات خود را در اختیار فیشر قرار می دهید. این روش آخرین بار برای کاربران وب سایت گوگل اتفاق افتاد.



8. سایر روش ها

نوع دیگری از حمله به این شرح است که قربانی را به وب سایت اصلی بانک ارجاع می دهند، سپس یک پنجره پاپ آپ در بالای صفحه سایت به شکلی در می آید که کاربر تصور می کند این صفحه و این سایت متعلق به بانک است. از این طریق اطلاعات حساس قربانی درخواست می شود که قربانی با اعتمادی که به سایت دارد، اطلاعات خود را وارد می کند.

روش دیگر که یکی از جدیدترین روش های فیشینگ است، تب نبینگ نام دارد. در این روش از صفحاتی که کاربر باز کرده استفاده می شود . کاربر به طور آهسته به سایت ساختگی ارجاع داده می شود.

روش دیگری که در فرودگاه ها، هتل ها و سایر اماکن عمومی استفاده می شود، دوقلوهای شر یا Evil Twins است. در این روش فیشر شبکه ای بی سیم (وایرلس) ساختگی ایجاد می کند که این شبکه می تواند در مکان های عمومی وجود داشته باشد. با ورود کاربر به این شبکه جعلی، فیشر سعی می کند رمزهای عبور و سایر اطلاعات مرتبط با کارت اعتباری او را ثبت و ضبط کند.

نکاتی برای شناسایی و پیشگیری از حملات فیشینگ

1. همان طور که بیان شد، بیشتر هدف فیشینگ دسترسی به اطلاعات شخصی و به ویژه اطلاعات مربوط به حساب شماست. احتیاط و بهترین روش برای جلوگیری از تحقق هدف فیش این است که حساب یا کارتی که با آن خدمات اینترنتی انجام می دهید، حداقل موجودی را داشته باشد؛ زیرا در صورت دسترسی کلاهبردار به اطلاعات شما ضربه زیادی به شما نمی رسد.

شایان ذکر است که اگر هم برای نقل و انتقالات خود سقف تعیین کنید، باز فیشر می تواند با خرید کالاهایی چون سکه موجودی کارت شما را خالی کند. همچنین از سیستم اطلاعات یک بار مصرف که در برخی از بانک ها فعال شده، استفاده کنید به این روش که در هر بار استفاده اینترنت، یک رمز برای شما پیامک می شود که با وارد کردن آن رمز فقط برای یک بار، می توانید فرایند خود را به اتمام برسانید.

2. منطق این حملات بر این پایه روان شناسی استوار است که اعتماد قربانی را جلب کند. در این گونه حملات مهاجمان با ایجاد روابط صمیمی و دوستانه خود را به هدفشان نزدیک می کنند و پس از جلب اعتماد قربانی، از وی درخواست اطلاعات یا کاری را می کنند که به آن نیاز دارند. معمولا افرادی که با چاپلوسی و زبان بازی میانه خوبی دارند، می توانند در انجام این گونه حملات موفق باشند.

بنابراین با اعتماد نکردن بی دلیل و بیش از اندازه می توانید بیشتر حملات را ناکارآمد کنید. معیار شما برای اعتماد به طرف مقابل قانون باشد تا لطمه ای نبینید یا در صورت شکست احتمالی لااقل پشتوانه و حمایت قانون را داشته باشید.

3.یکی از روش های رایج در فیشینگ ارسال آدرس با ایمیل است. به هیچ وجه به آدرس ارسال کننده ایمیل اعتماد نکنید! اگر ایمیلی در پوشه هرزنامه یا اسپم شما بود، به احتمال زیاد محتوای آن یا تبلیغاتی است یا فیشینگ. این ایمیل های ناشناس و ضمائم آن ها را باز نکنید!

4. آدرس سایت ها را خود وارد کنید و روی لینک هایی که از صحت آن ها مطمئن نیستید، کلیک نکنید.

5. قبل از هرگونه اقدامی برای پیام دریافتی پیرامون درستی پیام تحقیق کنید. از آنجا که از هک شدن اکانت دوستتان اطلاع ندارید، بنابراین چنانچه به پیام هایش مشکوک شدید، با دوستتان به صورت تلفنی تماس بگیرید یا از سوال های از پیش تعیین شده استفاده کنید.


6. اگر از شما درخواست پاسخ دادن یا فرستادن یک کد شده باشد، به هیچ وجه کد گفته شده را به آن شماره نفرستید.

7. به خاطر داشته باشید که اصلاح اطلاعات حساب بانکی هیچ گاه به صورت تلفنی صورت نمی گیرد. چنانچه تغییر یا اصلاحی نیاز باشد، حتما باید به صورت حضوری و با امضای فرم های مشخص انجام شود. دریافت پیامی در این زمینه خبر از کلاهبرداری می دهد.

8. همان طور که گفته شد، افراد معمولا به لینک هایی که متن آن ها خود به صورت لینک است، اعتماد کرده و بدون توجه به لینک اصلی، بر روی آن کلیک می کنند. با بردن اشاره گر ماوس بر روی لینک، در پایین مرورگر و در قسمت استاتوس بار، می توانید آدرس اصلی را که لینک به آن اشاره می کند، ببینید. به عبارت دیگر، هیچ وقت به متن لینک به عنوان آدرس آن نگاه نکنید.

9. دانش خود را در مورد مباحث هک و امنیت و انواع آسیب پذیری ها افزایش دهید. با افزایش دانش خود نه تنها می توانید این حملات را تشخیص دهید، بلکه به دلیل آشنایی با مباحث در این زمینه از وسواس جلوگیری می شود و با اطمینان بیشتر می توانید از امکانات مدرن استفاده کنید.

10. از ذخیره اطلاعات حساب یا اطلاعات خصوصی خود روی گوشی ها خودداری کنید.

11. یکی از مواردی که زمینه ساز وقوع و موفقیت حمله فیشینگ است، بی حوصلگی و بی توجهی کاربران به هشدارهای امنیتی است. متاسفانه در اکثر موارد کاربران دقت و توجه کافی برای خواندن متن پیام های هشداری که به آن ها داده می شود، به کار نمی برند و این به نوبه خود این امکان را به سارق می دهد تا حمله خود را عملی سازد. از این رو پیشنهاد می شود اگر خسته شده اید، کارهای حساس بانکی و مالی برخط را کنار بگذارید؛ زیرا تمام کارهایی که در زمان خستگی انجام می دهید، می تواند ریسک بالای امنیتی را به همراه داشته باشد.

12. وارونه سازی و جا به جایی راست چین/ چپ چین کردن متن ها، یکی از جدیدترین ترفندهای کلاهبرداران است. درواقع کلاهبرداران با این روش، سیستم های ضداسپم را دور می زنند و به صندوق های ایمیل کاربران راه پیدا می کنند. با شناختن این ترفند می توانید ایمیل های فیشینگ را از ایمیل های سالم تشخیص دهید.

سایر روش های هک حساب کاربری آنلاین

فیشینگ تنها روش هک حساب نیست و روش های دیگری از قبیل فارمینگ، کلیک جکینگ، داکسینگ و... هم وجود دارند. برای آشنایی بیشتر با هر یک از این روش های هک و همچنین تفاوت این روش ها با هم به مطلب زیر توجه کنید.

روش هایی برای هک کردن حساب کاربری آنلاین

کلیک جکینگ: مخفی کردن لینک هایی زیر محتوی قابل کلیک که وقتی روی آنها کلیک می کنید باعث می شود شما نرم افزار مخرب دانلود کنید یا کاری را انجام دهید.

داکسینگ: انتشار عمومی اطلاعات مهم و محرمانه شخصی از طریق شبکه های اجتماعی.

فارمینگ: هدایت کاربران از یک وب سایت مشروع به وب سایت متقلب برای اهدافی نظیر استخراج اطلاعات محرمانه.

اسپوفینگ: فریب دادن کامپیوترها یا کاربران به وسیله مخفی کردن یا هویت های جعلی. ایمیل اسپوفینگ از یک ایمیل جعلی یا شبیه سازی آدرس ایمیل واقعی بهره می گیرد.

بیتینگ: کسی به شما حافظه فلش یا سی دی و... می دهد که در آن نرم افزار مخرب وجود دارد، به کامپیوتر شما وصل می شود و یک در (در پشتی) به هکرها می دهد تا به اطلاعات شما دسترسی داشته باشند.

کراس- سایت اسکربیتینگ: تزریق کدهای مخرب به سایت های مورد اعتماد شما.

مهندسی اجتماعی: استراتژی هایی برای گرفتن اطلاعات مهم از مردم بدون اینکه احساس کنند بازجویی می شوند.

فیشینگ: به صورت رایج به صورت یک ایمیل معمولی از طرف شخصی یا سازمانی است که در آن نرم افزار یا لینک مخرب تعبیه شده است.

ارسال نظر