امنیت اطلاعات
افزایش حملات فیشینگ؛ چگونه از خود محافظت کنیم؟
فیشینگ به انگلیسی Phishing به تلاش برای به دست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی، ip و مانند آنها از طریق جعل یک وبگاه، آدرس ایمیل و مانند آنها گفته میشود.
مقدمه
در دنیای دیجیتال امروز، حملات فیشینگ به یکی از بزرگترین تهدیدات امنیتی بدل شدهاند. این حملات که با هدف سرقت اطلاعات حساس کاربران طراحی میگردند هر روز پیچیدهتر و گستردهتر میشوند. در این مطلب، به بررسی انواع فیشینگ، نمونههای معروف آن و همچنین روشهای شناسایی و مقابله با آنها میپردازیم. هنگامی که شخصی تلاش میکند دیگری را فریب دهد تا اطلاعات شخصی او را در اختیارش بگیرد، یک حمله فیشینگ رخ داده است. فیشینگ نوعی حمله سایبری است که غالباً برای سرقت اطلاعات کاربر از جمله اطلاعات ورود به سیستم و اطلاعات کارتهای اعتباری مورد استفاده قرار میگیرد. شبکههای اجتماعی و وبگاههای پرداخت آنلاین از جمله اهداف حملات فیشینگ هستند. علاوه بر آن، ایمیلهایی که با این هدف ارسال میشوند و حاوی پیوندی به یک وبگاه هستند در اکثر موارد حاوی بدافزار هستند. طبق گزارش سالانهٔ شرکت پروفپوینت که ۳ اسفند ۱۴۰۰ منتشر شد بیش از ۸۰ درصد از سازمانها، حداقل یک حملهٔ موفق فیشینگ را در سال ۲۰۲۱ تجربه کردند که در مقایسه با سال قبل از آن افزایشی حدود ۴۶ درصد را نشان میدهد.
نحوهٔ کار فیشینگ
فیشینگ یا سرقت آنلاین، در عمل به صورت کپی دقیق رابط گرافیکی و ظاهر یک وبگاه معتبر مانند بانکهای آنلاین انجام میشود. ابتدا کاربر از طریق ایمیل یا آگهیهای تبلیغاتی سایتهای دیگر، به این صفحهٔ قلابی راهنمایی میشود. سپس از کاربر درخواست میشود تا اطلاعاتی را که میتواند مانند اطلاعات کارت اعتباری مهم و حساس باشد آنجا وارد کند. در صورت گمراه شدن کاربر و وارد کردن اطلاعات خود، فیشرها به اطلاعات شخص دسترسی کاربر پیدا میکنند. از جمله سایتهای هدف این کار میتوان سایتهای پیپل، ایبی و بانکهای آنلاین را نام برد.
اطلاعاتی که سایتهای فیشینگ ممکن است از کاربران بخواهند
نام کاربری و رمز عبور کاربر؛ شماره تلفنهای کاربر؛ شمارههای مربوط به حسابهای بانکی؛ کدهای خصوصی مربوط به هر شخص؛ شمارههای مربوط به کارتهای اعتباری؛ سالروز تولد کاربر؛ اطلاعات مربوط به هویت کاربر؛ پرسش سؤالهایی مانند آنچه کاربر دوست دارد؛ درخواست اطلاعات خانوادگی کاربر (نام پدر و مادر و…)
انواع فیشینگ
فیشینگ ایمیلی؛ رایجترین نوع فیشینگ است که از طریق ارسال ایمیلهای جعلی انجام میشود. مهاجمان با ارسال ایمیلهایی که به نظر از منابع معتبر میآیند کاربران را فریب میدهند که اطلاعات حساس خود را وارد کنند.
فیشینگ تلفنی (ویشینگ)؛ در این نوع فیشینگ، مهاجمان از طریق تماسهای تلفنی تلاش میکنند اطلاعات حساس کاربران را به دست آورند.
فیشینگ پیامکی (اساماس فیشینگ)؛ مهاجمان از طریق ارسال پیامکهای جعلی، کاربران را به وبسایتهای مخرب هدایت میکنند.
فیشینگ هدفمند (اسپیر فیشینگ)؛ حملات فیشینگ که به طور خاص یک فرد یا سازمان را هدف قرار میدهند و معمولاً با اطلاعات شخصیسازی شده انجام میشوند.
نمونه های معروف فیشینگ
حمله فیشینگ به گوگل و فیسبوک؛ در سال ۲۰۱۳، هکرها با استفاده از ایمیلهای جعلی توانستند بیش از ۱۰۰ میلیون دلار از این دو شرکت سرقت کنند.
حمله فیشینگ به کاربران پیپال؛ هکرها با ارسال ایمیلهای جعلی به کاربران پیپال، اطلاعات حسابهای بانکی آنها را به سرقت بردند.
نحوه شناسایی فیشینگ
بررسی آدرس ایمیل فرستنده؛ ایمیلهای فیشینگ معمولاً از آدرسهای ناشناخته یا مشابه آدرسهای معتبر ارسال میشوند.
لینکهای مشکوک؛ قبل از کلیک روی لینکهای دریافتی، نشانگر ماوس را روی آنها نگه دارید تا آدرس واقعی را ببینید.
درخواست اطلاعات حساس؛ منابع معتبر هرگز از شما نمیخواهند اطلاعات حساس خود را از طریق ایمیل یا پیامک ارسال کنید.
روشهای مقابله با فیشینگ
استفاده از نرمافزارهای امنیتی؛ نرمافزارهای آنتیویروس و فایروالها میتوانند به شناسایی و مسدود کردن حملات فیشینگ کمک کنند.
آموزش و آگاهی؛ آگاهی از روشهای فیشینگ و آموزش به دیگران میتواند به کاهش خطرات کمک کند.
تأیید دو مرحلهای؛ فعالسازی تأیید دومرحلهای برای حسابهای کاربری میتواند امنیت را افزایش دهد.
راههای پی بردن به صفحات فیشینگ در ایران
یکی از راههای اصلی پی بردن به جعلی بودن درگاه پرداخت در سایتهای ایرانی این است که دامنهٔ شاپرک فقط .ir است؛ بنابراین در صورتی که با دامنههای .com یا .org یا سایر دامنهها مواجه شدید، قطعاً درگاه پرداخت جعلی است.
نتیجهگیری
با افزایش حملات فیشینگ و پیچیدهتر شدن آنها، آگاهی و آموزش کاربران اهمیت بیشتری پیدا کرده است. آشنایی با روشهای شناسایی و شناخت راههای مقابله با فیشینگ، میتواند ما را در حفاظت از اطلاعات حساس خود و جلوگیری از اینکه قربانی چنین حملاتی باشیم یاری دهد.
ارسال نظر