فیشینگ

از ویکی‌پدیا، دانشنامهٔ آزاد

پرش به: ناوبری, جستجو

در تجارت الکترونیک، فیشینگ یا سرقت آنلاین به تلاش برای دستیابی به اطلاعات حساس افراد مانند نام کاربری، کلمه عبور، و اطلاعات کارت‌های اعتباری، به‌وسیله جا زدن خود به جای یک سایت مورد اطمینان، گفته می‌شود.

فهرست مندرجات

[ویرایش] نحوه کار فیشینگ

فیشینگ یا سرقت آنلاین در عمل به صورت کپی دقیق رابط گرافیکی یک وب‌گاه معتبر مانند بانک‌های انلاین انجام می‌شود. ابتدا کاربر از طریق ایمیل و یا آگهی‌های تبلبیغاتی سایتهای دیگر، به این صفحه قلابی راهنمایی می‌شود. سپس از کاربر درخواست می‌شود تا اطلاعاتی را که می‌تواند مانند اطلاعات کارت اعتباری مهم و حساس باشد، انجا وارد کند. در صورت گمراه شدن کاربر و وارد کردن اطلاعت خود، ، فیشرها به اطلاعات شخص دسترسی می‌یابند. از جمله سایت‌های هدف این کار می‌توان سایت‌های eBay، PayPal، و بانک‌های انلاین را نام برد.
اولین مورد گزارش شده فیشینگ مربوط به دوم ژانویه سال ۱۹۹۶ است که روی گروه خبری (newsgroup) یوزنت alt.online-service.America-online انجام شد.

[ویرایش] تکنینک‌های مورد استفاده در فیشینگ

  • دستکاری پیوند: در این تکنیک برای گمراه کردن کاربر از اسامی معتبری در ادرس استفاده می‌شود مانند استفاده از زیر دامنه اشنای gmail در www.gmail.phisher.com، که در واقع کاربر را به سایت phisher هدایت می‌کند و یا استفاده از حرف @، مثلاً در www.google.com@members.tripod.com که در واقع کاربر را به سایت members.tripod.com هدایت می‌کند و نه گوگل.
  • گریز از فیلترها: فیشرها برای جلوگیری از شناسایی متن‌های متداول فیشینگ در ایمیل توسط فیلترهای ضد-فیشینگ از عکس به جای نوشته استفاده می‌کنند.
  • جعل وب‌گاه: برخی از فیشرها از جاوااسکریپت برای تغییر ادرس در نوار ادرس مرورگر استفاده می‌کنند تا هیچ جای شکی برای قربانی نماند. یک مهاجم حتی می‌تواند از ایرادهای موجود در اسکریپت‌های یک سایت معتبر نیز علیه خودش استفاده کند. به این نوع حمله cross-site scripting گفته می‌شود. در این مورد از کاربر خواسته می‌شود تا در بانک خودش لاگین کند. ظاهراً همه چیز عادی است از ادرس وب‌گاه گرفته تا گواهینامه امنیتی (security certificates). اما در واقعیت، پیوند به ان وب‌گاه دستکاری می‌شود تا با استفاده از عیب‌های موجود در اسکریپت‌های ان وب‌گاه، حمله انجام شود. با این حال این روش نیازمند دانش و اگاهی بالایی است. از این روش در سال ۲۰۰۶ برای حمله به وب‌گاه PayPal استفاده شد.
  • فیشینگ تلفنی: تمام حملات فیشینگ نیازمند وب‌گاه قلابی نیست. پیامهایی که ظاهراً از طرف بانک فرستاده شده و از کاربر می‌خواهد تا مثلاً به دلیل وجود ایراد در حسابشان، شماره خاصی را شماره گیری کنند، نیز می‌تواند حمله فیشینگ باشد. بعد از گرفتن شماره (که متعلق به فیشر است و با سرویس صدا از طریق آی پی محیا شده‌است)، از کاربر خواسته می‌شود تا شماره حساب و پین (PIN) خود را وارد کند.

[ویرایش] مقابله با فیشینگ

Wiki letter w.svg
 این بخش نوشتار، نیازمند گسترش است.

استفاده از نرم افزارهای ضد هک و فیشینگ مانند کومودو که با فایروال قوی خود مانع هک شدن می‌شود.


نماد خرد این نوشتار دربارهٔ رایانه خُرد است. با گسترش آن به ویکی‌پدیا کمک کنید.

[ویرایش] منابع

برگرفته از «http://fa.wikipedia.org/wiki/%D9%81%DB%8C%D8%B4%DB%8C%D9%86%DA%AF»