فیشینگ

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به ناوبری پرش به جستجو
نمونه‌ای از حمله فیشینگ از طریق جی‌میل

فیشینگ (به انگلیسی: Phishing) به تلاش برای بدست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و مانند آنها از طریق جعل یک وبگاه، آدرس ایمیل و مانند آنها گفته می‌شود.

یا به بیان ساده‌تر هنگامی که شخصی تلاش می‌کند دیگری را فریب دهد تا اطلاعات شخصی او را در اختیارش بگیرد یک حمله فیشینگ رخ می‌دهند.
شبکه‌های اجتماعی و وبگاه‌های پرداخت آنلاین از جمله اهداف حملات فیشینگ هستند. علاوه بر آن، ایمیل‌هایی که با این هدف ارسال می‌شوند و حاوی پیوندی به یک وبگاه هستند در اکثر موارد حاوی بدافزار هستند.[۱]

تاریخچه[ویرایش]

روش فیشینگ با جزئیات در سال ۱۹۸۷ (میلادی) توضیح داده شد. این واژه برای نخستین‌بار در سال ۱۹۹۵ (میلادی) مورد استفاده قرار گرفت. واژهٔ فیشینگ کوته‌نوشت گزاره Password Harvesting Fishing (شکار گذرواژه کاربر از طریق یک طعمه) است که در آن حرف Ph به جای F برای القای مفهوم فریفتن جایگزین شده‌است.[۲]

نحوه کار فیشینگ[ویرایش]

فیشینگ یا سرقت آنلاین در عمل به صورت کپی دقیق رابط گرافیکی یک وبگاه معتبر مانند بانک‌های آنلاین انجام می‌شود. ابتدا کاربر از طریق ایمیل یا آگهی‌های تبلیغاتی سایت‌های دیگر، به این صفحه قلابی راهنمایی می‌شود. سپس از کاربر درخواست می‌شود تا اطلاعاتی را که می‌تواند مانند اطلاعات کارت اعتباری مهم و حساس باشد آنجا وارد کند. در صورت گمراه شدن کاربر و وارد کردن اطلاعات خود، فیشرها به اطلاعات شخص دسترسی کاربر پیدا می‌کنند. از جمله سایت‌های هدف این کار می‌توان سایت‌های پی‌پال، ای‌بی و بانک‌های آنلاین را نام برد.

اطلاعاتی که سایت‌های فیشینگ ممکن است از کاربران بخواهند[ویرایش]

  • نام کاربری و گذرواژه
  • شماره تأمین اجتماعی
  • شماره‌های حساب‌های بانکی
  • کدهای پین (شماره‌های شناسایی شخصی)
  • شماره‌های کارت اعتباری
  • تاریخ تولد
  • اطلاعات هویتی

جعل و دستکاری پیوندها و آدرس‌ها[ویرایش]

این روش یکی از شیوه‌های متداول فیشینگ است. در این روش، پیوندها و آدرس‌های سازمان‌ها و شرکت‌های غیرواقعی و جعلی از طریق ایمیل ارسال می‌شود. این آدرس‌ها با آدرس‌های اصلی تنها در یک یا دو حرف تفاوت دارند.[۳]

گریز از فیلترها[ویرایش]

فیشرها برای جلوگیری از شناسایی متن‌های متداول فیشینگ در ایمیل‌ها توسط فیلترهای ضد فیشینگ از نگاره به جای نوشته استفاده می‌کنند.

جعل وبگاه[ویرایش]

برخی از فیشرها از جاوااِسکریپت برای تغییر آدرس در نوار آدرس مرورگر استفاده می‌کنند تا هیچ جای شکی برای قربانی نماند. یک مهاجم حتی می‌تواند به کمک تزریق اسکریپت از طریق وبگاه از ایرادهای موجود در اسکریپت‌های یک سایت معتبر علیه خودش استفاده کند. در این نوع فیشینگ از کاربر خواسته می‌شود تا در بانک خودش لاگین کند. ظاهراً همه چیز عادی است. از آدرس وبگاه گرفته تا گواهینامه امنیتی (به انگلیسی: Security Certificates). اما در واقعیت، پیوند به آن وبگاه دستکاری می‌شود تا با استفاده از عیب‌های موجود در اسکریپت‌های آن وبگاه، حمله انجام شود. با این حال این روش نیازمند دانش و آگاهی بالایی است. از این روش در سال ۲۰۰۶ برای حمله به وبگاه پی‌پل استفاده شد.

فیشینگ تلفنی[ویرایش]

همه حملات فیشینگ نیازمند وبگاه قلابی نیستند. پیام‌هایی که ظاهراً از طرف بانک فرستاده شده و از کاربر می‌خواهد تا مثلاً به دلیل وجود ایراد در حسابشان، شماره خاصی را شماره‌گیری کنند نیز می‌تواند حمله فیشینگ باشد. پیش از گرفتن شماره (که متعلق به فیشر است و با سرویس صدا روی پروتکل اینترنت فراهم شده‌است)، از کاربر خواسته می‌شود تا شماره حساب و پین (PIN) خود را وارد کند.

فیشینگ نیزه‌ای[ویرایش]

تلاش‌های فیشینگ برای افراد یا شرکت‌های خاص، «فیشینگ نیزه‌ای» (یا «هدفمند») نامیده می‌شود.[۴] برخلاف فیشینگ فله‌ای، مهاجمان فیشینگ نیزه‌ای، بیشتر برای افزایش احتمال موفقیت، از هدف خود، اطلاعات شخصی، گردآوری کرده و از آن استفاده می‌کنند.[۵][۶][۷][۸]

گروه خرس فانتزی روسیه از روش فیشینگ نیزه‌ای برای هدف گرفتن ایمیل‌های ستاد انتخاباتی هیلاری کلینتون در هنگام انتخابات ریاست‌جمهوری ایالات متحده آمریکا (۲۰۱۶) استفاده کردند. آنها به بیش از ۱۸۰۰ حساب کاربری گوگل حمله کردند و دامنه accounts-google.com را برای تهدید کاربران هدف، بکار گرفتند.[۹][۱۰]

روش‌های مقابله[ویرایش]

استفاده از نرم‌افزارهای ضد هک و فیشینگ مانند کومودو اینترنت سکیوریتی که با دیوار آتش قدرتمند خود مانع هک شدن می‌شود. برای جلوگیری از افزایش آمار فیشینگ و سرقت اطلاعات باید آگاهی کاربران را افزایش داد. نباید به ایمیل‌هایی که از شما در آن‌ها خواسته شده تا فرمی را پر کنید اطمینان کرد. نباید اطلاعات حساب کاربری خود را در اختیار سایت‌ها قرار داد. کاربران برای پرداخت آنلاین باید از درگاه‌های مخصوص بانک‌ها استفاده کنند. تلاش کنید به ایمیل‌های داخل اسپم در حساب کاربری‌تان بی اعتنا باشید و آن‌ها را پاک کنید.[۱۱]

توجه به پیوندها[ویرایش]

یکی از ساده‌ترین روش‌های مقابله با فیشینگ دقت به آدرس وبگاه یا ایمیل دریافت شده‌است. برای نمونه در زمان ورود به حساب‌های حساس مانند ایمیل یا بانک، پیش از وارد کردن نام کاربری و گذرواژه، دقت به آدرس وبگاه حیاتی است.

پانویس[ویرایش]

  1. «Safe Browsing- Protecting Web Users for 5 Years and Counting». ۱۹ جون ۲۰۱۲. دریافت‌شده در ۲۱ دسامبر ۲۰۱۲.
  2. «What is Phishing?». دریافت‌شده در ۱ دی ۱۳۹۱.
  3. «کلاهبرداری فیشینگ چیست؟». پلیس فتا. ۲ بهمن ۱۳۹۰. دریافت‌شده در ۱ دی ۱۳۹۱.
  4. «Spear phishing». Windows IT Pro Center. دریافت‌شده در مارس ۴, ۲۰۱۹.
  5. Stephenson، Debbie (۲۰۱۳-۰۵-۳۰). «Spear Phishing: Who's Getting Caught?». Firmex. دریافت‌شده در ژوئیه ۲۷, ۲۰۱۴.
  6. «NSA/GCHQ Hacking Gets Personal: Belgian Cryptographer Targeted». Info Security magazine. ۳ فوریه ۲۰۱۸. دریافت‌شده در ۱۰ سپتامبر ۲۰۱۸.
  7. Leyden، John (۴ آوریل ۲۰۱۱). «RSA explains how attackers breached its systems». The Register. دریافت‌شده در ۱۰ سپتامبر ۲۰۱۸.
  8. Winterford، Brett (۷ آوریل ۲۰۱۱). «Epsilon breach used four-month-old attack». itnews.com.au. itnews.com.au. دریافت‌شده در ۱۰ سپتامبر ۲۰۱۸.
  9. "Threat Group-4127 Targets Google Accounts". www.secureworks.com. Retrieved 2017-10-12.
  10. Nakashima، Ellen؛ Harris، Shane (ژوئیه ۱۳, ۲۰۱۸). «How the Russians hacked the DNC and passed its emails to WikiLeaks». The Washington Post. دریافت‌شده در فوریه ۲۲, ۲۰۱۹.
  11. «فیشینگ چیست؟!». پایگاه خبری افکارنیوز.

منابع[ویرایش]