حملات فیشینگ چیست و چگونه در برابر آن مصون بمانیم

شاید بتوان گفت همه‌ی کاربران اینترنت حداقل یک بار در خطر حملات فیشینگ و کلاهبردارانه قرار گرفته باشند. این حملات می‌توانند اشکال مختلفی داشته باشند. به عنوان مثال دریافت یک ایمیل که به شما می‌گوید برنده‌ی چند میلیون تومان جایزه شده‌اید یا یک تماس تلفنی که ادعا می‌کند از بانک شماست. موضوع ترسناک این است که این نوع حملات گسترده هستند و می‌توانند برای مهاجمین بسیار درآمدزا باشند.

بر خلاف بسیاری از تهدیدات دیجیتالی مدرن، حملات فیشینگ و کلاهبردارانه قرن‌هاست که وجود دارند. در گذشته سودجویان از تکنیک‌های کلاسیک استفاده می‌کردند اما به مرور زمان و با به وجود آمدن ابزار جدید، آن‌ها هم پیشرفت‌هایی داشتند. اما یک رویکرد ثابت و تاریخی در این نوع حملات استفاده از متد‌های ارتباط جمعیست که این روز‌ها اینترنت اصلی‌ترین ابزار ارتباطات جمعی محسوب می‌شود و عموما افرادی را هدف قرار می‌دهد که آگاهی پایین‌تری دارند.

مهندسی اجتماعی چیست؟

 

malltina

اصلی ترین جزء هر کلاهبرداری مهندسی اجتماعی محسوب می‌شود. مهندسی اجتماعی عبارت است از فریب دادن کاربر به گونه‌ای که باور کند فرد، ایمیل یا وب سایتی که مشاهده می‌کند حقیقی است. یکی از کاربرد‌های کلاسیک مهندسی اجتماعی در حملات فیشینگ استفاده از ایمیل است. اما علاوه بر این‌ها می‌توان اشکال نوین تری از آن‌ها را در فضای مجازی مشاهده کرد.

مثلا تماس‌های تلفنی، ایمیل یا پیام‌های متنی در فضای مجازی که ادعا می‌کنند از طرف بانک با شما تماس گرفته‌اند. یا دریافت ایمیل از دوستان که شدیدا از شما می‌خواهد فایلی خاص را دانلود کنید. در بعضی موارد شاید به وبسایت‌های مشکوک فرستاده شوید.

در همه‌ی موارد اشاره شده مهاجمین با استفاده از مهندسی اجتماعی سعی می‌کنند شما را فریب دهند تا کاری را انجام دهید. در این راه ممکن است با استفاده از شعار‌های مختلف نظیر حمایت از کودکان کار، محیط زیست و بسیاری دیگر از مواردی که به راحتی افراد را تحت تاثیر قرار می‌دهد نیز استفاده کنند.

یک راه بسیار خوب برای مقاومت در برابر اینگونه حملات باور به این موضوع است که اتفاقات خیلی خوب نظیر برنده شدن چند میلیون تومان پول به همین سادگی‌ها و از طریق ایمیل اتفاق نخواهد افتاد. همچنین بهتر است روی لینک‌هایی که در ایمیلتان دریافت می‌کنید (به جز ایمیل‌هایی که از آن‌ها اطمینان دارید) کلیک نکنید و در صورت دریافت فایل از طریق ایمیل حتی از سمت همکاران و دوستان‌تان بخواهید فایل‌ها از روشی دیگر برایتان ارسال شود.

استفاده از ظاهری حقیقی

گاهی پیش می‌آید که حملات کلاهبردارانه از طریق یک ایمیل اتفاق نیفتد. در برخی موارد ممکن است همه‌ی یک وبسایت یا حداقل بخش ورود به حساب کاربری با استفاده از حقه‌هایی ظاهرسازی شوند و به نظر برسد که در محل درستی اطلاعات شخصی خود را وارد می‌کنید. حتی گاهی برخی از افراد موفق می‌شوند با یک آدرس مشابه شما را به یک وبسایت ساختگی ببرند. با وارد کردن مشخصات حساب کاربری یا حساب بانکی خود در این وبسایت‌ها به راحتی همه‌ی اطلاعات مهم خود را در اختیار کلاهبرداران قرار خواهید داد.

این وبسایت‌ها عموما برای دریافت رمز عبور و نام کاربری و همچنین برای دریافت مشخصات کارت بانکی کاربران ایجاد می‌شوند. جالب اینجاست که علاوه بر ظاهر مشابه با سایت حقیقی، شاید حتی همه‌ی مجوز‌های لازم را نیز داشته باشند و تشخیص این که آیا این وبسایت حقیقی است یا خیر کار ساده‌ای نیست و نیاز به دقت بالایی دارد.

در موارد نادری ممکن است که برخی از مهاجمین (که البته باید بسیار حرفه‌ای باشند) با پیدا کردن یک حفره‌ی امنیتی در وبسایت‌های رسمی، با ایجاد یک صفحه‌ی خاص اطلاعات کاربران را به سرقت ببرند. به این شکل که وقتی افراد برای ورود به حساب کاربری خود نام کاربری و رمز عبور خود را در یک وبسایت درج می‌کنند همه‌ی اطلاعاتشان برای کلاهبرداران نیز ارسال می‌شود.

بهترین راه برای مقابله با این نوع حملات این است که همیشه توجه زیادی به آدرس وبسایت داشته باشید. مطمئن شوید که تک تک حروف درست نوشته شده‌اند و وارد وبسایتی با آدرس مشابه نشده باشید. برای اطمینان بیشتر بهتر است به جای کلیک کردن روی لینک‌ها برای ورود به صفحه‌ی لاگین وبسایت‌ها، آدرس آن را به صورت دستی وارد کنید تا همیشه خیالتان راحت باشد.

حملات فیشینگ هدفمند

حملات فیشینگ معمولا به صورت عمومی انجام می‌شوند و تعداد بالایی از افراد را هدف قرار می‌دهند تا افراد بیشتری قربانی قرار بگیرند و این موضوع به معنای سود بیشتر برای کلاهبرداران سایبری خواهد بود. اما بعضی اوقات برخی حملات فیشینگ به این دلیل موفق هستند که تنها یک کاربر خاص را مورد هدف قرار می‌دهند و با استفاده از اطلاعاتی که قربانی انتظار دارد تنها یک منبع قابل اعتماد در جریانش باشد، قربانی را فریب می‌دهند.

حملات فیشینگ هدفمند در قالب ایمیل‌ها، تماس‌های تلفنی یا پیام‌های متنی شکل می‌گیرند و با استفاده از اطلاعاتی نظیر اسم کوچک قربانی یا مطالب شخصی دیگر قربانی را فریب می‌دهند تا آن‌ها را باور کند. این حرکت عموما با هدف سودجویی مالی اتفاق می‌افتد اما در مواردی اهداف سیاسی و حتی جاسوسی نیز داشته است.

بر اساس مطالعات به عمل آمده توسط وبسایت کیپ نت در سال ۲۰۱۷، این نوع حملات سایبری موفق‌ترین نوع حملات فیشینگ به حساب می‌آیند و به طور میانگین به ازای هر حمله‌ی این چنینی به یک کسب و کار، کلاهبرداران درآمد ۱.۶ میلیون دلاری داشته‌اند. موضوعی که حملات فیشینگ هدفمند را به بهینه‌ترین حملات سایبری تبدیل می‌کند.

مقابله با این نوع حملات فیشینگ با توجه به طبیعت‌شان بسیار دشوار تر از مقابله با حملات دیگر است. اما موضوع مهم اینجاست که همیشه به یاد داشته باشید آن‌ها هم وقتی زمان کلاهبرداری از راه برسد از متد‌های مورد استفاده در دیگر حملات استفاده می‌کنند. آن‌ها هم به دنبال دستیابی به اطلاعات شما هستند. اگر در ارائه‌ی اطلاعات شخصی خود نهایت دقت را به خرج دهید، همیشه می‌توانید از شر حملات فیشینگ در امان بمانید.

مطالب مرتبط

کد وب‌سایت Have I Been Pwned اپن‌سورس می‌شود

تروی هانت مؤسس وب‌سایت Have I Been Pwned اعلام کرد مجموعه کدهای مورد استفاده در این سایت را به‌شکل اپن‌سورس منتشر می‌کند تا این پروژه سودمند با سرعت بیشتری رشد کرده و در اختیار همه قرار بگیرد.این روزها همه می‌دانیم سهل‌انگاری در مورد مسائل امنیتی، دیر یا زود رمز عبور و اطلاعات شخصی ما را... ادامه مطلب

هک بیش از ۷۰ ساب‌ردیت معروف توسط طرفداران ترامپ

هکرها در حمله‌ای هماهنگ شده حداقل ۷۰ ساب ردیت پربازدید را هک کرده و در آنها تصاویر و مطالبی در حمایت از کمپین انتخاباتی دونالد ترامپ ارسال کردند.روز جمعه چندین صفحه از سایت ردیت که با نام ساب‌ردیت (Subreddit) شناخته می‌شوند مورد حمله هکرها قرار گرفتند. ساب ردیت‌های پرطرفدار با فالوورهای بیش از یک میلیون... ادامه مطلب

حمله هکرهای چینی به ۷ شرکت پیشرفته تایوانی برای سرقت فناوری تولید چیپ

یک شرکت امنیت سایبری تایوانی اعلام کرد هکرهای منتسب به چین به منظور سرقت فناوری نیمه رسانا به چندین شرکت تایوانی حمله کرده‌اند.به گزارش Wired، شرکت امنیتی تایوانی CyCraft Technology اعلام کرد که هکرها تحت عملیاتی به نام Operation Skeleton Key به منظور سرقت فناوری نیمه رسانا، کدهای برنامه نویسی، کیت‌های توسعه نرم افزار (SDK) و... ادامه مطلب

اینتل هک شد؛ انتشار ۲۰ گیگابایت فایل محرمانه در اینترنت

هکرها فلدری حاوی ده‌ها گیگابایت فایل محرمانه مربوط به بخش مهندسی تراشه اینتل را در اینترنت منتشر کردند.بر اساس گزارش Tom's Hardware، هکرها لینک دانلود فلدری حاوی ۲۰ گیگابایت فایل متعلق به بخش مهندسی تراشه اینتل را منتشر کرده‌اند. این فلدر که اوایل سال جاری میلادی از اینتل به سرقت رفته اولین بار در تلگرام... ادامه مطلب

حمله باج افزاری گسترده علیه کانن؛ ۱۰ ترابایت دیتا به سرقت رفت

شرکت کانن اعلام کرده که هدف دو حمله باج افزاری بزرگ قرار گرفته است و دسترسی به ۱۰ ترابایت دیتای ارزشمند آن حالا منوط به پرداخت مبلغی نامشخص باج به عاملان این حملات است.البته این شرکت جزئیات زیادی در مورد نوع دیتای سرقت شده خود ارائه نکرده و مشخص نیست چه تعداد از کاربران آن... ادامه مطلب

رخنه اطلاعاتی در خاورمیانه بیش از میانگین جهانی روی دست شرکت‌ها خرج می‌گذارد

بر اساس جدیدترین پژوهش صورت گرفته، هزینه هر رخنه اطلاعاتی در خاورمیانه بیش از میانگین جهانی و برابر ۶.۵۲ میلیون دلار است.این تحقیق که توسط «IBM Security» و «Ponemon Institute» صورت گرفته، هزینه رخنه اطلاعاتی در ۱۷ کشور جهان در سال ۲۰۲۰ را مورد تحلیل قرار داده است. طبق این گزارش، میانگین هزینه هر رخنه... ادامه مطلب

نظرات ۱

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟