فیشینگ چیست؟ انواع آن و راه‌کارهای جلوگیری از فیشینگ

کلاهبرداری (فیشینگ) برایمان ناآشنا نیست. تقریباً همه ما پیام‌های وسوسه‌انگیز یا تهدیدکننده را دریافت کردیم. در طعمۀ حملات سایبری قرار گرفتن بسیار ناراحت کننده است. گاهی ممکن است مقدار زیادی از دارایی‌مان را از دست بدهیم.

چند وقت پیش یکی از دوستانم از سایتی قصد خرید کالای را دارد. پس از خرید کالا (ماکارونی) اطلاعات کارت بانکی را وارد درگاه پرداخت می‌کند، به جای کم شدن قیمت کالا که حدود ۲۶ هزار تومان بود، همه ۲ میلیون تومان حساب بانکی خالی شد. این مشکل یا کلاهبرداری از حساب را فیشینگ می‌گویند. چه مشکلی پیش می‌آید که حساب کاربر خالی می‌شود؟

ما قصد داریم در این مطلب با مفهوم فیشینگ چیست؟ انواع فیشینگ و راه‌های اساسی برای جلوگیری از آن بپردازیم. بعد از مطالعه مقاله شما انواع مختلف کلاهبرداری را می‌شناسید و بهتر می‌توانید از اطلاعات‌تان در معرض کلاهبرداری محافظت کنید.

فیشینگ چیست؟

بیاید در ابتدا فیشینگ را تعریف کنیم. فیشنگ (Phishing) نوعی کلاهبرداری آنلاین است که در آن مجرم از طریق ایمیل،‌ پیام کوتاه،‌ تماس یا روش‌های تبلیغاتی دیگر اقدام به سرقت اطلاعات محرمانه کاربر می‌کند.

کلمه Phishing  تقریبا شبیه کلمه Fishing انگلیسی به معنی ماهیگیری است، زیرا شخص کلاهبردار با طراحی طمعه‌ای فریبنده سعی در فریب کاربرد دارد و اطلاعاتی مانند: شماره کارت بانکی، شماره حساب، نام کاربری، رمز عبور و سایر اطلاعات ارزشمند را بدست‌ آورد.

کلاهبرداری چگونه اتفاق می‌افتد؟

کلاهبرداری به این صورت است که پیامی برای‌مان ارسال می‌شود و درخواست می‌کند تا پیوست را باز و فرم را پُر کنیم یا به سوالاتی در مورد اطلاعات شخصی پاسخ دهیم.

برای روشن‌تر شدن موضوع یک مثال بزنیم. در نظر بگیرید که ایمیلی برای‌مان ارسال شده است. ایمیل‌مان را باز کرده و در پیام‌های صندوق ورودی‌ با پیامی از طرف بانک به صورت اخطار روبرو می‌شویم. زمانی که روی لینک پیام کلیک کنیم صفحه‌ای باز می‌شود که ظاهری شبیه به صفحه بانک دارد و در صفحه باز شده اطلاعات شخصی کاربر خواسته می‌شود.

سپس پیامی برای کاربر ارسال می‌شود که مشکلی در حساب‌تان وجود دارد و از کاربر می‌خواهد، رمز عبور را دوباره وارد و تایید کند. در این حالت از طرف شخص کلاهبردار صفحه‌ای برای سرقت اطلاعات‌ طراحی شده است. کاربر پس از تکمیل اطلاعات به صفحه اصلی بانک یا موسسه منتقل می‌شود تا برای بار دوم اطلاعات‌ را وارد کند و سپس اطلاعات‌ به سرقت می‌رود.

البته ممکن است روش گرفتن اطلاعات مفصل‌تر باشد و شامل انواع ارتباطات و تماس‌های تلفنی باشد. گاهی تهدیدها فقط به کاربر مربوط نمی‌شود و هکر وارد لیست مخاطبین یا رسانه‌های اجتماعی می‌شود و افراد آشنا با کاربر را اسپم (پیام‌ به تعداد زیادی از کاربران در فضای آنلاین و بدون اجازه انجام شود اسپم یا هرزنامه نامیده می‌شود) کند.

اگر کاربر جزو افردی باشد که زود اعتماد می‌کند و فوریت برای‌ش اولویت دارد، مجرم به‌راحتی می‌تواند کاربر را متقاعد کرده و هدف آسانی است.

چه کسانی در معرض حملات فیشینگ هستند؟

فیشینگ می‌تواند در هر سنی و در زندگی شخصی یا محل کار اتفاق بیفتد. در جامعه امروز تقریباً همه افراد از خردسال تا افراد مسن از تلفن همراه و اینترنت استفاده می‌کنند و به راحتی به لیست مورد هدف کلاهبردار اضافه می‌شوند. به عنوان مثال پیامی به تلفن همراه ارسال می‌شود: مشتری عزیز اگر رمز موبایل بانک خود را فراموش کرده‌اید روی لینک زیر کلیک کنید.

در دنیای ارتباطات استفاده نکردن از شماره تلفن همراه، ایمیل، اکانت‌ شبکه‌های اجتماعی و شماره حساب‌های بانکی تقریباً غیرممکن است. بنابراین هر کدام از اطلاعات گفته شده می‌تواند به عنوان هدف برای فیشینگ استفاده شود و تقریبا همه افراد در معرض حملات سایبری قرار دارند.

انواع مختلف فیشینگ

تا اینجای مقاله با مفهوم فیشنگ چیست، آشنا شدید. حالا انواع فیشینگ را بررسی می‌کنیم.

فیشینگ از سال ۱۹۸۷ برای اولین بار شروع شد و روز به روز با افزایش تکنولوژی از راه‌های جدیدی برای آسیب رساندن به قربانیان استفاده می‌شود. همانطور که قبلاً هم گفته شد احتمالاً تابه‌حال تعدادی از پیام‌های فیشینگ مانند پیام زیر، برای‌مان ارسال شده، ولی به آن توجهی نکردیم!

کلاهبرداری از طریق ایمیل

شاید ساده‌ترین راه برای فیشنگ، ارسال ایمیل باشد. در روش ایمیل فیشینگ، شخص کلاهبردار ایمیلی را ارسال می‌کند که ظاهری فریبنده و شبیه به ایمیل ارسالی از طرف بانک‌ها دارد. ایمیل به گونه‌ای طراحی شده که کاربر ترغیب می‌شود روی لینک یا پیوست ایمیل کلیک کرده و اطلاعات بانکی را وارد کند.

برای مثال ایمیلی از طرف بانک برای‌مان ارسال شده، در متن پیام نوشته شده است: برای حساب‌تان مشکلی پیش آمده و برای برطرف کردن مشکل روی لینک کلیک کنید تا اطلاعات‌ حساب‌تان را وارد کنید.

کلاهبرداری از طریق تماس تلفنی (Voice phishing)

در این روش با کاربر تماس تلفنی گرفته می‌شود و شخص تماس گیرنده ادعا می‌کند از پشتیبانی سازمان یا اداره‌ای خاص تماس گرفته و سعی می‌کند در حین صحبت کردن اطلاعات شخصی کاربر را نیز بگیرد.

مثلاً تماسی با شماره همراه‌مان گرفته می‌شود و در حین صحبت کردن شماره کارت و نام بانکی که حساب داریم را از ما می‌خواهد.

فیشینگ از طریق پیام کوتاه (SMS phishing)

در فیشینگ پیام کوتاه، برای کاربر پیامی ارسال می‌شود که غالباً حاوی متن اخطار برای حساب بانکی، دریافت جایزه و … است تا کاربر ترغیب شود و روی لینک کلیک کنید. مثلاً پیامی دریافت می‌کنیم از طرف یکی از اقوام‌ که ارثی به ما رسیده است و اطلاعات شخصی از ما خواسته می‌شود تا برای فرستنده پیام ارسال کنیم.

کلاهبرداری از طریق شبکه‌های اجتماعی (Social media phishing)

در شبکه‌های اجتماعی کلاهبردار پست‌ها یا پیام‌هایی را به اکانت شخصی‌مان ارسال می‌کند. ممکن است اکانت دوستان‌مان را جعل کند و مدتی را با ما در تماس بوده و سپس اقدام به کلاهبرداری کند.

مثلاً در دایرکت اینستاگرام از طرف یکی از دوستان‌مان پیامی ارسال می‌شود که به بیماری نادری مبتلا شده و برای هزینه بیمارستان و جراحی  نیاز به مبلغی پول دارد.

بدافزار (Malware)

در بدافزار کلاهبردارن سایت‌های مشهوری را که بازدیدکننده‌‌های زیادی دارند را مورد هدف قرار می‌دهند و از نقاط ضعف موجود در سایت استفاده کرده و کاربر را از تغییر مسیر به لینک دیگری غیر از سایت اصلی هدایت می‌کنند.

فارمینگ (Pharming)

فیشینگ فارمینگ (Pharming) که به  DNS نیز معروف است، نوع پیشرفته‌ای از فیشینگ است که سعی در تغییرIP و دامنه سایت دارد و کاربر را به صفحه‌ای اشتباه راهنمایی می‌کند و اطلاعات کاربر را می‌گیرد.
به عنوان مثال در وارد کردن آدرس اینترنتی سایت Amazon اگر حرف o را اشتباه یا دوبار تایپ کنیم ممکن است به صفحه مورد نظر کلاهبردار وارد شویم.

نیزه (Malware)

در فیشینگ (Malware) کلاهبردار هدف بزرگتری دارد و روی گروهی از مدیران، اشخاص یا شرکت‌های بزرگ برنامه‌ریزی می‌کند و اطلاعات مربوط به شرکت را جمع‌آوری می‌کند. مثلاً جعل هویت مدیرعامل شرکت را انجام می‌دهد و شروع به گرفتن اطلاعات می‌کند.

موتورهای جستجو(Search Engine)

در Phishing موتورهای جستجو، وب سایت‌هایی برای گرفتن اطلاعات شخصی و اطلاعات پرداخت‌ بانکی طراحی می‌شوند.

سایت‌های کلاهبرداری در نتیجه جستجو طبیعی یا جستجو با تبلیغات در نتایج بالاتر گوگل قرار می‌گیرند. اگر مراقب نباشیم و دقت کافی نداشته باشیم ممکن است به جای کلیک روی صفحه اصلی روی صفحه مخرب یا جعلی کلیک کنیم.

کلون (Colone phishing)

در روش کلون، فیشر از ایمیل معتبری که قبلا برای‌مان ارسال شده، استفاده می‌کند. آدرس و اطلاعات ایمیل را تغییر داده و آن را دوباره می‌فرستد.

به عنوان مثال پیامی از بانک ارسال شده و در متن ایمیل نوشته ” لینک ایمیل به‌روز شده است برای تمدید و انجام تغییرات روی این لینک کلیک کنید”

شخص سوم (Man in the Middle Attack)

در این روش شخص سومی وجود دارد که مکالمات بین دو نفر را شنود می‌کند و اطلاعات شخصی و محرمانه را دریافت می‌کند. شنیدن گفتگو ممکن است در فضای عمومی مانند کافی‌شاپ، رستوران و … هم اتفاق بیفتد.

وای فای (WIFI phisher)

در حمله از طریق WIFI کلاهبردار به راحتی اطلاعات شخصی را از تلفن همراه یا کامپیوتر شخصی کپی کرده و استفاده می‌کند. بنابراین در مکان‌های عمومی نباید از وای فای به هیچ عنوان استفاده کنیم. مثلاً هکر با استفاده از بدافزار وارد همراه بانک تلفن همراه شما می‌شود و اطلاعات حساب و رمز را هک می‌کند.

چگونه از فیشینگ جلوگیری کنیم؟

تا اینجای مقاله با فیشینگ چیست؟ و انواع فیشینگ کاملاً آشنا شدید حالا نوبت جلوگیری از فیشینگ است. چه بخواهیم و چه، نه هر روز در معرض حملات سایبری هستیم و ممکن است هدف بعدی کلاهبرداران ما باشیم.

در بیشتر مواقع ایمیل‌های و پیام‌ها به صورت خودکار فیلتر می‌شوند تا به کاربران نرسند و در بعضی مواقع هم کاربران پیام‌ها را شناسایی می‌کنند.

قاعدتاً هیچ فردی دوست ندارد در دام کلاهبرداران اینترنتی بیفتد. اما تا زمانی که استفاده از اینترنت وجود دارد کلاهبرداری و فیشینگ هم وجود دارد و از بین نمی‌رود اما خوشبختانه راه‌حل‌هایی وجود دارد که می‌توانیم دسترسی کلاهبرداران را محدود کنیم تا در دام هکرها نیفتیم و قربانی نشویم.

تکنیک‌های فیشنگ را بشناسیم

تکنیک‌های فیشینگ روز به روز در حال پیشرفت هستند، یکی از راه‌های جلوگیری از فیشینگ این است که اطلاعات کافی داشته باشیم و به روش‌های مختلف کلاهبرداری آگاه باشیم.

 قبل از کلیک روی هر مطلب کمی فکر کنیم

زمانی که در سایت معتبری هستیم، کلیک روی لینک‌ها مشکلی ندارد اما زمانی که لینکی برای‌مان ارسال می‌شود مثلاً یک پنجره پاپ آپ روی صفحه مرورگر نشان داده می‌شود و شبیه صفحه بانک است، قبل از اینکه روی لینک کلیک کنیم باید آن را بررسی کرده و سپس کلیک کنیم. در ضمن، وقتی صفحه باز شد و زمانی که احساس خطر کردیم نباید اطلاعات‌مان را کامل وارد کنیم.

پیوست ایمیل‌ها را باز نکنیم

در ایمیل‌های مشکوکی که برای‌مان ارسال می‌شود فایل‌های پیوست را که عموماً به صورت   Word, Excel و PDF هستند، باز نکنیم.

مرورگرمان را آپدیت کنیم

در نسخه‌های جدید مرورگرهای محبوب و پرطرفدار مشکلات مربوط به امنیت برطرف می‌شود. سعی کنیم هر چند وقت یکبار مرورگرهای‌مان را به‌روز کنیم.

حواس‌مان به پاپ‌آپ باشد

پاپ آپ پنجره‌های هستند که در سایت‌ها به صورت خودکار باز می‌شوند. اگر پاپ آپ روی سیستم یا گوشی همراه‌مان باز می‌شود باید روی گزینه X در بالای پنجره کلیک کنیم تا پاپ‌آپ بسته شود و نباید روی پنجره کلیک کنیم.

 تایید امنیتی سایت را در نظر بگیریم

طبیعی است که زمانی که می‌خواهیم اطلاعات مالی را در سایتی وارد کنیم کمی حساسیت به خرج دهیم و تایید امنیت سایت را در نظر بگیریم. مطمئن شویم که سایت با https باز شده باشد و همچنین سمت چپ بالای صفحه در کنار URL سایت، قفلی وجود داشته باشد.

تایید دو مرحله‌ای انجام دهیم

یکی از کارهای که به جلوگیری از فیشینگ کمک می‌کند استفاده از رمز عبور به صورت دو مرحله‌ای است که به امنیت حساب‌ کاربری‌ کمک می‌کند. پس حتما از تایید دو مرحله‌ای برای اکانت‌ شبکه‌های اجتماعی مانند تایید دو مرحله‌ای برای رمز اینستاگرام استفاده کنیم. برای کارت بانکی از رمز عبور دوم را از بانک فعال کنیم.

در چه مشاغلی بیشتر فیشینگ اتفاق می‌افتد؟

تا این قسمت از مقاله فیشینگ چیست؟ انواع فیشینگ و راه‌های مختلف مقابله با فیشینگ را گفیتم. در ادامه بعضی از مشاغلی که احتمال فیشنگ زیاد است را معرفی می‌کنیم. در برخی از کسب‌وکارها و مشاغل آنلاین احتمال کلاهبرداری زیاد است و باید در وارد کردن اطلاعات شخصی‌مان مراقب باشیم.

سایت‌های اعتبارسنجی

سایت‌های نا معتبر فروش پوشاک و لوازم مصرفی

سایت‌های فروش اعتبارات

سایت‌های حراجی

سایت‌های فاقد نماد اعتماد الکترونیکی

سایت‌های انجام قرعه‌کشی

سایت‌های شرط‌‌ بندی فوتبال

سایت‌ها طالع بینی و فالگیری

در سایت‌های بالا، کلاهبرداری آنلاین راحت‌تر انجام می‌شود، بهتر است مراقب باشیم و به نکاتی مثل آدرس URL سایت دقت کنیم که حرفی کم یا اضافه نداشته باشد.

به این نکته نیز دقت کنیم که آدرس سایت‌ها حتماً با Https شروع شود، بودن حرف ‌(S) در انتهای Http الزامی است. به راحتی به این کسب‌وکارها اعتماد نکنید و قبل از وارد کردن اطلاعات شخصی حتماً بررسی‌های لازم را انجام دهید.

در حقیقت حمله‌های فیشینگ دائما در حال گسترش است. مثلاً یکی از جدیدترین پیام‌های در رابطه با کرونا ویروس است. شخص کلاهبردار خود را نماینده سازمان جهانی بهداشت یا وزارت بهداشت درمان و آموزش پزشکی معرفی می‌کند و از کاربر می‌خواهد تا اطلاعاتش را در فرم وارد کند و شخص هکر سیستم کاربر را با بدافزار آلوده می‌کند.

در هنگام مواجعه شدن با پیام‌های بالا سعی کنید پیام را باز نکرده و حذف کنید. شماره یا آیدی فرستنده را بلاک کنید.

نتیجه‌گیری از مقاله فیشینگ (Phishing)

در مقاله فیشینگ چیست؟ انواع فیشینگ و راه‌های مقابله با آن، از سایت ملی پیامک با تکنیک‌های مختلف کلاهبرداری آشنا شدید و راه‌های اساسی و مهم برای جلوگیری از حمله‌های کلاهبرداری را یادگرفتید. هرچند که حملات اینترنتی همیشه در کمین است اما با دیدن مثال‌های متعدد در مقاله، حالا می‌توانیم با شناخت درست و اطلاعات مفید کمتر در دام فیشرها بیفتیم.

اگر برای شما هم پیامی در زمینه کلاهبرداری ارسال شده است، لطفا پیام را با مخاطبان ملی پیامک به اشتراک بگذارید.