فیشینگ راهی است که تبهکاران، اطلاعاتی نظیر کلمه کاربری، رمز عبور، شماره ۱۶ رقمی عابر بانک، رمز دوم و CVV2 را از طریق ابزارهای الکترونیکی ارتباطات به سرقت می برند. شبکههای اجتماعی، سایتهای حراجی و درگاههای پرداخت آنلاین نمونه ای از ابزارهای الکترونیکی ارتباطات می باشند.
کلاهبرداری فیشینگ از طریق ایمیلها و پیامها صورت می پذیرد و قربانیان به صورت مستقیم اطلاعات حساس و محرمانه خود را در وب سایتهای جعلی که در ظاهر کاملا شبیه وب سایتهای سالم و قانونی می باشد وارد می نمایند. حقه ی فیشینگ یکی از تکنیکهای مهندسی اجتماعی برای فریب کاربران می باشد که علیالقاعده از ضعف امنیتی یک وب سایت برای انجام عملیات مجرمانه خود استفاده می کنند. برای اولین بار حقه ی فیشینگ در ۱۹۸۷ تعریف شد و اولین باری که واژه فیشینگ برای نام گذاری این واژه استفاده گردید، سال ۱۹۹۶ بود.
انواع تکنیکهایی که در حقه فیشینگ مورد استفاده قرار می گیرد:
دستکاری و تقلب در لینکها و آدرسها
یکی از شیوههای متداول و رایج در فیشینگ ارسال لینکها و آدرسهای متعلق به سازمانهای غیر واقعی و جعلی از طریق ایمیل می باشد. آدرسهایی که تنها تفاوت آنها با آدرس اصلی یک یا دو حرف است یا از دامینهای فرعی گمراه کننده برای ایجاد آنها استفاده گردیده است.
دور زدن فیلتر
فیشرها با استفاده کردن از عکس به جای متن، کار فیلترهای ضد فیشینگ را که برای شناسایی متنهایی که عموماً در ایمیلهای حاوی آدرسهای جعلی یافت می شوند، را سخت می کنند.
وب سایت جعلی
تنها با ورود و بازدید یک قربانی به سایت جعلی عمل کلاهبرداری صورت نمی پذیرد. در برخی از روشهای فیشینگ از دستورات جاوا اسکریپت استفاده می شود تا نوار آدرس را اصلاح کند و تغییر دهد. این کار با قرار دادن تصویر یک آدرس اینترنتی قانونی و موجه در نوار آدرس یا بستن نوار آدرس اصلی و باز کردن یک نوار آدرس جدید که حاوی آدرس اینترنتی قانونی و موجه است، انجام می شود.
یک فیشر (مهاجم) حتی می تواند از نقایص موجود در برنامه جاوا اسکریپت یک سایت معتبر و قانونی علیه قربانیان خوداستفاده نمایند. این نوع حملهها ( که به کراس سایت اسکریپتینگ معروف هستند) به طور خاص سخت و پیچیده هستند، چون آنها قربانی را به صفحه اینترنتی ثبت نام خدمات بانکی خود ارجاع می دهند. صفحه ای که در آن همه چیز از آدرس سایت گرفته تا گواهی امنیتی، همه درست و صحیح به نظر می رسند. در حقیقت لینک دادن به صفحه اصلی حقه ای برای به ثمر رساندن سرقت و انجام دادن حمله است. با انجام این کار کشف این حمله برای افرادی که دانش لازم را ندارند، کار بسیار سختی است. در سال ۲۰۰۶ چنین حمله ای علیه سایت Pay Pal انجام شد.
یک برنامه فیشینگ در سطح جهانی با عنوان Man-in-the-middle، که در سال ۲۰۰۷ کشف شد، از یک رابط ساده استفاده می کرد که به فیشر (مهاجم) اجازه می داد به دون هیچ مشکلی سایتهایی خاصی را مجدداً ایجاد کند و جزئیات اطلاعات ورود یا لاگین افراد (نام کاربری و رمز عبور) وارد شده در وب سایت جعلی را برای ورود به سایتهای اصلی ثبت و ضبط کند.
برای از کار انداختن تکنیکها و برنامههایی که وب سایتها را با هدف پیدا کردن متون و علائم مرتبط با فیشینگ اسکن و بررسی می کنند، فیشرها به تازگی شروع به استفاده از وب سایتهایی کرده اند که با برنامههای فلش ساخته شده اند. این گونه سایتها بسیار واقعی به نظر میرسند اما در واقع در این سایتها متون و علائم مرتبط با فیشینگ پشت ظاهر برنامههای فلش پنهان شده اند.
فیشینگ از طریق تلفن
تمامی حملات فیشینگ نیاز به استفاده از یک وب سایت جعلی و ساختگی ندارند. این نوع حملات شامل پیامهایی هم می شوند که ادعا می کند از طرف بانک هستند و از مشتریها (استفاده کنندگان خدمات بانکی) می خواهند با توجه به مشکلی که برای حسابهای آنها به وجود آمده است، با یک شماره تماس بگیرند. به محض این که مشتری با این شماره تلفن (که متعلق به مهاجم است و یک سرویس تلفن اینترنتی است) تماس بگیرد، دستوراتی به مشتری داده می شود تا شماره حساب و رمز خود را وارد کند. فیشرهایی که از سرویس تلفن اینترنتی استفاده می کنند، گاهی اوقات از دادههای جعلی برای آی دی کالر استفاده مینمایند تا برای مشتریان این گونه به نظر برسد که این تماس از طرف یک سازمان مطمئن و معتبر انجام می شود.
فیشینگ با دستگاههای POS و ATM تقلبی
برخی کلاهبرداران با استفاده از POS و ATM تقلبی کارتهای بانکی طعمههای خود را کپی کرده و به بهانه فروش محصول و کالا رمز عبور آنها را میپرسند و سپس به راحتی حساب بانکی افراد را خالی میکنند.
نکته:
بهتر است هیچ گاه رمز عبور خود را در اختیار فروشندگان قرار ندهید. با پیشرفت تکنولوژی شیوههای پرداخت متنوعی در اختیار شما قرار گرفته که با کمک آن میتوانید استفاده از POS و ATM را به میزان قابل توجهی کاهش دهید. دریافت دستگاههای POS اختصاصی توسط شرکتها و سازمانها هم میتواند به جلب اعتماد بیشتر مشتریان کمک کند.
ربات تلگرام و فیشینگ
رباتهای تلگرام این روزها به بسیاری از کارهای ما سرعت بخشیدهاند، شرکتهای معتبر فینتک هم در این خصوص خدمات خوبی را ارائه میدهند که گزارش گیری انتقال وجوه را ساده تر کرده است. اما به هر روی تلگرام بستر مناسبی برای انتقال وجه نیست و دیده شده به بهانه انتقال وجه و یا حتی دریافت خدمات و یا خرید محصولی و یا حتی با نوشتن پستهای وسوسه برانگیز و تحریک افراد برای عضو شدن در کانال و یا گروههایی، اطلاعات بانکی حساب و یا کارت بانکی شخص را سرقت می کردند.
سایر روشها
• نوع دیگری از حمله که موفقیت آمیز بودنش ثابت شده است، ارجاع دادن قربانی به وب سایت اصلی بانک است. سپس یک پنجره پاپ آپ در بالای صفحه سایت به نمایش در می آید و به شکلی که به نظر برسد این صفحه و این سایت متعلق به بانک است، اطلاعات حساس قربانی را درخواست می کنند.
• یکی از جدیدترین روشهای فیشینگ تب نبینگ است. این برنامه از صفحاتی که کاربر باز کرده استفاده می کند و به طور آهسته کاربر را به سایت ساختگی ارجاع میدهد.
• دوقلوهای شر یا Evil twins روشی است که شناسایی و کشف آن کار بسیار سختی است. یک فیشر یک شبکه بی سیم (وایرلس) ساختگی ایجاد می کند. این شبکه همانند شبکههای معتبر عمومی و قانونی می تواند در مکانهایی مانند فرودگاهها، هتلها و کافی شاپها وجود داشته باشد. وقتی که یک نفر وارد شبکه جعلی می شود، کلاهبرداران سعی می کنند رمزهای عبور و یا سایر اطلاعات مرتبط با کارت اعتباری او را ثبت و ضبط کنند.
با توجه به مواردی که مطرح شد، راههایی در مورد مقابله و جلوگیری از گیر افتادن در دام فیشرها وجود دارد که از میان آنها میتوان به موارد زیر اشاره داشت:
- یکی از بهترین راهها برای دستیابی به صفحات وب، نوشتن آدرس آن به طور مستقیم در مرورگر است. یک ایمیل یا پیامک کلاهبرداری، این امکان را دارد که ادعا داشتن اعتبار لازم را داشته و از بانک، شرکت و یا مؤسسه معتبری ارسال شده باشد. هنگامی که شما روی لینکی که برای شما ارسال شده کلیک کنید با سایتی مشابه با سایت واقعی و به ظاهر معتبر مواجه میشوید که با پر کردن اطلاعات خود در آن، امکان به سرقت رفتن اطلاعاتتان را فراهم می کنید. برای جلوگیری از این اتفاق همیشه دنبال منابع معتبر بروید و در صورت دریافت ایمیلی با مقدمههای وسوسه بر انگیز، به جای بازگشایی بلافاصله آن، آدرس اصلی سایت مطرح شده را در مرورگر خود وارد کنید. سعی کنید امنیت اکانت ایمیل خود را افزایش دهید.
- استفاده از رمز یکبار مصرف را جدی بگیرید؛ این رمز یکبار مصرفها با اعتباری که در زمان کم دارند، باعث جلوگیری از به سرقت رفتن اطلاعات شما می شود.
- فرستنده یا فرستادهی غیر معمول؛ اگر پیامک یا ایمیلی از شخص ناشناسی که دارای لینکی که برای دریافت جایزه یا قرعه کشی بود و حتی اگر این پیام از طرف شخصی بود که او را میشناختید، به هیچ وجه بر روی آن لینک کلیک نکنید.
- هدایت به دامنهی فیشینگ به جای سایت واقعی؛ همانطور که در قسمتهای بالا هم گفته شد، همیشه قبل از انجام تراکنش آدرس URL درگاه پرداخت را حتما بررسی کنید.
- برای اکانتهای مالی خود صورت حساب تهیه کنید؛ به طور ماهانه این صورت حسابها را بررسی کنید تا از صورت گرفتن تمام تراکنشهایتان با آگاهی کامل اطمینان حاصل کنید. حال حاضر با توجه به مشغلههای روزمره این کمی ممکن است کمی حوصله بر باشد ولی با استفاده از فاکتور آنلاین میتوان به این فرایند سرعت بخشید.
از این رو لازم است تنها به شرکتهای معتبر و فعال این عرصه اعتماد کنید و جهت انتقال وجه آنلاین روشهای مناسب را انتخاب کنید.
استفاده از خدمات بانکداری الکترونیک و شرکتهای مجاز حوزه فینتک میتواند در وقت و پول شما صرفه جویی کرده و هزینههای شما را به میزان قابل توجهی کاهش دهد.
فقط کافی است هنگام استفاده از این خدمات نکات امنیتی را رعایت کنید و همواره به سراغ مراکز معتبر و شناخته شده بروید تا عملیات انتقال وجه مطمئن و راحتی را تجربه کنید
