تیم حقوقی گروه توسعه فناوری اطلاعات هزاردستان و شرکتهای زیرمجموعه
فیشینگ و راههای مقابله با آن
زوایای مختلف فیشینگ
استفاده از اینترنت و خدمات آنلاین در زندگی روزمره ما در حال افزایش است؛ اما ارائه کالا و خدمات به صورت آنلاین در کنار مزایای متعدد، میتواند دردسرهایی برای کاربران ایجاد کند. بسیاری از ما در معرض اشکال مختلف سرقت و سوءاستفاده از اطلاعات شخصی و خصوصیمان قرار گرفته و بعضی قربانی این اقدامات بودهایم. یکی از متداولترین روشهای سرقت اطلاعات شخصی و محرمانه افراد، فیشینگ(phishing) است.
فیشینگ چیست؟
فیشینگ به معنای تلاش برای دستیابی به اطلاعات شخصی حساس یا خصوصی افراد با استفاده از روشهای متقلبانه است که معمولا با استفاده از بستر اینترنت انجام میشود. این اطلاعات برای سرقت از حسابهای بانکی، سفارش و خرید کالا با استفاده از اطلاعات کارت اعتباری و سایر شیوههای کلاهبرداری از صاحب حساب مورد استفاده قرار میگیرد.
واژهی فیشینگ مخفف عبارت (Password Harvesting Fishing) یعنی شکار گذرواژهی کاربر است و دو حرف ph جایگزین حرف f شده تا توجه کاربران به جنبهی متقلبانه این عبارت جلب شود.
چه اطلاعاتی ممکن است از شما خواسته شود؟
معمولا در روش فیشینگ اطلاعات شخصی و محرمانه شما درخواست میشود. نام کاربری و گذرواژه شما در حسابهای کاربری مختلف(پست الکترونیکی، شبکههای اجتماعی و...)، شماره حساب بانکی، شماره کارت بانکی، تاریخ تولد، شماره تامین اجتماعی، اطلاعات هویتی(شماره شناسنامه و کدملی) از جمله اطلاعات درخواستی هکرها هستند.
فیشینگ معمولا به چند روش انجام میشود:
- گاهی فیشینگ از طریق ارسال ایمیلهایی انجام میشود که ظاهراً از منبعی رسمی و معتبر( مانند بانک دریافت کننده ایمیل یا یک شرکت شناخته شده) ارسال شدهاند درحالیکه هیچ ارتباطی با منبع ادعایی ندارند. در این ایمیلها معمولا از شما خواسته میشود تا با جواب دادن به ایمیل، حساب کاربری خود را در بانک یا شرکت مزبور با وارد کردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات کارت بانکی و پینکد، تائید نمایند.
دقت کنید! سیستم مالی و بانکی هیچگاه از طریق ایمیل از شما درخواست نمیکند اطلاعات بانکیتان را ارسال کنید، شما حتی مجاز به اعلام رمز بانکی خود به کارکنان بانک نیستید.
- در یک روش دیگر فیشینگ از طریق ایمیل، کلاهبرداران لینکی را از طریق ایمیل ارسال کرده و شما را ترغیب میکنند تا برای به روزرسانی حساب کاربری خود بر روی لینک کلیک کنید. سپس شما وارد سایتی میشوید که نشانی(URL) و ظاهر و محتوای آن از هر نظر شبیه سایت بانک شما یا سایتهای معتبر مربوط به پرداختهای الکترونیکی است.
دقت کنید! به تفاوتهای کوچک توجه کنید. نشانی اینترنتی وبسایتهای مهم از جمله وب سایت مربوط به بانک خود را بدانید و پیش از وارد کردن هر نوع اطلاعاتی نشانی اینترنتی را با نشانی صفحهای که پیش رویتان باز شده، تطبیق دهید.
- طراحی صفحات جعلی مشابه درگاههای رسمی پرداخت بانکی:
کلاهبردارن سایبری در بسیاری از وبسایتها در کنار تبلیغات خیرهکننده فروش محصولات مختلف، لینکهایی قرار میدهند که شما را به صفحات جعلی که بسیار شبیه درگاه آنلاین بانکها طراحی شده، میکنند. به محض وارد کردن اطلاعات حساب بانکیتان، آنها اطلاعات را به سرقت کرده و میتوانند حساب شما را ظرف چند ثانیه خالی کنند.
دقت کنید! امن ترین درگاه پرداخت، درگاه پرداخت بانک مرکزی به آدرس https://xxx.shaparak.ir است و در کنار آن حتما باید نام یکی از PSPها (شرکتهای پرداخت الکترونیک) مطرح درج شده باشد. شرکتهای مجاز به انجام فعالیت طبق فهرست شاپرک(شرکت شبکه الکترونیکی پرداخت کارت) اعلام میشوند.
- فیشینگ از طریق تلفن: در این روش هکرها و کلاهبرداران سایبری با معرفی خود به عنوان نماینده بانک صاحب حساب شما و یا نماینده موسسه، نهاد یا شرکتی معتبر و شناخته شده، با شما تماس میگیرند و با ادعاهایی نظیر برنده شدن شما در قرعه کشی و یا ایجاد مشکل در حساب کاربری شما، برای کسب اطلاعات شخصی تلاش میکنند. در برخی موارد هکرها از دادههای جعلی برای آیدیکالرها استفاده میکنند و یا از شما میخواهند که با یک تلفن گویا برای رفع مشکل یا دریافت جایزه خود تماس بگیرید و سپس دستوراتی برای ورود اطلاعات دریافت میکنید.
دقت کنید! بانکها و سایر موسسات مالی هرگز برای رفع مشکلات حساب کاربران از طریق تلفن اقدام نمیکنند. همچنین برای واریز هر گونه وجه به حساب شما اعم از جایزه، پاداش و مزایا نیازی به اعلام رمز بانکی شما نخواهد بود.
ده راهکار برای اینکه قربانی فیشینگ نشوید:
- دربارهی اشکال و شیوههای فیشینگ آگاهی داشته باشید: روشهای انجام فیشینگ به تدریج پیچیدهتر شدهاند. برای اینکه طعمه این حملات نباشید، باید دربارهی جدیدترین روشهای سرقت اطلاعات و کلاهبرداری اینترنتی آگاهی داشته باشید.
- به عنوان یک اصل کلی، اطلاعات حساس شخصی یا مالی خود را از طریق اینترنت به اشتراک نگذارید و به طور کلی تا جایی که ممکن است هرگز ایمیلی حاوی اطلاعات مهم و حساس ارسال نکنید.
- پیش از کلیک کردن فکر کنید! کلیک کردن بر روی لینکهای مختلف یک وبسایت شناخته شده مشکلی ایجاد نخواهد کرد، اما کلیک کردن بر روی لینکهایی که در ایمیلهای تبلیغاتی و ناشناس ارسال میشود، معمولا دردسرساز خواهد بود. معمولا با کلیک بر روی این لینکها از شما خواسته میشود اطلاعاتی را وارد کنید. اغلب ایمیلهای متقلبانه به جای شروع شدن با اسم و فامیل شما با عبارت «کاربر/مشتری گرامی» شروع میشود. هرگاه دچار شک شدید به جای کلیک کردن بر روی لینک مشکوک، مستقیما به وبسایت مورد نظر مراجعه کنید.
- از فایروال (Firewall) استفاده کنید. فایروالها به دوشکل نرمافزاری و سختافزاری قابل استفاده هستند و تا حد زیادی از نفوذهای ناخواسته به رایانه شما جلوگیری میکنند.
- از Toolbarهای ضد فیشینگ استفاده کنید؛ این Toolbarها بر روی اغلب موتورهای جستجو پرطرفدار و پرکاربرد قابل استفاده هستند. این ابزارها نام دامنه و آدرس وبسایتی که مشغول مشاهده آن هستید را بررسی و آن را با فهرست سایتهای فیشینگ شناختهشده تطبیق داده و به شما هشدار میدهند. این لایههای محافظتی در برابر کلاهبرداران اینترنتی اغلب رایگان هستند.
- مراقب تبلیغات پاپآپ باشید. پاپآپ یک شیوه تبلیغات اینترنتی است که در آن با کلیک کردن در هر نقطه از یک سایت، تعداد زیادی صفحه به طور همزمان باز میشود یا با جستجوی یک عبارت در موتور جستجو، صفحات متعددی همزمان مقابل کاربر باز میشود. بسیاری از این دست تبلیغات، در واقع تلاشهایی برای فیشینگ است. بسیاری از موتورهای جستجو در تنظیمات خود این امکان را به شما میدهند که پاپآپها را مسدود(بلاک) کنید.
- بر روی رایانه و تلفن همراه خود نرمافزارهای ضد ویروس نصب کرده و آن را به طور مرتب به روزرسانی کنید.
- مرورگر (Browser) خود را بهروز رسانی کنید.
- امنیت سایتها را بررسی کنید؛ پیش از وارد کردن و ارسال اطلاعات مطمئن شوید که نشانی سایت با https شروع شود. معمولا آیکونی به شکل یک قفل بسته در کنار آدرس اینترنتی مطمئن قرار دارد. همچنین میتوانید گواهیهای مربوط به حوزهی فعالیت هر سایت را بررسی کنید. به عنوان مثال در مورد کسبوکارهای اینترنتی دارا بودن «ای نماد یا نماد اعتماد الکترونیکی» بیانگر احراز هویت و صلاحیت دارندگان سایت، توسط وزارت صنعت، معدن و تجارت است.
هرگز فایلها و اپلیکیشنها را از وبسایتهای مشکوک و ناشناخته دانلود نکنید. حتی موتورهای جستجو نیز ممکن است در نتایج جستجو، لینکهایی را نمایش دهند که به صفحات ساختگیای منتهی میشوند که بعضا کالا و خدمات را با قیمت پائینتر ارائه میدهند. - حسابهای کاربری آنلاین خود را به طور مرتب بررسی کنید؛ حتی اگر از بعضی حسابهای کاربری خود برای مدت طولانی استفاده نمیکنید، به آنها سر بزنید. گذرواژهی هر یک از حسابهای کاربری خود را به طور مرتب تغییر دهید و هرگز از یک گذرواژه برای همه یا برخی از حسابهای خود استفاده نکنید. تراکنشهای مربوط به حسابهای مالی خود را به صورت ماهانه بررسی کنید.
مطلبی دیگر از این انتشارات
حمایت حقوقی از پخشهای اینترنتی
مطلبی دیگر از این انتشارات
ارائهدهندگان خدمات میزبانی (هاست) چه کسانی هستند؟
مطلبی دیگر از این انتشارات
شیوههای حمایت از ارائهدهندگان خدمات میزبانی به عنوان شاهد و مطلع در فرآیند دادرسی کیفری