فیشینگ و راه‌های مقابله با آن

زوایای مختلف فیشینگ

استفاده از اینترنت و خدمات آنلاین در زندگی روزمره ما در حال افزایش است؛ اما ارائه کالا و خدمات به صورت آنلاین در کنار مزایای متعدد، می‏‌تواند دردسرهایی برای کاربران ایجاد کند. بسیاری از ما در معرض اشکال مختلف سرقت و سوءاستفاده از اطلاعات شخصی و خصوصی‌مان قرار گرفته و بعضی قربانی این اقدامات بوده‏‌ایم. یکی از متداول‏‌ترین روش‏های سرقت اطلاعات شخصی و محرمانه افراد، فیشینگ(phishing) است.

فیشینگ چیست؟

فیشینگ به معنای تلاش برای دستیابی به اطلاعات شخصی حساس یا خصوصی افراد با استفاده از روش‌های متقلبانه است که معمولا با استفاده از بستر اینترنت انجام می‌شود. این اطلاعات برای سرقت از حساب‏‌های بانکی، سفارش و خرید کالا با استفاده از اطلاعات کارت اعتباری و سایر شیوه‏‌های کلاهبرداری از صاحب حساب مورد استفاده قرار می‌گیرد.

واژه‏‌ی فیشینگ مخفف عبارت (Password Harvesting Fishing) یعنی شکار گذرواژه‌ی کاربر است و دو حرف ph جایگزین حرف f شده تا توجه کاربران به جنبه‌ی متقلبانه این عبارت جلب شود.

چه اطلاعاتی ممکن است از شما خواسته شود؟

معمولا در روش فیشینگ اطلاعات شخصی و محرمانه شما درخواست می‏‌شود. نام کاربری و گذرواژه شما در حساب‏های کاربری مختلف(پست الکترونیکی، شبکه‏‌های اجتماعی و...)، شماره حساب بانکی، شماره کارت بانکی، تاریخ تولد، شماره تامین اجتماعی، اطلاعات هویتی(شماره شناسنامه و کدملی) از جمله اطلاعات درخواستی هکرها هستند.

فیشینگ معمولا به چند روش انجام می‌شود:

  • گاهی فیشینگ از طریق ارسال ایمیل‌‏هایی انجام می‏‌شود که ظاهراً از منبعی رسمی و معتبر( مانند بانک دریافت کننده ایمیل یا یک شرکت شناخته شده) ارسال شده‏‌اند درحالی‏که هیچ ارتباطی با منبع ادعایی ندارند. در این ایمیل‌‏ها معمولا از شما خواسته می‌شود تا با جواب دادن به ایمیل، حساب کاربری خود را در بانک یا شرکت مزبور با وارد کردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات کارت بانکی و پین‌کد، تائید نمایند.

دقت کنید! سیستم مالی و بانکی هیچگاه از طریق ایمیل از شما درخواست نمی‌کند اطلاعات بانکی‌تان را ارسال کنید، شما حتی مجاز به اعلام رمز بانکی خود به کارکنان بانک نیستید.

  • در یک روش دیگر فیشینگ از طریق ایمیل، کلاهبرداران لینکی را از طریق ایمیل ارسال کرده و شما را ترغیب می‏‌کنند تا برای به روزرسانی حساب کاربری خود بر روی لینک کلیک کنید. سپس شما وارد سایتی می‌شوید که نشانی(URL) و ظاهر و محتوای آن از هر نظر شبیه سایت بانک شما یا سایت‎‌های معتبر مربوط به پرداخت‌های الکترونیکی است.

دقت کنید! به تفاوت‌های کوچک توجه کنید. نشانی اینترنتی وب‌سایت‏‌های مهم از جمله وب سایت مربوط به بانک خود را بدانید و پیش از وارد کردن هر نوع اطلاعاتی نشانی اینترنتی را با نشانی صفحه‌ای که پیش رویتان باز شده، تطبیق دهید.

  • طراحی صفحات جعلی مشابه درگاه‏‌های رسمی پرداخت بانکی:

کلاهبردارن سایبری در بسیاری از وب‌‏سایت‏‌ها در کنار تبلیغات خیره‏‌کننده فروش محصولات مختلف، لینک‏‌هایی قرار می‏‌دهند که شما را به صفحات جعلی که بسیار شبیه درگاه آنلاین بانک‏‌ها طراحی شده، می‏‌کنند. به محض وارد کردن اطلاعات حساب بانکی‎‏تان، آنها اطلاعات را به سرقت کرده و می‏‌توانند حساب شما را ظرف چند ثانیه خالی کنند.

دقت کنید! امن ترین درگاه پرداخت، درگاه پرداخت بانک مرکزی به آدرس https://xxx.shaparak.ir است و در کنار آن حتما باید نام یکی از PSP‌ها (شرکت‌های پرداخت الکترونیک) مطرح درج شده باشد. شرکت‏‌های مجاز به انجام فعالیت طبق فهرست شاپرک(شرکت شبکه الکترونیکی پرداخت کارت) اعلام می‏‌شوند.

  • فیشینگ از طریق تلفن: در این روش هکرها و کلاهبرداران سایبری با معرفی خود به عنوان نماینده بانک صاحب حساب شما و یا نماینده موسسه، نهاد یا شرکتی معتبر و شناخته شده، با شما تماس می‏‌گیرند و با ادعاهایی نظیر برنده شدن شما در قرعه کشی و یا ایجاد مشکل در حساب کاربری شما، برای کسب اطلاعات شخصی تلاش می‌کنند. در برخی موارد هکرها از داده‌های جعلی برای آی‌دی‏کالرها استفاده می‏‌کنند و یا از شما می‌‏خواهند که با یک تلفن گویا برای رفع مشکل یا دریافت جایزه خود تماس بگیرید و سپس دستوراتی برای ورود اطلاعات دریافت می‌کنید.

دقت کنید! بانک‏ها و سایر موسسات مالی هرگز برای رفع مشکلات حساب کاربران از طریق تلفن اقدام نمی‏‌کنند. هم‏چنین برای واریز هر گونه وجه به حساب شما اعم از جایزه، پاداش و مزایا نیازی به اعلام رمز بانکی شما نخواهد بود.

ده راهکار برای اینکه قربانی فیشینگ نشوید:

  • درباره‌ی اشکال و شیوه‏‌های فیشینگ آگاهی داشته باشید: روش‌‌های انجام فیشینگ به تدریج پیچیده‎‏تر شده‎‏اند. برای اینکه طعمه این حملات نباشید، باید درباره‌ی جدیدترین روش‌های سرقت اطلاعات و کلاهبرداری اینترنتی آگاهی داشته باشید.
  • به عنوان یک اصل کلی، اطلاعات حساس شخصی یا مالی خود را از طریق اینترنت به اشتراک نگذارید و به طور کلی تا جایی که ممکن است هرگز ایمیلی حاوی اطلاعات مهم و حساس ارسال نکنید.
  • پیش از کلیک کردن فکر کنید! کلیک کردن بر روی لینک‏‌های مختلف یک وب‏‌سایت شناخته شده مشکلی ایجاد نخواهد کرد، اما کلیک کردن بر روی لینک‏‌هایی که در ایمیل‌های تبلیغاتی و ناشناس ارسال می‌‏شود، معمولا دردسرساز خواهد بود. معمولا با کلیک بر روی این لینک‏‌ها از شما خواسته می‏‌شود اطلاعاتی را وارد کنید. اغلب ایمیل‌‏های متقلبانه به جای شروع شدن با اسم و فامیل شما با عبارت «کاربر/مشتری گرامی» شروع می‏‌شود. هرگاه دچار شک شدید به جای کلیک کردن بر روی لینک مشکوک، مستقیما به وب‌سایت مورد نظر مراجعه کنید.
  • از فایروال (Firewall) استفاده کنید. فایروال‏‌ها به دوشکل نرم‏‌افزاری و سخت‏‌افزاری قابل استفاده هستند و تا حد زیادی از نفوذهای ناخواسته به رایانه شما جلوگیری می‏‌کنند.
  • از Toolbarهای ضد فیشینگ استفاده کنید؛ این Toolbarها بر روی اغلب موتورهای جستجو پرطرفدار و پرکاربرد قابل استفاده هستند. این ابزارها نام دامنه و آدرس وب‌سایتی که مشغول مشاهده آن هستید را بررسی و آن را با فهرست سایت‎‏های فیشینگ شناخته‏‌شده تطبیق داده و به شما هشدار می‏‌دهند. این لایه‌های محافظتی در برابر کلاهبرداران اینترنتی اغلب رایگان هستند.
  • مراقب تبلیغات پاپ‏‌آپ باشید. پاپ‌آپ یک شیوه تبلیغات اینترنتی است که در آن با کلیک کردن در هر نقطه از یک سایت، تعداد زیادی صفحه به طور همزمان باز می‏‌شود یا با جستجوی یک عبارت در موتور جستجو، صفحات متعددی همزمان مقابل کاربر باز می‏‌شود. بسیاری از این دست تبلیغات، در واقع تلاش‏‌هایی برای فیشینگ است. بسیاری از موتورهای جستجو در تنظیمات خود این امکان را به شما می‏‌دهند که پاپ‌آپ‏‌ها را مسدود(بلاک) کنید.
  • بر روی رایانه و تلفن همراه خود نرم‏‌افزارهای ضد ویروس نصب کرده و آن را به طور مرتب به روزرسانی کنید.
  • مرورگر (Browser) خود را به‌روز‌‌‌ رسانی کنید.
  • امنیت سایت‏‌ها را بررسی کنید؛ پیش از وارد کردن و ارسال اطلاعات مطمئن شوید که نشانی سایت با https شروع شود. معمولا آیکونی به شکل یک قفل بسته در کنار آدرس اینترنتی مطمئن قرار دارد. هم‌چنین می‏‌توانید گواهی‏‌های مربوط به حوزه‌ی فعالیت هر سایت را بررسی کنید. به عنوان مثال در مورد کسب‏‌وکارهای اینترنتی دارا بودن «ای نماد یا نماد اعتماد الکترونیکی» بیانگر احراز هویت و صلاحیت دارندگان سایت، توسط وزارت صنعت، معدن و تجارت است.
    هرگز فایل‏‌ها و اپلیکیشن‏‌ها را از وب‏‌سایت‏‌های مشکوک و ناشناخته دانلود نکنید. حتی موتورهای جستجو نیز ممکن است در نتایج جستجو، لینک‏‌هایی را نمایش دهند که به صفحات ساختگی‏‌ای منتهی می‏‌شوند که بعضا کالا و خدمات را با قیمت پائین‏‌تر ارائه می‏‌دهند.
  • حساب‏‌های کاربری آنلاین خود را به طور مرتب بررسی کنید؛ حتی اگر از بعضی حساب‏‌های کاربری خود برای مدت طولانی استفاده نمی‏‌کنید، به آنها سر بزنید. گذرواژه‏‌ی هر یک از حساب‎های کاربری خود را به طور مرتب تغییر دهید و هرگز از یک گذرواژه برای همه یا برخی از حساب‎‏های خود استفاده نکنید. تراکنش‏‌های مربوط به حساب‏‌های مالی خود را به صورت ماهانه بررسی کنید.