کلاهبرداران چگونه از طریق فیشینگ کاربران را فریب میدهند؟
کلاهبرداران چگونه از طریق فیشینگ کاربران را فریب میدهند؟
به گزارش gsxr از ایسنا، Phishing که مخفف Password Harvesting Fishing است و به معنای شکار گذرواژه کاربر از طریق طعمهگذاری است.
فیشینگ یکی از انواع حملات سایبری است که در آن مهاجمان سعی میکنند تا اطلاعات حساس کاربر مانند نام کاربری، رمزعبور، اطلاعات کارت اعتباری یا اطلاعات شخصی را از طریق فریب به دست آورند و نکته قابل توجه این است که این نوع حملات میتوانند از طریق ایمیل، پیامک، تماس تلفنی یا حتی وب سایتهای جعلی انجام شود. در فیشینگ، مهاجم خود را بهعنوان یک فرد قبل اعتماد از سوی یک سازمان معتبر نشان میدهد، سپس قربانی را فریب میدهد تا ایمیل، پیام فوری یا پیام متنی را باز کند. زمانی که کاربر روی لینک کلیک میکند، نتایج ویرانگری را مانند خریدهای غیرمجاز، سرقت وجوه، سرقت شناسایی و … برای او به دنبال دارد.
فیشینگ روشهای گوناگونی دارد که میتوان به یکی از آن تحت عنوان فیشینگ فریبده اشاره کرد. این روش عموما از طریق ایمیل انجام میشود و فیشر با ارسال یک ایمیل از یک آدرس جعلی که بسیار شبیه به آدرس اصلی است، به روشهای گوناگون از کاربر میخواهد تا روی لینک مورد نظرش کلیک کنند.
یکی دیگر از حملات شایع فیشینگ، استفاده از جعل وبسایت است. در این حمله فیشر ابتدا اقدام به ساخت یک صفحه اینترنتی مشابه صفحه اصلی کرده و از طریق اعتمادی که کاربران به آن صفحه اصلی داشته و عدم توجه دقیق به آدرس وبسایت، اقدام به جمعآوری اطلاعات کاربران میکنند.
روش دیگری که فیشرها برای به دست آوردن اطلاعات انجام میدهند، استفاده از برنامههای مخرب و بدافزارهاست. این برنامهها که در قالب تروجان نیز عرضه میشوند میتوانند اطلاعات کارتهای بانکی، اطلاعات لاگین و یا سایر موارد را از کاربر سرقت کرده و باعث وارد آمدن خسارات مالی به وی شوند.
علاوه بر موارد گفته شده فیشینگ تلفنی مانند حمله از طریق ایمیل سعی دارد کاربران را مجاب کند تا اطلاعات خود را بازگو کند. در این نوع حمله معمولا فیشر با استفاده از یک شماره تلفن ناشناس با کاربر تماس گرفته و یا به وی پیام ارسال میکند؛ پس از آن فیشر خود را مسوولی بانکی که کاربر در آن حساب دارد معرفی کرده و سپس از کاربر میخواهد تا برخی اطلاعات خود را جهت تکمیل پرونده و یا هر موضوع دیگری بازگو کند.
همچنین در روش فیشینگ درگاههای پرداخت، فیشر یک وبسایت را راهاندازی کرده که معمولا این وبسایتها اسم و رسم چندانی نداشته و تنها قیمت پایین خدمات و کالاهای آنها ترغیبکننده است. کاربر به این وبسایتها وارد شده، محصول خود را انتخاب و سپس به صفحه پرداخت ارجاع داده میشود؛ در این هنگام پس از اینکه کاربر اطلاعات کارت بانکی خود را وارد کرد، فیشر اطلاعات او را ذخیره میکند.
در این راستا اخیرا رئیس مرکز تشخیص و پیشگیری پلیس فتای فراجا نسبت به کلاهبرداری در پوشش ارسال لینکهای آلوده با موضوع واریز سود سهام عدالت هشدار داد. سرهنگ علی محمد رجبی در این زمینه میگوید کلاهبرداران و مجرمان سایبری از هر فرصت و بهانهای برای تحقق اهداف مجرمانه خود استفاده میکنند که در این میان یکی از روشها ارسال لینکهای آلوده است که هر بار تحت عناوین و بهانههای مختلف برای کاربران ارسال میشود.
این لینکها در واقع یا حاوی بدافزار و ویروس بوده و دسترسی غیرمجاز به اطلاعات گوشی تلفن همراه کاربران ایجاد میکند یا کاربران را به سمت صفحات فیشینگ و خالی کردن حساب بانکی آنان هدایت میکند. در تازهترین این شگردها، مجرمان سایبری اقدام به ارسال لینکهای جعلی و آلوده برای کاربران با موضوع واریز سود سهام عدالت کردهاند؛ بهانهای که یکی از مهمترین شگردهای مجرمان سایبری است و هر چند وقت یکبار تکرار میشود.
رئیس مرکز تشخیص و پیشگیری پلیس فتای فراجا تأکید میکند که کاربران توجه داشته باشند که به هیچ عنوان بر روی لینکهایی که با موضوع سهام عدالت چه به صورت پیامکی و چه در شبکههای اجتماعی برایشان ارسال میشود کلیک نکرده و پیام را حذف کنند.
حال با وجود توصیه و هشدار مسئولان در این زمینه راهکارهایی برای جلوگیری و مقابله با حملات فیشینگ وجود دارد که در ادامه به چند مورد آن اشاره میشود. تا حد امکان توصیه میشود بر روی لینکهای موجود در ایمیلها یا پیامهای فوری کلیک نشود حتی اگر کاربر فرستندهی آن را میشناسد. بنابراین بهتر است کاربران دستکم، ماوس را روی لینک نگه دارند تا مشاهده کنند آیا مقصد آن درست است یا خیر.
همچنین اگر نشانی وبسایت با «https» شروع نمیشود، یا نماد قفل بسته را در کنار URL مشاهده نمیکنید، از وارد کردن اطلاعات حساس یا دانلود فایلهای آن سایت خودداری کنید. از سوی دیگر اگر حسابهای آنلاین دارید، باید عادت کنید که به طور مرتب رمزهای عبور خود را عوض کنید. حسابهای شما ممکن است بدون اطلاع شما در معرض خطر قرار گرفته باشند.
به عنوان یک قاعده کلی، تا زمانی که ۱۰۰ درصد به سایتی که در آن هستید اعتماد ندارید، نباید اطلاعات کارت بانکی خود ارائه دهید؛ اگر باید اطلاعات خود را ارائه دهید، مطمئن شوید که وب سایت واقعی و امن است.
مجله خبری gsxr