فیشینگ چیست و چطور میشود از آن جلوگیری کرد؟

صدای فیشینگ یا vishing ، استفاده از تلفن های (اغلب صدا روی IP تلفن) به انجام حملات فیشینگ. مهاجمان تعداد زیادی از شماره های تلفن را شماره گیری کرده و ضبط های خودکار را پخش می کنند - اغلب با استفاده از ترکیب کننده متن به گفتار - که ادعاهای دروغین درباره فعالیت های کلاهبرداری در حساب های بانکی یا کارت های اعتباری قربانی ارائه می دهند. شماره تلفن تماس گیرنده جعل می شود تا شماره واقعی بانک یا موسسه جعل شده را نشان دهد. سپس قربانی هدایت می شود تا با شماره ای که توسط مهاجمان کنترل می شود تماس بگیرد ، که به طور خودکار آنها را وادار می کند تا اطلاعات "حساس" را برای "رفع" تقلب فرضی وارد کنند ، یا آنها را به یک فرد زنده متصل کند که سعی می کند از آن استفاده کند.مهندسی اجتماعی برای به دست آوردن اطلاعات فیشینگ صوتی در مقایسه با معادلات فیشینگ ایمیل ، و در نتیجه اعتماد ذاتی که بسیاری از مردم در ارتباط با تلفن صوتی دارند ، از آگاهی کمتر عموم مردم از تکنیک هایی مانند جعل شناسه تماس گیرنده و شماره گیری خودکار استفاده می کند.

 

 

فیشینگ پیامکی

 

فیشینگ پیامکی  یا لبخند زدن از نظر مفهومی شبیه فیشینگ ایمیل است ، مگر اینکه مهاجمان از پیام های متنی تلفن همراه برای ارائه "طعمه" استفاده کنند.حملات تلخ معمولاً کاربر را دعوت می کند تا روی پیوندی کلیک کند ، با شماره تلفن تماس بگیرد یا از طریق پیام کوتاه با آدرس ایمیل ارائه شده توسط مهاجم تماس بگیرد. سپس از قربانی دعوت می شود تا اطلاعات خصوصی خود را ارائه دهد. اغلب ، اعتبارنامه سایر وب سایت ها یا خدمات. علاوه بر این ، به دلیل ماهیت مرورگرهای تلفن همراه ، نشانی های اینترنتی ممکن است به طور کامل نمایش داده نشوند. این ممکن است تشخیص صفحه ورود نامشروع را دشوارتر کند.  از آنجا که بازار تلفن های همراه در حال حاضر با تلفن های هوشمند اشباع شده است که همه آنها دارای اتصال سریع اینترنت هستند ، پیوند مخرب ارسال شده از طریق پیام کوتاه می تواند همان نتیجه ای را داشته باشد که در صورت ارسال از طریق ایمیل انجام می شود . پیام های خنده دار ممکن است از شماره تلفن هایی که در قالب عجیب یا غیرمنتظره هستند آمده باشد.

 

ربودن صفحه

 

سرقت صفحات شامل به خطر انداختن صفحات وب مشروع به منظور هدایت کاربران به یک وب سایت مخرب یا یک کیت سوء استفاده از طریق برنامه نویسی متقابل سایت است . یک هکر ممکن است یک وب سایت را به خطر اندازد و یک کیت سوء استفاده مانند MPack را برای آسیب رساندن به کاربران قانونی که از سرور وب در حال حاضر آسیب دیده بازدید می کنند ، وارد کند. یکی از ساده ترین اشکال ربودن صفحات شامل تغییر یک صفحه وب برای داشتن یک قاب داخلی مخرب است که می تواند اجازه بارگذاری یک کیت سوء استفاده را بدهد. ربودن صفحات غالباً همزمان با حمله حفره به واحدهای تجاری به منظور به خطر انداختن اهداف مورد استفاده قرار می گیرد.

 

کلون فیشینگ 

 

کلون فیشینگ نوعی حمله فیشینگ است که به موجب آن یک ایمیل مجاز و قبلاً تحویل شده حاوی پیوست یا پیوند ، محتوا و آدرس گیرنده آن را گرفته و برای ایجاد یک ایمیل تقریباً یکسان یا شبیه سازی شده استفاده می شود. پیوست یا پیوند درون ایمیل با یک نسخه مخرب جایگزین می شود و سپس از آدرس ایمیل جعلی ارسال می شود تا به نظر برسد از فرستنده اصلی است. ممکن است ادعا شود که مجدداً نسخه اصلی یا نسخه به روز شده به نسخه اصلی ارسال شده است. به طور معمول ، این امر مستلزم آن است که فرستنده یا گیرنده قبلاً برای شخص ثالث مخرب هک شده باشند تا ایمیل مجاز را دریافت کنند. 

 

فیشینگ نیزه 

 

فیشینگ Spear شامل حمله ای می شود که مستقیماً یک سازمان یا شخص خاص را با ایمیل های فیشینگ مناسب هدف قرار می دهد. بر خلاف فیشینگ انبوه ، مهاجمان فیشینگ نیزه اغلب اطلاعات شخصی افراد مورد نظر خود را جمع آوری کرده و از آنها برای افزایش احتمال موفقیت در حمله استفاده می کنند. فیشینگ اسپیر معمولاً مدیران یا افرادی را که در بخش های مالی کار می کنند و به داده ها و خدمات مالی حساس سازمان دسترسی دارند ، هدف قرار می دهد. یک مطالعه در سال 2019 نشان داد که شرکت های حسابداری و حسابرسی به دلیل دسترسی کارکنان به اطلاعاتی که می تواند برای جنایتکاران ارزشمند باشد ، هدف مکرر فیشینگ هستند.

گروه تهدید -4127 (خرس فانتزی) از تاکتیک های فیشینگ نیزه برای هدف قرار دادن حساب های ایمیل مرتبط با مبارزات انتخاباتی هیلاری کلینتون در سال 2016 استفاده کرد. آنها به بیش از 1800 حساب Google حمله کردند و دامنه accounts-google.com را برای تهدید کاربران هدف پیاده سازی کردند.

 

کلاهبرداری از نهنگ و مدیرعامل 

 

والینگ به حملات فیشینگ با نیزه اشاره دارد که به طور خاص به مدیران ارشد و سایر اهداف برجسته انجام می شود. محتوا احتمالاً برای شخص یا نقش موردنظر جالب توجه است - مانند احضاریه یا شکایت مشتری. 

تقلب مدیرعامل در واقع برعکس نهنگ است. این شامل ساخت ایمیل های جعلی است که ظاهراً از مدیران ارشد به منظور جلب سایر کارکنان یک سازمان برای انجام یک عمل خاص ، معمولاً انتقال پول به یک حساب فراساحلی ، استفاده می شود. در حالی که میزان موفقیت کلاهبرداری از مدیران عامل پایین است ، جنایتکاران می توانند مبالغ بسیار زیادی از چند تلاش موفق به دست آورند. موارد متعددی وجود داشته است که سازمان ها ده ها میلیون دلار را در برابر چنین حملاتی از دست داده اند.

 

راه مهم برای تشخیص فیشنگ

 

دانستن اینکه ما همیشه در معرض مورد سرقت قرار گرفتن هستیم ما را ملزم می کند تا به دنبال روش هایی باشیم که می توان با استفاده از آن ها فیشینگ را تشخیص داده و از مورد طعمه وارد شدن جلوگیری کنیم. در این قسمت ما به نکاتی که در جلوگیری از مورد سرقت قرار گرفتن کمک می کنند اشاره می کنیم.

 

1 – به آدرس سایت دقت کنید.

 

آدرس سایت اولین موردی است که در تشخیص فیشینگ باید به آن توجه شود. بسیاری از کلاهبرداران با خرید دامنه هایی که نامی شبیه به نام برند های معروف دارند، یا ایجاد درگاه های پرداختی با نام و ظاهر مشابه درگاه های پرداخت معتبر اقدام به سرقت اطلاعات می کنند.

 

2- در ایمیل های دریافتی به آدرس توجه کنید.

 

در زمان دریافت ایمیل، نام کاربری که برای شما ایمیل می فرستد در صندوق ورودی نمایش داده می شود و نه آدرس ایمیل فرستنده، بنابراین دور از تصور نیست که کاربری با انتخاب نام نمایش بانک پاسارگاد یا نام های معتبر مشابهی از شما اطلاعات شخصیتان را درخواست کند. بنابراین در زمان دریافت ایمیل‌هایی که از شما می خواهند به روی لینک کلیک کنید یا اطلاعات شخصی خودتان را بفرستید، قبل از انجام هر کاری به آدرس فرستنده توجه کنید.

 

3- به ایمیل و پیامک هایی که عمومی هستند شک کنید.

 

بسیاری از ما تجربه دریافت ایمیل ها و اس ام اس هایی با مضمون برنده شدن در قرعه کشی یا بازگشت مبلغی که روحمان از آن هم خبر نداشته را داریم. نکته ای که در این ایمیل ها و پیامک ها باید مورد توجه قرار بگیرد این است که این ایمیل ها و پیامک ها معمولا به صورت عمومی فرستاده شده و هیچ اطلاعات شخصی که به شما صحت محتوای ایمیل یا پیامک دریافت شده را اثبات کند وجود ندارد.

 

4-  به گواهی دیجیتال (SSL) سایت ها و مخصوصا درگاه ها دقت کنید.

 

گواهی های دیجیتال (یا Certificate Authority) وظیفه تصدیق هویت حقیقی یا حقوقی سایتی که در حال استفاده از آن هستیم را بر عهده دارند و تضمین می کنند که تمامی اطلاعاتی که به سایت های دارنده گواهی های دیجیتال ارائه می دهیم به صورت امن منتقل منتقل می شوند. 

 

5- قبل از خرید از صحت نماد الکترونیکی فروشگاه ها دقت کنید.

 

نماد نشانه ای است که توسط مرکز توسعه تجارت الکترونیکی به کسب و کارهای آنلاین حاضر در فضای وب و همچنین در پیام رسان های مجاز اعطا می شود. در صفحه نماد الکترونیکی که برای فروشگاه های معتبر قابل مشاهده و بررسی است.