فیشینگ و راه های مقابله با آن، سرقت هویت چیست؟

فیشینگ کلمه ای است که این روزها زیاد شنیده می شود. فیشینگ (Phishing) عملی مجرمانه در جهت دسترسی غیر قانونی به اطلاعات حساس و مهم و وسیله ای برای سرقت و به دست آوردن اطلاعات شخصی و هویتی افراد می باشد.

این اطلاعات محرمانه می تواند شامل اطلاعاتی نظیر نام کاربری، رمز عبور افراد و جزییات کارت های اعتباری و ... باشد

مراحل فیشینگ

فیشینگ به طور معمول از طریق ایمیل و پیام کوتاه صورت می گیرد و کاربر را به سوی وارد کردن اطلاعات در یک پایگاه اینترنتی قلابی سوق می دهد. اولین مورد ثبت شده ی فیشینگ در رابطه با شبکه گروه خبری سایت آمریکا آنلاین در ژانویه ی 1996 صورت گرفت.

جالب است بدانید Phishing نوع دیگر کلمه ی fishing (ماهیگیری) است همانند خیلی از کلمات که در علوم رایانه ای به شکل مخفف یا دگرگون شده ای از کلمات دیگر به کار می روند.

اطلاعات کامل در ادامه . . .

سرقت هویت چیست؟

سرقت هویت به معنی استفاده از هویت اشخاص دیگر(اطلاعات حساس و یا شخصی) برای سوء استفاده مالی و یا سایر اهدف مخرب است. سوء استفاده یا کلاهبرداری با استفاده از کارت اعتباری دیگران، یک نمونه از سرقت هویت است. در واقع Phishing، روشی است که مهاجمان از آن به منظور سرقت هویت استفاده می نمایند.

فیشینگ چگونه اتفاق می افتد؟

اینترنت فضای لازم را برای سارقین فراهم نموده است تا بتوانند در زمانی مطلوب و در گستره ای وسیع تر به اطلاعات شخصی و مالی کاربران دستیابی نمایند. اینترنت هم چنین امکانات مناسبی به منظور فروش و مبادلات تجاری اطلاعات سرقت شده را در اختیار مهاجمان قرار می دهد. همچنین در سازمان ها افراد متفاوت اطلاعاتی را نزد خود نگهداری می نمایند که ممکن است حساس و یا برای سایر افراد و یا سازمان ها حایز اهمیت باشد.

در حملات phishing مهاجمان عموماً از روش هایی نظیر مهندسی اجتماعی برای دستیابی به اطلاعات حساس و مهم اشخاص و یا سازمان ها استفاده نموده و موارد زیر را هدف قرار می دهند:

اطلاعات بانکی نظیر کارت های اعتباری و یا حساب هایی نظیر paypal- اطلاعات مربوط به نام و رمز عبور- اطلاعات بیمه همگانی و …

مهاجمان پس از دستیابی به اطلاعات فوق از آنان به منظور نیل به اهداف زیر استفاده می نمایند: برداشت از حساب بانکی - سرویس های online متفاوتی نظیر eBay و غیره.

تعداد زیادی از حملات فیشینگ از طریق نامه الکترونیکی انجام می شود. مهاجمان به منظور فریب کاربران از روش های متعددی استفاده می نمایند:

استفاده از logo و سایر علایم تجاری شناخته شده و معتبر ساختار و طراحی نامه الکترونیکی تقلبی مشابه وب سایت واقعی است بگونه ای که در اولین مرحله تشخیص جعلی بودن آن برای بسیاری از کاربران غیرممکن است. بخش from نامه الکترونکیی ارسالی مشابه ارسال یک نامه الکترونیکی معتبر از شرکت مربوطه است. در متن نامه الکترونیکی ممکن است فرمی تعبیه شده باشد که از کاربران خواسته شود به دلایل خاصی (مثلا account شما در معرض تهدید است و ممکن است مورد سوء استفاده قرار گیرد و یا به دلیل بروز اشکالات فنی)، مجددا اطلاعات خود را در فرم درج و آن را ارسال نمایند.

در برخی موارد، مهاجمان به منظور افزایش اعتماد کاربران و معتبر نشان دادن نامه الکترونیکی ارسالی از روش هایی فنی تری استفاده می نمایند. مثلا ممکن است آنان از روشی موسوم به URL spoofing استفاده نمایند و با ایجاد یک لینک در متن نامه الکترونیکی از کاربران بخواهند که جهت ادامه عملیات بر روی آن کلیک نمایند. با کلیک کاربران بر روی لینک فوق، آنان در مقابل هدایت به یک سایت معتبر که انتظار آن را دارند به وب سایتی هدایت می گردند که مهاجمان آن را مدیریت می نمایند. شکل ظاهری وب سایت بگونه ای طراحی می گردد که کاربران نتوانند جعلی بودن آن را تشخیص دهند. کلاهبرداران اینترنتی بی شک از بهترین استفاده کنندگان مهندسی اجتماعی به شمار می روند. آن ها ابتکارات بسیاری در این خصوص از خود نشان داده اند.

در فیشینگ نفوذگران با فرستادن سایت هایی که دقیقا مشابه وب سایت های اصلی آنها می باشد، از قربانی می خواهند که اطلاعاتی از قبیل نام کاربری حساب بانکی، رمز عبور و پین کد خود را وارد کنند. به این ترتیب با دست آوردن چنین اطلاعاتی می توانند از حساب آن ها پول برداشت کنند. .نفوذگران از تکنیک های متعددی برای گرفتن این اطلاعات استفاده می کنند. آن ها با فرستادن سایت های بانکی که این سایت ها با استفاده از لوگو هایی که کاملا قانونی به نظر می رسند به کاربر اطلاع می دهند که بانک در حال تغییر زیرساخت اطلاعاتی خود است ودر نتیجه باید اطلاعات خودرا دوباره وارد کنند و به این ترتیب آن ها اطلاعات کاربران را به سرقت می برند.

ما همه روزه درباره نامه های الکترونیکی دروغین یا تقلبی چیزهایی می شنویم. این نامه های دروغین که وسیله فریب به شمار می آیند در ظاهر از یک آدرس اینترنتی قانونی و با یک خواسته موجه برای اشخاص ارسال می شوند و معمولا برای این منظور به کار می روند که اطلاعات شخصی یا جزییات حساب های اینترنتی یا بانکی شما را بررسی و نسخه برداری کنند.

یک مثال می تواند این باشد که شما نامه الکترونیکی دریافت می کنید که ظاهرا از بانک فرستاده شده و در آن از شما خواسته شده که بر روی یک لینک کلیک کرده و مشخصات بانکی خود را بازبینی نمایید. معمولا در چنین مواقعی یک اخطار در برابر تعقیب نکردن لینک وجود دارد از جمله اینکه کلیک نکردن آن موجب بسته شدن یا معلق شدن حساب بانکی شما خواهد شد.

هدف فرستنده این نامه الکترونیکی این است که شما اطلاعات خصوصی خود شامل رمز عبور، شماره ملی، شماره حساب بانکی و مانند آنها را فاش کنید.

روشهای تشخیص نامه های جعلی

ظاهر یک نامه الکترونیکی برای فیشینگ می تواند بسیار فریبنده باشد، اما مهم این است که این نامه ها هرگز از طرف شخص یا جایی که ادعا می کند فرستاده نشده است

چنین نامه های الکترونیکی دارای مشخصات مشترکی هستند:

۱ ـ آدرس موجود در قسمت مربوط به فرستنده یا فرم ظاهرا از طرف کمپانی قانونی است. مهم این است که بدانیم تغییر دادن اطلاعات این قسمت کار بسیار ساده ای است.۲ ـ این نامه های الکترونیکی معمولاً شامل نشانه یا تصاویری هستند که از وب سایت کمپانی اصلی برداشته شده اند.

۳ ـ نامه الکترونیکی دارای یک لینک قابل کلیک شدن است که با توضیحی همراه است که برای معتبر ساختن تمدید اعتبار خود باید آنرا کلیک کنید. شما به محض انتخاب کردن این لینک می توانید در گوشه چپ صفحه آدرسی را مشاهده کنید که در اصل آدرس واقعی وب سایتی است که در صورت کلیک کردن به آن خواهید رفت. توجه کنید که این لینک به آدرس قانونی ای که شما انتظار دارید منتهی نمی شود.

مهاجمان میلیونها نامه الکترونیکی جعلی را پست می کنند به امید اینکه در نهایت تعداد اندکی به آنها پاسخ داده و اطلاعات خود را در اختیارشان قرار دهند.

هر کسی که دارای یک آدرس پست الکترونیکی باشد در خطر دریافت چنین نامه هایی هست و آدرسی که با وارد کردن آن در گروه ها، خبرنامه ها و دیگر وب سایتهای خدماتی در اینترنت جنبه عمومی پیدا کرده باشد بیشتر در معرض فیشینگ خواهد بود. زیرا نشانی الکترونیک می تواند توسط اسپایدرهایی (برنامه هایی که به صورت خودکار در وب می گردند و اطلاعات را جمع آوری می نمایند) که کارشان تصرف هرچه بیشتر آدرس الکترونیک است غصب شود. به این ترتیب به دست آوردن اطلاعات اولیه برای جاعلان خرجی ندارد.

شیوه های فنی مقابله با فیشینگ :

1- از آنجایی که فیشینگ مبتنی بر جعل هویت(مخفی شدن در پس هویتی معتبر) است، مقابله با آن بستگی به برخی راه های قابل اعتماد برای تشخیص هویت واقعی یک سایت دارد. برای مثال برخی نوار ابزارهای ضد فیشینگ، دامنه ی سایت بازدید شده را درون خود نشان می دهند. ابزار Petname در مرورگر اینترنتی فایرفاکس به شما اجازه می دهد تا درون آن ها درباره ی سایتی که بازدید می کنید یادداشتی قرار دهید؛ حال اگر بعداً دوباره از طریق یک لینک یا حتی با وارد کردن آدرس به آن سایت وارد شدید با مشاهده کردن یادداشتی که قبلاً گذاشته بودید می توانید از قلابی نبودن صفحه سایت باز شده اطمینان حاصل کنید. اگر صفحه ای که با زدن لینک یا وارد کردن آدرس باز می شود مشکوک باشد ابزار مذکور به شما اخطار می دهد یا حتی از بارگذاری سایت جلوگیری می کند.

2- مرورگرهایی که در مورد سایت های قلابی اخطار می دهند. یکی دیگر از روش های مقابله با فیشینگ استفاده از مرورگرهایی است که حاوی لیستی از سایت های سارقان معروف هستند و سایتی را که قصد بازدید از آن دارید با لیست درون خود مقایسه می کنند. IE7 ، Mozilla FireFox 2 و Opera همگی دارای این ویژگی هستند.

3- تقویت صفحات درخواست کننده ی رمز عبور. اگر تا به حال خواسته باشید وارد جعبه ی ایمیل خود در سایت Yahoo شوید، در گوشه ی سمت راست بالای کادری که باید در آن نام کاربری و رمز عبور خود را وارد کنید نشانه ای می بینید که درون آن نوشته Prevent Password Theft (جلوگیری از سرقت رمز عبور). اگر روی این قسمت کلیک کنید وارد صفحه ای می شوید که از شما می خواهد با درج نوشته ای حداکثر 21 حرفی و یا با بارگذاری یک عکس کوچک از درون رایانه ی خود نشانه ای ایجاد کنید که با دیدن آن در گوشه ی کادر مربوط به درج رمز عبور به اصیل بودن آن صفحه اطمینان کنید. با این حال به دلیل عدم توجه بسیاری از کاربران سایت های بزرگی مانند یاهو مدام صفحات ورودی خود را تغییر می دهند.

4- Spam filters یکی از موارد امنیتی در نظر گرفته شده در سرویس های ایمیل است که هرزنامه ها را علامت گذاری کرده و از ورود آن ها به جعبه ی ایمیل شما جلوگیری می کند.

5- برخی شرکت های امنیتی هستند که با بستن قرارداد با بانک ها و سایر سازمان ها از سایت آن ها در برابر حملات فیشینگ محافظت می کنند.