حمله های فيشينگ يا سرقت هويت

حمله هاي فيشينگ يا سرقت هويت

حمله هاي فيشينگ يا سرقت هويت :از این حمله برای ربایش هویت قربانیان به کمک شبکه‌های رایانه‌ای استفاده می‌شود.اين گونه حمله ها عموما به قصد دسترسی به شناسه‌ها و رمزهای عبور افراد طراحی شده است.
در واقع سرقت با متد  فيشينگ  یک تهدید اینترنتی است که در آن مهاجم  با روش‌هایی کاربر را متقاعد می‌کند تا اطلاعات شخصی و مهم خود را در اختیار او قرار دهد.
این اطلاعات می‌تواند هویت فردی، یعنی مشخصات قربانی و یا هویت بازرگانی او همچون شماره حساب بانکی و رمز عبور آن باشد که به کمک آن سارقِ هویت، امکان سوءاستفاده از آن را پیدا می‌کند.
اما به طور کلی هر اطلاعات ارزشمندی که استفاده غیرقانونی از آن ،منافعی برای هکرها و کلاه‌برداران به دنبال بیاورد را شامل می‌شود.
نکته‌ای که باید در اینجا مورد توجه قرار گیرد، این حقیقت است که رفتار و برنامه‌ریزی مهاجم به گونه‌ای اجرا می‌شود که کاربر از دادن اطلاعات مهم خود به فردی که قصد استفاده غیرقانونی از آن‌ها را دارد، مطلع نمی‌شود.
بلکه تصور او در تمام مراحلِ حمله آن است که اطلاعات مهمِ شخصی و یا حساب‌های بانکی‌اش در اختیار افراد یا سازمان‌های قانونی مانند یک بانک یا شرکت بیمه قرار می‌گیرد.بنابراین اطمینان دارد که هیچ‌گونه سوءاستفاده‌ای از آن‌ها نخواهد شد.
از این رو سارق خود را زیر پوشش افراد یا شرکت‌های قانونی پنهان نموده و به روش‌هایی همچون ایجاد وب سایتی مشابه شرکت واقعی و کشاندن کاربران به آن و یا با ارسال تعداد بسیار زیادی ایمیل‌ و هرزنامه کاربر را وادار به واردکردن اطلاعات مطلوب می‌نماید.
شدت اثر این حمله گاه به حدی است که کاربر تا مدت‌ها از وقوع و عواقب آن بی‌خبر مانده و دچار مشکلات بسیاری می‌گردد. به همین دلیل قربانی حمله ممکن است دچار خسارت هنگفتی، همچون خالی شدن حساب بانکی‌اش ‌گردد.
همان‌طور که پیش از این اشاره شد، سرقت‌‌ فيشينگ یک تهدید امنیتی است که مهاجم به کمک آن سعی در فریب کاربر به روش‌های گوناگون دارد تا وی را مجاب به ارائه اطلاعاتی نماید که بهره‌برداری غیرقانونی توسط مهاجم را امکان‌پذیر نماید.
این حملات به روش‌های مختلفی انجام می‌شود. اما مهم‌تر از این گوناگونی روش‌ها و انواع حملات مرتبط با آن، دلایلی که سبب موفقیت مهاجم می‌گردند، مورد توجه‌اند. در حقیقت یکی از نخستین گام‌های رویارویی با هر حمله‌ای شناخت نقاط ضعفی است که منجر به اجرای موفقیت‌آمیز آن حمله‌ می‌گردد.

فقدان دانش کافی
نه تنها در این حمله بلکه در بسیاری از حملات، یکی از مهم‌ترین عواملی که زمینه‌ساز رخداد یک حمله موفق می‌گردد، دانش ناکافی کاربران در مواجه با این حملات و یا پیش‌گیری از آن است.
فقدان دانش مناسب کاربر از رایانه، اینترنت و کاربری صحیح آن آرزوی هر مهاجمی برای رخنه در رایانه و یا اطلاعات مهم آن است و می‌تواند درستی انجام یک حمله موفق را برای سارق اطلاعات هویتی شما تضمین نماید.
اما این مساله تنها به حیطه کارکرد سیستم‌های رایانه‌ای منتهی نمی‌شود، بلکه مساله مهم‌تر و حیاتی‌تر ،موضوع امنیت در شبكه هاي رايانه اي است که در اغلب موارد توجه بسیار کمی به آن می‌شود و غالبا اولویت بالایی نزد کاربران ندارد.منظور از شبكه هاي رايانه اي (تمامي تجهيزاتي كه قابليت شبكه چه Wireless و يا wired را پشتيباني و ارائه مي كنند .مانند اكثر گوشي هاي موبايل ،تبلت ها ،لوازم آشپزخانه و بسياري از وسايل ديگر)
از این رو به طور کلی دانش کاربران در زمینه امنیت سیستم‌های شبكه اي در اغلب موارد بسیار کم و ناچیز است.
فریب ظاهر
همه وب سایت‌ها دارای نشانی‌هایی جهت دسترسی کاربران به آن‌ها هستند. از این رو سارقِ هویت از این موضوع بهره‌برداری نموده و ترفند زیر را بکار می‌گیرد.
او ابتدا یک سایت مانند یک فروشگاه اینترنتی را به عنوان سایت هدف انتخاب نموده و دامنه‌ای را با نامی نزدیک به نام آن سایت خریداری و ثبت می‌کند. به نحوی که دامنه خریداری شده تنها در یک یا دو کاراکتر با دامنه‌ سایت اصلی تفاوت داشته و تا حد امکان مشابه آن انتخاب شده باشد.
دلیل این موضوع کاملا روشن است. چرا که معمولا کاربران توجه زیادی به این تفاوت‌ها نمی‌کنند و در واقع دچار نوعی خطای دید خواهند شد. اما این به تنهایی کافی نیست و باید صفحه سایتِ شبیه‌سازی شده نیز مشابه سایت اصلی طراحی شود که این موضوع نیز حتی در صورت وجود اندک تفاوت‌هایی باز از چشم کاربران به دور خواهد ماند.
بنابراین کاربر با اطمینان از معتبر بودن سایت، اطلاعات هویتی خود را وارد نموده و بدون آنکه آگاه باشد، در دامی که برای او پهن شده است قرار می‌گیرد.
این اطلاعات به دست آمده توسط سارق می‌تواند به طور مستقیم مورد استفاده قرارگرفته و یا برای استفاده‌های بعدی طبقه‌بندی شود.
مهاجم می‌تواند از فریب مشاهدات کاربر بهره دیگری نیز ببرد. به طور نمونه می‌تواند از یک تصویر برای پیوند به سایت جعلی خود استفاده کند و در نتیجه کاربر را گمراه نماید و یا تصاویری را در صفحه وب سایت خود قرار دهد که مشابه پنجره‌های مرورگر کاربر باشند.
به این ترتیب کاربر گمان می‌کند در حال تعامل با بخشی از مرورگر اینترنتی خود است. در روشی مشابه، سارق می‌تواند در هنگام تعامل کاربر با سایت اصلی، صفحه‌ای را بر روی آن بازنماید که در واقع به سایت جعلی سارق پیوند خورده است.
به این ترتیب، کاربر به دلیل شباهت‌های بسیار زیاد این دو صفحه تصور می‌کند، این صفحه جدید نیز بخشی از همان سایت اصلی است و در واقع هر دو متعلق به یک منبع هستند.
به همین ترتیب سارق می‌تواند با تقلید نوع زبان، گفتار و هر ویژگی دیگری که در سایت اصلی بکار رفته است، این اطمینان کاذب را در کاربرِ به دام افتاده، بیشتر نماید.
بی‌توجهی به هشدارهای امنیتی
یکی دیگر از مواردی که زمینه‌ساز وقوع یک حمله سرقت فيشينگ و موفقیت آن است، بی‌حوصلگی و یا عدم توجه کاربران به هشدارهای امنیتی است.
متاسفانه در اکثر موارد کاربران دقت و توجه کافی برای خواندن متن پیام‌های هشداری که به آن‌ها داده می‌شود را به کار نمی‌برند و این به نوبه خود این امکان را به سارق می‌دهد تا حمله‌ خود را عملی سازد.
بنابراین در نبود هشدارهای امنیتی، استفاده از یک تصویر پیوند خورده به سایت جعلی که مشکل امنیتی آن برای کاربران قابل‌تشخیص نباشد، آسان‌تر خواهد بود.از اينرو هميشه به كارشناسان امينت اطلاعات پيشنهاد مي شود اگر خسته شده ايد تمامي كارهايي كه در زمان خستگي انجام مي دهيد مي تواند ريسك بالاي امنيتي را بهمراه داشته باشد .شما هم مي توانيد از اين هشدار استفاده كنيد .
فرآیند سرقت فيشنيگ
اما پس از ذکر مواردی پیرامون سرقت فيشنيگ و علت‌های وقوع موفقیت‌آمیز آن، اکنون نوبت آن است تا فرآیند سرقت فيشنيگ را در سه مرحله ساده بصورت زیر دسته‌بندی و ارائه نماییم.
مرحله اول: ثبت یک دامنه جعلی
مهاجم در آغاز فرآیند سرقت فيشينگ نیازمند آن است تا یک آدرس اینترنتی‌، مشابه با سایت شرکت یا سازمان رسمی و واقعی را برای خود تهیه و ثبت نماید.
گرچه الزامی به شباهت اسمی بین سایت اصلی و سایت جعلی وجود ندارد، اما این کار در ایجاد خطای چشمی برای کاربران نقش به سزایی را ایفا می‌کند.
به این موضوع در سطرهای بالایی پرداخته شد. اما آنچه بهر صورت در مرحله اول قطعی و ضروری است، ثبت یک دامنه(دامنه : همان آدرسي كه براي بازديد از يك سايت در مرورگر خود وارد مي كنيد است) برای سایت جعلی، جهت سرقت فيشينگ، توسط سارق هویت است.
مرحله دوم: ایجاد یک سایت جعلی با ظاهری مشابهه سایت اصلی
این موضوع نیز از منظر دیگری پیش از این بررسی گردید. در این مرحله سارق برای فریب کاربران، صفحه پیش روی سایت خود را مشابه صفحه متناظر سایت اصلی طراحی می‌کند.
بدین ترتیب از خطای چشمی بوجود آمده در کاربر برای حصول نتیجه در فرآیند سرقت فيشينگ خود، بهترین بهره را می برد. این طراحی یکسان و مشابه، تنها به صفحه اصلی سایت محدود نمی‌گردد و تا حد امکان فرم‌های ورود اطلاعات، صفحات داخلی و پیوندها را نیز پوشش می دهد.
دقت در پیاده‌سازی، ریزه‌کاری‌ها و حتی انتخاب فونت‌های مشابه سایت اصلی می‌تواند در فریب کاربران موثر بوده تا کاربر دچار کوچکترین شک و تردیدی نگردند.
مرحله سوم: فرستادن ایمیل به تعداد زیادی از کاربران
پس از انجام مراحل یک و دو، سارق باید قربانیان خود را به طریقی به سمت این سایت جعلی جذب نماید.
مرسوم‌ترین روش برای این کار استفاده از ارسال تعداد زیادی ایمیل برای میلیون‌ها آدرس پست الکترونیکی در سراسر جهان است. البته روش‌های دیگری هم برای این کار وجود دارد.
مثل قرار دادن بنر تبلیغاتی یا پیوندهای جعلی در صفحات سایت‌های دیگر که کاربر را به سایت فراهم شده برای سرقت فيشينگ هدایت کنند. در نهایت زمانی که کاربر به سایت سرقت فيشينگ هدایت شد، سارق می‌تواند به طریقی وی را وادار به واردکردن اطلاعات حیاتی در محل‌های موردنظر خود نماید.
بطور مثال با ظاهرسازی خوب و مناسب سایت، سبب شود تا کاربر با اعتماد به اینکه وارد سایت یک شرکت یا سازمان معتبر و رسمی شده است، اطلاعات خود را ارائه کند. در این صورت سارق می‌تواند این اطلاعات را برای استفاده‌های بعدی گردآوری و دسته بندی نماید.
جمع بندی
در این مقاله مقدمه‌ای پیرامون سرقت فيشينگ بیان گردید و علاوه بر معرفی دلایل موفقیت این حمله یک نمونه عمومی از فرایند اجرای این سرقت نیز بیان شد.
با آنکه استفاده از نامه‌های الکترونیکی، روشی مرسوم و معمول برای سرقت فيشينگ است، اما، این تنها راهکار ممکن برای صیادی اطلاعات قربانیان توسط سارقان و هکرها نیست.

توصيه نهايي :

در صورتي كه قرار است اطلاعات حساس بانكي خود را در فرم هاي انلاين ثبت نماييد قبل از وارد كردن نسبت به علت درخواست اين اطلاعات كمي تامل كرده و به صورت دقيق آدرس سايت را با آدرس بانكي خود چك نماييد .براي پرداخت هاي اينترنتي خود سقف تعيين كنيد و در صورتي كه قرار شد بيش از مقدار معيني از حساب شما به صورت اينترنتي پرداخت شود ، نياز به تاييد مجدد شما باشد

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

16 − 10 =