کمیته رکن چهارم – فیشینگ یکی از مهمترین اصطلاحات برای انواع جرایم سایبری است که با افزایش آن در سالهای اخیر بسیار فراگیر شده و بسیاری از افراد با آن مواجه شدهاند.
کلمه فیشینگ در زبان انگلیسی به معنی ماهیگیری است و همانطور که ماهیگیران برای صید ماهی تلهگذاری میکنند، در اصطلاح سایبری آن نیز کلاهبرداران برای قربانیان فیشینگ تلهگذارای میکنند تا در یک فرصت مناسب اطلاعات آنها را سرقت و از آنها سوءاستفاده کنند.
کلاهبرداران با جعل هویت خود را به جای سازمانهای قابل اعتمادی مثل بانکها، فروشگاههای آنلاین معروف و حتی برنامههای تلویزیونی معرفی میکنند و با طرح یک مسئله برای افراد از آنها درخواست اطلاعات شخصیشان را میکنند و سپس با استفاده از این اطلاعات از آنها کلاهبرداری میکنند.
با اینکه ممکن است برخی حملات فیشینگ بسیار پیچیده باشند، اما معمولا کلاهبرداران از روشهای سادهای استفاده میکنند که به راحتی قابل تشخیص است و سادهترین راه برای مقابله با فیشینگ عدم اعتماد و خودداری از ارائه هر گونه اطلاعات شخصی به افراد ناشناسی است که از هویت اصلی آنها اطمینان نداریم.
در سالهای اخیر با روشهای مختلفی از فیشینگ مواجه بودیم که تنها به تماس تلفنی و یا پیامک خلاصه نمیشود. کلاهبرداران از ارسال نشانی اینترنتی و فایل مخرب از طریق ایمیل و فضای مجازی نیز استفاده کردهاند. شناختن روشهای مختلف فیشینگ میتواند به تشخیص به موقع این حملات کمک کنند و افراد میتوانند به محض مشکوک تشخیص دادن یک فعالیت به حمله فیشینگ با آن مقابله کنند.
انواع روشهایی که کلاهبرداران برای فیشینگ استفاده میکنند
بدافزارها و فایلهای مخرب، لینکهای جعلی، نرم افزارهای حاوی بدافزار و فایل مخرب از ابزارهایی هستند که برای کلاهبرداری فیشینگ از آنها استفاده میشود. برای مثال بسیاری از فیلترشکنها و نرمافزارهایی که در کانالهای تلگرامی به اشتراک گذاشته میشوند حاوی فایلهایی هستند که موجب آسیبپذیری دستگاه در برابر حملات فیشینگ میشوند.
در فیشینگ نیزهای کلاهبرداران با جمعآوری برخی اطلاعات شخصی افراد خود را به جای شخصی قابل اعتماد معرفی میکنند و از افراد درخواست اطلاعات شخصی مهمتری میکنند؛ بنابراین باید بدانیم حتی اگر فردی در تماس تلفنی و یا از هر طریق دیگری اطلاعاتی مثل نام، نام پدر و دیگر اطلاعاتمان را در دسترس دارد، دلیلی برای اعتماد به او نداشته و نباید اطلاعات شخصی دیگری که درخواست میکند را در اختیارش بگذاریم.
در فیشینگ کلونی ایمیل و پیامهایی به صورت تصادفی و گروهی برای بسیاری از افراد ارسال میشود تا آنها را به دام بیاندازد. همچنین اعلانهایی (Pop up) که در سایتها، برنامههای تلفن همراه، بازیهای ویدیویی و دیگر مواردی نیز که مشاهده میشود نیز میتواند بستری برای کلاهبرداری باشد.
کلاهبرداران در فضای مجازی تبلیغات و لینکهایی را همراه با یک خبر مهم پخش میکنند تا هر فردی که بر روی آن لینک یا تبلیغ کلیک میکند را مورد حمله قرار دهند. به این روش از فیشینگ به سبک ماهیگیری میگویند. در این روش معمولا خبر از یک قرعهکشی بزرگ، وعده ارسال هدیه به نفرات اولی که مراجعه میکنند، اینترنت رایگان و حتی یک مسئله بزرگ و شوککننده مطرح میشود.
در فیشینگ صید نهنگ نیز شخص مهمی مانند مدیر عامل یک شرکت، مسئول یک سازمان و حتی یک فرد ثروتمند مورد هدف قرار میگیرد تا با سوءاستفاده از اطلاعات شخصی، از آنها اخاذی شود.
ویشینگ (Vishing) و اسمیشینگ (Smishing) به حملاتی گفته میشود که از طریق ارسال پیام کوتاه و تماس صوتی اتفاق میافتند و بیشتر پیامهای اسپم یا هرز و تماسهای خودکاری که دریافت میکنیم نیز از اشکال مختلف این نوع فیشینگ هستند. اگر با تماسهایی با شمارههای عجیب و پیششماره کشورهای دیگر مواجه شدهاید باید یدانید که اکثر اینگونه تماسها نیز با هدف حملات فیشینگ است.
چگونه از حملات فیشینگ مصون بمانیم؟
برای مصون ماندن از حملات فیشینگ باید راههای نفوذ مهاجمان را ببندیم. اولین مسئله شناختن تمامی راه و روشهایی است که مهاجمان از آنها استفاده میکنند تا بتوانیم هر گونه فعالیت مشکوکی را شناسایی کنیم. در مقابله با روشهای ویشینگ و اسمیشینگ باید در اعتماد به تماس یا پیامی که هویت افراد پشت آنها به طور کامل مشخص نشده، دقت کنیم. برای جلوگیری از نفوذ مهاجمان با روشهای اعلان، ایمیل، کلونی و بدافزار باید توجه کنیم که بر روی هیچ آدرس اینترنتی و تبلیغ ناشناسی کلیک نکرده و نرمافزارهای تلفنهمراه و رایانه شخصی خود را از سایتهای معتبر دانلود کنیم. نصب یک آنتیویروس به روز همزمان با رعایت نکات امنیتی دیگر میتواند از دسترسی مهاجمان به اطلاعات شخصیمان جلوگیری کند.
آخرین نکته هم اینکه نباید به افراد ناشناس اعتماد کرده و اطلاعات شخصی خود را در اختیارشان بگذاریم، زیرا هیچ مرجع معتبری اطلاعات شخصی افراد را از طریق تماس تلفنی و یا روشهای نامعتبر درخواست نمیکند و هر گونه تلاشی برای دریافت اطلاعات شخصی، میتواند مشکوک به فیشینگ باشد.
منبع : ایبنا