معرفی انواع فیشینگ‌

1- « دسکتاپ فیشینگ »

شگرد جدید کلاهبرداران اینترنتی

یکی از روش‌های بسیار رایج کلاهبرداری اینترنتی فشینگ و دسکتاپ فشینگ است، اما میزان آشنایی کاربران با این شیوه چقدر است و در صورت رویارویی با آن میزان توانایی آنان برای مقابله با این پدیده چگونه خواهد بود؟

در شیوه فشینگ کلاهبردار با ساختن صفحه جعلی که معمولاً آدرس این صفحه جعلی با آدرس سایت اصلی دارای تفاوت جزئی است اقدام به دریافت اطلاعات حساب و رمزهای عبور کاربر می‌کند، در حالی که در دسکتاپ فیشینگ صفحه جعلی دارای تمام مشخصات و حتی آدرس یکسان با صفحه اصلی است و این شگرد نیازمند اجرای یک بدافزار روی سیستم قربانی است که روش تشخیص دسکتاپ فیشینگ برای کاربران معمولی دشوار است زیرا اقدامات مجرمانه پشت پرده صورت می‌گیرد. 

با توجه به گسترش روز افزون این دسته از جرایم و برای جلوگیری از به دام افتادن در فشینگ لازم است کاربران به آدرس سایت دقت کنند و از لینک‌هایی که در سایت‌ها یا ایمیل‌ها برای آنان آورده شده برای ورود به صفحات پرداخت الکترونیکی استفاده نکنند. 

کارشناسان پلیس فتا برای مقابله با دسکتاپ فشینگ به کاربران توصیه کردند که از نسخه‌های قدیمی ویندوز عامل مانند ویندوز XP استفاده نکنند و به‌صورت مرتب اقدام به بروزرسانی سیستم عامل خود کنند. 

آنان از کاربران خواسته‌اند آنتی‌ویروس مناسب روی سیستم خود داشته باشند و آن را بروز کنند و از مرورگرهایی استفاده کنند که حاوی لیستی از سایت‌های طراحی شده توسط کلاهبرداران اینترنتی معروف هستند و سایتی که قصد بازدید از آن‌ را دارند با لیست درون خود مقایسه می‌کنند، مانند IE7 , MOZILLA , FIREFOX, OPERA پلیس فتا در ادامه توصیه‌های خود با بیان این‌که کابران باید مرورگر اینترنتی خود را همیشه بروز کنند از آنان خواسته از دانلود و اجرای فایل‌های پیوست ایمیل‌های مشکوک و ناشناس جدا خودداری و نرم‌افزارهای مورد نیاز خود را از سایت‌های معتبر دارای اصالت، دانلود و از دانلود نرم‌افزارهای مشکوک خودداری کنند. 

در پرونده‌ای که اخیراً در پلیس فتا رسیدگی شد، مجرم با آلوده‌کردن سیستم قربانیان از طریق فریب وی برای دانلود و نصب بدافزار، اقدام به اجرای شگرد دسکتاپ فیشینگ روی تعداد زیادی رایانه شخصی کرده بود.

2- « فیشینگ بانکی اطلاعاتی »

فیشینگ بانکی اطلاعاتی نظیر کلمه کاربری، رمز عبور، شماره 16 رقمی عابر بانک، رمز دوم و CVV2 را از طریق ابزارهای الکترونیکی ارتباطات به سرقت می‌برند. شبکه‌های اجتماعی، سایت‌های حراجی و درگاه‌های پرداخت آنلاین نمونه‌ای از ابزار‌‌های الکترونیکی ارتباطات می‌باشند. 

کلاهبرداری فیشینگ از طریق ایمیل‌ها و پیام‌ها صورت می‌پذیرد و قربانیان به‌صورت مستقیم اطلاعات حساس و محرمانه خود را در وب‌سایت‌های جعلی که در ظاهر کاملاً شبیه وب‌سایت‌های سالم و قانونی می‌باشد وارد می‌نمایند. 

حقه فیشینگ یکی از تکنیک‌‌های مهندسی اجتماعی برای فریب کاربران می‌باشد که علی‌القاعده از ضعف امنیتی یک وب‌سایت برای انجام عملیات مجرمانه خود استفاده می‌کنند. برای اولین بار حقه فیشینگ در 1987 تعریف شد و اولین باری که واژه فیشینگ برای نامگذاری این واژه استفاده گردید، سال 1996 بود.

انواع دیگر تکنیک‌‌های رایج که در حقه فیشینگ مورد استفاده قرار می‌گیرد‌‌: 

1- « دستکاری و تقلب در لینک‌ها و آدرس‌ها »

یکی از شیوه‌های متداول و رایج در فیشینگ ارسال لینک‌ها و آدرس‌‌های متعلق به سازمان‌های غیرواقعی و جعلی از طریق ای میل می‌باشد. آدرس‌‌هایی که تنها تفاوت آن‌ها با آدرس اصلی یک یا دو حرف است یا از دامین‌‌های فرعی گمراه کننده برای ایجاد آن‌ها استفاده گردیده است.

2-« دور زدن فیلتر »

فیشرها با استفاده کردن از عکس به جای متن، کار فیلترهای ضد فیشینگ را که برای شناسایی متن‌‌هایی که عموماً در ایمیل‌‌های حاوی آدرس‌‌های جعلی یافت می‌شوند، را سخت می‌کنند.

3- « وب‌سایت جعلی »

تنها با ورودو بازدید یک قربانی به سایت جعلی عمل کلاهبرداری صورت نمی‌پذیرد. در برخی از روش‌‌های فیشینگ از دستورات جاوا اسکریپت استفاده می‌شود تا نوار آدرس را اصلاح کند و تغییر دهد. این کار با قرار دادن تصویر یک آدرس اینترنتی قانونی و موجه در نوار آدرس یا بستن نوار آدرس اصلی و باز کردن یک نوار آدرس جدید که حاوی آدرس اینترنتی قانونی و موجه است، انجام می‌شود.

یک فیشر(مهاجم) حتی می‌تواند از نقایص موجود در برنامه جاوا اسکریپت یک سایت معتبر و قانونی علیه قربانیان خوداستفاده نمایند. این نوع حمله‌ها (‌که به کراس سایت اسکریپتینگ معروف هستند) به‌طور خاص سخت و پیچیده هستند، چون آن‌ها قربانی را به صفحه اینترنتی ثبت نام خدمات بانکی خود ارجاع می‌دهند.

 صفحه‌ای که در آن همه چیز از آدرس سایت گرفته تا گواهی امنیتی، همه درست و صحیح به نظر می‌رسند. در حقیقت لینک دادن به صفحه اصلی حقه‌ای برای به‌ثمر رساندن سرقت و انجام دادن حمله است. با انجام این کار کشف این حمله برای افرادی که دانش لازم را ندارند، کار بسیار سختی است. در سال 2006 چنین حمله‌ای علیه سایت Pay Pal انجام شد.

4- « فیشینگ از طریق تلفن »

تمامی حملات فیشینگ نیاز به استفاده از یک وب‌سایت جعلی و ساختگی ندارند. این نوع حملات شامل پیام‌‌هایی هم می‌شوند که ادعا می‌کند از طرف بانک هستند و از مشتری‌ها (استفاده‌کنندگان خدمات بانکی) می‌خواهند با توجه به مشکلی که برای حساب‌های آن‌ها به وجود آمده است، با یک شماره تماس بگیرند. به محض این‌که مشتری با این شماره تلفن (که متعلق به مهاجم است و یک سرویس تلفن اینترنتی است) تماس بگیرد، دستوراتی به مشتری داده می‌شود تا شماره حساب و رمز خود را وارد کند.

 فیشرهایی که از سرویس تلفن اینترنتی استفاده می‌کنند، گاهی اوقات از داده‌های جعلی برای‌ای دی کالر استفاده می‌نمایند تا برای مشتریان این‌گونه به نظر برسد که این تماس از طرف یک سازمان مطمئن و معتبر انجام می‌شود.

سایر روش ها

 • نوع دیگری از حمله که موفقیت‌آمیز بودنش ثابت شده است، ارجاع دادن قربانی به وب‌سایت اصلی بانک است. سپس یک پنجره پاپ آپ در بالای صفحه سایت به نمایش در می‌‌آید و به شکلی که به نظر برسد این صفحه و این سایت متعلق به بانک است، اطلاعات حساس قربانی را درخواست می‌کنند. 

 • یکی از جدیدترین روش‌‌های فیشینگ تب نبینگ است. این برنامه از صفحاتی که کاربر باز کرده استفاده می‌کند و به‌طور آهسته کاربر را به سایت ساختگی ارجاع می‌دهد. 

 • دوقلوهای شر یا Evil twins روشی است که شناسایی و کشف آن کار بسیار سختی است. یک فیشر یک شبکه بی‌سیم (وایرلس) ساختگی ایجاد می‌کند. این شبکه همانند شبکه‌های معتبر عمومی و قانونی می‌تواند در مکان‌‌هایی مانند فرودگاه‌ها، هتل‌ها و کافی شاپ‌ها وجود داشته باشد.

 وقتی که یک نفر وارد شبکه جعلی می‌شود، کلاهبرداران سعی می‌کنند رمزهای عبور و یا سایر اطلاعات مرتبط با کارت اعتباری او را ثبت و ضبط کنند.

ومن الله توفیق

Hijack.blog.ir