آشنایی با دزدی هویت یا phishing در دنیای مجازی

هنگامی که گمان می کردید که می توانید با اطمینان به سراغ میل باکس خود بروید، نوع جدیدی از تقلب در راه بود. دزدی هویت یا phishing چیزی فراتر از هرزنامه های ناخواسته و مزاحم هستند. آنها می توانند منجر به دزدیده شدن شماره های اعتباری، کلمات عبور، اطلاعات حساب یا سایر اطلاعات شخصی شما شوند. این مطلب را بخوانید تا بیشتر در مورد این نوع دزدی هویت یا phishing بدانید و بیاموزید چگونه می توانید به حفاظت از اطلاعات شخصی خود در برابر این نوع حمله کمک کنید.

حتما بخوانید: سئو کلاه سفید چیست؟

دزدی هویت یا phishing چیست؟

نوعی فریب است که برای دزدیدن هویت شما طراحی شده است. در دزدی هویت یا phishing، یک فرد آسیب رسان سعی می کند تا اطلاعاتی مانند شماره های اعتباری و کلمات عبور یا سایر اطلاعات شخصی شما را با متقاعد کردن شما به دادن این اطلاعات تحت ادعاهای دروغین بدست آورد. این نوع حملات معمولاً از طریق هرزنامه یا پنجره های pop-up می آیند.

Phishing چگونه کار می کند؟

یک فریب phishing توسط یک کاربر بداندیش که میلیون ها ایمیل فریبنده ارسال می کند، آغاز می شود بطوریکه بنظر می رسد که از وب سایتهای معروف یا از سایت های که مورد اعتماد شما هستند، مانند شرکت کارت اعتباری یا بانک شما می آیند.

ایمیل ها و وب سایتهایی که از طریق ایمیل ها برای شما ارسال می شود، آنقدر رسمی بنظر می رسند که بسیاری از مردم را به این باور می رسانند که قانونی هستند. با این باور که این ایمیل ها واقعی هستند، افراد زودباور اغلب به تقاضای این ایمیل ها مبنی بر شماره های کارت اعتباری، کلمات عبور و سایر اطلاعات شخصی پاسخ می دهند.

یک جاعل! لینکی در یک ایمیل جعلی قرار می دهد که اینگونه بنظر می رسد که لینک به وب سایت واقعی است، اما در واقع شما را به سایت تقلبی یا حتی یک پنجره pop-up می برد که دقیقاً مانند سایت اصلی بنظر می رسد. این کپی ها اغلب وب سایت های spoofed نامیده می شوند.

زمانیکه شما در یکی از این وب سایت ها یا pop-upهای تقلبی هستید ممکن است ناآگاهانه حتی اطلاعات شخصی بیشتری وارد کنید که مستقیماً به شخصی که این سایت تقلبی را درست کرده است، ارسال خواهد شد. این شخص آن موقع می تواند از این اطلاعات برای خرید کالا یا تقاضا برای یک کارت اعتباری جدید یا سرقت هویت شما اقدام کند.

حتما بخوانید: سئو کلاه سیاه چیست؟

۵ روش که به شما در محافظت از خودتان در مقابل دزدی هویت یا phishing کمک می کند:

همانند دنیای فیزیکی، جاعلان در دنیای اینترنت ایجاد روش های جدید و گمراه کننده تر را برای فریب شما ادامه می دهند. اما پیگیری این ۵ روش به شما برای محافظت از اطلاعات شخصیتان کمک می کند.

۱. هرگز به تقاضاهایی که از طریق ایمیل یا پنجره های pop-up اطلاعات شخصی شما را می خواهند، پاسخ ندهید.

اگر شک دارید، با موسسه ای که مدعی ارسال ایمیل یا پنجره pop-up است، تماس بگیرید. اکثر مراکز تجاری قانونی، کلمات عبور، شماره کارت های اعتباری و سایر اطلاعات شخصی را از طریق ایمیل مورد سوال قرار نخواهند داد.هنگامی که ایمیلی اینچنین دریافت کردید، پاسخ ندهید.

در صورتی که فکر می کنید که ایمیل صحت دارد، برای تایید از طریق تلفن یا وب سایتشان با آنها تماس بگیرید.

به پنجره های popup به سادگی اعتماد نکنید، چراکه می تواند ابزاری در جهت سرقت اطلاعات شما باشد.

۲. وب سایت ها را با تایپ آدرس آنها در address bar یا نوار وضعیت (Status bar) ببینید.

اگر شک دارید که ایمیل از شرکت کارت اعتباری، بانک، سرویس پرداخت آنلاین یا وب سایتهای دیگری است که با آنها تجارت انجام می دهید نباشد، لینک ها را از طریق ایمیل برای رفتن به وب سایت دنبال نکنید. آن لینک ها ممکن است شما را به سایت جعلی ببرند که تمام اطلاعاتی را که وارد می کنید برای جاعل آن سایت ارسال کنند.

به تصویر زیر توجه کنید، در نگاه اول این طور به نظر می رسد که در صفحه لاگین سایت معروف twitter هستید. اما با دقت به آدرس صفحه در نوار آدرس و نوار وضعیت متوجه می شوید که این صفحه یک صفحه جعلی و گمراه کننده است و در واقع کاربری فریبکار با شبیه سازی صفحه لاگین سایت توییتر سعی در گمراه نمودن شما دارد.

مراقب آدرس های تقلبی به هنگام بازدید از صفحات باشید.

حتی اگر address bar آدرس درستی نشان می دهد، خطر آن را نپذیرید. چندین روش برای هکرها وجود دارد تا یک URL جعلی در address bar مرورگرتان نمایش دهند. نسخه های جدیدتر مرورگرها جعل آدرس را مشکل تر می کنند، بنابراین بهتر است که مرورگرتان را مرتب به روز نگهدارید. اگر فکر می کنید که این به روزرسانی ها را همواره به یاد نخواهید داشت، می توانید کامپیوترتان را برای بروزرسانی های خودکار پیکربندی کنید.

۳. اطمینان پیدا کنید که صفحات اطلاعات شخصی و مهم شما، رمزگذاری شده و امن باشند.

اگر به دسترسی به وب سایت از طریق address bar اعتماد ندارید، چگونه می دانید که ممکن است امن باشد؟ چند روش مختلف وجود دارد. نخست، قبل از وارد کردن هرگونه اطلاعات شخصی، بررسی کنید که آیا سایت از رمزنگاری برای ارسال اطلاعات شخصی شما استفاده می کند. در اینترنت اکسپلورر (نسخه های قدیمی) این عمل را با دیدن آیکون قفل زرد رنگی که در status bar نشان داده می شد، می توانستید بررسی کنید.

این نشانه دلالت بر استفاده از وب سایت از رمزنگاری برای کمک به محافظت از اطلاعات حساس دارد.

نام بعد از Issued to باید با سایتی که در آن حاضر هستید مطابقت کند. اگر نام متفاوت است، احتمالاً در سایت جعلی قرار دارید. اگر مطمئن نیستید که یک گواهی قانونی است، هیچ اطلاعات شخصی وارد نکنید. احتیاط کنید و سایت را ترک کنید.

در مرورگرهای جدید و مدرن مانند IE9, Firefox و Chrome این نشانه در نوار آدرس و معمولا” با تغییر رنگ آن نمایش داده می شود. (تصویر زیر)

۴. بطور منظم اعلامیه های کارت اعتباری و بانک تان را مرور کنید.

حتی اگر ۳ مرحله قبل را انجام می دهید، هنوز ممکن است قربانی دزدی هویت شوید. اگر اعلامیه های بانکی و کارت اعتباری تان را حداقل ماهانه مرور کنید، ممکن است بتوانید یک جاعل را شناسایی و از وارد آمدن خسارات قابل توجه جلوگیری کنید.

۵. سوء استفاده های مشکوک از اطلاعات شخصیتان را به مراکز مناسب گزارش کنید.

اگر قربانی چنین حقه ای بوده اید باید:

فوراً جعل را به شرکتی که جعل در مورد آن صورت گرفته است، گزارش کنید. اگر مطمئن نیستید که چگونه با شرکت تماس بگیرید، وب سایت شرکت را برای گرفتن اطلاعات صحیح تماس، نگاه کنید. شرکت ممکن است یک آدرس ایمیل مخصوص برای گزارش چنین سوء استفاده ای داشته باشد. بخاطر داشته باشید که هیچ لینکی را در ایمیل phishing که دریافت کرده اید، دنبال نکنید.
جزئیات جعل را، مانند ایمیل هایی که دریافت کرده اید، به مراکز ذیصلاح قانونی همچون مرکز شکایات تقلب های اینترنتی گزارش کنید. این مرکز در کل دنیا برای از کار اندازی سایت های phishing و شناسایی افراد پشت این کلاه برداری ها، کار می کند.
در چنین شرایطی برای یادگیری نحوه به حداقل رساندن میزان خسارت، می توانید به وب سایت دزدی هویت FTC سر بزنید.

این مهارت را بیاموزید: دوره آموزشی افزایش هدفمند ترافیک وب سایت با تبلیغات گوگل

تکینک longline

اگر پس از بحث های فوق احساس می کنید که تکنیک های مقابله با فیشینگ شما به قدری قدرتمند است که نیازی به آموزش بیشتری نیست، سخت در اشتباهید! تمرکز ویژه روی سیستم های فیلترینگ به طوری که از ورود پیام های فیشینگ جلوگیری کند به معنای آن نخواهد بود که دیگر کاربران این ایمیل ها را هرگز نخواهند دید.

چرا که فیشینگ های هدف دار و روش های قدیمی حمله از طریق فرستادن انبوهی از پیام های فیشینگ با یکدیگر ترکیب شده و نسل جدیدی از ایمیل های فیشینگ با نام longline را بوجود آورده اند. این نام از یک شیوه ماهی گیری گرفته شده است. در این شیوه از یک خط با طول بسیار زیاد که دارای هزاران طمعه و قلاب می باشد برای ماهیگیری استفاده می شود. شیوه فیشینگ longline معمولاً حول سیستم های امنیتی قدیمی می چرخد و دارای سازگاری بسیار وسیع می باشد.

روش کار آن بمباران کردن هزاران مخاطب خود با پیام های منحصر به فرد است. بسیاری از فیلترهای gateway در جستجوی پیام های مشابه از یک منبع یکسان می باشند؛ با این کار دیگر فیلترها قادر نخواهند بود حمله های longline را شناسایی کنند. چرا که این ایمیل ها دارای subject متفاوت، محتواهای مختلف و از همه مهم تر آدرس IP مختلف می باشد.

یکی از تعبیرهایی که در مورد longline مورد استفاده قرار می گیرد (ترکیب تأثیرگذاری فیشینگ هدفمند با سرعت و مقیاس حمله های ویروسی است) که بسیار ترسناک است ! این موضوع موجب می شود که در به روز کردن اطلاعات آموزشی در زمینه امنیت IT حساسیت بسیار بالایی داشته باشیم.

با دریافت « مشاوره برنامه‌نویسی، وب و سئو » از کارشناسان جوان حرفه‌ای و باتجربه ساکوراد؛ موفقیت کسب و کار، رونق فروش و افزایش درآمد خود را تضمین کنید!