up
Search      menu
فنآوری اطلاعات :: مقاله فيشينگ Phishing PDF
QR code - فيشينگ Phishing

فيشينگ Phishing

Phishing فيشينگ چيست ؟

Phishing از جمله واژه هايي است که توسط مهاجمان در عرصه ادبيات اينترنت مطرح و به ترغيب توام با نيرنگ کاربران به افشاي اطلاعات حساس و شخصي آنان ، اشاره دارد . مهاجمان به منظور نيل به اهداف مخرب خود در اولين مرحله درخواست موجه خود را براي افراد بيشماري ارسال مي نمايند و در انتظار پاسخ مي مانند . آنان اميدوارند که حتي اگر بتوانند تعداد اندکي از افراد را ترغيب به افشاي اطلاعات حساس و شخصي خود نمايند در رسالت خود موفق بوده اند . اميدواري آنان چندان هم بي دليل نخواهد بود چراکه با توجه به گستردگي تعداد قربانيان اوليه احتمالي ، شانس موفيقت نهايي آنان از لحاظ آماري نيز افزايش مي يابد .
مهاجمان به منظور افزايش ضريب موفقيت حملات سعي مي نمايند خود را بگونه اي عرضه نمايند که مردم به آنان اعتماد نموده و آنان را به عنوان نمايندگان قانوني مراکز معتبري نظير بانک ها قبول نمايند . ماهيت و يا بهتر بگوييم رمز موفقيت اين نوع از حملات بر قدرت جلب اعتماد مردم استوار است و بديهي است که مهاجمان از هر چيزي که بتواند آنان را موجه تر جلوه نمايد ، استقبال خواهند کرد . مهاجمان پس از جلب رضايت و اعتماد کاربران از آنان درخواست اطلاعات حساس و مهمي نظير شماره کارت اعتباري را مي نمايند .
اکثر عمليات اشاره شده به صورت اتوماتيک انجام و با توجه به اين که کاربران گسترده اي هدف اوليه قرار مي گيرند و درصد بسيار زيادي از آنان داراي آگاهي لازم جهت تشخيص و مقابله با اين نوع حملات نمي باشند ، شانس موفقيت مهاجمان به منظور سرقت هويت کاربران افزايش مي يابد .
سرقت هويت چيست ؟
سرقت هويت ، استفاده از هويت شخص ديگر ( اطلاعات حساس و يا شخصي ) براي سوء استفاده مالي و يا ساير اهدف مخرب است . سوء استفاده يا کلاهبرداري با استفاده از کارت اعتباري ديگران ، يک نمونه از سرقت هويت است . در واقع Phishing ، روشي است که مهاجمان از آن به منظور سرقت هويت استفاده مي نمايند .
آيا سرقت هويت صرفا گريبانگير افرادي مي گردد که اقدام به ارسال اطلاعات online مي نمايند ؟ در صورتي که هرگز از کامپيوتر استفاده نکرده باشيد ، ممکن است از جمله قربانيان سرقت هويت باشيد . مهاجمان مي توانند با بکارگيري روش هاي متعدد به اطلاعات شخصي شما نظير شماره کارت اعتباري ، شماره تلفن ، آدرس و … دستيابي پيدا نمايند . اکثر شرکت ها و موسسات ، اطلاعات مربوط به مشتريان خود را در بانک هاي اطلاعاتي ذخيره مي نمايند و در صورت دستيابي سارقين به بانک هاي اطلاعاتي ، اطلاعات شخصي تعداد زيادي از افراد افشاء مي گردد .اينترنت فضاي لازم براي سارقين را فراهم نموده است تا بتوانند در زماني مطلوب و در گستره اي وسيع تر به اطلاعات شخصي و مالي کاربران دستيابي نمايند . اينترنت ، همچنين امکانات مناسبي به منظور فروش و مبادلات تجاري اطلاعات سرقت شده را در اختيار مهاجمان قرار مي دهد .
چرا مي بايست از خود در مقابل حملات phishing حفاظت نمود؟
در يک سازمان ، افراد متفاوت اطلاعاتي را نزد خود نگهداري مي نمايند که ممکن است حساس و يا براي ساير افراد و يا سازمان ها حايز اهميت باشد . در حملات phishing ، مهاجمان عموما از روش هاي غير فني ( نظير مهندسي اجتماعي ) براي دستيابي به اطلاعات حساس و مهم اشخاص و يا سازمان ها استفاده نموده و موارد زير را هدف قرار مي دهند :
اطلاعات بانکي نظير کارت هاي اعتباري و يا حساب هايي نظير paypal
اطلاعات مربوط به نام و رمز عبور
اطلاعات بيمه همگاني و …
مهاجمان پس از دستيابي به اطلاعات فوق از آنان به منظور نيل به اهداف زير استفاده مي نمايند :
برداشت از حساب بانکي
سرويس هاي online متفاوتي نظير eBay و يا Amazon
يک نمونه از حملات phishing
تعداد زيادي از حملات phishing از طريق email انجام مي شود . مهاجمان email موجه خود را براي ميليون ها قرباني احتمالي ارسال مي نمايند . اين نوع نامه هاي الکترونيکي بسيار مشابه وب سايت شرکتي مي باشند که email ادعا مي نمايد ، نامه از آنجا براي کاربران ارسال شده است .
مهاجمان به منظور فريب کاربران از روش هاي متعددي استفاده مي نمايند :
استفاده از logo و ساير علايم تجاري شناخته شده و معتبر
ساختار و طراحي email تقلبي مشابه وب سايت واقعي است ، بگونه اي که در اولين مرحله تشخيص جعلي بودن آن براي بسياري از کاربران غيرممکن است .
بخش from نامه الکترونکيي ارسالي ، مشابه ارسال يک email معتبر از شرکت مربوطه است .
در متن email ممکن است فرمي تعبيه شده باشد که از کاربران خواسته شود به دلايل خاصي ( مثلا account شما در معرض تهديد است و ممکن است مورد سوء استفاده قرار گيرد و يا به دليل بروز اشکالات فني ) ، مجددا اطلاعات خود را در فرم درج و آن را ارسال نمايند .
در برخي موارد ، مهاجمان به منظور افزايش اعتماد کاربران و معتبر نشان دادن email ارسالي از روش هايي فني تري استفاده مي نمايند . مثلا ممکن است آنان از روشي موسوم به URL spoofing استفاده نمايند و با ايجاد يک لينک در متن email از کاربران بخواهند که جهت ادامه عمليات بر روي آن کليک نمايند . با کليک کاربران بر روي لينک فوق ، آنان در مقابل هدايت به يک سايت معتبر که انتظار آن را دارند به وب سايتي هدايت مي گردند که مهاجمان آن را مديريت مي نمايند . شکل ظاهري وب سايت بگونه اي طراحي مي گردد که کاربران نتوانند جعلي بودن آن را تشخيص دهند .
کلاهبرداران اينترنتي بي شک از بهترين استفاده کنندگان مهندسي اجتماعي به شمار مي روند . آنها ابتکارات بسياري در اين خصوص از خود نشان داده اند .
به تازگي کلاهبردان اينترنتي سعي مي کنند با بهره گيري از اوضاع نابسامان صنعت بانکداري ، با به کار بردن ترفندهايي ، کاربران را به لو دادن اطلاعات مالي خود وادارند .
به گزارش the register نسل جديد ايميل هاي فيشينگ با تقليد کردن از اطلاعيه هاي رسمي مربوط به ادغام بانک ها ، مي کوشد نظر کاربران را به خود جلب کند.
کميسيون تجارت فدرال ( FTC ) روز پنجشنبه با صدور اطلاعيه اي، به مشتريان هشدار داد مراقب اين نوع فريب کاري باشند . هشدار FTC که در سايت ftc.gov منتشر شده ، با عبارت « شکست هاي بانکي ؛ ادغام يا تصاحب مالکيتي » آغاز مي گردد .
اگرچه ايميل هاي جعلي قدمتي حداقل پنج ساله دارد ( اگر نگوييم بيشتر ! ) اما باز هم به عنوان يک شيوه مفيد و پربازده ، مي تواند کاربران ساده لوح بسياري را که نگران و پيگير بحران اخير بانکي در جهان هستند ، به دام اندازد.
گفتني است در نيمه اول سال 2008 بيش از 20 هزار وب سايت مخرب برپا شده که در قياس با مدت زمان مشابه سال قبل ، با بيش از 180 درصد رشد ، حدودا سه برابر شده است .
The register اين مطلب را به نقل از انجمن بانکداري انگليس ( APACS ) بيان کرده است .
آمار ديگري که در اين زمينه ارائه شده نيز حيرت آور است : در شش ماه اول سال 2008 ، بانکداري آنلاين حدود 4 21 ميليون پوند خسارت از ناحيه جرايم سايبري متحمل شده است که نسبت به 5 7 ميليون پوند سال گذشته ، رشد سرسام آوري را نشان مي دهد.
Apacs معتقد است فيشينگ و نرم افزارهاي جاسوسي ، مسبب اکثر اين خسارت ها بوده است .

امروزه دامنه آثار زيانبار تروجان­هاي موذي به عرصه بانکداري الکترونيک هم کشيده شده است. از جمله تروجان هاي معروف به بانک­زن، حساب هاي پس انداز آنلاين ر ...

اولين و مهمترين نياز هر کاربر اينترنت در زمان اتصال به اينترنت استفاده نمودن از يک مرورگر وب مي باشد. بنابراين داشتن يک مرورگر سريع و در اين حال با ثب ...

به طور حتم بارها واژه را شنيده ايد ويا خبر مربوط به هک هک وب سايتهاي مهم ويا دولتي را شنيده ايد در اين گفتار به اختصار سعي مي کنيم با تعريف عمومي هک آ ...

محمد حسين تقوايي زحمتکش به طور حتم بارها واژه را شنيده ايد ويا خبر مربوط به هک هک وب سايتهاي مهم ويا دولتي را شنيده ايد در اين گفتار به اختصار سعي مي ...

دانلود نسخه PDF - فيشينگ Phishing