بنر وب سایت مجموعه ایوسی
جستجو
ورود / ثبت نام
بنر وب سایت مجموعه ایوسی
ورود / ثبت نام
ورود / ثبت نام
جستجو
این کادر جستجو را ببندید.

هدایای ویژه طراحی سایت

عیدی ما به شما
عیدی ما به شما

حملات Phishing attacks: تعریف، انواع و راهکارها

کلاهبرداری های فیشینگ - انتشار نیز آسیب پذیر است. چه چیزی میخواهید بدانید

اگر این مقاله را دوست دارید، لطفا آن را با دوستان خود به اشتراک بگذارید.

حملات Phishing یکی از رایج‌ترین روش‌های حمله در دنیای اینترنت است که توسط افراد بدنام برای دزدیدن اطلاعات شخصی و حساس کاربران به کار می‌رود. در این مقاله از ایوسی، به بررسی مفهوم و انواع حملات Phishing پرداخته و سپس راهکارهایی برای مقابله با این نوع حملات ارائه می‌دهیم.

مرتبط: مهندسی اجتماعی: تأثیرگذاری هوشمند در رفتار افراد برای دستیابی به اهداف مشخص

تعریف حملات Phishing:

حملات Phishing یا همان حملات ماهیگیری، به فرآیندی اطلاق می‌شود که در آن هکرها با استفاده از روش‌های فریبکارانه و تقلبی تلاش می‌کنند تا اطلاعات شخصی و مهم کاربران را به دست آورند. این حملات بیشتر به صورت ایمیل، پیامک، لینک‌های تبلیغاتی یا صفحات وب جعلی صورت می‌گیرند.

انواع حملات Phishing:

  1. پیامک Phishing: در این نوع حمله، هکرها پیامک‌های جعلی به کاربران ارسال می‌کنند و از طریق آنها سعی در دزدیدن اطلاعات شخصی می‌کنند. معمولاً این پیامک‌ها شامل یک لینک جعلی هستند که زمینه برای ورود اطلاعات کاربر فراهم می‌کند.
  2. ایمیل Phishing: ایمیل‌های جعلی از روش‌های رایج حملات Phishing است. در این نوع حمله، ایمیل‌هایی با عنوان و متن جذاب و مغرض برای کاربران ارسال می‌شوند تا آنها را به ورود اطلاعات شخصی خود در صفحه‌ای جعلی ترغیب کنند.
  3. وب سایت‌های جعلی: هکرها می‌توانند صفحات جعلی ساخته و ظاهری مشابه صفحات وب واقعی بسازند. با ارسال لینک به این صفحات، آنها تلاش می‌کنند کاربران را به ورود اطلاعات خود در این صفحات تشویق کنند.
  4. صفحات وب جعلی: در برخی از حملات Phishing، هکرها صفحات وب جعلی را برای جمع آوری اطلاعات شخصی کاربران ایجاد می‌کنند. این صفحات، برخی از ویژگی‌های صفحات وب واقعی را مشابه کرده و کاربران را با جعل نشانه‌های بانکی یا سایت‌های معروف به ورود اطلاعات خود در این صفحات تشویق می‌کنند.
  5. استفاده از نرم افزار Phishing: هکرها ممکن است نرم افزارهایی را که قابلیت تقلید از صفحات وب معروف را دارند را توسعه دهند. این نرم افزارها به صورت جعلی مشابه صفحات وب اصلی ایجاد می‌کنند تا اطلاعات کاربران را غافلگیر کنند.
  6. حملات مبتنی بر شبکه اجتماعی: هکرها روش‌های پیشرفته‌تری نظیر استفاده از شبکه‌های اجتماعی را نیز برای انجام حملات Phishing استفاده می‌کنند. آنها می‌توانند صفحات وب جعلی و پست‌های جعلی را در شبکه‌های اجتماعی ایجاد کنند تا دروغ‌ها و اطلاعات تقلبی را به کاربران ارائه دهند و از آنها اطلاعات شخصی بدست آورند.
  7. حملات هدفمند (Spear Phishing): در این نوع حملات، هکرها اطلاعات دقیق و شخصی درباره فرد هدف خود، مانند نام و سمت شغلی، دارند. سپس از اطلاعات ارائه شده برای ارسال ایمیل‌های جعلی و پیامک‌های جعلی به فرد هدف استفاده می‌کنند. این نوع حملات بسیار مهندسی شده و قابل تشخیص دشوار است.

مرتبط: راهنمایی برای امنیت و حریم شخصی در فضای مجازی

راهکارها برای جلوگیری از حملات Phishing:

  1. بروزرسانی مرورگر و سیستم عامل: بروزرسانی مرورگر و سیستم عامل به آخرین نسخه‌های ارائه شده، از آسیب‌پذیری‌ها و ضعف‌های امنیتی در مرورگر و سیستم عامل جلوگیری می‌کند.
  2. اعتماد به منابع معتبر: هنگام دریافت پیام‌های ایمیل یا پیامک‌های مشکوک، به منابع معتبر اطمینان حاصل کنید و لینک‌ها را از طریق مرورگر خود چک کنید.
  3. احتیاط در ورود اطلاعات شخصی: همیشه قبل از ورود اطلاعات شخصی خود چک کنید که صفحه‌ای که در آن قرار است اطلاعات خود را وارد کنید، با صفحه‌ی معتبری که تا به حال استفاده کرده‌اید، مشابه است.
  4. استفاده از نرم‌افزارهای ضد Phishing: استفاده از نرم‌افزارهای ضد Phishing می‌تواند به شناسایی و مسدود کردن صفحات جعلی کمک کند.
  5. آگاهی از نشانه‌های Phishing: آگاهی از نشانه‌های مشترک تمامی حملات Phishing می‌تواند کمک کند تا از این نوع حملات جلوگیری شود. برخی از نشانه‌ها شامل نامعتبر بودن ایمیل یا شماره فرستنده پیامک، دستورات فوریت وارد کردن اطلاعات شخصی و تهدید به قطع خدمات است.
  6. آگاهی از تاکید بر زمان: بیشتر حملات Phishing تلاش می‌کنند تا از فردی به عجله درآورده شود تا فرصت بررسی و شناسایی تقلبی بودن صفحه‌ی ارائه شده برای وارد کردن اطلاعات شخصی را کم کند. لذا اهمیت استفاده از زمان کافی برای بررسی و مقایسه صفحه‌ها و لینک‌ها با منابع معتبر بسیار است.
  7. فعال بودن دو عاملی: استفاده از تکنیک دو عاملی برای ورود به حساب‌های اینترنتی می‌تواند از حملات Phishing جلوگیری کند. این تکنیک شامل استفاده از یک رمز عبور و یک کد یکبار مصرف است که به تلفن همراه یا دستگاه دیگری ارسال می‌شود.
  8. محافظت از اطلاعات شخصی: عدم انتشار اطلاعات شخصی مانند شماره کارت بانکی، رمز عبور و شماره تلفن در سایت‌ها و پیام‌های مشکوک موجود، می‌تواند از ریسک سو استفاده‌ی غیرمجاز این اطلاعات جلوگیری کند.
  9. پیشرفته‌تر شدن آموزش‌های ایمنی: در شرکت‌ها و سازمان‌ها، ضرورت آموزش کارکنان در مورد روش‌های تشخیص و جلوگیری از حملات Phishing بسیار مهم است. ایمنی‌های اطلاعاتی پیشرفته و به روز رسانی این آموزش‌ها می‌تواند وقوع حملات Phishing را به شدت کاهش دهد.

مرتبط: ایمنی اینترنت برای کودکان: چگونه از کودک خود در برابر ۷ خطر آنلاین محافظت کنید

سوالات متداول:

چند مثال معروف از حمله فیشینگ چیست؟
  1. حمله فیشینگ Equifax: در سال ۲۰۱۷، گروهی از هکرها به سامانهٔ اطلاعات اعتباری Equifax نفوذ کردند و اطلاعات حساس حدود ۱۴۵ میلیون افراد را دستگیر کردند، از جمله شمارهٔ اجتماعی، تاریخ تولد، آدرس، شمارهٔ کارت اعتباری و اطلاعات مالی دیگر.
  2. حمله فیشینگ PayPal: در سال ۲۰۲۰، حمله‌ای به کاربران PayPal صورت گرفت، که تلاش برای سرقت اطلاعات کاربران و دسترسی به حساب‌های بانکی آن‌ها را داشت. از آن زمان به بحث و جدل عمومی و جریان پلیسی دامن زده است.
  3. حمله فیشینگ Google Docs: در سال ۲۰۱۷، یک نوع حمله فیشینگ با استفاده از فرمت Google Docs شناسایی شد. این حمله شمار زیادی از کاربران گوگل را در یک دیسکو ترقیم کرد و از آن‌ها خواست تا با ورود به حساب گوگل خود که بانک اطلاعاتی عمده‌ای در زنجیرهٔ تامین دارد، عواقب جبران ناپذیری برای خود را به همراه آورند.
  4. حمله فیشینگ Sony Pictures: در سال ۲۰۱۴، گروهی هکر به سامانهٔ سونی پیکچرز نفوذ کرد و در نتیجهٔ آن، اطلاعات حساس مربوط به کارمندان و هنرمندان سونی ناشر شد. همچنین در این حمله، ایمیل‌ها، اسناد برنامه‌ای و اطلاعات محرمانهٔ متعددی اخذ شدند و منجر به رهگیری بینالمللی افراد مشتبه و تحریم آن‌ها شد.
چرا حملات فیشینگ انجام می شود؟

حملات فیشینگ به منظور دستیابی به اطلاعات حساس و شخصی از طرف افراد یا گروه های مخرب انجام می‌شود. این حملات معمولاً با استفاده از روش‌ها و تکنیک‌های تقلبی در ارسال ایمیل‌ها یا پیام‌های تلفنی می‌توانند اطلاعات شخصی، شماره کارت اعتباری، رمز عبور و اطلاعات مالی را به دست بیاورند. این اطلاعات می‌تواند برای سرقت هویت، تقلب مالی یا تهدید امنیت آنفراد استفاده شود. حملات فیشینگ نقشه‌ها و ابزارهایی است که برای به دست آوردن اطلاعات حساس و حقیقت پنهان از فرد هدف استفاده می‌شود.

چرا به آن فیشینگ می گویند؟

اصل واژه “فیشینگ” واژه ای در زبان انگلیسی است که از فعل “to fish” به معنای صید ماهی گرفته شده است. این واژه در اینجا به معنای صید اطلاعات شخصی و محرمانه افراد است که توسط هکرها و جنایتکاران انجام می شود. به عنوان مثال، هکرها معمولاً با ارسال ایمیل های متقلب، صفحات وب جعلی و یا پیغام های تقلبی سعی می کنند افراد را به ارائه اطلاعات شخصی خود، مانند رمز عبور، شماره حساب بانکی و مشخصات کارت اعتباری تحریک کنند. در اصطلاح، این عمل را می توان با صید ماهی در یک دریاچه مقایسه کرد، زیرا هکرها مانند صیادان هستند که می کوشند “ماهی حساب بانکی” یا “ماهی محرمانه” اطلاعات شخصی را گرفتار کنند. به همین دلیل، این حملات به عنوان “فیشینگ” شناخته می شوند.

چگونه هکرها از فیشینگ استفاده می کنند؟

هکرها از حملات فیشینگ برای دستیابی به اطلاعات حساس و دسترسی به سیستم ها و حساب های کاربری هدف استفاده می کنند. این حملات معمولاً به شکل زیر انجام می شوند:

  1. ارسال ایمیل های فریبکارانه: هکرها ایمیل هایی را که به نظر می رسد مشابه با ارتباطات رسمی باشند، مانند ایمیل های بانکی، شرکت های مشهور و سرویس های آنلاین، ارسال می کنند. این ایمیل ها ممکن است درخواست شماره حساب بانکی، رمز عبور، شماره کارت اعتباری یا دیگر اطلاعات شخصی را داشته باشند.
  2. ایجاد صفحات وب تقلبی: هکرها صفحات وب مشابه با صفحات واقعی بانک ها، سرویس های آنلاین و سایت های معروف را ایجاد می کنند تا کاربران را به ورود اطلاعات خود در این صفحات تقلبی تشویق کنند.
  3. شبکه های اجتماعی: هکرها در شبکه های اجتماعی صفحات تقلبی را ایجاد می کنند و برای جذب کاربران معمولاً با استفاده از اسامی، لوگوها و علائم تجاری معتبر و شناخته شده، مطالب فریبنده و لینک های مشکوک ارائه می دهند.
  4. پیام کوتاه و تماس تلفنی: هکرها می توانند با ارسال پیامک های مزیدی که برای کاربران جذاب و جدی به نظر می رسد، آنها را به فعالیتی همچون برقراری تماس تلفنی با یک شماره مشخص یا ارسال اطلاعات شخصی دیگر تشویق کنند.

در تمام این روش ها، هدف هکرها دزدیدن اطلاعات شخصی و مالی کاربران است که سپس از این اطلاعات برای عملیات تقلبی و سوء استفاده می کنند.

آیا فیشینگ یک ویروس یا بدافزار است؟

فیشینگ یک روش یا حمله سایبری است و نه یک ویروس یا بدافزار. در فیشینگ، هکرها با استفاده از تکنیک‌های اجتماعی و تقلید سایت‌ها و صفحات وب معتبر، اطلاعات حساس و شخصی کاربران را جمع‌آوری می‌کنند. عمده هدف فیشینگ، دسترسی به اطلاعات اعتباری مثل نام کاربری، رمز عبور، اطلاعات بانکی و کارت اعتباری کاربران است. بدافزارها به‌عنوان برنامه‌های مخرب صرفا به منظور تهدید و آسیب‌زدن به سیستم‌ها و فایل‌ها مورد استفاده قرار می‌گیرند.

مراحل حمله فیشینگ چیست؟

حمله فیشینگ از چند مرحله تشکیل می‌شود که به طور کلی عبارتند از:

  1. برنامه‌ریزی: در این مرحله، حمله‌کننده ابتدا هدف خود را انتخاب می‌کند و برنامه‌ریزی‌های لازم برای حمله را انجام می‌دهد. این شامل تحلیل امنیتی هدف، شناخت ضعف‌ها و نقاط ضعف سیستم است.
  2. ارسال پیام خطرناک: در این مرحله، حمله‌کننده پیام گمراه‌کننده و تقلبی را به هدف ارسال می‌کند، که از طریق ایمیل، پیامک یا وب‌سایت‌های جعلی انجام می‌شود. این پیام، معمولاً به صورت یک درخواست اضطراری یا تحریکی عمل می‌کند تا هدف را به عملیات مورد نظر هدایت کند.
  3. اغراق‌کنندگی: در این مرحله، حمله‌کننده با استفاده از فنون اجتماعی، تمرکز هدف را بر روی پیام خطرناک و شکل خاصی که به آن داده است، متمرکز می‌کند. او سعی می‌کند تا اطمینان حاصل کند که هدف تحت تاثیر قرار گرفته است و نیاز دارد اقدام فوری کند.
  4. سرقت اطلاعات یا اقدامات مخرب: در این مرحله، هدف به پیام و شیوه تقلب حمله قانع می‌شود و اقدامات مدنظر حمله از جمله وارد کردن اطلاعات حساس شخصی، اقدام به پرداخت هزینه‌ها با استفاده از مشخصات بانکی و یا مشارکت در سایت‌های جعلی انجام می‌شود.
  5. پنهان شدن و ضدتشخیص: حمله‌کننده به منظور جلوگیری از شناسایی وی، تلاش می‌کند به خوبی پنهان بماند. او از تکنیک‌ها و ابزارهای سررشته‌ای استفاده می‌کند تا فعالیت‌های خود را پنهان کند و هویت واقعی خود را مخفی نگه دارد.

این مراحل توصیف کننده فرایند عمومی حملات فیشینگ هستند و ممکن است در هر حمله مشخصی تغییر یا ترکیبی از این مراحل وجود داشته باشد.

آیا فیشینگ یک حمله رمز عبور است؟

نه، فیشینگ یک نوع حمله سایبری است که به طور عمومی از رمزعبور استفاده می‌کند. در فیشینگ، مهاجمان تلاش می‌کنند از طریق تقلب و محرک‌زنی کاربران را به تحویل اطلاعات حساس مانند رمز عبور، شماره کارت اعتباری، اطلاعات حساب بانکی و غیره درآورند. اما فیشینگ خود یک رمزعبور نیست، بلکه روشی برای به دست آوردن رمزعبور است.

نتیجه گیری

در نهایت، با رعایت راهکارهای امنیتی فوق، می‌توان از حملات Phishing جلوگیری کرد و اطلاعات شخصی خود را در دسترس هکرها قرار نداد. همچنین توجه به مراقبت‌های امنیتی در هنگام استفاده از اینترنت و آشنایی با روش‌های جدید حملات Phishing نیز بسیار مهم است.

مرتبط: ۱۷ نوع حمله سایبری که معمولاً توسط هکرها استفاده می شود

اگر این مقاله را دوست دارید، لطفا آن را با دوستان خود به اشتراک بگذارید.

آخرین کتاب‌های ایوسی

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

ivsi logo svg
منِ برتر (ایوسی) محلی جهت آمادگی شما در کسب موفقیت‌های فردی است؛ این سایت در پنج حوزه‌ی:

رشد و توسعه فردی،
راه‌‎های ترویج خودتان در جامعه و بهره‌‎برداری از آن،
مدیریت خانواده و نحوه برقراری ارتباط با اعضای آن،
نحوه صحیح ارتباط با فناوری‌های نو برای بهبود زندگی،
و اقتصاد و راه های بهبود شرایط مادی زندگی
 
به شما کمک خواهد کرد
لینک های ما
  • تلفن: 09133957920
  • تلفن: 09213369258
  • تلفن: 09133244731
  • ایمیل: info@ivsi.ir

مطالب وبسایت ایوسی (منِ برتر) با سال‌ها تجربه و مطالعات فراوان ناشرین آن تهیه و تنظیم شده است و استفاده از این مطالب به هر نحو فقط با ذکر منبع مجاز است.  {طراحی و پیاده سازی ivsi.ir}

Rss Facebook-f Twitter Pinterest Dribbble Foursquare Instagram