راه پرداخت
رسانه فناوری‌های مالی ایران

 پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشت‌ماه ۱۳۹۰ شروع کرده و اکنون پرمخاطب‌ترین رسانه ایران در زمینه فناوری‌های مالی، بانکداری و پرداخت و استارت‌آپ‌های فین‌تک است.

تکنولوژی‌

فیشینگ را بیشتر بشناسید / فیشرها چگونه توانسته‌اند پول زیادی به جیب بزنند؟

نویسنده: سارینا آجیلی 1

فیشینگ اصطلاحی است که این روزها زیاد شنیده‌ایم. فیشینگ راهکاری است که کلاهبرداران، اطلاعات کارت بانکی افراد را به دست می‌آورند و پول‌های آنها را سرقت می‌کنند.

فیشرها روش‌های مختلفی را به کار می‌گیرند و دام‌های مختلفی را در دنیای وب می‌گذارند تا بتوانند اطلاعات بانکی را به دام اندازند. مدتی است که بانک مرکزی برای مقابله با این شیوه کلاهبرداری اعلام کرده که رمز دوم پویا را از ابتدای دی ماه اجرا می‌کند.

در این گزارش به معرفی فیشینگ و انواع آن می‌پردازیم و روش‌های مقابله با آن را ذکر می‌کنیم.

فیشینگ چیست؟

فیشینگ (Phishing) نوعی فعالیت کلاهبرداری است که در آن مجرمان سعی می‌کنند تا با فریب دادن افراد، اطلاعات شخصی آنها را به دست آورند. به واسطه فیشینگ، فیشرها می‌توانند کلمه کاربری، رمز عبور، شماره ۱۶ رقمی عابر بانک، رمز دوم و CVV2 را از طریق ابزارهای الکترونیکی ارتباطات به سرقت ببرند. در واقع چنین اطلاعاتی برای آنها ارزش زیادی دارد.

معمولاً فیشینگ را از طریق جعل یک وب‌سایت (با شباهت به آدرس سایت اصلی)، ایمیل (ارسال ایمیل گول‌زننده) یا پیامک و تماس انجام می‌دهند. شبکه‌های اجتماعی، سایت‌های حراجی و درگاه‌های پرداخت آنلاین، از جمله ابزارهای الکترونیکی هستند که می‌توانند حقه خود را پیاده کنند.

حقه فیشینگ یکی از تکنیک‌های مهندسی اجتماعی برای فریب کاربران است که از ضعف امنیتی یک وب‌سایت برای انجام عملیات مجرمانه خود استفاده می‌کنند.

تاریخچه فیشینگ

در سال 1990 ارائه دهنده خدمات آنلاین آمریکا (AOL) مفهوم فیشینگ را معرفی کرد. نام این کلاهبرداری روی هکرهایی که اطلاعات حساب‌ها را می‌ربودند نام‌گذاری شد. همچنین نام فیشینگ با توجه به نسل قبلی کلاهبرداری با عنوان phone phreaking (کلاهبرداری تلفنی) انتخاب شد و به جای حرف f (در fishing)، حروف ph را قرار دادند (phishing).

از دهه 1990 کلاهبرداری فیشینگ صورت گرفت و رفته رفته توسعه پیدا کرد و به روش‌های گوناگون انجام شد. فیشرهای اولیه در در سال 1990 الگوریتمی ایجاد می‌کردند که شماره‌های کارت اعتباری گوناگون را با آنها بسازند تا شماره‌هایی مطابق با حساب‌های AOL ایجاد کنند. زمانی که این شماره‌ها مطابقت پیدا می‌کرد، فیشر می‌توانست اطلاعات کارت اصلی را به دست آورد و از آن دزدی کند.

از زمانی که این سرویس خدمات مالی، از راهکار کلاهبرداران اطلاع پیدا کرد و هشدار دارد، فیشرها به سمت روش‌ها و تکنولوژی‌های جدیدتر برای سرقت اطلاعات رفتند.

نسل بعدی فیشرها در سال‌های اولیه دهه 2000 پیشرفته‌تر شد و آنها از ایمیل برای سرقت اطلاعات استفاده می‌کردند.

فیشرها از سال 2003 شروع به خرید دامنه‌هایی کردند که تا حدودی شبیه دامنه‌های شناخته شده مانند yahoo-info.com و manager-apple.com بودند. آنها با استفاده از این دامنه‌ها، ایمیل‌های جعلی و پیچیده‌تری ارسال کردند.

در همان سال فیشرها به مشتریان پی‌پال، ایمیل‌های فیشینگ با عنوان تأیید اعتبار ارسال کردند تا بتوانند حساب‌های آنها را به خطر بیندازند. این کلاهبرداری ضررهای زیادی به این شرکت اعتباری وارد کرد.

پس از آن، فیشرها بانکداری و مشتریان بانک‌ها و خدمات پرداخت آنلاین را مورد هدف قرار دادند. آنها از ایمیلی که ظاهراً از سازمان‌هایی مانند سرویس درآمد داخلی ارسال شده استفاده کردند تا داده‌های مهم را از افراد جمع‌آوری کنند.

به طور کلی در سال‌های اخیر، بیشتر فیشینگ‌ها از طریق ارسال ایمیل انجام شده است. در ادامه نگاهی انداختیم به انواع فیشینگ‌ها و راهکارهای مقابله با آنها.

انواع فیشینگ

  • فیشینگ از طریق ارسال ایمیل و با جعل اسم

کلاهبرداری از طریق ایمیل یکی از ساده‌ترین انواع فیشینگ است که برای به‌دست آوردن داده از کاربران، بدون اطلاع آنها استفاده می‌شود. این کار به روش‌های مختلفی انجام می‌شود:

  1.  ارسال ایمیل از طریق نام کاربری آشنا.
  2. ارسال یک ایمیل که هویت شخص مافوق شما را جعل کرده و از شما می‌خواهد اطلاعات مهم را در اختیارشان قرار دهید.
  3. با جعل هویت یک سازمان، از کارمندان آن درخواست می‌کنند که داده‌های داخلی را به اشتراک بگذارند.

به ایمیل زیر دقت کنید.

این نمونه‌ای از فیشینگ است که در آن فیشر از کاربر می‌خواهد بر لینک کلیک کند. افرادی هستند که با دیدن امضای پایین نامه و نام شرکت، بی‌درنگ بر لینک کلیک می‌کنند. ایمیل‌های فیشینگ که حاوی لینک هستند و از کاربر می‌خواهند بر لینک کلیک کند را کلون فیشینگ (Clone phishing) می‌گویند.

علاوه بر این، ممکن است ایمیل‌هایی با عنوان‌های مختلف مثلاً استخدام شغلی برایتان ارسال شود؛ اما چگونه می‌توان جعلی بودن آنها را شناسایی کرد؟

از نادرست بودن جملات و دستور گرامر ضعیف می‌توان به جعلی بودن آن پی برد. اگر ایمیل غیر منتظره دریافت کردید که در آن از کلمه‌های «فوری» یا «منتظر پاسخ شما هستیم» استفاده شده بود، به آنها پاسخ ندهید.

همچنین یک دسته‌ای از ایمیل‌ها از شما می‌خواهند که رمز عبور خود را به روزرسانی کنید. به آدرس این ایمیل‌ها دقت کنید زیرا آدرسی مشابه سایت‌های معتبر ایجاد می‌کنند.

درصورتی که ایمیل کاری برایتان ارسال می‌شود، به ساعت آن دقت کنید، اگر خارج از ساعت کاری باشد، ممکن است نمونه‌ای از فیشینگ باشد. ممکن است در این ایمیل‌ها عنوان ایمیل با محتوای متن همخوانی نداشته باشد.

نهنگ (whaling)

اصطلاح نهنگ به حملات فیشینگ اطلاق می‌شود که به طور خاص مدیران ارشد و سایر افراد با موقعیت‌های شغلی در رده بالا را هدف می‌گیرد. محتوای این فیشینگ‌ها برای هدف قرار دادن یک مدیر بالایی و افراد بالادست در شرکت ساخته می‌شود. محتوای ایمیل در این موارد ممکن است موضوعی اجرایی مانند احضاریه یا شکایت مشتری باشد.

وب‌سایت جعلی

در برخی از روش‌های فیشینگ از دستورات جاوا اسکریپت استفاده می‌شود تا نوار آدرس را اصلاح کند و تغییر دهد. این کار با قرار دادن تصویر یک آدرس اینترنتی قانونی و موجه در نوار آدرس یا بستن نوار آدرس اصلی و باز کردن یک نوار آدرس جدید که حاوی آدرس اینترنتی قانونی و موجه است، انجام می‌شود.

یک فیشر حتی می‌تواند از نقایص موجود در برنامه جاوا اسکریپت یک سایت معتبر و قانونی علیه قربانیان خود استفاده کند. این نوع حمله‌ها (که به کراس سایت اسکریپتینگ معروف هستند) به طور خاص سخت و پیچیده هستند، چون آنها قربانی را به صفحه اینترنتی ثبت نام خدمات بانکی خود ارجاع می‌دهند.

مجرم دامنه Arnazon.com (به حروف r و n دقت کنید که مشابه با m است) را خریداری کرده و سایتی با ظاهر سایت آمازون روی آن راه‌اندازی می‌کند. با این کار در صورتی که کاربران به اشتباه وارد سایت Arnazon.com شوند، با این خیال که در سایت اصلی آمازون هستند، اطلاعات کاربری خود را به کلاهبردار می‌دهند.

صفحه‌ای که در آن همه چیز از آدرس سایت گرفته تا گواهی امنیتی، همه درست و صحیح به نظر می‌رسند. در حقیقت لینک دادن به صفحه اصلی حقه‌ای برای به ثمر رساندن سرقت و انجام دادن حمله است. با انجام این کار کشف این حمله برای افرادی که دانش لازم را ندارند، کار بسیار سختی است. در سال ۲۰۰۶ چنین حمله‌ای علیه سایت Pay Pal انجام شد.

یک برنامه فیشینگ در سطح جهانی با عنوان Man-in-the-middle، که در سال ۲۰۰۷ کشف شد، از یک رابط ساده استفاده می‌کرد که به کلاهبردار اجازه می‌داد بدون هیچ مشکلی سایت‌هایی خاصی را مجدداً ایجاد کند و جزئیات اطلاعات ورود، نام کاربری و رمز عبور افراد برای ورود به سایت‌های اصلی که در وب‌سایت جعلی وارد شده را ثبت و ضبط کند.

فیشینگ از طریق تلفن

تمامی حملات فیشینگ نیاز به استفاده از یک وب‌سایت جعلی و ساختگی ندارند. این نوع حملات شامل پیام‌هایی هم می‌شوند که ادعا می‌کند از طرف بانک هستند و از مشتری‌ها (استفاده کنندگان خدمات بانکی) می‌خواهند با توجه به مشکلی که برای حساب‌های آنها به وجود آمده است، با یک شماره تماس بگیرند.

به محض اینکه مشتری با این شماره تلفن (که متعلق به مهاجم است و یک سرویس تلفن اینترنتی است) تماس بگیرد، دستوراتی به مشتری داده می‌شود تا شماره حساب و رمز خود را وارد کند. فیشرهایی که از سرویس تلفن اینترنتی استفاده می‌کنند، گاهی اوقات از داده‌های جعلی برای آی دی کالر استفاده می‌کنند تا برای مشتریان این گونه به نظر برسد که این تماس از طرف یک سازمان مطمئن و معتبر انجام می‌شود.

در برخی از تماس‌هایی که با افراد گرفته می‌شود، دارای پیام ضبط شده هستند و به گونه‌ای نشان می‌دهند که از طرف سازمان دولتی هستند و از افراد می‌خواهند اطلاعات شخصی خود را در اختیارشان قرار دهند. این تماس‌ها نمونه‌ای از فیشینگ هستند پس به آنها اعتماد نکنید.

نمونه‌ای از تماس تلفنی فیشینگ:

این فراخوان از سازمان تأمین اجتماعی (سوشال سکیوریتی) است. با شما تماس گرفتیم که اطلاع دهیم که شماره تأمین اجتماعیتان را به دلایلی لغو کرده‌ایم. اگر تمایل دارید اطلاعات بیشتری در مورد آن بدانید، کافی است شماره 1 را فشار دهید، متشکریم.

اگر تماس‌های از این قبیل دریافت می‌کنید، تک‌کرانچ گزارشی در خصوص متوقف کردن آنها نوشته که می‌توانید از این لینک آن را مطالعه کنید.

فیشینگ نیزه‌ای

فیشینگ نیزه‌ای (Spear Phishing) تلاش‌های فیشینگ برای افراد یا شرکت‌های خاص، «فیشینگ نیزه‌ای» (یا «هدفمند») نامیده می‌شود. مهاجمان فیشینگ نیزه‌ای بیشتر برای افزایش احتمال موفقیت، از هدف خود، اطلاعات شخصی، گردآوری کرده و از آن استفاده می‌کنند.

گروه خرس فانتزی روسیه از روش فیشینگ نیزه‌ای برای هدف گرفتن ایمیل‌های ستاد انتخاباتی هیلاری کلینتون در هنگام انتخابات ریاست‌جمهوری ایالات متحده آمریکا (۲۰۱۶) استفاده کردند. آنها به بیش از ۱۸۰۰ حساب کاربری گوگل حمله کردند و دامنه accounts-google.com را برای تهدید کاربران هدف، به‌کار گرفتند.

نرم افزارهای مخرب

در این روش، فیشرها سعی می‌کنند تا روی دستگاه قربانی، یک برنامه آلوده به بدافزار را اجرا کنند. پس از فعال شدن بدافزار، فیشرها می‌توانند با دسترسی به کامپیوتر یا موبایل قربانی، اطلاعات حساس او را به چنگ آورند. بدافزارها یکی از رایج‌ترین ابزارهای انجام فیشینگ هستند.

فیشینگ پیامکی

در این روش به جای ایمیل از پیامک استفاده می‌شود. مهاجم خود را به جای یک سازمان یا شرکت بزرگ جا می‌زند و برای هدف خود پیامک ارسال می‌کند. محتوای پیامک به‌گونه‌ای نوشته می‌شود که هدف را مجاب به ارسال مستقیم اطلاعات یا کلیک بر روی یک لینک کند.

به عنوان مثال پیامکی ارسال می‌شود که شما برنده یک جایزه بزرگ شده‌اید و باید برای دریافت آن روی یک لینک کلیک کنید.

طراحی صفحه‌ای نظیر درگاه پرداخت بانک

شخص هکر در این روش صفحه‌ای مشابه درگاه پرداخت آنلاین بانک‌ها طراحی می‌کند و با قرار دادن این صفحه جعلی در فروشگاه‌های صوری و با ارائه پیشنهادهای وسوسه کننده خرید سعی می‌کند شما را وادار کند وارد صفحه پرداخت جعلی که طراحی کرده، شوید و وجه انتقال دهید.

نمونه‌ای از فیشینگ‌های درگاه پرداخت بانکی

به محض ورود به این صفحه جعلی و ارائه اطلاعات بانکی اطلاعات شما به صورت خودکار برای هکر ارسال می‌شود و او قادر خواهد بود حساب شما را خالی کند.

امن‌ترین درگاه پرداخت، درگاه پرداخت بانک مرکزی به آدرس https://xxx.shaparak.ir است و در کنار آن حتماً باید نام یکی از psp ها (شرکت های پرداخت الکترونیک) مطرح درج شده باشد.

برای اطلاع از فهرست، نشانی و تلفن تماس ۱۲ شرکت PSP دارای مجوز اینجا را کلیک کنید.

درگاه‌های پرداخت بانک‌ها از کدهای امنیتی باضریب اطمینان بالا استفاده می‌کنند و اغلب در آدرس سایت عبارت https:// قابل مشاهده خواهد بود.

نتایج جستجو

در این حالت هکر با استفاده از روش‌های سئو یا تبلیغات در موتورهای جستجو، یک وب‌سایت جعلی را در نتایج بالا می‌آورد و کاربران روی نتایج اولیه کلیک کرده و اطلاعات شخصی خود را در یک سایت مخرب وارد می‌کنند.

به کلمه Ad در کنار آدرس‌هایی که در نتایج جست‌وجو ظاهر می‌شوند، دقت کنید

البته این روزها موتورهای جستجوی بزرگ مثل گوگل با طرح‌های فیشینگ مبارزه می‌کنند اما گاهی اوقات این سایت‌ها هم در شناسایی این وب‌سایت‌های فیشینگ با مشکل مواجه می‌شوند.

آدرس جعلی یا صفحه تقلبی صرافی/کیف پول

فیشرها با ایجاد آدرس‌های مشابه صرافی‌های رمزارز، توانسته‌اند ارزهای رمزنگاری شده کاربران را سرقت کنند. سایت بایننس به آدرس Binance.com یک صرافی معتبر است. چندی پیش هکری با ساخت دامنه bïnance.com مبالغ زیادی را از کاربران لاتین زبان که اشتباه آدرس را وارد کرده بودند، به سرقت برد.

نمونه‌ای از یک سایت رمزارز جعلی

همچنین سایت مای‌اترولت به آدرس Myetherwallet.com یکی از معتبرترین وب‌سایت‌ها برای ساخت و دسترسی به کیف پول‌های اتریوم است. مدتی پیش یک هکر با ثبت یک آدرس مشابه و جعل حرف «t» در پایان آدرس این وب‌سایت، مقدار زیادی اتریوم سرقت کرد.

فیشینگ با دستگاه‌های POS و ATM تقلبی

برخی کلاهبرداران با استفاده از POS و ATM تقلبی کارت‌های بانکی طعمه‌های خود را کپی کرده و به بهانه فروش محصول و کالا رمز عبور آنها را می‌پرسند و سپس به راحتی حساب بانکی افراد را خالی می‌کنند.

بهتر است هیچگاه رمز عبور خود را در اختیار فروشندگان قرار ندهید. با پیشرفت تکنولوژی شیوه‌های پرداخت متنوعی در اختیار شما قرار گرفته که با کمک آن می‌توانید استفاده از POS و ATM را به میزان قابل توجهی کاهش دهید. دریافت دستگاه های POS اختصاصی توسط شرکت‌ها و سازمان‌ها هم می‌تواند به جلب اعتماد بیشتر مشتریان کمک کند.

ربات تلگرام و فیشینگ

ربات‌های تلگرام این روزها به بسیاری از کارهای ما سرعت بخشیده‌اند، شرکت‌های معتبر فین‌تک هم در این خصوص خدمات خوبی را ارائه می‌دهند که دریافت گزارش انتقال وجوه را ساده‌تر کرده است.

اما به هر حال تلگرام ابزار مناسبی برای انتقال وجه نیست و دیده شده به بهانه انتقال وجه و یا حتی دریافت خدمات و یا خرید محصولی و یا حتی با نوشتن پست‌های وسوسه برانگیز برای عضو شدن در کانال و یا گروه‌هایی، اطلاعات بانکی حساب و یا کارت بانکی شخص را سرقت می‌کردند.

نمونه دیگری از این قبیل کلاهبرداری‌ها را در سایت پلیس فتا ببینید.

نتیجه‌گیری

برای مقابله با با فیشینگ، توجه به موارد زیر الزامی است:

  • یکی از بهترین راه‌ها برای دستیابی به صفحات وب، نوشتن آدرس آن به طور مستقیم در مرورگر است. یک ایمیل یا پیامک کلاهبرداری، این امکان را دارد که ادعا داشتن اعتبار لازم را داشته و از بانک، شرکت و یا مؤسسه معتبری ارسال شده باشد.
  • هنگامی که شما روی لینکی که برای شما ارسال شده کلیک کنید با سایتی مشابه با سایت واقعی و به ظاهر معتبر مواجه می‌شوید که با پر کردن اطلاعات خود در آن، امکان به سرقت رفتن اطلاعاتتان را فراهم می‌کنید. برای جلوگیری از این اتفاق همیشه دنبال منابع معتبر بروید و در صورت دریافت ایمیلی با مقدمه‌های وسوسه بر انگیز، به جای بازگشایی بلافاصله آن به آدرس اصلی سایت مطرح شده را در مرورگر خود وارد کنید. سعی کنید امنیت اکانت ایمیل خود را افزایش دهید.

منابع: arzdigital ,Virgool ,Cyberpolice ,Syscloud, Berkeley

سارینا آجیلی

دانش‌آموخته کارشناسی مهندسی متالورژی و کارشناسی ارشد مدیریت تکنولوژی در دانشگاه علوم و تحقیقات. علاقه‌مند به تحقیق و پژوهش در حوزه تکنولوژی و فناوری مالی.

مطالب پیشنهادی مطالب بیشتر از این نویسنده
1 دیدگاه
  1. ظهیری - بیمه پارسیان می‌گوید

    درود بر شما سرکار خانم آجیلی.
    مطلب جامع، کامل و آگاهی دهنده ای بود. با توجه به میزان آگاهی عمومی کم مردم کشور عزیزمان ایران (عموم مردم) در خصوص تکنولوژی های اقتصاد دیجیتالی تهیه و جمع آوری و ارائه این نوع مقالات در راستای جلوگیری از کلاهبرداری ها و متضرر شدن مردم عزیزمان، بسیار ارزشمند و قابل تقدیر است.

    پاسخ
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.