فیشینگ چیست و از چه طریق می‌توان با آن مقابله کرد؟

هر چه تکنولوژی پیشرفت می‌کند، مزایا و معایب‌اش نیز بیشتر رخ می‌نمایانند. یکی از معایب تکنولوژی هموارتر شدن راه برای دزدی است. امروز دزدی دیجیتال بسیار زیاد است. بسیاری از کسانی که مورد سرقت قرار می‌گیرند ممکن است فرسخ‌ها از سارق فاصله داشته باشند. فیشینگ یکی از روش‌های دزدی دیجیتال است و باوجودی‌که از راه‌های مختلف با آن مقابله شده، هنوز هم وجود دارد.

فیشینگ چیست؟

فیشینگ [Phishing] به مجموعه‌روش‌هایی گفته می‌شود که به‌واسطه‌ی آن‌ها می‌توان به اطلاعات محرمانه‌ی بانکی افراد دست پیدا کرد. کسی که از طریق فیشینگ دزدی می‌کند را «فیشر» می‌نامند. فیشینگ در واقع ترکیبی از واژگان Password Harvesting Fishing به‌معنای شکار پسورد به‌واسطه‌ی طعمه است.

فیشر برای افراد مختلف طعمه تدارک می‌بیند و به‌واسطه‌ی آن طعمه به اطلاعات کارت بانکی‌شان از جمله شماره‌کارت، cvv2، رمز دوم و تاریخ انقضا دست پیدا کرده و به این ترتیب هر مقدار پولی که بخواهد را از حساب آن‌ها کم می‌کند.

راه‌های متعددی برای فیشینگ وجود دارند و متأسفانه هر‌چه‌قدر که تکنولوژی از روش‌های گوناگون راه فیشرها را می‌بندد، آن‌ها راه‌هایی جدید برای فیشینگ اختراع می‌کنند.

در ادامه به معرفی روش‌های فیشینگ خواهیم پرداخت، اما اجازه دهید برای آنان که هیچ آشنایی پیشینی با فیشینگ ندارند، از طریق یک مثال توضیح دهیم که فیشینگ در ساده‌ترین حالت می‌تواند به چه صورت انجام گیرد.

فرض کنید فیشر پیامکی آماده می‌کند تا آن را برای چندین نفر ارسال کند. متن پیامک به قرار زیر است:

تخفیف ۹۰ درصدی ما را از دست ندهید. برای خرید انواع تردمیل خانگی از فروشگاه اینستاگرامی X با ۹۰ درصد تخفیف از لینک زیر اقدام کنید.

وقتی مخاطبینِ پیامک، چنین پیامکی دریافت می‌کنند لااقل درصدی از آن‌ها وسوسه می‌شوند که از این تخفیف ۹۰ درصدی استفاده کنند. فیشر سایتی طراحی کرده که در آن لینک پرداخت قرار داده‌است. او از مخاطبین خود می‌خواهد که فقط ۱۰ درصد قیمت واقعی تردمیل‌ها را پرداخت کنند و منتظر ارسال تردمیل به درب خانه‌شان باشند. بخشی از مخاطبینِ فیشر با این گمان که توانسته‌اند در فرصتی استثنایی تردمیل بخرند، با شوق و رغبت روی لینک پرداخت کلیک می‌کنند و وارد پنل پرداخت می‌شوند. اطلاعات کارت‌شان را وارد می‌کنند، اما به‌یک‌باره می‌بینند که مبلغی بسیار بیشتر از آن‌چه که فکرش را می‌کردند، از حساب‌شان کم می‌شود.

فیشر در واقع لینک سایت پرداخت را به آن‌ها نداده، بلکه لینک سایتی را داده که خودش طراحی کرده‌است. او این توانایی را دارد که سایتی دقیقاً مشابه با سایت‌های پرداخت قانونی طراحی کند و به این ترتیب مخاطبین‌اش را فریب دهد. زمانی که مخاطبین اطلاعات کارت‌شان را وارد می‌کنند، فیشر خیلی سریع از طریق اطلاعاتی که مخاطبین وارد کرده‌اند، حساب‌شان را خالی می‌کند. البته روش‌هایی وجود دارند که بتوان از طریق آن‌ها سایت پرداخت تقلبی را از سایت پرداخت اصلی تشخیص داد، چراکه هیچ سایت پرداخت تقلبی نمی‌تواند به‌طور ۱۰۰ درصد شبیه به سایت پرداخت اصلی و قانونی باشد.

در راستای مقابله با همین فیشینگ بود که بانک مرکزی استفاده از رمز پویا برای پرداخت‌های بالای ۱۰۰ هزارتومان را اجباری کرد. بهره‌گرفتن از رمز پویا البته مفید واقع شد و توانست میزان فیشینگ را کاهش دهد، اما هنوز هم فیشینگ وجود دارد. در ادامه حین صحبت‌کردن در مورد انواع فیشینگ خواهیم گفت که چگونه هنوز هم باوجودِ رمز پویا فیشینگ از طریق سایت پرداخت جعلی و سایر روش‌ها وجود دارد.

انواع فیشینگ

فیشرها روش‌های گوناگونی خلق کرده‌اند و از آن‌ها بهره می‌برند. گاهی این روش‌ها مکمل یکدیگر هستند، اما در کل همه‌ی آن‌ها به این ختم می‌شوند که اطلاعات کارت بانکی قربانی‌ها را به چنگ آورند. برخی از انواع رایج فیشینگ به قرار زیر هستند:

۱- فیشینگ تلفنی

یکی از رایج‌ترین انواع فیشینگ نوعِ تلفنیِ آن است. فیشرها البته چندان از راه تلفن اقدام نمی‌کنند، مگر برای کسانی که خیلی بدبین نباشند و از تکنولوژی هم چندان سردرنیاورند. فیشینگ تلفنی به این صورت است که فیشر با شخص تماس می‌گیرد و می‌گوید که برنده‌ی قرعه‌کشی شده، یا آن‌که قرار است به حقوق او اضافه شود و موارد این قبیل، سپس از او شماره‌کارت، رمز دوم، تاریخ انقضا و CVV2 را می‌خواهد و به‌این‌ترتیب حساب‌اش را خالی می‌کند. البته که اگر قرار باشد کسی در قرعه‌کشی برنده شود یا حقوق‌اش افزایش یابد، اولاً به‌طور رسمی به او اعلام می‌کنند و ثانیاً از او رمز دوم یا CVV2 را نمی‌گیرند!

۲- فیشینگ پیامکی

این نوع فیشینگ بسیار رایج است و خصوصاً فیشرهای ایرانی از آن زیاد استفاده می‌کنند. یک نمونه از آن را در بالا مثال زدم. به‌عنوان نمونه‌ای دیگر:

فیشرها چند وقت پیش، به شماره‌ی سرپرستان خانوار پیامکی ارسال می‌کردند مبنی بر این‌که یارانه‌ی شما قطع شده‌است. در ضمنِ این پیامک، از مخاطب می‌خواستند که روی لینک کلیک کند. به این ترتیب رفته‌رفته و مرحله‌به‌مرحله مخاطب را به وارد کردن اطلاعات بانکی‌اش ترغیب می‌کردند تا به این ترتیب به اطلاعات بانکی او دسترسی پیدا کرده و حساب‌اش را خالی کنند.

۳- فیشینگ اسپیر [Spear Phishing]

این نوع فیشینگ یکی از هوشمندانه‌ترین فیشینگ‌هاست و معمولاً هم پاسخ‌دهی بهتری نسبت به سایر انواع برای فیشرها دارد. اسپیر فیشینگ در واقع فیشینگی هدف‌دار است. فیشر در این نوع دزدی سایبری، اطلاعات یک فرد یا سازمان را جمع می‌کند و به‌صورت هدف‌مند به او یا آن‌ها حمله می‌کند. به‌عنوان مثال، او شغل، نام، نام خانوادگی و اطلاعاتی از این قبیل را جمع‌آوری می‌کند و به‎قول‌معروف با توپ پر به عملیات می‌رود. مخاطب او از آن‌جا که می‌بیند شخصِ تماس‌گیرنده یا پیامک‌دهنده یا ایمیل‌دهنده اطلاعات او را می‌داند، بیشتر اطمینان می‌کند و اطلاعات کارت بانکی‌اش را راحت‌تر به او می‌دهد.

به‌عنوان مثال، فیشر با دانستن اطلاعات شخصی با نام علی رمضانی کارمند اداره‌ی راه و شهرسازی شهر اصفهان و همچنین با دردست‌داشتن شماره‌تلفن و شماره‌ملی او، متنی به قرار زیر می‌نویسد و آن را پیامک یا ایمیل می‌کند:

با سلام.

جناب آقای علی رمضانی، با کد ملی X

شما در قرعه‌کشی بانک ملت برنده‌ی یک دستگاه پژو ۲۰۶ شده‌اید. ضمن تبریک به شما، خواهشمند است برای دریافت جایزه، ابتدا به سایت زیر بروید و مشخصات خود را به‌طور دقیق وارد کنید. سپس روز شنبه با در دست داشتن شناسنامه، کد ملی و دفترچه‌ی بانکی به شعبه‌ی خیابان X مراجعه کنید و مراحل دریافت جایزه را تکمیل نمایید.

با تشکر، بانک ملت.

قطعاً این نوع متن تأثیر بیشتری نسبت به متنی با محتوای «شما برنده‌ی جایزه‌ی پژو ۲۰۶ شده‌اید. روی لینک کلیک کنید» دارد.

۴- فیشینگِ تروجانی یا بدافزاری

تروجان‌ها و بدافزارها نیز ابزارهایی مناسب برای فیشینگ هستند. در این روش، فیشر اپلیکیشن‌هایی در ظاهر کابردی که حاوی تروجان یا بدافزار هستند طراحی می‌کند. به‌عنوان مثال، فیشر ممکن است اپلیکیشنی با نام «ماهواره‌ی همراه» یا «تلگرام بدون فیلتر» طراحی کند و به این ترتیب کاربر را ترغیب کند که اپلیکیشن را نصب کند. یک بار کافی است که کاربر اطلاعات‌اش را در این اپلیکیشن‌های حاوی بدافزار وارد کند تا فیشر بتواند تمامی موجودی کاربر را خالی کند.

۵- فیشینگِ مرد میدانی [Man in the Middle]

من این د میدل یا مرد میدانی به مهاجمی دلالت دارد که در تعاملات و تبادل‌های آنلاین بین دو شخص حضور دارد. در این روش، برای هر دو طرفِ درگیر، جعل هویت صورت می‌گیرد و به این ترتیب هکر می‌تواند به اطلاعات محرمانه‌ی دو طرف دسترسی پیدا کند. دو روش کلی برای جعل وجود دارند.

یک روش با نام ARP شناخته می‌شود. در روش ARP، هکر پیام ARP یا همان پروتکل تفکیک آدرس جعلی به روی شبکه‌ی محلی ارسال کرده و بنابراین مک آدرس هکر به IP کامپیوتر یا سرور شبکه مرتبط می‌شود. روش دوم روش DNS است و در طی آن، هکر اطلاعات DNA را مسموم کرده و باعث می‌گردد که نیم‌سرور [Name Server] نتایج اشتباهی ایجاد کند.  این روش با نام فارمینگ نیز شناخته می‌شود. نتیجه‌ی آن به این صورت است که وقتی کاربر حتی آدرسی صحیح را در مرورگرش وارد می‌کند، صفحه‌ای جعلی برای او به نمایش درمی‌آید و به این ترتیب مخاطب وارد همان جایی می‌شود که فیشر انتظارش را می‌کشد. متأسفانه این روش بسیار خطرناک است و مخاطب چون آدرسی که وارد کرده را صحیح می‌داند، شک نمی‌کند که در جایی ناامن قرار دارد.

۶- فیشینگ فروشگاه و درگاه پرداختی

گاهی فیشر زحمت بیشتری می‌کشد و حتی یک فروشگاه جعلی طراحی می‌کند. او در فروشگاه‌اش اجناس را با قیمتی وسوسه‌کننده ارائه می‌دهد و به این ترتیب کاربر را وسوسه می‌کند که برای خرید اجناس اقدام کند. کاربر نیز یک یا چند محصول را به سبد خریدش اضافه می‌کند. وقتی وارد صفحه‌ی پرداخت می‌شود، ممکن است دو حالت صورت گیرد:

یک حالتِ آن این است که مخاطب اطلاعات کارت را وارد می‌کند و با پیام عملیات موفق مواجه می‌شود و یک حالت دیگر آن است که با پیام عملیات ناموفق مواجه می‌گردد. در هر یک از این دو صورت، فیشر به اطلاعات کارت کاربر دسترسی پیدا می‌کند و پس از مدت‌زمانی کوتاه به‌یک‌باره مقدار زیادی پول از حساب‌ کاربر کم می‌شود.

گاهی صفحه‌ای که برای پرداخت انتخاب شده آدرس‌اش چنان شبیه به آدرس اصلی است که کاربر متوجه نمی‌شود وارد صفحه‌ی پرداختی جعلی شده‌است، مثل موردی که در تصویر بالا می‌بینید.

۷- فیشینگِ گوگلی

این نوع از دزدی سایبری در سال‌های اخیر افزایش یافته‌است. فیشرها آدرسی بسیار شبیه به آدرس یک سایت معروف و مورد اعتماد جعل می‌کنند و از طریق گوگل ادوردز، تعیین می‌کند که گوگل به‌هنگام سرچِ کدام کلمه‌ها آدرس سایت آن‌ها را نشان دهد.

به‌عنوان مثال، یکی از سایت‌های مشهور برای متقاضیان ارز دیجیتال، kraken است. عده‌ای آدرس جعلی این سایت را می‌سازند و آن را از طریق گوگل ادوردز بالای سایت اصلی به نمایش می‌گذارند. به این ترتیب، کاربری که چندان دقیق نیست با کلیک روی آدرس سایت جعلی وارد آن شده و با واردکردن اطلاعات‌اش، کلید گاوصندوق را به فیشر می‌دهد!

۸- فیشینگِ شبکه‌ی وای‌فای عمومی

در این روش، فیشر شبکه‌ی وای‌فای عمومی جعلی ایجاد می‌کند. این شبکه را در مکان‌های عمومی قرار می‌دهد تا دیگران از آن استفاده کنند. وقتی که کاربران وارد این شبکه می‌شوند، فیشر از طرق مختلف سعی می‌کند که اطلاعات کارت‌های اعتباری آن‌ها را سرقت کند.

***************

البته که این موارد فقط بخشی از انواع فیشینگ هستند. فیشرها و کلاً هکرها بسیار باهوش اند و از روش‌های مختلف و گاه عجیبی برای دزدی سایبری استفاده می‌کنند.

برای پیشگیری از فیشینگ چه باید کرد؟

اقدام بانک مرکزی برای پیشگیری از فیشینگ اقدامی درست و کاربردی بود، اما باز هم احتمال فیشینگ وجود دارد. برای جلوگیری از فیشینگ‌هایی که از طریق سایت جعلی اطلاعات کارت را دریافت می‌کنند باید اقدامات زیر را انجام دهید:

اطلاعات کارت‌تان را در هر سایتی وارد نکنید. به آدرس صفحه‌ی پرداخت دقت کنید. آدرس شاپرک و سایر صفحه‌های پرداخت را بدانید و درصورت مغایرت، اطلاعات کارت‌تان را وارد نکنید. آدرسی که می‌توان به آن اعتماد کرد آدرس https://xxx.shaparak.ir است. جای xxx می‌تواند آدرس PSPها یا شرکت‌های مالی باشد. PSPها در واقع واسطه‌ی مشتری‌ها و بانک‌ها هستند. به‌عنوان مثال آسان پرداخت یا آپ یکی از PSPهای معروف کشور است.

برخی از صفحه‌های پرداخت صحیح و قانونی و آدرس‌شان به قرار زیر هستند:

به پرداخت ملت           https://bpm.shaparak.ir

تجارت الکترونیک پارسیان         https://pec.shaparak.ir

تجارت الکترونیک پارسیان         https://pecco.shaparak.ir

پرداخت الکترونیک سامان         https://sep.shaparak.ir

پرداخت الکترونیک پاسارگاد       https://pep.shaparak.ir

پرداخت نوین آرین        https://pna.shaparak.ir

پرداخت الکترونیک سداد          https://sadad.shaparak.ir

کارت اعتباری ایران کیش           https://ikc.shaparak.ir

فن آوا کارت      https://fcp.shaparak.ir

مبنا کارت آریا    https://mabna.shaparak.ir

الکترونیک کارت دماوند https://ecd.shaparak.ir

سایان کارت       https://sayan.shaparak.ir

می‌بینید که در همه‌ی آن‌ها shaparak.ir وجود دارد. این آدرس را همیشه در نظر داشته باشید و به آن دقت کنید. گاهی فیشرها به جای shaparak.ir از shaparaak.ir استفاده می‌کنند. حتی یک حرف اختلاف می‌تواند کل آدرس را تغییر دهد و شما را به صفحه‌ای دیگر وارد کند.

نکته‌ی دیگری که باید در نظر داشته باشید این است که سعی کنید همیشه از رمز دوم پویا استفاده کنید. همچنین بهتر است رمز دوم پویا را در ثانیه‌های پایانی وارد کنید. می‌دانید که رمز دوم پویا معمولاً ۲ دقیقه اعتبار دارد. گاهی شما ممکن است در همان ثانیه‌های نخست رمز را وارد کنید، ولی فیشر در ۱ دقیقه‌ی بعد بتواند از آن استفاده کند. البته در حال حاضر اکثر بانک‌ها از رمز دوم پویای یک‌بارمصرف استفاده می‌کنند، اما در کل بهتر است احتیاط کنید.

نکته‌ی دیگر آن‌که به هیچ عنوان طمع نکنید. اغلب اوقات تخفیف‌های زیاد و همچنین رایگان طعمه هستند.

از کلیک روی لینک‌هایی که از طریق ایمیل ارسال می‌شوند اجتناب کنید، خصوصاً لینک‌هایی که کوتاه شده‌اند.

اطلاعات بانکی‌تان را به‌راحتی در هر جایی وارد نکنید.

وب‌سایت‌هایی که http در اول آن‌هاست و فاقد https هستند امنیت کمتری دارند. همچنین وب‌سایت شاپرک یا صفحه‌‌ی پرداخت باید حتماً https را در اول آدرس خود داشته باشد.

هر اپلیکیشنی را روی گوشی نصب نکنید.

اپلیکیشن‌ها را از فضاهای امن دانلود کنید. گوگل‌پلی، سیب‌اپ، بازار و مایکت امن هستند. از دانلود اپلیکیشن از تلگرام به‌شدت اجتناب کنید.

سعی کنید از وای‌فای‌های عمومی و رایگان استفاده نکنید، اگر هم استفاده کردید اصلاً وارد حساب کاربری بانکی خود نشوید یا پول کارت‌به‌کارت نکنید.

از مرورگرهای شناخته‌شده استفاده کنید. همچنین همیشه نسخه‌ی به‌روز‌شده‌ی مرورگرها را مورد استفاده قرار دهید.

فیشینگ در هر جایی می‌تواند در انتظار قربانی باشد. همیشه محتاط باشید و تحت هیچ شرایطی ریسک نکنید. در آخر آن‌که سعی کنید همیشه و حتی برای پرداخت‌های ۱۰۰۰ تومانی نیز از رمز دوم پویا استفاده کنید.