21 مهر 1401 - 10:21
هزارتوی کلاهبرداری اینترنتی فیشینگ (۴)

چگونه از فیشینگ در امان بمانیم؟

چگونه از فیشینگ در امان بمانیم؟
امروزه مهمترین ریسک و چالش مورد توجه در تجارت و بانکداری الکترونیک و ارتباطات تحت وب و یکی از تهدیدات پیش روی توسعه فناوری اطلاعات در فضای مجازی، خطر کلاهبرداری‌های آنلاین و حملات فیشینگ است.
کد خبر : ۱۴۱۹۶۳

به گزارش خبرنگار ایبِنا، هکر‌ها و حمله کنندگان فیشینگ همواره در کمین افراد و اشخاص مختلف به منظور سرقت اطلاعات حیاتی نظیر اطلاعات پنل‌های کاربری و حساب‌های بانکی کاربران حقیقی هستند؛ لذا شناخت سازوکار‌های مقابله با حملات فیشینگ در فرآیند‌های شخصی از اهمیت بالایی برخوردار است. در این بخش از مجموعه مقالات " هزارتوی کلاهبرداری اینترنتی (فیشینگ) "، به بررسی رویکرد‌هایی که می‌تواند اشخاص حقیقی را از خطر حملات فیشینگ محافظت کند، می‌پردازیم.

 


حفاظت شخصی در برابر حملات فیشینگ


حفاظت شخصی در مقابل فیشینگ نیازمند اقداماتی الزامی و به موقع است. گام اول در پیشگیری و یا مقابله با حملات فیشینگ اشخاص حقیقی، هوشیاری است.


یک پیام جعلی اغلب حاوی علائم و خطا‌های ظریفی است که هویت جعلی آن را آشکار می‌کند. این علائم می‌تواند شامل اشتباهات املایی یا نگارشی، سبک پیام، درخواست‌های غیر معمول، ناهماهنگی در آدرس‌های وب، درخواست اطلاعات پرداخت یا سایر جزئیات شخصی و ایجاد حس فوریت یا اضطرار در پیام باشد. وقتی شخصی با چنین پیامی روبرو می‌شود، می‌بایست قدری بیشتر هوشیار باشد و خطر فیشینگ را حس کند. یکی از اولین سوالاتی که باید در این باب پرسیده شود این است که چرا من باید چنین ایمیلی را دریافت کنم. با پاسخ به این سوال می‌توان، قدم اشتباه کمتری را برداشت.


با این حال، کمپین‌های فیشینگ مدرن گاهی پیچیدگی‌های ویژه‌ای دارد که ممکن است به این راحتی‌ها قابل تشخیص نباشد؛ بنابراین برای تحقق گام اول یعنی هوشیاری، نیاز به ورود به گام دوم داریم.


گام دوم پیشگیری و یا مقابله با فیشینگ، آشنایی با علائم حملات فیشینگ، شناخت روش‌های پیشگیری و مقابله‌ای و درک خطرات ناشی از فیشینگ است که موجب محافظت شخصی شما در برابر این اتفاقات می‌شود. برای آشنایی بیشتر با این مقوله، مقاله‌ شماره ۳ در ارتباط با فیشینگ را مطالعه بفرمایید. بنابراین حفاظت شخصی از فیشینگ اقدام امنیتی مهمی است که افراد می‌بایست همواره به آن توجه داشته باشند. آموزش آگاهی از روش‌های مقابله با کلاه برداری‌های اینترنتی و هوشیاری نسبت به پیام‌های مشکوک به فیشینگ، قطعا به کاهش خطرات این گونه حملات کمک شایان می‌کند.


متولی شدن مراکز امنیت سایبری برای برگزاری دوره‌های آموزش عملی و ایجاد موقعیت‌های مشابه با حملات فیشینگ برای کاربران شخصی، به بهبود عملکرد آن‌ها در مواجه با این اتفاقات کمک خواهد کرد. شناخت و یادگیری مؤثرترین تکنیک‌هایی که مجرمان اینترنتی و فیشر‌ها برای دستیابی به اهداف خود استفاده می‌کنند، می‌تواند از آسیب‌های جدی تحت وب نظیر سرقت اطلاعات شخصی، اطلاعات کاربری افراد و داده‌های مالی و بانکی اشخاص حقیقی جلوگیری کند؛ لذا بیشتر کلاهبرداری‌های فیشینگ که برای سرقت اطلاعات شخصی شما طراحی شده اند، در صورت هوشیاری و آموزش صحیح قابل شناسایی و پیگیری هستند.


در اینجا چند نکته برای پیشگیری از حملات فیشینگ به اشخاص و کاربران حقیقی وجود دارد که می‌تواند حائز اهمیت باشد:


۱. همیشه به ایمیل‌های بازیابی رمز عبور مشکوک باشید
ایمیل‌های بازیابی رمز عبور برای کمک به شما در زمانی است که رمز عبور حساب کاربری خود را فراموش کرده اید. در این فرآیند می‌توانید با کلیک بر روی یک پیوند یا لینک، رمز عبور حساب کاربری خود را به چیز جدیدی بازیابی کرده و تغییر دهید. کلاه برداران اینترنتی با ارسال یک ایمیل بازیابی رمز عبور جعلی که شما را به یک سایت فیشینگ مشابه با سایت اصلی هدایت می‌کند، می‌توانند شما را متقاعد کنند که نام کاربری و رمز عبور قدیم و جدید حساب خود را تایپ کرده و دکمه ارسال را کلیک کنید. اگر یک ایمیل ناخواسته برای بازیابی رمز عبور دریافت کردید، حتما به آن مشکوک شوید و ابتدا آدرس سایت مدنظر را چک کنید. به هیچ عنوان بر روی لینک‌ها و پیوند‌های تعبیه شده کلیک نکنید و رمز عبور خود را بدون کسب اطمینان صد در صدی به چیزی متفاوت در آن سایت مشکوک تغییر ندهید.


۲. همیشه به مبدا پیام، لحن، ادبیات و کلام پیام‌ها توجه کنید
فیشینگ بر مبنای تکنیک‌های مهندسی اجتماعی و مهندسی ذهن برای سوءاستفاده از اشتباهات و خطا‌های انسانی طراحی شده است. وقتی پیام‌های شما مشتمل بر ادبیات و لحنی متفاوت از آنچه انتظار دارید هست، قطعا در حال ورود به یک موقعیت خطرناک و چالش آفرین اینترنتی هستید. اینکه یک برند شناخته شده یا سازمان مشهور بدون ارتباط قبلی برای شما پیام درخواستی ارسال می‌کند، قطعا شک برانگیز است. این یک حقیقت نانوشته است که افراد زمانی که دچار حالت اضطرار، فوریت، اجبار و هیجان می‌شوند، میزان دقت و هوشیاری آن‌ها کاهش پیدا می‌کند و در معرض خطا‌های شناختی و تشخیصی قرار می‌گیرند و تمایل به پیروی از دستورات و پیشنهادات را با اطمینان کاذب بالاتری انجام می‌دهند و لذا بیشتر مرتکب اشتباه خواهند شد؛ بنابراین سعی کنید همیشه قبل از هر اقدامی بر روی یک پیام یا ایمیل و پیروی از دستورالعمل‌های موجود در آن، نسبت به این علائم مشکوک، واکنش به موقع و هوشیارانه نشان دهید.
نمونه‌هایی در ارتباط با این موضوع قابل بیان هست که توجه به آن خالی از لطف نیست:

 

--دریافت ایمیل "سفارش/تحویل جعلی": ممکن است شما در معرض دریافت پیام "سفارش/تحویل جعلی" قرار گیرید. در این موقعیت، شما یک ایمیل فیشینگ جعلی به نام یک برند تجاری قابل اعتماد مانند دیجی کالا، با سلام، خانومی، بانی مود، علی بابا، آمازون و... دریافت می‌کنید که بیان می‌کند سفارش کالا داده اید یا تحویل کالایی داشته یا خواهید داشت. هنگامی که شما برای بررسی لغو سفارش یا تحویل کالا، بر روی لینک ارسالی در ایمیل کلیک می‌کنید، وارد یک وب سایت جعلی می‌شوید که به احراز هویت شما نیاز دارد و اینگونه مهاجم را قادر می‌سازد تا اطلاعات ورود به سیستم شما را سرقت کند.

 

--دریافت ایمیل تجاری از طرف یک مدیر سازمانی: هنگامی که شما از طرف یک مدیر عالی رتبه سازمانی (مدیرعامل یا مدیران ارشد اجرایی) یک ایمیل دریافت می‌کنید، در حالیکه هیچ وابستگی سازمانی با مبدا ارسال ایمیل و یا هیچ ارتباطی با فرد ارسال کننده ایمیل ندارید، با احتمال خیلی بالا شما در معرض یک حمله فیشینگ با موضوع "جعل هویت مدیر عامل یا مدیران سطح بالا" قرار گرفته اید. اکثر این ایمیل‌ها با ارسال یک لینک یا پیوند آلوده از شما می‌خواهند با ورود به یک سایت جعلی از طریق لینک مذکور، اقداماتی در ارتباط با ارائه مشخصات حساب بانکی و یا مشخصات کارت‌های اعتباری برای دریافت وجه انجام دهید که در واقع واریزی وجهی در کار نیست و فقط اطلاعات بانکی شما به سرقت می‌رود.

 

--دریافت پیام "فاکتور پرداخت با تخفیف"جعلی: هکر در قالب ایمیل وانمود می‌کند که فروشنده قانونی یک برند یا محصول است و از شما درخواست می‌کند که فاکتور معوق خود را برای بهره مندی از تخفیف جذاب و بسیار بالا در کمترین زمان ممکن پرداخت کنید. با توجه به موقعیت اضطرار، هیجان و فوریتی که برای شما ایجاد می‌کند، احتمال دارد بدون توجه به اینکه اصلا شما برای خرید چنین کالایی اقدام نکرده اید، بر روی لینک پیوست کلیک کرده و وارد سایت جعلی شده و اطلاعات کاربری یا بانکی خود را ثبت نمایید. هدف نهایی این کلاهبرداری اینترنتی، دستیابی به اطلاعات حساب بانکی و سرقت پول از حساب شماست.


۳. برای هر حساب کاربری آنلاین، نام کاربری و رمز عبور متفاوت انتخاب کنید
سرقت مشخصات پنل اعتباری شما یکی از اهداف مشترک حملات سایبری و فیشینگ است. بسیاری از افراد از نام‌های کاربری و رمز‌های عبور مشابه و یکسان برای حساب‌های کاربری شخصی خود استفاده می‌کنند؛ بنابراین سرقت اطلاعات یک حساب کاربری، به احتمال زیاد به مهاجم اجازه دسترسی به بیش از یک حساب از حساب‌های کاربری آنلاین کاربر را می‌دهد؛ لذا سعی کنید برای هر حساب کاربری آنلاین خود، نام کاربری و رمز عبور جداگانه و متفاوت انتخاب کنید.


۴. هرگز پنل کاربری خود را به اشتراک نگذارید
اشتراک گذاری پنل کاربری برای افراد ناشناس و صدور اجازه ورود به کامپیوتر‌های شخصی از طریق نرم افزار‌های ریموت دسکتاپ یا کنترل از راه دور کامپیوتر (نظیر AnyDesk، TeamViewer، RemotePC و...)، یکی دیگر از راه‌های نفوذ و حملات فیشینگ به حساب‌های کاربری اشخاص حقیقی به شما می‌آید..

 

مجرمان سایبری ممکن است به عنوان متخصصان پشتیبانی شرکت‌های کامپیوتری، برای رفع مشکلات داخلی رایانه شما، درخواست وصل شدن از طریق نرم افزار‌های ریموت دسکتاپ را داشته باشند.

 

این اتصال آنلاین ممکن است اولا موجب نصب بدافزار‌هایی مانند کی لاگر‌ها یا تروجان‌ها (نرم افزار‌های استراق سمع هنگام تایپ نام کاربری و رمز عبور شما) بر روی یارانه شما شود.

 

دوما حمله کننده ممکن است پس از اتصال، با اطلاع از نام کاربری و رمز عبور شما در لحظه، به سرقت محتویات پنل کاربری و بانکی شما در روز‌های آینده مبادرت ورزد؛ بنابراین اگر پیام مشکوکی در بستر‌های تحت وب دریافت کردید، قبل از هرگونه اعتماد اشتباه، اقدامات سریع یا غیرعادی، سرعت خود را کاهش دهید، به پیام سوءظن داشته باشید و سعی کنید با آرامش و به دور از هرگونه رفتار هیجانی، صحت یا عدم صحت آن را کامل بررسی کنید.

 

ادامه دارد.

 

منابع
۱. Aburrous M. , et al. (۲۰۲۲) , ”Predicting Phishing Websites Using Classification Mining Techniques with Experimental Case Studies,” in Seventh International Conference on Information Technology, IEEE Conf ,Las Vegas, Nevada, USA, pp. ۱۷۶-۱۸۱.
۲. Alkhalil, Zainab & Hewage, Chaminda & Nawaf, Liqaa & Khan, Imtiaz (۲۰۲۱) ,” Phishing Attacks: A Recent Comprehensive Study and a New Anatomy”, Frontiers in Computer Science ,Vol.۳. No.۱, pp:۱۲-۲۶.
۳. Chen ,J. & Guo ,C. (۲۰۲۰) , “Online detection and prevention of phishing attacks”, in in Proc. Fifth Mexican International Conference in Computer Science, IEEE Conf, pp. ۱-۷،
۴. Downs ,J. S. , et al (۲۰۲۱) , “Behavioural response to phishing risk”, presented at the Proc. anti-phishing working groups ۲nd annual eCrime researchers summit, ACM Conf, Pittsburgh, Pennsylvania, pp. ۳۷-۴۴.
۵. Gunter Ollmann, (۲۰۲۰) , “The Phishing Guide - Understanding & Preventing Phishing Attacks,” Press in IBM Internet Security Systems.
۶. James, Vaishnavi & Kadlak, Aditya & Sharma, Shabnam (۲۰۱۸) ,” Study on Phishing Attacks”, International Journal of Computer Applications, Volume ۱۸۲ , No. ۳۳, pp:۲۳-۳۱.
۷. Khonji ,Mahmoud & Iraqi ,Youssef & Andrew, Jones (۲۰۲۰) , “Phishing Detection: A Literature Survey”, in IEEE Communications Surveys & Tutorials, Vol.۱۵, Issue ۴, PP. ۲۰۹۱ – ۲۱۲۱.
۸. Parmar, B. (۲۰۲۰) ,” Protecting against spear-phishing”,Computer Fraud SecurityVol.۴,N۰.۳۲, pp: ۸–۱۱.
۹. Phish Labs (۲۰۱۹) ,” ۲۰۱۹ phishing trends and intelligence report the growing social engineering threat”, Available at: https://info.phishlabs.com/hubfs/۲۰۱۹ PTI Report/۲۰۱۹ Phishing Trends and Intelligence Report.pdf.
۱۰. Ramanathan ,Venkatesh, & Wechsler, Harry, (۲۰۲۲) ,” phishGILLNET - phishing detection methodology using probabilistic latent semantic analysis”, EURASIP Journal on Information Security, a Springer Open Journal, Vol.۱, PP.۱-۲۲،
۱۱. Ramzan, Z. (۲۰۱۹) , “Phishing attacks and countermeasures,” in Handbook of Information and communication security (Berlin, Heidelberg: Springer Berlin Heidelberg) , ۴۳۳–۴۴۸. doi:۱۰.۱۰۰۷/۹۷۸-۳-۶۴۲-۰۴۱۱۷-۴_۲۳،
۱۲. Shankar, Akarshita & Shetty, Ramesh & Nath K, Badari, (۲۰۱۹) ,” A Review on Phishing Attacks”, International Journal of Applied Engineering Research, Volume ۱۴, Number ۹ , pp: ۲۱۷۱-۲۱۷۵.
۱۳. Sheng, S. , Magnien, B. , Kumaraguru, P. , Acquisti, A. , Cranor, L. F. , Hong, J. and Nunge, E. (۲۰۱۹) ,” Anti-Phishing Phil: the design and evaluation of a game that teaches people not to fall for phish, Proceedings of the ۳rd symposium on Usable privacy and security, Pittsburgh, Pennsylvania, July ۲۰۱۹.
۱۴. Teh-Chung ,Chen & Scott ,Dick & James ,Miller (۲۰۱۹) , “Detecting visually similar web pages: application to phishing detection,” ACM Transactions on Internet Technology (TOIT) , Vol. ۱۰ (۲) , pp:۱۴-۳۱.
۱۵. Yeboah-Boateng, E. O. , and Amanor, P. M. (۲۰۱۸) ,” Phishing , SMiShing & vishing: an assessment of threats against mobile devices”, J. Emerg. Trends Comput. Inf. Sci. ۵ (۴). Pp: ۲۹۷–۳۰۷.

نویسنده: سید مهدی میرحسینی
ارسال‌ نظر