pishing چیست - academist.ir
مهاجمان به منظور افزایش ضریب موفقیت حملات سعی می نمایند خود را بگونه ای عرضه نمایند كه مردم به آنان اعتماد نموده و آنان را به عنوان نمایندگان قانونی مراكز معتبری نظیر بانك ها قبول نمایند . ماهیت و یا بهتر بگوییم رمز موفقیت این نوع از حملات بر قدرت جلب اعتماد مردم استوار است و بدیهی است كه مهاجمان از هر چیزی كه بتواند آنان را موجه تر جلوه نماید ، استقبال خواهند كرد . مهاجمان پس از جلب رضایت و اعتماد كاربران از آنان درخواست اطلاعات حساس و مهمی نظیر شماره كارت اعتباری را می نمایند .
اكثر عملیات اشاره شده به صورت اتوماتیك انجام و با توجه به این كه كاربران گسترده ای هدف اولیه قرار می گیرند و درصد بسیار زیادی از آنان دارای آگاهی لازم جهت تشخیص و مقابله با این نوع حملات نمی باشند ، شانس موفقیت مهاجمان به منظور سرقت هویت كاربران افزایش می یابد .
سرقت هویت چیست ؟
سرقت هویت ، استفاده از هویت شخص دیگر ( اطلاعات حساس و یا شخصی ) برای سوء استفاده مالی و یا سایر اهدف مخرب است . سوء استفاده یا كلاهبرداری با استفاده از كارت اعتباری دیگران ، یك نمونه از سرقت هویت است . در واقع Phishing ، روشی است كه مهاجمان از آن به منظور سرقت هویت استفاده می نمایند .
آیا سرقت هویت صرفا" گریبانگیر افرادی می گردد كه اقدام به ارسال اطلاعات online می نمایند ؟
در صورتی كه هرگز از كامپیوتر استفاده نكرده باشید ، ممكن است از جمله قربانیان سرقت هویت باشید . مهاجمان می توانند با بكارگیری روش های متعدد به اطلاعات شخصی شما نظیر شماره كارت اعتباری ، شماره تلفن ، آدرس و … دستیابی پیدا نمایند . اكثر شركت ها و موسسات ، اطلاعات مربوط به مشتریان خود را در بانك های اطلاعاتی ذخیره می نمایند و در صورت دستیابی سارقین به بانك های اطلاعاتی ، اطلاعات شخصی تعداد زیادی از افراد افشاء می گردد .اینترنت فضای لازم برای سارقین را فراهم نموده است تا بتوانند در زمانی مطلوب و در گستره ای وسیع تر به اطلاعات شخصی و مالی كاربران دستیابی نمایند .اینترنت ، همچنین امكانات مناسبی به منظور فروش و مبادلات تجاری اطلاعات سرقت شده را در اختیار مهاجمان قرار می دهد .
چرا می بایست از خود در مقابل حملات phishing حفاظت نمود؟
در یك سازمان ، افراد متفاوت اطلاعاتی را نزد خود نگهداری می نمایند كه ممكن است حساس و یا برای سایر افراد و یا سازمان ها حایز اهمیت باشد . در حملات phishing ، مهاجمان عموما" از روش های غیرفنی ( نظیر مهندسی اجتماعی ) برای دستیابی به اطلاعات حساس و مهم اشخاص و یا سازمان ها استفاده نموده و موارد زیر را هدف قرار می دهند :
* اطلاعات بانكی نظیر كارت های اعتباری و یا حساب هایی نظیر paypal
اطلاعات مربوط به نام و رمز عبور
اطلاعات بیمه همگانی
* و …
مهاجمان پس از دستیابی به اطلاعات فوق از آنان به منظور نیل به اهداف زیر استفاده می نمایند :
* برداشت از حساب بانكی
* سرویس های online متفاوتی نظیر eBay و یا Amazon
یك نمونه از حملات phishing
تعداد زیادی از حملات phishing از طریق email انجام می شود. مهاجمان email موجه خود را برای میلیون ها قربانی احتمالی ارسال می نمایند . این نوع نامه های الكترونیكی بسیار مشابه وب سایت شركتی می باشند كه email ادعا می نماید ، نامه از آنجا برای كاربران ارسال شده است .
مهاجمان به منظور فریب كاربران از روش های متعددی استفاده می نمایند :
* استفاده از logo وسایر علایم تجاری شناخته شده و معتبر
ساختار و طراحی email تقلبی مشابه وب سایت واقعی است ، بگونه ای كه در اولین مرحله تشخیص جعلی بودن آن برای بسیاری از كاربران غیرممكن است .
بخش from نامه الكترونكیی ارسالی ، مشابه ارسال یك email معتبر از شركت مربوطه است .
* در متن email ممكن است فرمی تعبیه شده باشد كه از كاربران خواسته شود به دلایل خاصی( مثلا" account شما در معرض تهدید است و ممكن است مورد سوء استفاده قرار گیرد و یا به دلیل بروز اشكالات فنی ) ، مجددا" اطلاعات خود را در فرم درج و آن را ارسال نمایند . در شكل زیر یك نمونه email جعلی نشان داده شده است .
در برخی موارد ، مهاجمان به منظور افزایش اعتماد كاربران و معتبر نشان دادن email ارسالی از روش هایی فنی تری استفاده می نمایند. مثلا" ممكن است آنان از روشی موسوم به URL spoofing استفاده نمایند و با ایجاد یك لینك در متن email از كاربران بخواهند كه جهت ادامه عملیات بر روی آن كلیك نمایند . با كلیك كاربران بر روی لینك فوق ، آنان در مقابل هدایت به یك سایت معتبر كه انتظار آن را دارند به وب سایتی هدایت می گردند كه مهاجمان آن را مدیریت می نمایند . شكل ظاهری وب سایت بگونه ای طراحی می گردد كه كاربران نتوانند جعلی بودن آن را تشخیص دهند .
[External Link Removed for Guests]