فیشینگ‌های دردسرساز!

شنبه ، 23 فروردين 1393 ، 13:07


برداشت غیرمجاز از حساب کاربران ایرانی در صدر بیشترین تخلفات دزدان اینترنتی است؛ برداشت‌هایی که با تکیه بر روش‌های متقلبانه همچون فعال کردن رمز دوم، سرقت کارت، خرید اینترنتی، خرید شارژ و... صورت می‌گیرد اما شاید بتوان در این میان یکی از خاص و تمیزترین شیوه‌های سرقت را «فیشینگ» عنوان کرد!

فیشینگ را شاید برای اولین بار که بشنوید به یاد ماهیگیری بیفتید، اما مسله مهم این است که فیشینگ (phishing) نیز با تغییر (fhishing) بدست آمده است و براساس اصطلاح سارقان فیشینگی، این روش با طعمه‌گذاری برای کاربران و با همان روش ماهیگیری رخ می‌دهد، چرا که در ماهیگیری، فرد ماهیگیر طعمه خود را در اب رها کرده و به انتظار ماهی‌ می‌نشیند که در دام گرفتار شود، در فیشینگ نیز فرد سارق با طراحی نقشه‌ای به انتظار مالباختگان می‌نشیند.

به گزارش ایسنا، این روش برای نخستین بار در سال ۱۹۹۵ مورد استفاده قرار گرفته است. واژه‌ فیشینگ مخفف عبارت Password Harvesting Fishing (شکار کردن گذرواژه کاربر از طریق یک طعمه) است که در آن حرف Ph به جای F برای القای مفهوم فریفتن جایگزین شده است.

در معنایی ساده تر فیشینگ به معنای تلاش برای بدست آوردن اطلاعاتی همچون نام کاربری، گذر واژه، اطلاعات حساب بانکی و... از طریق جعل یک وب‌سایت، آدرس ایمیل و... است؛ در این روش کلاهبردار یا کلاهبرداران احتمالی با تکیه بر آن چیزی که شاید بتوان آن را «بی‌دقتی» نامید با ایجاد یک صفحه جعلی اما با گرافیک بسیار شبیه سایت اصلی طعمه‌ای به بزرگی مقدار پول حساب بانکی و یا اطلاعات خصوصی افراد پهن کرده و مالباختگان بی‌دقت نیز با دستان خود رمز و اطلاعات حساب بانکی یا ایمیل و ... خود را به سارق تقدیم می‌کنند هرچند که سرهنگ محمدمهدی کاکوان، رئیس پلیس فضای تولیدو تبادل اطلاعات تهران بزرگ معتقد است که با چند گام می‌توان از گسترش این عمل مجرمانه جلوگیری کرد اما آن چیزی که در واقع در حال رخ دادن است آنکه روز به روز علاقه کلاهبرداران به استفاده از این شیوه افزایش می‌یابد.

وی در تشریح جزئیات روند سرقت از طریق فیشینگ می‌گوید که در متداول‌ترین شیوه، سارقان با دست‌یابی به ایمیل افراد، ایمیلی جعلی با نام یک بانک یا مدیریت صفحه‌ای اجتماعی برای آنها ارسال کرده و از آنها می‌خواهند که با ورود به لینک سایتی که آنها معرفی کرده‌اند نسبت به ارتقای سیستم امنیتی حساب خود اقدام کنند که گاها افراد چنان دستپاچه می‌شوند که بدون دقت لازم بروی لینک ارسالی کلیک کرده و این درحالیست که صفحه اعلامی از سوی ایمیل جعلی بوده و وارد کردن یوزر و پسورد به منزله در اختیار گذاشتن آنها به سارقان است.

رئیس پلیس فتای تهران می‌گوید که در این ایمیل جعلی که متن بسیار نامرتب و نامأنوسی دارد از کاربران یا همان طعمه‌ها خواسته می‌شود که به دلیل تنظیمات امنیتی صعیف احتمال بروز هرگونه دسترسی غیرمجاز وجود دارد و بر همین اساس افراد را ترغیب می‌کند تا به سرعت روی لینک ارائه شده کلیک کرده و قربانی شوند.

به گفته کاکوان، بررسی چند پرونده نشان داده است کلاهبردار یا کلاهبرداران احتمالی حتی زحمت ترجمه صحیح و روان را به خود نداده و با استفاده از بخش ترجمه گوگل (google translate) اقدام به ترجمه متنی مبنی بر لزوم ارتقا سیستم امنیتی حساب بانکی کرده‌اند و قربانیان نیز بی‌توجه به شیوه نگارش ایمیل ارسالی به آن بها می‌دهند!

کاکوان معتقد است فیشینگ تنها کاربران بانکداری الکترونیک را هدف قرار نداده است بلکه در بعضی اوقات نیز کلاهبرداران با بهانه به نمایش یک عکس غیراخلاقی یا فیلمی که امکان پخش در داخل را ندارد، کاربر را ترغیب کرده تا در ازای پرداخت پول، عکس و یا فیلم مذکور را دریافت کنند و پس از تقاضا، لینک فیشینگ برای کاربر باز شده و فرد قربانی می‌شود.

او می‌گوید: مردم به راحتی می‌توانند صفحه جعلی بانک و ... را از اصلی تشخیص دهند اما لازمه دقت، تمرکز است که گاها مالباختگان این تمرکز را ندارند. چرا که می‌توان با چند عمل ساده دیگر طعمه کلاهبرداران نشد که این گام‌ها به شرح ذیل آمده است:

آدرس اینترنتی سایت بانک را از متصدیان بانک مربوطه گرفته و از سرچ نام بانک در موتورهای جستجوگر و یا باز کردن لینک‌ها خودداری کنید.

آدرس سایت بانک را مستقیم تایپ کنید.

حتما به وجود S در کنار http دقت کنید چرا که این مسئله نشان می‌دهد که امنیت سایت تضمین شده است.

 

 

به آیکون و علامت قفل کنار ادرس سایت دقت کنید.

دقت داشته باشید که تصویر امنیتی با هر بار رفرش کردن تغییر می‌کند و اگر شما متوجه ثابت بودن این علامات شدید از صفحه خارج شوید.

صفحه کلید مجازی نباید غیرفعال باشد.

کاکوان با بیان اینکه بررسی پرونده‌ها نشان می‌دهد که یکی از بانک‌های داخل بیشترین حجم فیشینگ را دارد ، گفت این بانک در شش ماهه دوم سال ۹۲، حدود ۵۷ فقره پرونده توسط کاربران این بانک در پلیس تشکیل شده است و از آنجایی که این بانک خدمات ویژه‌ای در حوزه بانکداری الکترونیک ارائه می‌کند، مورد توجه فیشینگ بازها است.

او معتقد است که تمام بار امنیتی فیشینگ را نباید به گردن کاربران انداخت چرا که مسئولان بانکی کشور نیز باید در قبال امنیت بانکداری الکترونیکی‌شان پاسخگو باشند.

کاکوان با بیان اینکه هیچ‌گاه بانک اقدام به ایمیل زدن به فرد خاصی نمی‌کند، گفت: به مسئولان شعب نیز توصیه می‌شود دسترسی به بانکداری الکترونیک را برای افرادی ایجاد کنند که سواد و دانش کافی برای استفاده از آن را داشته باشد و VPN IP نیز به صورت محدود تحت سرویس قرار گیرد.

رئیس پلیس فتای تهران همچنین به مسئولان توصیه کرد که ورود به حساب بانکی را تنها مختص به وارد کردن شناسه و کد امنیتی نکرده و با ایجاد گام‌های امنیتی متفاوت و حتی رمزهای یکبار مصرف راه بر کلاهبردان فیشینگی ببندند.به گفته وی، پرونده فیشینگ تنها با ارقام بالای پول‌های ربوده شده خلاصه نمی‌شود بلکه دیده شده افراد با طراحی اپراتورها، به بهانه فروش شارژ جیب قربانی را خالی می‌کند!

او می‌گوید در بسیاری از پرونده‌های سنگین فیشینگ ردپای سارقان در آن سوی جغرافیای ایران پیدا می‌شود و برهمین اساس رسیدگی به پرونده در اختیار اینترپل قرار می‌گیرد و این موضوع روند پیگیری را کند، می‌کند.

کاکوان در ادامه فیشینگ را تنها معطوف به بانک‌ها و شبکه‌های مالی ندانست و گفت: جعل صفحات اجتماعی نیز رواج دارد، چرا که سارقان با در احتیار داشتن یوزر و پسورد کاربران می‌تواند ضمن هک و نفوذ مابقی اهداف شوم و مجرمانه خود را پیگیری کنند و متاسفانه برخی هموطنان نیز اقدام به انتشار و یا نگهداری تصاویر خود می‌کنند که همین مسئله زمینه بروز مشکلات بعدی را رقم می‌زند.

به گزارش ایسنا، آن‌گونه که کاکوان نیز به آن اشاره کرده است شاید طی دوگام بتوان نسخه فیشینگ را در هم پیچید، گام‌هایی همچون الزام بانک‌ها به ارتقا امنیت بانکداری عمومی و دیگری افزایش سطح آگاهی‌های مردمی تا شاید با انجام این دو مهم بتوان گام بلندی در راستای حذف فیشینگ برداشت.

اخبار منتخب بانکی دات آی آر:

=================

 

 

► نگاهی به ظرفیت پهنای باند اینترنت ایران
10 کالای عمده وارداتی ایران ◄

مطالب مرتبط
بنر