فیشینگ نوعی از حملات مبتنی بر مهندسی اجتماعی است که در آن حمله کننده با فریب دادن هدف یا اهداف، اطلاعات حساسی مثل رمزهای عبور، مشخصات کارت اعتباری و ... را از وی میگیرد.
مختصری درباره مهندسی اجتماعی
مهندسی اجتماعی (Social Engineering) روشی زیرکانه برای سوء استفاده از تمایل انسان به اعتماد کردن به دیگران است. این بخش از امنیت نه تنها در مباحث امنیت سایبری و اینترنتی مطرح است بلکه در جامعه و دنیای واقعی نیز موارد بسیار زیادی از مهندسی اجتماعی ممکن است به سراغ افراد بیاید.
مهندسی اجتماعی ممکن است به خاطر دلایلی از جمله بدست آوردن اطلاعات، کلاهبرداری از افراد، دسترسی به حسابهای شخصی و ... توسط حمله کننده برنامه ریزی شود با این حال وجه مشترک همه این حملات این است که برخلاف حملات رایج دیگر که با نفوذ به رخنهها و آسیب پذیریها انجام میگردد، این حمله بسیار ساده و با گول زدن کاربر و جلب اعتماد وی، حمله کننده را به هدف خود میرساند.
حملات فیشینگ (Phishing) چیست؟
کلمه فیشینگ یا Phishing از عبارت Password Harvesting Fishing به معنای "بدست آوردن رمز عبور از طریق طعمه" بوده و یکی از حملات مبتنی بر مهندسی اجتماعی است که با گول زدن و فریب دادن یک کاربر از پیش تعیین شده یا گروهی از کاربران به صورت هدف دار، اطلاعات حساس وی مانند رمزهای عبور، اطلاعات حساب بانکی، اطلاعات شخصی و اجتماعی و ... هدف را بدست آورده و با استفاده از آنها، کار مورد نظر خود را انجام میدهد.
برخلاف سایر روشهای هک و ورود به سیستم، در روش فیشینگ معمولاً هیچ نفوذی انجام نشده و از رخنهها و آسیب پذیریها استفاده نمیشود. حال این خود کاربر است که با استفاده از تکنیکهای گوناگون فریب خورده و این اطلاعات را در اختیار حمله کننده که به اصطلاح فیشر (Phisher) نامیده میشود، قرار میدهد.
تکنیکهای رایج فیشینگ
اگرچه تکنیکهای بسیار گسترده و یا حتی ادغام شدهای میتواند در طراحی و پیاده سازی حمله فیشینگ توسط فیشر مورد استفاده قرار گیرد، در این جا لیستی از تکنیکهای رایج فیشینگ آمده است:
ایمیلهای فیشینگ
ایمیل یکی از راههای ارتباطی معمولاً ناشناسی است که توسط بسیاری از افراد استفاده میشود. استفاده از ایمیل برای به دام انداختن اهداف بسیار رایج است. در فیشینگ از طریق ایمیل، حمله کننده یک ایمیل با محتوای کلاهبرداری یا تقلبی (کپی شده یک ایمیل قانونی)، اقدام به فریب دادن کاربر داده و اطلاعات حساس مورد نیاز خود را دریافت میکند.
چرا این روش بسیار موثر است؟
ایمیل ارسال کننده با روشهایی مثل Email Spoofing میتواند دقیقاً مشابه آدرس ایمیل قانونی باشد!
محتوای ایمیل به قدری شبیه به نسخه اصلی و قانونی ایمیل است که کاربر را کاملاً وادار به اعتماد میکند.
محتوای ایمیل میتواند از دست اسکنرهای ضد فیشر به راحتی بگریزد.
چگونه از این تکنیک در امان باشیم؟
به هیچ وجه و به هیچ عنوان به آدرس ارسال کننده ایمیل اعتماد نکنید! اگرچه در سرویسهایی مثل جیمیل، آدرس ایمیلهای تقلبی تا حدودی تشخیص داده میشوند.
اگر ایمیلی در پوشه هرزنامه، اسپم یا Spam شما بود، به احتمال زیاد محتوای آن یا تبلیغاتی است و یا فیشینگ!
وقتی چشمتان را ببندید و در خیابان قدم بزنید، ممکن است افراد زیادی به شما بگویند که از فلان جای مهم هستند و اطلاعات حساس شما را بخواهند. آیا باید چنین اطلاعاتی را در اختیار آنها قرار دهید؟ ایمیل نیز دقیقاً این چنین است.
وبسایتهای فیشینگ
یکی دیگر از روشهایی که هکرها از آنها استفاده میکنند، ایجاد یک صفحه یا وبسایت دقیقاً مشابه وبسایت سرویس مورد نظر است با این تفاوت که بجای این که اطلاعات ورود (یا اطلاعات حساب بانکی در صفحه تقلبی یک بانک) به سرویس دهنده اصلی برود، به سادگی به دست حمله کننده میافتد