خرید فالوور اینستاگرام خرید لایک اینستاگرام
مطالب داغ
خانه » امنیت و هک » چگونه در برابر حملات فیشینگ و مهندسی اجتماعی ایمن بمانیم؟

چگونه در برابر حملات فیشینگ و مهندسی اجتماعی ایمن بمانیم؟

کلمه‌ی Phishing برگرفته از عبارت Password Harvesting Fishing به معنای “به درست آوردن گذرواژه از طریق طعمه” می‌باشد و  نوعی از حملات مبتنی بر مهندسی اجتماعی بوده که در آن حمله‌کننده با فریب دادن هدف (تارگت) اطلاعات حساس و مهمی مانند رمزهای عبور، اطلاعات کارت‌های بانکی، اطلاعات شخصی حساس و… هدف یا اهداف مورد نظر خود را به‌دست می‌آورد.

مهندسی اجتماعی

در این مقاله از پرانت در ابتدا اندکی با مهندسی اجتماعی آشنا شده و در ادامه حملات فیشینگ، انواع آن‌ها و روش‌های محافظت از اطلاعات خود در برابر این گونه حملات را بررسی خواهیم کرد.

مهندسی اجتماعی چیست؟

به زبان ساده، توانایی به‌دست آوردن اطلاعات حساس افراد با استفاده از روابط عاطفی، اجتماعی و روان‌شناسی انسان‌ها، بدون استفاده از روش‌های مستقیم هک و نفوذ را مهندسی اجتماعی یا Social Engineering می‌گویند.

به عنوان مثال فرض کنید فردی با ادعای اینکه پشتیبان بخش آی‌تی یک سازمان است، با استفاده از شیوه‌های ارتباط انسانی یکی از کارمندان شرکت را فریب داده و اطلاعات ورود به سیستم‌های شرکت را به دست آورده و بدین ترتیب بدون نیاز به به‌کارگیری تکنیک‌های فنی هک به راحتی کنترل سیستم را در دست میگیرد، برای مثال به گفتگوی رد و بدل شده در تماس تلفنی زیر توجه کنید:

مثال:

مثال:

مهاجم: سلام، وقتون بخیر، بنده حسینی، مسئول آی‌تی شرکت هستم، ما درحال ارتقای سیستم‌ها هستیم، لطفا کلمه‌ی عبور خودتون رو به newsystem123 تغییر بدید و ضمنا تا ۱ ساعت وارد سیستم نشید.

کارمند: سلام، خوب هستید آقای حسینی، من الان در حال ارسال یک فایل هستم، امکان داره، ۱۰ دقیقه‌ی دیگه این‌کار رو انجام بدم؟ راستی چند وقتی‌ هست، فلش مموری من داخل کامپیوترم باز نمیشه، میتونم از شما بخوام اون رو هم  برای من درست کنید؟

مهاجم: اوه، بله، شما را درک میکنم، اشکالی نداره، چند دقیقه‌ی دیگه ارتقای سیستم رو انجام میدیم تا کار شما هم تمام شده باشه، در مورد فلش مموری هم، بله با کمال میل ‌:) لطفا اسمتون رو به من بگید تا در فرصت مناسبی بیام و مشکلتون رو حل کنم، فرمودید شما آقای؟

کارمند: واقعا ممنون از همکاری شما، من سامانی هستم، راستی شرکت ارتقای سیستم‌ها رو به من اطلاع نداده بود، ولی به هرحال ممنون که برای من صبر میکنید.

مهاجم: خواهش می‌کنم جناب سامانی عزیز ‌:) پس شما رمز رو تغییر بدید، من هم تا ۱۰ دقیقه‌ی دیگه ارتقای سیستم رو شروع میکنم، راستی گفتید نام کاربریتون چی بود؟

کارمند: واقعا متشکرم ازتون، اسم کاربریم، فامیلیم هست: samani

مهاجم: آهان، ممنون ‌:)

همانگونه که در گفتگوی بالا دیدید، مهاجم به راحتی و با فریب کارمند شرکت، کلمه‌ی عبور او را به‌دست آورد و از کارمند خواست تا رمزعبور خود را مطابق خواسته‌ی وی تغییر دهد.

مهندسی اجتماعی

به عبارتی مهندسی اجتماعی کاملا به فریب دادن افراد مبتنی بوده و روشی ناجوان‌مردانه به شمار میرود، از این‌رو لازم است به منظور حفظ اطلاعات مهم خود یا دیگران با هوشیاری کامل ارتباطات اطراف خود را زیر نظر داشته باشیم.

مهاجمی که قصد دارد با روش مهندسی اجتماعی به سؤ استفاده بپردازد، در حقیقت باید ۳ مرحله را پشت سر بگذارد، که عبارتند از:

  • تحقیقات اولیه
  • جلب اعتماد هدف
  • به‌دست آوردن اطلاعات

یک هکر مبتنی بر مهندسی اجتماعی با طی کردن مراحل بالا می‌تواند به راحتی اطلاعات مورد نظر خود را به‌دست آورده و در ادامه اقدام به سؤ استفاده از آن‌ها بپردازد، در حقیقت خود فرد قربانی بدون هیچ اطلاعی این موارد را در اختیار مهاجم قرار داده.

تکنیک‌های مختلفی برای انجام این‌گونه حملات (مبتنی بر مهندسی اجتماعی) وجود دارد، در این مقاله قصد داریم حملات فیشینگ را مورد بررسی قرار دهیم.

فیشینگ (Phishing) چیست؟

فیشینگ یکی از تکنیک‌های رایج در مهندسی اجتماعی است که در آن هکر با استفاده از جعل صفحات وب، تماس‌ها، ایمیل‌ها و… سعی در فریب کاربر و ‌به‌دست‌آوردن اطلاعات حساس وی، شامل نام‌های کاربری، کلمات عبور، اطلاعات حساب بانکی و… دارد، به زبان ساده‌تر می‌توان فیشینگ را نوعی سرقت آنلاین به حساب آورد.

فیشینگ

همانطور که گفتیم، فیشینگ نوعی از حملات مبتنی بر مهندسی اجتماعی می‌باشد، در این گونه حملات، هکر، که در اینجا Phisher نامیده می‌شود هیچ‌گونه نفوذی به صورت فنی انجام نمیدهد، بلکه با جعل صفحات وبسایت‌ها، ارسال ایمیل‌، تماس‌های تلفنی، پیامک و… اطلاعات حساس و مهم هدف مورد نظر خود را به‌دست آورده و به راحتی به سیستم نفوذ میکند، در حقیقت کاربر خودش بدون اینکه متوجه جعلی بودن این موارد باشد اطلاعات مورد نیاز هکر (فیشر) را در اختیار وی قرار می‌دهد.

راهکارهای متفاوتی برای انجام یک حمله‌ی فیشینگ وجود دارد، که برخی از معروف‌ترین آنها عبارتند از:

  • وبسایت‌‌های جعلی
  • ایمیل‌‌های فیشینگ
  • بد افزارهای فیشنگ
  • فیشینگ از طریق پیام
  • تماس‌های تلفنی ساختگی
  • به‌کارگیری رخنه‌های امنینی
  • فیشینگ از طریق تغییر لینک

چگونه در برابر حملات فیشینگ ایمن بمانیم؟

سعی کنید، همیشه قبل از وارد کردن اطلاعات حساس خود در یک وبسایت، آدرس URL آن که در آدرس‌بار مرورگز نوشته شده است را به درستی بررسی کرده و از صحت آن اطمینان حاصل کنید، هر لحظه این موضوع را به یاد داشته باشید که شاید سایتی که در حال دیدن آن هستید واقعا آن چیزی نیست که به دنبالش بوده‌اید و امکان جعلی بودن آن وجود دارد، بنابراین همیشه آدرس سایت را به دقت بررسی کرده و به این موضوع توجه داشته باشید که امکان دارد سایت تقلبی و سایت واقعی تنها در یک حرف با هم تفاوت داشته باشند.

به عنوان مثال دامنه‌ی (PoraNet.com) را در نظر بگیرید، یک فیشر می‌تواند دقیقا چنین سایتی را با آدرسی مانند (PoraNat.com) یا هر آدرس مشابه دیگری در اختیار شما قرار دهد، در صورتی که با دقت آدرس را بررسی نکنید و اطلاعات حساسی را در سایت جعلی وارد کنید، دچار دردسر بزرگی خواهید شد!

همیشه سعی کنید قبل از اینکه لینکی را باز کنید به دقت آدرس آن‌را بررسی کنید، به عنوان مثال آدرسhttps://www.yahoo.com را در نظر بگیرید، در ظاهر شما آدرس یاهو را می‌بینید، اما اگر روی لینک کلیک کنید وارد وبسایت گوگل خواهید شد!

به عنوان مثالی دیگر تصویر زیر را ببینید:

فیشینگ

در نگاه اول صفحه‌ی اصلی گوگل را می‌بینید، اما اگر به آدرس موجود در مرورگر نگاه کنید متوجه خواهید شد با یک وبسایت جعلی رو‌به‌رو هستیم.

برای بررسی این موارد کافیست، قبل از کلیک کردن روی لینک‌ها موس خود را روی آن‌ها نگاه دارید، گوشه‌ی پایین مرورگر آدرس لینکی که موس روی آن قرار گرفته را برای شما نمایش میدهد.

همیشه قبل از وارد کردن اطلاعات حساس و مهم خود آدرس صفحه و دامنه‌ی سایت را به دقت بررسی کنید، به خصوص در درگاه‌های پرداخت اینترنتی، صفحات لاگین و هرجایی که قرار است اطلاعاتی حساس را در آن وارد کنید.

سعی کنید تا زمانی که به یک ایمیل یا پیام اطمینان ندارید و از صحت ارسال کننده‌ی آن مطمئن نیستید، به هیچ وجه روی لینک‌های موجود در پیام کلیک نکرده و پیوست‌های آن‌را دانلود نکنید.

همیشه برنامه‌های تلفن همراه خود را از فروشگاه‌های رسمی آن‌ها دانلود کنید (Play Store برای اندروید و App Store برای آی‌او‌اس) در غیر این‌صورت احتمال آلوده شدن دستگاه شما به بدافزار وجود خواهد داشت.

آیا شما نیز تا به‌حال با چنین مواردی برخورد داشته‌اید؟ نظرات و تجربیات خود را در بخش دیدگاه‌ها با ما در میان بگذارید، مطمئنا تجربیات شما کمک می‌کند تا سایر کاربران با روش‌های متنوع فیشینگ آشنا شده و کمتر تحت خطر یا سؤ استفاده‌ی این گونه حملات قرار بگیرند.

سوالی از این آموزش دارید؟ اگر سوالی در خصوص این آموزش دارید حتما آن‌را در بخش دیدگاه‌ها با ما در میان بگذارید، در کمتر از چند ساعت پاسخگوی شما خواهیم بود 🙂

مطلب پیشنهادی

با حملات DOS و DDOS به طور کامل آشنا شوید

در این مقاله قصد داریم به زبانی ساده حملات DoS و DDoS را برای شما …

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

شانزده − 8 =

Time limit is exhausted. Please reload the CAPTCHA.