کلاهبرداری اینترنتی یا فیشینگ (phishing ) چیست؟بررسی انواع و روش های فیشینگ

فیشینگ چیست
فیشینگ چیست

کلاهبرداری اینترنتی یا فیشینگ یکی از دغدغه‌های خریداران اینترنتی است که استفاده از درگاه‌های پرداخت امنی مانند زرین‌پال این امکان را کاهش می‌دهد.

فیشینگ چیست؟

فیشینگ چیست؟ فیشینگ راهی است که تبهکاران، اطلاعاتی نظیر کلمه کاربری، رمز عبور، شماره ۱۶ رقمی عابر بانک، رمز دوم و CVV2 را از طریق ابزارهای الکترونیکی ارتباطات به سرقت می برند. شبکه‌های اجتماعی، سایت‌های حراجی و درگاه‌ پرداخت نمونه‌ای از ابزار‌های الکترونیکی ارتباطات می باشند.   کلاهبرداری فیشینگ از طریق ایمیل‌ها و پیامها صورت می پذیرد و قربانیان به صورت مستقیم اطلاعات حساس و محرمانه خود را در وب سایت‌های جعلی که در ظاهر کاملا شبیه وب سایت‌های سالم و قانونی می باشد وارد می نمایند. حقه ی فیشینگ یکی از تکنیک‌های مهندسی اجتماعی برای فریب کاربران می باشد که علی‌القاعده از ضعف امنیتی یک وب سایت برای انجام عملیات مجرمانه خود استفاده می کنند. برای اولین بار حقه ی فیشینگ در ۱۹۸۷ تعریف شد و اولین باری که واژه فیشینگ برای نام گذاری این واژه استفاده گردید، سال ۱۹۹۶ بود.  

انواع فیشینگ

انواع فیشینگ

  انواع تکنیک‌هایی که در حقه فیشینگ مورد استفاده قرار می گیرد:  

دستکاری و تقلب در لینکها و آدرس‌ها

  یکی از شیوه‌های متداول و رایج در فیشینگ ارسال لینک‌ها و آدرس‌های متعلق به سازمانهای غیر واقعی و جعلی  از طریق ایمیل می باشد. آدرس‌هایی که تنها تفاوت آنها با آدرس اصلی یک یا دو حرف است یا از دامین‌های فرعی گمراه کننده برای ایجاد آنها استفاده گردیده است.  

دور زدن فیلتر

  فیشرها با استفاده کردن از عکس به جای متن، کار فیلترهای ضد فیشینگ را که برای شناسایی متن‌هایی که عموماً در ایمیل‌های حاوی آدرس‌های جعلی یافت می شوند، را سخت می کنند.  

وب سایت جعلی

  تنها با ورود و بازدید یک قربانی به سایت جعلی عمل کلاهبرداری صورت نمی پذیرد. در برخی از روش‌های فیشینگ از دستورات جاوا اسکریپت استفاده می شود تا نوار آدرس را اصلاح کند و تغییر دهد. این کار با قرار دادن تصویر یک آدرس اینترنتی قانونی و موجه در نوار آدرس یا بستن نوار آدرس اصلی و باز کردن یک نوار آدرس جدید که حاوی آدرس اینترنتی قانونی و موجه است، انجام می شود.   یک فیشر (مهاجم) حتی می تواند از نقایص موجود در برنامه جاوا اسکریپت یک سایت معتبر و قانونی علیه قربانیان خوداستفاده نمایند. این نوع حمله‌ها ( که به کراس سایت اسکریپتینگ معروف هستند) به طور خاص سخت و پیچیده هستند، چون آن‌ها قربانی را به صفحه اینترنتی ثبت نام خدمات بانکی خود ارجاع می دهند. صفحه ای که در آن همه چیز از آدرس سایت گرفته تا گواهی امنیتی، همه درست و صحیح به نظر می رسند. در حقیقت لینک دادن به صفحه اصلی حقه ای برای به ثمر رساندن سرقت و انجام دادن حمله است. با انجام این کار کشف این حمله برای افرادی که دانش لازم را ندارند، کار بسیار سختی است. در سال ۲۰۰۶ چنین حمله ای علیه سایت Pay Pal انجام شد.

  یک برنامه فیشینگ در سطح جهانی با عنوان Man-in-the-middle، که در سال ۲۰۰۷ کشف شد، از یک رابط ساده استفاده می کرد که به فیشر (مهاجم) اجازه می داد به دون هیچ مشکلی سایت‌هایی خاصی را مجدداً ایجاد کند و جزئیات اطلاعات ورود یا لاگین افراد (نام کاربری و رمز عبور) وارد شده در وب سایت جعلی را برای ورود به سایت‌های اصلی ثبت و ضبط کند.   برای از کار انداختن تکنیک‌ها و برنامه‌هایی که وب سایت‌ها را با هدف پیدا کردن متون و علائم مرتبط با فیشینگ اسکن و بررسی می کنند، فیشرها به تازگی شروع به استفاده از وب سایت‌هایی کرده اند که با برنامه‌های فلش ساخته شده اند. این گونه سایت‌ها بسیار واقعی به نظر می‌رسند اما در واقع در این سایت‌ها متون و علائم مرتبط با فیشینگ پشت ظاهر برنامه‌های فلش پنهان شده اند.  

فیشینگ از طریق تلفن

  تمامی حملات فیشینگ نیاز به استفاده از یک وب سایت جعلی و ساختگی ندارند. این نوع حملات شامل پیام‌هایی هم می شوند که ادعا می کند از طرف بانک هستند و از مشتری‌ها (استفاده کنندگان خدمات بانکی) می خواهند با توجه به مشکلی که برای حساب‌های آنها به وجود آمده است، با یک شماره تماس بگیرند. به محض این که مشتری با این شماره تلفن (که متعلق به مهاجم است و یک سرویس تلفن اینترنتی است) تماس بگیرد، دستوراتی به مشتری داده می شود تا شماره حساب و رمز خود را وارد کند. فیشرهایی که از سرویس تلفن اینترنتی استفاده می کنند، گاهی اوقات از داده‌های جعلی برای آی دی کالر استفاده می‌نمایند تا برای مشتریان این گونه به نظر برسد که این تماس از طرف یک سازمان مطمئن و معتبر انجام می شود.

روشهای فیشینگ

فیشینگ با دستگاه‌های POS و ATM تقلبی

برخی کلاهبرداران با استفاده از POS و ATM تقلبی کارت‌های بانکی طعمه‌های خود را کپی کرده و به بهانه فروش محصول و کالا رمز عبور آن‌ها را می‌پرسند و سپس به راحتی حساب بانکی افراد را خالی می‌کنند.

بهتر است هیچ گاه رمز عبور خود را در اختیار فروشندگان قرار ندهید. با پیشرفت تکنولوژی شیوه‌های پرداخت متنوعی در اختیار شما قرار گرفته که با کمک آن می‌توانید استفاده از POS و ATM را به میزان قابل توجهی کاهش دهید. دریافت دستگاه‌های POS اختصاصی توسط شرکت‌ها و سازمان‌ها هم می‌تواند به جلب اعتماد بیشتر مشتریان کمک کند.

ربات تلگرام و فیشینگ

ربات‌های تلگرام این روزها به بسیاری از کارهای ما سرعت بخشیده‌اند، شرکت‌های معتبر فین‌تک هم در این خصوص خدمات خوبی را ارائه می‌دهند که گزارش گیری انتقال وجوه را ساده تر کرده است. اما به هر روی تلگرام بستر مناسبی برای انتقال وجه نیست و دیده شده به بهانه انتقال وجه و یا حتی دریافت خدمات و یا خرید محصولی و یا حتی با نوشتن پست‌های وسوسه برانگیز و تحریک افراد برای عضو شدن در کانال و یا گروه‌هایی، اطلاعات بانکی حساب و یا کارت بانکی شخص را سرقت می کردند.

سایر روش‌های فیشینگ

    • نوع دیگری از حمله که موفقیت آمیز بودنش ثابت شده است، ارجاع دادن قربانی به وب سایت اصلی بانک است. سپس یک پنجره پاپ آپ در بالای صفحه سایت به نمایش در می آید و به شکلی که به نظر برسد این صفحه و این سایت متعلق به بانک است، اطلاعات حساس قربانی را درخواست می کنند.     • یکی از جدیدترین روش‌های فیشینگ تب نبینگ است. این برنامه از صفحاتی که کاربر باز کرده استفاده می کند و به طور آهسته کاربر را به سایت ساختگی ارجاع میدهد.     • دوقلوهای شر یا Evil twins روشی است که شناسایی و کشف آن کار بسیار سختی است. یک فیشر یک شبکه بی سیم (وایرلس) ساختگی ایجاد می کند. این شبکه همانند شبکه‌های معتبر عمومی و قانونی می تواند در مکان‌هایی مانند فرودگاه‌ها، هتل‌ها و کافی شاپ‌ها وجود داشته باشد. وقتی که یک نفر وارد شبکه جعلی می شود، کلاهبرداران سعی می کنند رمزهای عبور و یا سایر اطلاعات مرتبط با کارت اعتباری او را ثبت و ضبط کنند.

چگونه از فیشینگ جلوگیری کنیم

با توجه به مواردی که مطرح شد، راه‌هایی در مورد مقابله و جلوگیری از گیر افتادن در دام فیشر‌ها وجود دارد که از میان آنها می‌توان به موارد زیر اشاره داشت:

  • یکی از بهترین راه‌ها برای دستیابی به صفحات وب، نوشتن آدرس آن به طور مستقیم در مرورگر است. یک ایمیل یا پیامک کلاهبرداری، این امکان را دارد که ادعا داشتن اعتبار لازم را داشته و از بانک، شرکت و یا مؤسسه معتبری ارسال شده باشد. هنگامی که شما روی لینکی که برای شما ارسال شده کلیک کنید با سایتی مشابه با سایت واقعی و به ظاهر معتبر مواجه می‌شوید که با پر کردن اطلاعات خود در آن، امکان به سرقت رفتن اطلاعاتتان را فراهم می کنید. برای جلوگیری از این اتفاق همیشه دنبال منابع معتبر بروید و در صورت دریافت ایمیلی با مقدمه‌های وسوسه بر انگیز، به جای بازگشایی بلافاصله آن، آدرس اصلی سایت مطرح شده را در مرورگر خود وارد کنید. سعی کنید امنیت اکانت ایمیل خود را افزایش دهید.
  • استفاده از رمز یکبار مصرف را جدی بگیرید؛ این رمز یکبار مصرف ها با اعتباری که در زمان کم دارند، باعث جلوگیری از به سرقت رفتن اطلاعات شما می شود.
  • فرستنده یا فرستاده‌‌ی غیر معمول؛ اگر پیامک یا ایمیلی از شخص ناشناسی که دارای لینکی که برای دریافت جایزه یا قرعه کشی بود و حتی اگر این پیام از طرف شخصی بود که او را می‌شناختید، به هیچ وجه بر روی آن لینک کلیک نکنید.
  • هدایت به دامنه‌ی فیشینگ به جای سایت واقعی؛ همانطور که در قسمت‌های بالا هم گفته شد، همیشه قبل از انجام تراکنش آدرس URL درگاه پرداخت را حتما بررسی کنید.
  • برای اکانت‌های مالی خود صورت حساب تهیه کنید؛ به طور ماهانه این صورت حساب‌ها را بررسی کنید تا از صورت گرفتن تمام تراکنش‌هایتان با آگاهی کامل اطمینان حاصل کنید. حال حاضر با توجه به مشغله‌های روزمره این کمی ممکن است کمی حوصله بر باشد ولی با استفاده از فاکتور آنلاین می‌توان به این فرایند سرعت بخشید.

از این رو لازم است تنها به شرکت‌های معتبر و فعال این عرصه اعتماد کنید و جهت انتقال وجه آنلاین روش‌های مناسب را انتخاب کنید.

استفاده از خدمات بانکداری الکترونیک و شرکت‌های مجاز حوزه فین‌تک می‌تواند در وقت و پول شما صرفه جویی کرده و هزینه‌های شما را به میزان قابل توجهی کاهش دهد. فقط کافی است هنگام استفاده از این خدمات نکات امنیتی را رعایت کنید و همواره به سراغ مراکز معتبر و شناخته شده بروید تا عملیات انتقال وجه مطمئن و راحتی را تجربه کنید.

تفاوت فارمینگ و فیشینگ چیست

فارمینگ (pharming)  از دو کلمه farming و phishing گرفته شده است. حمله فارمینگ نوعی حمله هکر هاست است که حرکت وب سایت را در وب سایت کنترل می کند و می توان گفت همان فیشینگ است با این تفاوت که هوشمندانه ترین روش ها برای فریب کاربر استفاده می شود. در این حملات از اسب های تروا Trojan برای نصب شمارنده های کلیدی و برنامه های نرم افزاری استفاده می شود که به مهاجم اجازه می دهد رمزهای عبور و شماره کارت اعتباری را بدست آورد بدون اینکه کاربر نیاز به انجام کار غیرعادی داشته باشد.

بعد از حمله فیشینگ چه کنیم

 آیا زرین‌ پال معتبر است؟

بله، شرکت زرین‌پال به عنوان اولین شرکت دارای مجوز پرداخت‌یاری از بانک مرکزی و شاپرک، به عنوان شرکت‌ پیشگام در این عرصه شناخته می‌شود. برای پاسخ به این پرسش که آیا زرین‌پال معتبر است می‌توانیم نگاهی به سابقه این شرکت داشته باشیم. زرین‌پال با بیش از ۱۱ سال سابقه، مورد اعتماد بیش از هزاران کسب و کار آنلاین است و موفق شده است تاکنون بدون کوچک‌ترین اشتباهی میلیاردها ریال وجه را در شبکه بانکی کشور جابه‌جا کند. در این مدت، زرین‌پال بی‌وقفه تلاش کرده تا با شناسایی دغدغه و نیاز‌ مشاغل و ارائه‌ی راه‌‌کارهای نوین پرداخت، در بهبود و توسعه‌ی کسب و کارها مفید باشد.

پرداخت یاری چیست؟

پرداخت‌یارها شرکت‌های جدیدی هستند که به منظور تسهیل پرداخت‌های الکترونیک ایجاد شده‌اند. این شرکت‌ها با انعقاد قرارداد با شرکت‌های ارائه دهنده خدمات پرداخت می‌توانند به صورت غیرمستقیم امکان استفاده از ابزارهای پذیرش و اتصال به شبکه شاپرک را فراهم کنند. کلیه فعالیت‌های این شرکت‌ها تحت نظر بانک مرکزی جمهوری اسلامی و شاپرک است.

با مراجعه به این لینک می‌توانید لیست شرکت‌های مورد تایید شاپرک از جمله همراه پرداز زرین (زرین‌پال) را مشاهده کنید.

نکته: در نظر داشته باشید با توجه به اجرای قانون رمز دوم پویا، میزان کلاهبرداری و فیشینگ از کارت بانکی کاهش یافته است. از سمت دیگر با توجه به الزام قانون پرداخت‌ یاری مجوز فعالیت برای درگاه‌های پرداخت نامعتبر صادر نشده و این درگاه‌ها امکان فعالیت ندارند. اما با این وجود توجه به نشان‌های مورد اعتماد در پرداخت موجب جلب اطمینان بیشتر کاربران شده و موجب می‌شود تا با حس امنیت بیشتری پرداخت خود را نهایی کنند. بنابراین شما با اطمینان خاطر از امنیت زرین‌پال می‌توانید از خدمات این شرکت استفاده کرده و در کاربران خود نیز حس اعتماد ایجاد کنید.

Posted by
امین شیرکوند

امین هستم. مدیر روابط عمومی زرین پال. به زمینه‌های ارتباطات و فناوری علاقه زیادی دارم، که همین دلیل بودنم در اینجاست.

19 دیدگاه

  1. سازکارها باید قویتر بشه
    پارسال ما گرفتار فیشینگ شدیم

  2. بازم خدا رو شکر وب سایت بانک ها حفاظت شده هست.

  3. لطفا یه مقاله برای جلوگیری از خرید افراد با کارت هکی از سایت های ما رو اموزش بدین

    1. امین شیرکوند

      سلام مهرداد جان.
      توی مقاله‌ی حساب‌های اجاره‌ای راجبش نوشتیم تقریباً.

  4. امید محرابی

    اینجا ما که داریم یه کسب کار حلال راه میندازیم فیشینگ میشیم و هزاران داستان برای ما پیش میاد ما اینجا ضرر میکنیم

  5. سایت های فیشینگ خیلی داره اذیتمون میکنه

  6. سلام یه کاری کنید تا فیشینگ ها نتونند با کارت هکی به درگاه زرین پال پرداخت کنند

    1. امین شیرکوند

      سلام علیرضا جان.
      چنین کاری واقعاً امکان پذیر نیست در حال حاضر. چون تا زمانی که صاحب حساب متوجه نشده باشه نمیشه ازش اجتناب کرد.

      1. حسین ناصری

        موقع واریز چه مدارکی از واریز کننده بگیریم ؟؟؟؟؟/

        و اگه واریز کردن زرین پال چه اقدامی انجام میدهد ؟؟؟؟؟

  7. سلام
    چرا رمز دوم یکبار مصرف پیامکی فعال و اجباری نمیشه؟ یک بار برای همیشه راه دزدها بسته بشه

  8. سعید کاوسی

    سلام اگه یوقت یکی با کارت هکی از سایت ما خرید کنه چیکار باید کرد من سایتم یطوری هست که به چنین افرادی زیاد بر میخورم

  9. Mohamad Ho3ein

    با سلام
    لطفا قابلیتی قرار بدید که تنها آی پی های ایران امکان خرید و اتصال به زرین پال رو داشته باشن و در غیر اینصوت با پیامی مواجه بشن (مثلا تنها آی پی های ایران مجاز به خرید هستند) و این قابلیت رو اختیاری و فعال یا غیر کردن اون رو به عهده پذیرنده درگاه قرار بدید. (یا حالا با تنظیمات بیشتر مثلا پذیرنده تعیین کنه برای مبالغ بالای ۱۰۰ هزار تومان این قابلیت فعال باشه تا دچار کاهش تراکنش نشه)

    با این کار درصد بالایی از مشکل فیشینگ ها حل میشه و اقلا در صورت فیشینگ یک آی پی از کاربر داریم و به احتمال بالا قاضی رفع خسارت شاکی رو بعهده فروشنده قرار نمیده.

    با تشکر

  10. درود بر شما
    اگر برای پرداخت از طریغ درگاه پرداخت سایت من با کارت هکی پول واریز کنند دقیقا چه اتفاقی میوفتد
    و آیا من رو میگیرن و مقصر اصلی من میشم؟؟؟

    1. امین شیرکوند

      سلام دوست عزیز.
      لطفاً با شماره‌ی ۴۱۲۳۹-۰۲۱ تماس بگیرید تا دوستان واحد پشتیبانی راهنماییتون کنند.

  11. استفاده از رمز دوم یکبار مصرف برای جلوگیری این موارد خیلی کاربردی و خوبه ولی هنوز فرهنگ استفادش خیلی جا نیوفتاده

  12. میشه ی کاری کرد که فقط از آی پی های ایران امکان خرید و اتصال به زرین پال وجود داشته باشه؟ اینجوری مشکل خیلی از فیشینگا حل مشه

    1. سلام ، میشه روش همین کار رو بگین؟

  13. برای پرداخت خدماتی یه صفحه پرداخت با آدرس zarinp.al برام ارسال شده ایا اسن آدرس امنه؟!

  14. ممنون میشم جواب بدید این درگاه آیا مطمئن است
    https://zarinp.al/30

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.