فکر می‌کنم که تا به حال برای همه پیش آمده است که یک شاهزاده‌ی نیجریه‌ای با آن‌ها تماس بگیرد و برای جابه‌جا کردن ثروتش به خارج از کشور از آن‌ها کمک بخواهد، در مقابل نیز معمولاً وعده‌ی سهمی از این ثروت داده می‌شود. همه‌ی ما می‌دانیم که این کار کلاهبرداری است، اما آیا می‌دانستید که هنوز ۳۰ درصد از کاربران بر روی لینک‌های کلاهبرداری کلیک می‌کنند؟


امروزه کلاهبرداری به خصوص از طریق فیشینگ، به قدری پیشرفته شده است که تقریباً همه‌ی ما برای تشخیص روش‌های فریب‌آمیز آن به ذره‌بین نیاز داریم.
در این پست می‌خواهیم دقیقاً به شما بگوییم که چگونه کلاهبرداری فیشینگ را تشخیص دهید و با هم چند مورد از مثال‌های متداول آن را بررسی می‌کنیم.
کلاهبرداری فیشینگ چیست؟
عبارت فیشینگ (Phishing) اولین بار در سال ۱۹۹۶ توسط هکرهایی که حساب‌های کاربری و گذرواژه‌های سرویس "America Online" (یا با نام مشهورتر آن AOL) را دزدیدند، اختراع شد. این افراد با به کار بستن روش "ماهی‌گیری" با "قلاب"، از ایمیل برای "فریب‌دادن" کاربر، و انداختن قلاب برای گرفتن ماهی‌هایی استفاده می‌کردند که همان گذرواژه‌ها یا اطلاعات مالی بود. حرف "f" از کلمه‌ی Fish جای خود را به "ph" داد تا ارتباط آن را با هک مشخص کند. مثل عبارت فریکینگ (Phreaking) تلفن که مکانیزم هک دیگری بود که با استفاده از مهندسی معکوسِ صداهای مختلف برای تغییر مسیر تلفن‌های مسیر دور استفاده می‌شد.
با وجود این که در فریکینگ، دنباله‌های صدا برای استفاده از تماس‌های رایگان تغییر داده می‌شد، اما این عمل را به خودی خود می‌توان یک عمل بدون قربانی تلقی کرد (البته اگر شرکت‌های ارتباطی را در نظر نگیریم). اما این قضیه در مورد حملات فیشینگ صادق نیست. فیشرها با کلک زدن، مهندسی اجتماعی یا دزدی می‌خواهند به اطلاعات محرمانه‌ی شما دست یابند. با توجه به این که کسب و کارها به مرور از مکانیزم‌های امنیتی پیچیده‌ای برای دفاع در برابر دسترسی‌های غیرمجاز استفاده کردند، مجرمان نیز ضعیف‌ترین بخش سیستم را هدف قرار داده‌اند: یعنی شما.
چه نوع کلاهبرداری‌هایی از طریق فیشینگ وجود دارد؟
به طور کلی دو نوع کلاهبرداری فیشینگ وجود دارد:
کلاهبرداری نیجریه‌ای(Advanced-fee fraud)
کلاهبرداری نیجریه‌ای نوعی از کلاهبرداری است که در مقابل وعده‌ی سهم قابل توجهی از یک ثروت زیاد، از شما درخواست مقدار کمی پول می‌شود. اگر قربانی هزینه را پرداخت کند، کلاهبردار یا ناپدید می‌شود یا از قربانی می‌خواهد پرداخت‌های دیگری انجام دهد.
کلاهبرداری‌های فیشینگ سنتی
فیشینگ عبارت است از تلاش برای دستیابی به اطلاعات حساس شما نظیر نام کاربری، گذرواژه و اطلاعات کارت‌های اعتباری‌تان، با تظاهر به قابل اعتماد بودن تحت عنوان نام‌هایی مانند مایکروسافت، آمازون، Paypal یا حتی بانک شما.
اگرچه اکثر روش‌های کلاهبرداری از طریق فیشینگ به وسیله‌ی ایمیل انجام می‌شود، ولی بسیاری از این کلاهبرداری‌ها به واسطه‌ی شبکه‌های اجتماعی و حتی از طریق مجموعه‌های کاری مانند Dropbox و Google Docs صورت می‌پذیرد.



ما در طول زمان، شاهد موارد زیادی در این موارد بوده‌ایم، مثلاً یک بار ربات کلاهبردار اسکایپ می‌خواست مدیر عامل ما را فریب دهد تا اطلاعات کارت اعتباری او را به دست بیاورد.
یا آن دفعه‌ای که با همکاری Bleeping Computer به نظاره‌ی کلاهبرداری خاصی از طریق «پشتیبانی فنی» نشستیم، و متوجه شدیم که پشتیبانی می‌خواهد ما را متقاعد کند که ماشین مجازی‌مان به trozens آلوده شده و باید محصول جعلی آن‌ها را بخریم.
در حقیقت: کلاهبرداری از طریق پشتیبانی فنی آن قدر شایع است که آن‌ها را این جا به طور مفصل پوشش دادیم.
با وجود این که روش‌های بی‌شمار متفاوتی برای ماهی‌گیری (Phish) وجود دارد، اما در ادامه به رایج‌ترین موارد این روش کلاهبرداری اشاره می‌کنیم:
فیشینگ فریبنده
صرف نظر از روش تحویل (delivery method) که می‌تواند از طریق اسکایپ، ایمیل یا تماس تلفنی باشد، در فیشینگ فریبنده، فرد خود را به جای یک شرکت معتبر جا می‌زند تا از شما چیزی بگیرد، این چیز می‌تواند اطلاعات شخصی شما برای سرقت هویت، اطلاعات کارت‌های اعتباری یا تحت فشار قرار دادن شما برای خرید محصولی باشد که احتمالاً اصلاً وجود خارجی ندارد. روش‌هایی که مجرمان برای جلب اعتماد کاربران نسبت به سایت‌های جعلی خود استفاده می‌کنند، روز به روز هوشمندانه‌تر می‌شود. در ادامه نمونه‌های این روش را به شما نشان می‌دهیم.
فیشینگ نیزه‌ای
در این روش احتمال دارد ایمیلی دریافت کنید که حاوی نام، مقام، نام شرکت، تلفن محل کار، یا درخواست ارتباط در اسکایپ باشد تا شما را به طور مستقیم در مواجهه با اطلاعات شخصی قرار دهد.
کلاهبرداری از مدیر عامل



این روش کلاهبرداری نوعی از همان فیشینگ نیزه‌ای است، با این تفاوت که در این حالت اطلاعات هویتی مسئول اجرایی یک شرکت از طریق فیشینگ ایمیل، تماس فریبنده یا کلاهبرداری با اسکایپ به دست می‌آید. بعداً از این اطلاعات هویتی برای فعالیت‌های مرتبط با کلاهبرداری استفاده می‌شود. از معروف‌ترین نمونه‌های این روش ایمیلی است که در آن لری پیج گوگل شخصاً به شما خبر می‌دهد که یک قرعه‌کشی رسمی در جریان است.
فشینیگ فضای ابری
از آن‌جایی که در دنیای امروز بسیاری از مردم برای کارهایشان به مجموعه‌های اداری متکی هستند، کلاهبرداری‌های فیشینگ راه خود را به اسناد اشتراکی هم باز کرده‌اند. در گذشته، کلاهبرداری‌های فیشینگ، با گواهینامه‌های SSL در گوگل و Dropbox میزبانی می‌شدند؛ این اتفاق باعث می‌شد این فایل‌ها ۱۰۰ درصد سالم به نظر برسند.
فارمینگ
در این روش ترافیک بدون اطلاع شما از یک سایت معتبر به یک سایت مخرب هدایت می‌شود. اگر اطلاعات شخصی خود را در این سایت‌ها وارد کنید، این اطلاعات به طور مستقیم برای کلاهبرداران فرستاده می‌شود. این صفحات معمولاً به وسیله‌ی لینک‌هایی که در ایمیل‌های فیشینگ فریبنده، چت‌های اسکایپ یا تبلیغات شبکه‌های اجتماعی به اشتراک گذاشته شده به کاربر می‌رسند.

چگونه یک کلاهبرداری فیشینگ سنتی را شناسایی کنیم؟
تا به حال به این فکر کرده‌اید که وقتی به یک مشتری، رئیس یا همکارتان ایمیل می‌زنید چقدر نسبت به املای کلمات و انتخاب واژه‌ها وسواس به خرج می‌دهید؟ حالا تصور کنید که یک شرکت مالی، برای مثال یک بانک، چقدر به برقراری بی‌نقص ارتباطات خود اهمیت می‌دهد.
اگر ایمیلی با شمایل زیر دریافت کردید، می‌توانید مطمئن باشید که این ایمیل از طرف بانک اسکاتلند نیامده است:



اگرچه چیدمان کلی صفحه تقریباً تمیز و خوب است، ولی آدرس ایمیل اشتباه، یا رایانامه‌نگاری متقلبانه (email spoofing)، اولین سرنخی است که به شما می‌گوید یک جای کار می‌لنگد. اگر بزرگ بودن تصادفی حروف موجود در عنوان اصلی ایمیل توجه شما را جلب نکرد، درخواست فوری برای ورود به حساب کاربری و تصحیح اطلاعات باید شک‌تان را برانگیزد.
در هیچ کجای دنیا موسسات مالی از شما نمی‌خواهند تا برای وارد شدن به حساب کاربری خود از سایت‌های شخص ثالث استفاده کنید. اگر ایمیلی مثل مورد بالا دریافت کردید، از یک پنجره‌ی جداگانه به شکل مستقیم با استفاده از وبسایت اصلی و رسمی بانکِ خود وارد بانکداری آنلاین آن شوید. اطلاعیه‌های امنیتی جدید را از آن‌جا بررسی نمایید. ببینید آیا آن‌جا هم چیزی در این رابطه گفته شده یا نه؟ بعید است که چنین چیزی حقیقت داشته باشد.
با توجه به این که در تمام طول روز ما در برابر حجم عظیمی از اطلاعات قرار می‌گیریم، کلاهبردارها از این وضعیت سوء استفاده می‌کنند. چون کم کم نسبت به لینک‌هایی که روزانه روی آن کلیک می‌کنیم بی‌توجه می‌شویم و متوجه نیستیم که داریم اطلاعات‌مان را به چه کسی می‌دهیم.
با به خاطر سپردن مواردی که در زیر ذکر شده، می‌توانید سرنخ‌هایی برای شناسایی ایمیل‌های جعلی داشته باشید:



۱. ایمیلی که به صورت مبهم با عباراتی مثل «مشتری ارزشمند عزیز» یا «مشتری عزیز» شروع شده باشد.
۲. در عنوان ایمیل از زبان تهدیدآمیز و/یا متکی بر اضطراب مثل «حساب شما معلق شد» یا «تلاش غیرمجاز برای ورود به حساب کاربری» استفاده می‌شود.
۳. بدون هیچ دلیلی به شما پول پیشنهاد شود.
۴. ایمیلی که با عقل جور در نیاید.
۵. وقتی به نظر می‌رسد که پیغام از طرف یک سازمان حکومتی باشد.
۶. ایمیل، تماس تلفنی یا درخواست ارتباطی که کاملاً ناخواسته باشد و از طرف شما شروع نشده است.
۷. وقتی از شما خواسته می‌شود تا اطلاعات شخصی خود مثل اطلاعات حساب بانکی یا کارت اعتباری‌تان را برای طرف مقابل بفرستید یا از شما خواسته می‌شود تا با اطلاعات ورود به حساب بانکی خود وارد یک سایت دیگر شوید.
۸. وقتی یک جای کار می‌لنگد. اگر یک پیشنهاد بیش از حد خوب به نظر می‌رسد یا حستان به شما می‌گوید که کاسه‌ای زیر نیم کاسه است، احتمالاً واقعاً همین طور است.
فیشینگ یونیکد
اکنون بگذارید نگاهی به نوار آدرس مرورگری که در تصویر زیر وجود دارد بیاندازیم. اگر از طریق یک ایمیل به این صفحه منتقل شده باشید، احتمالاً متوجه‌ی مشکل نمی‌شوید. آدرس این سایت مثل paypal.com است، نه؟ حالا یکبار دیگر با دقت به آن نگاه کنید.



همان طور که می‌بینید روی یکی از حروف "a" دو نقطه و روی دیگری مَد وجود دارد. این سایت یک سایت جعلی است که من به واسطه‌ی لینکی که درون یک ایمیل وجود داشت به آن منتقل شدم. این روش که به شکل فزاینده توسط تیم آزمایشگاهی ما مشاهده شده یکی از روش‌های رایجی است که با آن کاربر را فریب می‌دهند تا او فکر کند که سایت واقعی است. در این مواقع، با توجه به این که در سیستم‌های نوشتاری مختلف برای حروف یکسان کدهای متفاوتی در نظر گرفته می‌شود، هکر از این قضیه به نفع خود استفاده می‌کند. کلاهبردارها به کمک punycode می‌توانند دامنه‌هایی را ثبت کنند که از نظر ظاهری هیچ تفاوتی با سایت اصلی ندارد.
دلیل این قضیه آن است که این سایت‌ها مثل تصویری که بالاتر گذاشته شده یا صفحات ورودشان کاملاً منطقی به نظر می‌رسد یا آدرس آن‌ها آن قدر طبیعی است که تشخیص جعلی بودن آن به سادگی میسر نمی‌باشد.
با این اوصاف چگونه می‌توانید از خودتان محافظت کنید؟
چگونه از کلاهبرداری‌های فیشینگ جلوگیری کنیم؟

با وجود این که کلاهبرداری‌ها دائماً پیشرفته‌تر می‌شوند، اما با برداشتن چند قدم ساده می‌توانید از حمله‌های فیشینگ جلوگیری کنید.
۱. روی لینک‌هایی که مدعی‌اند از طرف بانک یا سازمان‌های معتمد هستند کلیک نکنید. به خصوص اگر از شما خواسته شد اطلاعات شخصی خود را تایید یا به‌روز نمایید، این موارد را فوراً حذف کنید.
۲. اگر در مورد نام یا عبارت خاصی از یک ایمیل شک دارید، آن را در اینترنت جستجو کنید. بسیاری از کلاهبرداری‌ها با اتخاذ این روش لو می‌روند، چون کاربران معمولاً تجربیات ناگوار خود را در انجمن‌های گفتگوی آنلاین به اشتراک می‌گذارند.
۳. هر سایتی که از شما اطلاعات شخصی‌تان را خواست باید HTTPS داشته باشد. برای رمزنگاری و حفظ ایمنی هویت و اطلاعات مالی کاربران در محیط وب از گواهینامه‌های SSL استفاده می‌شود. اگر در نوار جستجوی مرورگر خود HTTPS را نمی‌بینید، صفحه را ببندید و خودتان به دنبال آدرس ایمن آن سایت بگردید. همیشه به چیزی که در نوار جستجوی مرورگر نوشته می‌شود دقت کنید. دنبال بعضی تناقضات مثل علائمی باشید که نباید وجود داشته باشند و آدرس اینترنتی صفحه را به هم بریزند.
۴. در یک مکالمه‌ی تلفنیِ ناخواسته هرگز اطلاعات شخصی‌تان را فاش نکنید. حتی اگر مطمئن هستید که شخصی که با شما تماس گرفته واقعاً از طرف بانک است، خودتان مستقیماً با شماره‌ای که در وبسایت رسمی بانک قرار دارد تماس بگیرید. اگر واقعاً خودشان با شما تماس گرفته باشند، تایید می‌کنند و دلیل آن را می‌گویند. هرگز با شماره‌ای که با شما تماس گرفته به طور مستقیم تماس نگیرید.
۵. کلاهبرداری‌ها را همیشه به کارگروه ضد فیشینگ گزارش کنید تا کسانی که به همان مدل کلاهبرداری دچار شده‌اند، بتوانند به صورت آنلاین در مورد آن اطلاعات کسب کنند.
همان طور که دیدید، بعضی‌ها از هر روشی برای دزدیدن پولی که با زحمت به دست آورده‌اید استفاده می‌کنند. مرز بین فیشینگ اطلاعات و کلاهبرداری با اهداف مالی از بین رفته است. اما هیچ گاه نترسید. چون شما همه‌ی چیزهایی که برای شناسایی حملات فیشینگ لازم است را می‌دانید. فقط باید حواستان را جمع کنید و همه چیز را بررسی نمایید تا از آلودگی در امان بمانید. حالا که فهمیدید باید به دنبال چه چیزی باشید، حتی می‌توانید بقیه را برای مقابله با این خطر آگاه کنید!

روز خوبی (بدون کلاهبرداری) داشته باشید!


منبع:
امسی‌سافت



https://www.cyberpolice.ir/learning/95431