انواع کلاهبرداری مبانی امنیت

فیشینگ یعنی چه؟ و ماهی‌گیران اینترنتی چطور اطلاعات خصوصی‌مان را صید می‌کنند؟

به نظرتان چه طمعه‌ای خوشمزه‌تر است؟
مردی کنار دریا، که قلاب ماهیگیری در دست دارد
شایان ضیایی
زمان مطالعه ۱۲ دقیقه

فهرست:

بازگشت به بالای صفحه

ماهی‌گیرها خوب می‌دانند که برای گرفتن ماهی، نیاز به طعمه‌ای خوش‌رنگ‌ولعاب و وسوسه‌برانگیز دارند. این طعمه شاید یک وعده غذای رایگان برای ماهی‌ها باشد، اما درست به محض بلعیده شدن، تبدیل به بزرگ‌ترین بلای جان آن‌ها می‌شود. 

در جهان اینترنت هم کلاه‌بردارانی داریم که دقیقا مثل ماهی‌گیران حرفه‌ای رفتار می‌کنند. آن‌ها پیام‌ها، ایمیل‌ها و سایت‌هایی با ظاهر معتبر و فریبنده می‌نویسند و می‌سازند و از آن‌ها به عنوان طعمه‌ استفاده می‌کنند.

 این شگرد که «Phishing» (یا «فیشینگ» به معنی «ماهی‌گیری») نام دارد، یکی از رایج‌ترین روش‌های کار کلاه‌برداران به حساب می‌آید و می‌توان با قطعیت گفت که تقریبا همه ما با آن روبه‌رو شده‌ایم. 

فیشینگ یعنی چی؟

کلمه «فیشینگ» به معنی ارسال پیام‌هایی جعلی و کلاه‌بردارانه است که انگار از منابع معتبر و قابل اطمینان ارسال شده‌اند. برای مثال همچین پیام‌هایی را ممکن است از طریق ایمیل، پیامک و یا حتی تماس تلفنی خودکار دریافت کنید.

کلاه‌برداری که این پیام‌های به ظاهر معتبر را ارسال می‌کند یا به دنبال سرقت پول است، یا نصب انواع بدافزار روی موبایل و کامپیوتر شما و یا دستیابی به اطلاعات خصوصی و ارزشمندتان. بنابراین در حالی که ممکن است پیامک‌های دروغین را آنقدرها جدی نگیرید و به سادگی از کنارشان رد شوید، فیشینگ یکی از خطرناک‌ترین و آسیب‌رسان‌ترین روش‌های کلاه‌برداری و حمله سایبری به حساب می‌آید.

چرا مردم فریب فیشینگ را می‌خورند؟

کسی که فیشینگ را به عنوان فعالیت مجرمانه انتخاب کرده، معمولا هم با تکنولوژی آشنا است و هم تکنیک‌های متقاعدسازی. او پیام‌هایی دروغین می‌نویسد و سایت‌هایی جعلی می‌سازد که در حالت ایده‌آل (البته ایده‌آل برای او)، بسیار معتبر و متقاعدکننده جلوه می‌کنند. 

در واقع فیشینگ به این خاطر موثر است که از آسیب‌پذیری‌های ذاتی انسان بهره‌برداری می‌کند. از جمله این آسیب‌پذیری‌ها می‌شود به تمایل به اعتماد به دیگران، کنجکاوی نشان دادن یا واکنش عاطفی به وقایع ناگهانی اشاره کرد.

 از طرف دیگر، مجرمانی حرفه‌ای داریم که ابزارهای از پیش آماده برای پیاده‌سازی حمله فیشینگ را به سایر مجرمان می‌فروشند. این را نیز نباید فراموش کرد که همین حالا بی‌نهایت دیتابیس کلان از اطلاعات تماس و ایمیل کاربران اینترنت وجود دارد که کلاه‌بردار می‌تواند با کمترین دردسر، پیام‌های جعلی خود را برای همه آن‌ها بفرستد. 

برای شروع، ایمیل یا پیامکی به ظاهر بی‌آزار به دست‌تان می‌رسد که از شما می‌خواهد دست به کاری به‌خصوص بزنید، مثلا:

  • وارد سایتی آلوده شوید
  • فایلی را دانلود کنید که در واقع بدافزار است
  • اطلاعات خصوصی خود را برای کلاه‌بردار بفرستید
    • اطلاعات خصوصی به معنی هر چیزی است که دلیلی ندارد به دست غریبه‌ها بیفتد. بنابراین چیزهایی مانند «کد ملی»، «شماره موبایل»، «نام و نام خانوادگی»، «آدرس»، «شماره کارت بانکی» و حتی نام‌های کاربری شما در سطح اینترنت، همگی داده خصوصی به حساب می‌آیند. 

اما با پیامی ساده مثل «لطفا اطلاعات خصوصیت رو برام بفرست، ممنون و متشکر!» نمی‌شود مردم را گول زد. پس کلاه‌بردار روی احساساتی دست می‌گذارد که می‌توانند واکنش‌های فکر نشده به همراه بیاورند. او روی احساساتی مثل نگرانی، عصبانیت، خوشحالی یا کنجکاوی دست می‌گذارد و به شما می‌گوید که فرصت کمی دارید تا یا خودتان را از فلان مصیبت نجات دهید یا فلان جایزه را دریافت کنید.

مثال‌های زیر، تنها برخی از هزاران ترفندی هستند که کلاه‌برداران برای تحت فشار گذاشتن قربانیان خود به کار می‌بندند:

  • سایتی که می‌گوید برنده جایزه ۱۰۰ درصد تخفیف خرید یک ساعت‌ مچی لوکس شده‌اید، اما برای دریافت این جایزه فرصت کمی دارید.
    • کلاه‌بردار روی این حساب باز می‌کند که از فرط خوشحالی از اینکه بالاخره شانس در خانه‌تان را زده، به سرعت اطلاعات خصوصی خود را تحویل او می‌دهید و یا حاضر به پرداخت «هزینه بسته‌بندی و ارسال» جایزه خود خواهید شد. البته که به محض پرداخت پول، دیگر هیچ راهی برای ارتباط با او نخواهید داشت.
  • پیامی که ظاهرا از طرف سازمانی معتبر ارسال شده و به شما می‌گوید برای جلوگیری از مسدود شدن حساب خود، باید روی یک لینک کلیک کنید یا اطلاعات حساب را در پاسخ بفرستید.
    • کلاه‌بردار می‌خواهد شما را وحشت‌زده کند و نگرانی راجع به از دست رفتن حساب، به ارائه فکر نشده اطلاعات خصوصی منجر شود.
  • تماسی تلفنی از طرف کسی که خود را نماینده یک شرکت یا بانک معرفی می‌کند و از شما می‌خواهد به چند سوال راجع به خدمات دریافتی و همینطور حساب شخصی خود پاسخ دهید.
    • کلاه‌بردار ممکن است برخوردی بسیار دوستانه داشته باشد و لابه‌لای سوالاتی که به ظاهر چیزی فراتر از نظرسنجی سازمانی نیستند، سوالاتی هدفمند بپرسد و شما را به ارائه ناخواسته اطلاعات خصوصی سوق دهد. 

چرا فشینگ اینقدر فراگیر است و کلاه‌بردار چه انگیزه‌ای دارد؟

انگیزه پشت حملات فیشینگ می‌تواند کاملا متغیر باشد، اما اکثر کلاه‌برداران می‌خواهند به اطلاعات خصوصی و ارزشمند شما دسترسی پیدا کنند یا اطلاعات ورود به حساب‌های آنلاین شما را بیابند.

بعضی از مجرمان هم صرفا با دستیابی به اطلاعات شخصی یا اطلاعات بانکی شما راضی نمی‌شوند و تا حساب بانکی یا کیف پول رمز ارز شما را خالی نکنند، از کار خود دست نمی‌کشند. در چنین سناریوهایی، روش‌های گوناگون فیشینگ مثل «فیشینگ صوتی» (Voice Phishing | Vishing) و «اسمیشینگ» (SMS Phishing | Smishing) به صورت موازی به کار بسته می‌شوند تا قربانی راحت‌تر فریب بخورد.

از آن‌جا که مردم معمولا به سرعت وحشت می‌کنند و هول می‌شوند، به هیچ وجه بعید نیست که با چند پیام و تماس باورپذیر، اطلاعات بسیار خصوصی را تحویل مجرم دهند. کلاه‌برداران کارکشته هم معمولا سراغ افراد سالمند یا جوان‌تر می‌روند و سعی دارند بیشترین نفع را از کم‌آگاهی افراد آسیب‌پذیر ببرند. 

همین موضوع راجع به فیشینگ در محیط سازمانی هم صدق می‌کند. برای مثال کارمندان تازه‌وارد یا اعضای واحد مالی شرکت معمولا آسیب‌پذیرترین افراد سازمان به حساب می‌آیند و کلاه‌برداران با هدف قرار دادن آن‌ها، شانس خود را برای دسترسی به اطلاعات خصوصی یا سرقت پول افزایش می‌دهند. 

فیشینگ نیزه‌ای: نوعی خطرناک‌تر از حمله

حملات فیشینگ معمولا به صورت اتفاقی پیش می‌روند. یعنی کلاه‌بردار پیام دروغین خود را برای صدها و بلکه هزاران نفر می‌فرستد و سپس منتظر می‌ماند تا برخی از آن‌ها در دام بیفتند. این رویه اگرچه شانس پیدا کردن قربانی را بالا می‌برد، اما دردسرهای فراوان برای کلاه‌بردار دارد و او دقیقا نمی‌داند که شخص فریب‌خورده، طعمه‌ای واقعا چرب و نرم است یا خیر. 

کلاه‌بردار و مجرم کارکشته‌تر، به جای اینکه تلاشی همگانی برای فریب دادن داشته باشد، وقت بیشتری روی شناسایی قربانیان بالقوه می‌گذارد. برای مثال او ممکن است شخصی ثروتمند را در اینستاگرام بیابد و سپس با بررسی پست‌ها و افکار او، پیامی کاملا شخصی‌سازی‌شده بنویسد و برای او بفرستد. 

به این کار، «فیشینگ نیزه‌ای» یا «Spear Phishing» گفته می‌شود. در واقع به جای اینکه کلاه‌بردار توری بزرگ برای به دام انداختن صدها ماهی پهن کند، نیزه به دست می‌گیرد و ماهی‌ها را یک به یک شکار می‌کند. 

یک مثال می‌زنیم: فرض می‌کنیم کلاه‌بردار متوجه شده با شخصی ثروتمند، اما تنها و افسرده روبه‌رو است که ناامیدانه به دنبال یک رابطه عاطفی بی‌نقص می‌گردد. در این حالت او پیام‌هایی کاملا فکر شده و سازگار با چارچوب ذهنی قربانی می‌نویسد و شروع به گفتگو با او می‌کند. اگرچه کلاه‌بردار باید گاهی چند ماه به نقش بازی کردن ادامه دهد، اما می‌داند که عایده نهایی، ارزش این سرمایه‌گذاری زمانی را خواهد داشت. 

برای مثال این همان اتفاقی بود که برای زنی فرانسوی به نام آنه افتاد. او که فکر می‌کرد با برد پیت (بازیگر سرشناس هالیوود) وارد رابطه عاطفی شده، نزدیک به یک میلیون دلار به حساب کلاه‌برداران انتقال داد، آن هم به این خیال که در حال کمک کردن به بازیگری است که نمی‌تواند از پس هزینه‌های درمان خود در بیمارستان برآید. 

چه افرادی هدف فیشینگ قرار می‌گیرند؟

متاسفانه هیچکس از حملات فیشینگ در امان نیست. اکثر حملات فیشینگ به شکل همگانی پیش می‌روند و پیام‌های جعلی برای هزاران ایمیل یا شماره تلفن مختلف ارسال می‌شوند. دقیقا به همین دلیل ضروری است که همه افراد با تکنیک‌های کلاه‌برداران آشنا باشند و هر زمان که احساس کردند تحت فشار روانی یا زمانی قرار گرفته‌اند، اندکی مکث کنند و به پیامد‌های تصمیمات خود بیندیشند. 

تاثیر هوش مصنوعی بر فیشینگ

اولین مثال‌های ثبت شده از حملات فیشینگ، چند دهه پیش و در اتاق‌های گفتگو آنلاین (یا به اصطلاح «چت‌روم‌ها») اتفاق افتاد. از آن زمان به بعد، کلاه‌برداری‌های فیشینگ فقط پیچیده و پیچیده‌تر شده‌اند و گاهی اوقات هم تبعاتی فاجعه‌بار به همراه آورده‌اند. 

متاسفانه در گذر زمان، هوش مصنوعی قرار است به اثرگذاری و پیچیدگی هرچه بیشتر این حملات کمک کند. برای مثال هوش مصنوعی می‌تواند پیام‌های بسیار شخصی‌سازی‌شده بنویسد. فرض کنیم مجرمان اطلاعاتی راجع به یک فرد یا گروهی از افراد گردآوری کرده‌اند و می‌خواهند حمله‌ای فکرشده و هدفمند ترتیب دهند. 

هوش مصنوعی می‌تواند این اطلاعات را عمیقا بررسی کند و پیام‌های فیشینگ ماهرانه بنویسد. این پیام‌ها ظاهری شبیه به پیام‌های رسمی و معتبر خواهند داشت، عاری از ایرادات نگارشی هستند و حتی بار روان‌شناختی بیشتری نسبت به پیام‌هایی دارند که توسط خود کلاه‌بردار نوشته شده‌اند. 

چطور گرفتار کلاه‌برداری‌های فیشینگ نشویم؟

برای اینکه بتوانید به شکلی موثر کلاه‌برداری‌های فیشینگ را تشخیص دهید، هم نیاز به افزایش آگاهی خود دارید و هم استفاده از تمام ابزارهای در دسترس. ترفندهای موثر زیر را با دقت بخوانید و فراموش‌شان نکنید:

  • از مطالعه دست نکشید: با گذشت هر روز، کلاه‌برداران روش‌های جدید برای فریب دادن شما می‌یابند و اگر تکنیک‌های جدید را نشناسید، به سادگی گرفتار می‌شوید. بنابراین از مطالعه نوشدارو و باقی منابع معتبر دست نکشید تا هر خطر نوظهوری را بیاموزید.
  • قبل از کلیک روی لینک‌ها، اندکی مکث کنید: کلیک کردن روی لینک‌ سایت‌های معتبر ایرادی ندارد. اما کلیک کردن روی لینک‌های ناشناسی که از طریق ایمیل، پیامک یا پیام خصوصی دریافت می‌کنیم آنقدرها خردمندانه نیست. گاهی اوقات لینک‌های آلوده، در پوشش لینک‌های معتبر مقابل چشم‌مان قرار می‌گیرند. بسیار مهم است که روش‌های شناسایی لینک‌های آلوده را بدانیم و تا جای ممکن، آدرس سایت‌های مورد نظرمان را دستی وارد کنیم. 
  • از تمام ابزارهای موجود کمک بگیرید: اکثر مرورگرهای اینترنتی محبوب، از انواع افزونه‌ها (Extensions) و پلاگین‌هایی (Plugins) پشتیبانی می‌کنند که توانایی‌های برنامه را گسترش می‌دهند. برای مثال افزونه‌هایی برای شناسایی سایت‌های مخرب داریم که از ورود شما آن‌ها جلوگیری می‌کنند. 
  • امنیت سایت‌ها را خودتان بررسی کنید: هر زمان قرار است خریدی اینترنتی داشته باشید، باید مراقب باشید که اطلاعات خود را در سایتی جعلی وارد نکنید. قبل از وارد کردن هر اطلاعاتی، مطمئن شوید آدرس سایت با عبارت «https» آغاز شود و یک علامت قفل سبز رنگ نیز کنار آن باشد. در مراحل بعدی می‌توانید گواهی‌های امنیتی سایت را هم بررسی کنید. اگر مرورگرتان هشداری مبنی بر مشکوک بودن سایت‌ها و فایل‌های در حال دانلود می‌دهد، آن‌ها را باز نکنید. این را هم در نظر داشته باشید که حتی موتورهای جستجو هم ممکن است شما را مستقیما به سایت‌های فیشینگ هدایت کنند. بنابراین به هیچ چیزی جز دانش و غریزه خود اعتماد نکنید. 
  • حواس‌تان به حساب‌های آنلاین قدیمی‌تر هم باشد: اگر چند وقتی به حساب خود در فلان شبکه اجتماعی سر نزده‌اید، بعید نیست که به زمین بازی هکرها و مجرم‌ها تبدیل شده باشد. حتی اگر نیازی به حساب‌های آنلاین خود ندارید، هر از گاهی به آن‌ها سر بزنید و تغییر دادن گاه و بیگاه رمزهای عبور را به عادتی جدید تبدیل کنید. برخی از اپلیکیشن‌ها (مثل تلگرام) اجازه می‌دهند تمام دستگاه‌های متصل به حساب خود را نیز ببینید. پس هر از گاهی به تنظیمات سر بزنید و به دنبال موبایل‌ها یا کامپیوترهای مشکوکی بگردید که ممکن است به حساب متصل شده باشند.
  • مرورگر و برنامه‌های ضروری را آپدیت نگه دارید: اپلیکیشن‌های محبوبی مانند مرورگرها و شبکه‌های اجتماعی، دائما به‌روزرسانی می‌شوند تا نواقص و آسیب‌پذیری‌ها از بین بروند. اگر از نسخه‌های قدیمی این برنامه‌ها استفاده کنید، همچنان در معرض این آسیب‌پذیری‌ها خواهید بود و کار را برای مجرم‌ها آسان می‌کنید. بنابراین اندکی وقت بگذارید و تمام اپلیکیشن‌ها را به صورت هفتگی یا ماهانه به‌روزرسانی کنید. 
  • فایروال را جدی بگیرید: فایروال مثل زره‌ای جداگانه‌ای است که تن کامپیوتر و شبکه اینترنت خود می‌کنید. فایروال کامپیوتر به شکل نرم‌افزاری پیاده می‌شود و فایروال شبکه به صورت سخت‌افزاری. در صورتی که هر دو فایروال را همزمان به کار ببندید، کار را به مراتب برای هکرها و ماهی‌گیران دشوارتر می‌کنید. 
  • مراقب «پاپ‌آپ‌های اینترنتی» باشید: منظور از «پاپ‌آپ»، پنجره‌هایی است که به صورت ناگهانی درون سایت‌ها یا کامپیوتر باز می‌شوند و ظاهری معتبر دارند. اما علی‌رغم این ظاهر فریبنده، اکثرا برای فیشینگ طراحی شده‌اند. خبر بد اینکه هکرها می‌توانند چنین پاپ‌آپ‌هایی را درون سایت‌های معتبر نیز تزریق کنند. بنابراین تا زمانی که از اعتبار ۱۰۰ درصدی آن‌ها مطمئن نشده‌اید، روی هیچ گزینه‌ای درون پنجره مرورگر کلیک نکنید. 
  • به راحتی اطلاعات خصوصی خود را وارد نکنید: به عنوان یک قاعده کلی، هیچوقت نباید اطلاعات خصوصی یا مالی را جایی وارد کنید و برای کسی بفرستید. هر زمان که ذره‌ای احساس نگرانی کردید، با پشتیبانی شرکت یا فروشگاه مورد نظر تماس بگیرید. برای مثال هیچ شرکت و سازمان معتبری، لینک‌های حساس را برای شما ایمیل نمی‌کند و لینک‌های منتهی به فرم اطلاعات خصوصی، تقریبا همیشه فیشینگ هستند. بررسی آدرس سایت را به عادت جدیدتان تبدیل کنید و فراموش نکنید که آدرس سایت‌های ایمن با «https» شروع می‌شود. 

اگر بگویید توجه به تمام این نکات و فراموش نکردن‌شان دشوار است، حق را کاملا به شما می‌دهیم. دقیقا به همین دلیل، ایمنی در اینترنت و محافظت از حریم شخصی صرفا راجع به دنبال کردن چند ترفند و کلک نیست.

برای محافظت حقیقی از خود، لازم است نکاتی که خواندید را درونی‌سازی کنید و کنترل احساسات را یاد بگیرید. از طرف دیگر، ابزارهایی که برای محافظت از شما طراحی شده‌اند را دست کم نگیرید، راجع به آن‌ها بخوانید و از آن‌ها استفاده کنید. به مرور، تمام این نکات را به اطرافیان، دوستان و اعضای خانواده هم بیاموزید و آن‌ها را به مطالعه نوشدارو ترغیب کنید!

پست‌های مرتبط

مطالب پرنگاه

نوشدارو NooshDaroo
راهنمای والدین

راهنمای جامع استفاده از موبایل، تبلت و تلویزیون برای کودک و نوجوان: سن شروع، مدت‌زمان مناسب و راهکارهای مدیریت

برخی والدین، سرگرم کردن کودکان با موبایل و تبلت را به عنوان راهکاری ساده در بچه‌داری انتخاب می‌کنند، اما نمی‌دانند این چه ستمی در حق‌ او است…

زمان مطالعه ۱۵ دقیقه
نوشدارو NooshDaroo
نوشدارو NooshDaroo
نوشدارو NooshDaroo
نوشدارو NooshDaroo

ویدیوهای نوشدارو

ویدیو های بیشتر

حکایت‌های کوتاه، حقیقت‌های بزرگ

در این بخش، به بررسی دقیق و جامع نشانه‌ها و رفتارهایی می‌پردازیم که ممکن است به کلاهبرداری آنلاین مرتبط باشند. شناخت این موارد می‌تواند به شما کمک کند.

ویدیو های بیشتر
ویدیو های بیشتر
×

منابع