فیشرها در کمین ناآگاهی کاربران

عمده‌ترین علت گسترش فیشینگ ناآگاهی کاربران از وجود چنین کلاهبرداری‌هایی است. فیشینگ تهدیدی بزرگ برای تمام دنیاست و هر سال با روش‌های مختلف و جدیدتری در حال گسترش است. در سال۲۰۲۱ تحقیقات شرکت امنیت سایبری تسیان (Tessian) نشان داد که کارکنان سازمان‌ها به‌طور متوسط ۱۴ ایمیل مخرب در سال دریافت می‌کنند. همچنین شرکت فناوری سیسکو (Cisco) نشان می‌دهد که حداقل یک نفر در حدود ۸۶ درصد از سازمان‌ها روی لینک‌های فیشینگ کلیک کرده است و همچنین این آمار حاکی است که فیشینگ در زمان تعطیلات به اوج خود می‌رسد.

۹۶درصد حملات فیشینگ با ایمیل انجام می‌شود و ۳درصد دیگر از مسیر وبگاه‌های مخرب و فقط ۱درصد با تلفن انجام می‌شود. استفاده از تلفن برای فیشینگ، ویشینگ (Vishing) و استفاده از پیام متنی اسمیشینگ (Smishing) نامیده می‌شود. البته باید توجه داشته باشیم که آمار دقیقی از حملات در ایران وجود ندارد و این آمار صرفا برای خارج از ایران برآورد شده است.

رایج‌ترین روش‌های فیشینگ و راهکار‌های مقابله با آن

ایمیل از طرف فردی که ادعا می‌کند دوست یا همکار شما‌ست که امکان دارد شامل پیوست باشد یا نباشد؛ در صورت اطمینان نداشتن از نشانی ایمیل فرد مورد نظر، روی آن کلیک نکنید.

پیام یا تبلیغ در شبکه‌های اجتماعی که رایج‌ترین آن در ایران ارسال پیام پیشنهاد کار با درآمد دلاری یا یورویی است (با توجه به شرایط اقتصادی و نیاز مردم) که از شما می‌خواهد یا روی لینک ارسالی کلیک کنید یا نرم‌افزاری را نصب کنید که تماما کلاهبرداری است.

وب‌سایتی قلابی که برای امور خیریه تقاضای کمک می‌کند که از شما می‌خواهد روی لینک پرداخت کلیک کنید؛ لطفا قبل از کلیک کردن، از داشتن گواهینامه SSL و درگاه یکپارچه پرداخت شاپرک اطمینان حاصل کنید.
پیام‌های کوتاه تبلیغاتی تلفن همراه؛ در این روش برای شما از شماره‌های شخصی، لینک‌هایی به‌ظاهر مرتبط با سامانه‌های ثبت شکایات، ثنا، پلیس‌راهور و‌... ارسال می‌شود. تمام لینک‌های ارسالی با شماره شخصی، فیشینگ بوده و زمانی که به‌دلیل آگاهی نداشتن روی لینک مورد نظر کلیک می‌کنید، ممکن است اطلاعات هویتی و شماره کارت‌تان تقاضا شود، یا بدافزاری روی‌گوشی‌تان نصب شود؛ معمولا این نرم‌افزار خطا می‌دهد و شما فکر می‌کنید نصبش موفقیت‌آمیز نبوده، ولی در داخل گوشی به‌صورت غیرقابل مشاهده یا مخفی نصب شده است و دسترسی‌های پیامک و مخاطبان را از شما گرفته و به محض اولین پرداخت شما، اطلاعات کارت شما را برمی‌دارد و درخواست رمز پویا می‌دهد. سپس حساب شما را خالی کرده و پیامک گوشی شما را پاک می‌کند و به‌صورت تصادفی برای بقیه مخاطبان شما ارسال می‌کند تا بتواند به این چرخه ادامه دهد.

تمام حملات فیشینگ نیازمند وبگاه قلابی نیست. پیام‌هایی که ظاهرا از طرف بانک فرستاده شده و از کاربر می‌خواهد تا مثلا به‌دلیل وجود ایراد در حساب‌شان، شماره خاصی را شماره‌گیری کنند نیز می‌تواند حمله فیشینگ باشد. بعد از گرفتن شماره (که متعلق به فیشر است و با سرویس صدا از طریق آی‌پی مهیا شده است)، از کاربر خواسته می‌شود تا شماره حساب، شماره کارت یا رمز دوم خود را وارد کند.

داده‌های در معرض خطر در حملات فیشینگ
۱ـ اعتبار (رمز عبور، نام کاربری)
۲ـ اطلاعات شخصی (نام، آدرس، آدرس ایمیل، شماره‌حساب، رمز پویا)
۳ـ پزشکی (اطلاعات درمان، مطالبات بیمه)
برای جلوگیری از حملات فیشینگ بهترین راهکار استفاده از ابزار‌های ضد‌فیشینگ معتبر برای هر کشور است. در آخر با پیشرفت فناوری، خطرات این حوزه نیز بیشتر شده‌است و برای جلوگیری از این خطرات نیازمند این هستیم که هم‌زمان با استفاده از فناوری‌های جدید، راهکار‌های امنیتی آن را نیز آموزش ببینیم.

روزنامه جام جم