حمله‌ی فیشینگ چیست و چگونه در برابر آن ایمن بمانیم؟

کلمه‌ی Phishing برگرفته از عبارت Password Harvesting Fishing به معنای “به درست آوردن گذرواژه از طریق طعمه” می‌باشد و نوعی از حملات مبتنی بر مهندسی اجتماعی بوده که در آن حمله‌کننده با فریب دادن هدف (تارگت) اطلاعات حساس و مهمی مانند رمزهای عبور، اطلاعات کارت‌های بانکی، اطلاعات شخصی حساس و… هدف یا اهداف مورد نظر خود را به‌دست می‌آورد.

در این مقاله از همیار آی‌تی در ابتدا اندکی با مهندسی اجتماعی آشنا شده و در ادامه حملات فیشینگ، انواع آن‌ها و روش‌های محافظت از اطلاعات خود در برابر این گونه حملات را بررسی خواهیم کرد، در پایان نیز چند تکنیک مهم برای حفاظت از کلمات عبور خود یاد می‌گیریم و روشی را با هم بررسی می‌کنم که با استفاده از آن می‌توانید کلمات عبور ایمن و مطمئن برای خود بسازید.

مهندسی اجتماعی چیست؟

به زبان ساده، توانایی به‌دست آوردن اطلاعات حساس افراد با استفاده از روابط عاطفی، اجتماعی و روان‌شناسی انسان‌ها، بدون استفاده از روش‌های مستقیم هک و نفوذ را مهندسی اجتماعی یا Social Engineering می‌گویند.

به عنوان مثال فرض کنید فردی با ادعای اینکه پشتیبان بخش آی‌تی یک سازمان است، با استفاده از شیوه‌های ارتباط انسانی یکی از کارمندان شرکت را فریب داده و اطلاعات ورود به سیستم‌های شرکت را به دست آورده و بدین ترتیب بدون نیاز به به‌کارگیری تکنیک‌های فنی هک به راحتی کنترل سیستم را در دست میگیرد، برای مثال به گفتگوی رد و بدل شده در تماس تلفنی زیر توجه کنید:

مهاجم: سلام، وقتون بخیر، بنده حسینی، مسئول آی‌تی شرکت هستم، ما درحال ارتقای سیستم‌ها هستیم، لطفا کلمه‌ی عبور خودتون رو به newsystem123 تغییر بدید و ضمنا تا ۱ ساعت وارد سیستم نشید.

کارمند: سلام، خوب هستید آقای حسینی، من الان در حال ارسال یک فایل هستم، امکان داره، ۱۰ دقیقه‌ی دیگه این‌کار رو انجام بدم؟ راستی چند وقتی‌ هست، فلش مموری من داخل کامپیوترم باز نمیشه، میتونم از شما بخوام اون رو هم برای من درست کنید؟

مهاجم: اوه، بله، شما را درک میکنم، اشکالی نداره، چند دقیقه‌ی دیگه ارتقای سیستم رو انجام میدیم تا کار شما هم تمام شده باشه، در مورد فلش مموری هم، بله با کمال میل ‌:) لطفا اسمتون رو به من بگید تا در فرصت مناسبی بیام و مشکلتون رو حل کنم، فرمودید شما آقای؟

کارمند: واقعا ممنون از همکاری شما، من سامانی هستم، راستی شرکت ارتقای سیستم‌ها رو به من اطلاع نداده بود، ولی به هرحال ممنون که برای من صبر میکنید.

مهاجم: خواهش می‌کنم جناب سامانی عزیز ‌ 🙂 پس شما رمز رو تغییر بدید، من هم تا ۱۰ دقیقه‌ی دیگه ارتقای سیستم رو شروع میکنم، راستی گفتید نام کاربریتون چی بود؟

کارمند: واقعا متشکرم ازتون، اسم کاربریم، فامیلیم هست: samani

مهاجم: آهان، ممنون ‌ 🙂

همانگونه که در گفتگوی بالا دیدید، مهاجم به راحتی و با فریب کارمند شرکت، کلمه‌ی عبور او را به‌دست آورد و از کارمند خواست تا رمزعبور خود را مطابق خواسته‌ی وی تغییر دهد.

به عبارتی مهندسی اجتماعی کاملا به فریب دادن افراد مبتنی بوده و روشی ناجوان‌مردانه به شمار میرود، از این‌رو لازم است به منظور حفظ اطلاعات مهم خود یا دیگران با هوشیاری کامل ارتباطات اطراف خود را زیر نظر داشته باشیم.

مهاجمی که قصد دارد با روش مهندسی اجتماعی به سؤ استفاده بپردازد، در حقیقت باید ۳ مرحله را پشت سر بگذارد، که عبارتند از:

• تحقیقات اولیه
• جلب اعتماد هدف
• به‌دست آوردن اطلاعات

یک هکر مبتنی بر مهندسی اجتماعی با طی کردن مراحل بالا می‌تواند به راحتی اطلاعات مورد نظر خود را به‌دست آورده و در ادامه اقدام به سؤ استفاده از آن‌ها بپردازد، در حقیقت خود فرد قربانی بدون هیچ اطلاعی این موارد را در اختیار مهاجم قرار داده.

تکنیک‌های مختلفی برای انجام این‌گونه حملات (مبتنی بر مهندسی اجتماعی) وجود دارد، در این مقاله قصد داریم حملات فیشینگ را مورد بررسی قرار دهیم.

فیشینگ (Phishing) چیست؟

فیشینگ یکی از تکنیک‌های رایج در مهندسی اجتماعی است که در آن هکر با استفاده از جعل صفحات وب، تماس‌ها، ایمیل‌ها و… سعی در فریب کاربر و ‌به‌دست‌آوردن اطلاعات حساس وی، شامل نام‌های کاربری، کلمات عبور، اطلاعات حساب بانکی و… دارد، به زبان ساده‌تر می‌توان فیشینگ را نوعی سرقت آنلاین به حساب آورد.

همانطور که گفتیم، فیشینگ نوعی از حملات مبتنی بر مهندسی اجتماعی می‌باشد، در این گونه حملات، هکر، که در اینجا Phisher نامیده می‌شود هیچ‌گونه نفوذی به صورت فنی انجام نمیدهد، بلکه با جعل صفحات وبسایت‌ها، ارسال ایمیل‌، تماس‌های تلفنی، پیامک و… اطلاعات حساس و مهم هدف مورد نظر خود را به‌دست آورده و به راحتی به سیستم نفوذ میکند، در حقیقت کاربر خودش بدون اینکه متوجه جعلی بودن این موارد باشد اطلاعات مورد نیاز هکر (فیشر) را در اختیار وی قرار می‌دهد.

راهکارهای متفاوتی برای انجام یک حمله‌ی فیشینگ وجود دارد، که برخی از معروف‌ترین آنها عبارتند از:

• وبسایت‌‌های جعلی
• ایمیل‌‌های فیشینگ
• بد افزارهای فیشنگ
• فیشینگ از طریق پیام
• تماس‌های تلفنی ساختگی
• به‌کارگیری رخنه‌های امنینی
• فیشینگ از طریق تغییر لینک

چگونه در برابر حملات فیشینگ ایمن بمانیم؟

سعی کنید، همیشه قبل از وارد کردن اطلاعات حساس خود در یک وبسایت، آدرس URL آن که در آدرس‌بار مرورگز نوشته شده است را به درستی بررسی کرده و از صحت آن اطمینان حاصل کنید، هر لحظه این موضوع را به یاد داشته باشید که شاید سایتی که در حال دیدن آن هستید واقعا آن چیزی نیست که به دنبالش بوده‌اید و امکان جعلی بودن آن وجود دارد، بنابراین همیشه آدرس سایت را به دقت بررسی کرده و به این موضوع توجه داشته باشید که امکان دارد سایت تقلبی و سایت واقعی تنها در یک حرف با هم تفاوت داشته باشند.

به عنوان مثال دامنه‌ی (Hamyarit.com) را در نظر بگیرید، یک فیشر می‌تواند دقیقا چنین سایتی را با آدرسی مانند (Hamyiarit.com) یا هر آدرس مشابه دیگری در اختیار شما قرار دهد، در صورتی که با دقت آدرس را بررسی نکنید و اطلاعات حساسی را در سایت جعلی وارد کنید ، دچار دردسر بزرگی خواهید شد!

همیشه سعی کنید قبل از اینکه لینکی را باز کنید به دقت آدرس آن‌را بررسی کنید، به عنوان مثال آدرس https://www.yahoo.com را در نظر بگیرید، در ظاهر شما آدرس یاهو را می‌بینید، اما اگر روی لینک کلیک کنید وارد وبسایت گوگل خواهید شد!

به عنوان مثالی دیگر تصویر زیر را ببینید:

برای بررسی این موارد کافیست، قبل از کلیک کردن روی لینک‌ها موس خود را روی آن‌ها نگاه دارید، گوشه‌ی پایین مرورگر آدرس لینکی که موس روی آن قرار گرفته را برای شما نمایش میدهد.

همیشه قبل از وارد کردن اطلاعات حساس و مهم خود آدرس صفحه و دامنه‌ی سایت را به دقت بررسی کنید، به خصوص در درگاه‌های پرداخت اینترنتی، صفحات لاگین و هرجایی که قرار است اطلاعاتی حساس را در آن وارد کنید.

سعی کنید تا زمانی که به یک ایمیل یا پیام اطمینان ندارید و از صحت ارسال کننده‌ی آن مطمئن نیستید، به هیچ وجه روی لینک‌های موجود در پیام کلیک نکرده و پیوست‌های آن‌را دانلود نکنید.

همیشه برنامه‌های تلفن همراه خود را از فروشگاه‌های رسمی آن‌ها دانلود کنید (Play Store برای اندروید و App Store برای آی‌او‌اس) در غیر این‌صورت احتمال آلوده شدن دستگاه شما به بدافزار وجود خواهد داشت.

آیا شما نیز تا به‌حال با چنین مواردی برخورد داشته‌اید؟ نظرات و تجربیات خود را در بخش دیدگاه‌ها با ما در میان بگذارید، مطمئنا تجربیات شما کمک می‌کند تا سایر کاربران با روش‌های متنوع فیشینگ آشنا شده و کمتر تحت خطر یا سؤ استفاده‌ی این گونه حملات قرار بگیرند.

۸ نکته‌ی مهم‌ که برای انتخاب یک گذرواژه‌ی مطمئن باید بدانید

این روز‌ها خبرهای زیادی راجع‌به هک شدن حساب‌‌های کاربری و سو استفاده از آن‌ها به گوش می‌رسد، اولین و شاید یکی از مهم‌ترین موانع برای جلوگیری از هک شدن حساب‌های کاربری استفاده از یک رمز عبور قدرتمند و غیرقابل حدس زدن است، همین الان کمی فکر کنید، چند حساب کاربری دارید که کلمه‌ی عبور آن کوتاه‌تر از ۸ کارکتر بوده و یا فقط شامل اعداد است؟ جالب است بدانید اگر چنین گذرواژه‌ای دارید یک کامپیوتر معمولی می‌تواند در کمتر از ۱ ثانیه آن‌را به‌دست آورد، در حقیقت اگر چنین پسوردی برای حساب کاربری خود انتخاب کرده باشید، یک هکر می‌تواند در کمتر از ۱ ثانیه کلمه‌ی عبور شما را پیدا کرده و وارد حساب کاربریتان شود!

اگر می‌خواهید یک کلمه‌ی عبور مطمئن برای خود انتخاب کنید در این مقاله از همیار آی تی با ما همراه باشید تا با هم به بررسی نکاتی بپردازیم که به ما در انتخاب یک کلمه‌ی عبور مناسب، قدرتمند و قابل اطمینان کمک می‌کنند، در ضمن در پایان مقاله راهکاری را خواهیم آموخت که با استفاده از آن بتوانید برای هرکدام از حساب‌های کاربری خود یک رمز عبور متمایز برگزیده و به سادگی آن‌را به ذهن بسپارید، رمز عبوری که به راحتی قابل نفوذ نبوده و امنیت شما را در فضای مجازی تامین کند!

برای اینکه اطلاعاتی نسبی درباره‌ی رمزهای عبور‌ و امنیت آن‌ها در ذهن داشته باشیم توجه شما را به موارد زیر جلب می‌کنیم، که دانستن آن‌ها خالی از لطف نیست، فرض کنید یک هکر با استفاده از یک رایانه‌ی نسبتا قوی بتواند در هر ثانیه ۱۰۰ میلیارد تلاش برای حدس زدن رمز عبور شما انجام دهد، در این صورت:

• رمز ۸ کارکتری از اعداد در کمتر از ۱ ثانیه کشف خواهد شد.
• رمز ۸ کارکتری از حروف کوچک در حدود ۱ ثانیه کشف خواهد شد.
• رمز ۱۱ کارکتری از حروف کوچک در ۱۱ ساعت کشف خواهد شد.
• رمز ۱۱ کارکتری از حروف کوچک و بزرگ در ۲.۵ سال کشف خواهد شد.
• رمز ۱۱ کارکتری از انواع حروف، اعداد و نماد‌های خاص پس از ۵۰۰ سال کشف خواهد شد!

حال با دانستن این اطلاعات چند نکته را برای انتخاب یک گذرواژه‌ی امن بررسی می‌کنیم:

۱. فقط از اعداد در کلمه‌ی عبورتان استفاده نکنید!

تا حد امکان کلمه‌ی عبور خود را فقط از اعداد انتخاب نکنید، به یاد داریم حدس زدن چنین پسوردی برای یک کامپیوتر کمتر از ۱ ثانیه زمان می‌برد، به عنوان مثال پسوردی مانند ۵۰۸۶۴۳۶۲ یک گذرواژه‌ی بسیار خطرناک خواهد بود، اگر یکی از حساب‌های کاربری شما چنین کلمه‌ی عبوری دارد، به شما توصیه می‌کنیم پس از خواندن این مقاله و بدون تلف کردن وقت، نسبت به تغییر آن اقدام کنید!

۲. استفاده از نام کاربری و کلمه‌ی‌عبور یکسان ممنوع!

به هیچ وجه پسوردتان را مانند نام کاربری خود در سایتی انتخاب نکنید، نام‌های کاربری معمولا به صورت عمومی در سایت نمایش داده می‌شوند، به کارگیری نام‌کاربری و کلمه‌ی عبور یکسان یعنی تقدیم بی قید و شرط کلمه‌ی عبور به هکر، این سناریو اولین حدسی‌است که یک هکر در ذهن خود مرور خواهد کرد، پس به یاد داشته باشید از این به بعد هیچگاه چنین کار خطرناکی نکنید.

۳. از نام اعضای خانواده یا دوستانتان پسورد نسازید!

انتخاب نام خود یا اعضای خانواد‌ه‌تان به عنوان پسورد کاریست عجیب، غیر ایمن و خطرناک، چراکه یک هکر می‌تواند از دوستان یا حتی آشنایان مورد اعتماد شما باشد، پس رمز عبوری مانند  ali1234 یک رمز عبور غیر ایمن به حساب می‌آید.

۴. از کلمات رایج برای ساخت گذرواژه استفاده نکنید!

سعی کنید از کلمات رایج و یا کلماتی که در دیکشنری‌ها هستند استفاده نکنید، چرا که هکر‌ها یک دیتابیس از این کلمات را در اختیار دارند و به کمک رایانه‌شان می‌توانند به راحتی آن‌ها را با پسورد شما مطابقت داده و در صورت یکسان بودن، آن را به‌دست آورند، به عنوان مثال انتخاب کلمه‌ای مانند Hello و یا password برای گذرواژه کاری بسیار غیر ایمن و خطرناک است.

۵. کلمات موجود در الگوی صفحه کلید را به کار نبرید!

اگر همین الان صفحه‌کلید رایانه یا تلفن همراه خود را نگاه کنید، در بالا سمت چپ به ترتیب حروف qwerty را مشاهده می‌کنید، شاید باور نکنید اما خیلی از افراد کلمه‌ی qwerty را به همراه یک عدد به عنوان پسورد انتخاب می‌کنند، حدس زدن چنین کلماتی کار دشواری نیست، پس به هیچ عنوان از آن‌ها استفاده نکنید!

۶. سعی کنید از تاریخ‌ و اعداد معروف استفاده نکنید!

یکی از عاداتی که همه‌ی کاربران و به خصوص ما ایرانی‌ها داریم استفاده از تاریخ تولد یا سایر اعداد مهم زندگی‌مان به عنوان کلمه‌ی عبور است، به عنوان مثال انتخاب پسوردهایی شامل ۱۳۷۵ یا ۱۹۹۷ که نشان‌دهنده‌ی سال تولد شما یا بستگانتان است و یا به‌کارگیری تمام یا بخشی از شماره‌ تلفن و… می‌تواند کاری خطرناک باشد، هرچند خیلی از ما در کلمات عبورمان از این‌گونه اعداد استفاده می‌کنیم، اما بهتر است این عادت را هرچه سریع‌تر ترک کنیم.

۷. کلمات عبور قبلی‌تان را دوباره به کار نگیرید!

از جمله عاداتی که اکثر ما داریم، به کارگیری یک کلمه‌ی عبور یکسان برای تمام حساب‌های کاربری است، فقط یک لحظه فکر کنید، یکی از وبسایت‌هایی که در آن عضو هستید مورد نفوذ قرار گرفته و پسورد کاربران آن در اینترنت پخش شود…

در چنین شرایطی حتی اگر سایر حساب‌های کاربری شما هیچ مشکلی هم نداشته‌باشد به دلیل یکسان بودن کلمه‌ی عبورشان با وبسایت هک شده به راحتی در معرض خطر قرار خواهند گرفت، برای همین‌است که همیشه می‌شنویم نباید پسوردهای تکراری را برای حساب‌های کاربری مختلف استفاده کنیم.

۸. لطفا رمزعبورتان را روی کاغذ یاداشت نکنید!

نوشتن کلمه‌ی عبور روی کاغذ یا در فایل متنی داخل کامپیوتر نیز می‌تواند امنیت حساب کاربری شما را به خطر بیندازد، اگر می‌خواهید کلمات عبورتان را در جایی ذخیره کنید می‌توانید از اپلیکیشن‌های معتبر مدیریت پسورد همچون LastPass و… استفاده کرده یا آن را در مرورگر خود ذخیره کنید، امروزه اکثر مرورگرهای مدرن قابلیت همگام‌سازی اطلاعات شما را در تمام دستگاه‌ها دارند و می‌توانید با انتخاب کلمه‌ی عبور ایمن، به یادسپاری آن را بدون هیچ نگرانی، به مروگرتان واگذار کنید.

حال که با ویژگی‌های یک پسورد غیر امن آشنا شدیم خوب است کمی‌هم در مورد کلمات عبور ایمن و قدرتمند صحبت کنیم، بدانیم چه گذرواژه‌هایی به عنوان یک گذرواژه‌ی ایمن شناخته می‌شوند و چگونه می‌توانیم یک گذرواژه‌ی ایمن برای خود ساخته و به راحتی آن‌را به خاطر بیاوریم.

یک گذرواژه‌ی ایمن چه ویژگی‌هایی دارد؟

داشتن یک کلمه‌ی عبور قدرتمند و ایمن کار چندان دشواری نیست، تنها کافی‌است ۴ نکته زیر را به خاطر داشته باشید و رمز عبورتان را با توجه به این موارد انتخاب کنید:

• کلمه‌ی عبور حداقل ۱۵ کارکتر طول دارد.
• شامل حروف کوچک و بزرگ انگلیسی است.
• اعداد تا حد امکان تصادفی در آن وجود دارند.
• شامل کارکترهای خاصی مانند (@#%]{*) است.

با توجه به موارد گفته شده می‌توان پسوردی مانند “H8@46=tC/3m*)12” را به عنوان یک رمز عبور مطمئن و قدرتمند به حساب آورد، شاید این پسورد در نگاه اول کمی گیج کننده و غیر قابل حفظ کردن باشد، اما باید به شما بگوییم از الگوی بسیار ساده‌ای استفاده می‌کند و علاوه‌بر ایمن بودن، قابلیت به‌یاد سپاری و عدم تکراری بودن را نیز دارد، در ادامه‌ با همیار آی تی همراه باشید تا راهکار ساختن این‌گونه کلمات عبور را با هم بیاموزیم.

H8@46=tC/3m*)12

به نظر شما این کلمه‌ی عبور چگونه و با چه الگویی ساخته‌شده است؟ می‌توانید آن‌را حدس بزنید؟

همانطور که گفتیم، یک کلمه‌ی عبور باید دست‌کم ۱۵ کارکتر طول داشته و ترکیبی از اعداد، حروف کوچک و بزرگ و نمادهای خاص باشد، پسوردی که در بالا مشاهده می‌کنید تمام این موارد را رعایت کرده است، ضمن اینکه مختص این وبسایت (Hamyarit.com) ساخته شده، بنابراین می‌توانید از الگوی ساخت آن در سایر وبسایت‌ها نیز استفاده کرده و پسوردی مجزا برای تمام حساب‌های کاربری خود به وجود آورید!

اما بیاید کمی بیشتر آن را مورد بررسی قرار داده و ببینیم چگونه می‌توانیم چنین پسوردی برای خود درست کرده و از آن استفاده کنیم، در این کلمه‌ی عبور این موارد به چشم می‌خورند:

• حرف H از ابتدای کلمه‌ی Hamyarit گرفته شده‌است.
• عدد ۸ تعداد حروف کلمه‌ی Hamyarit است.
• کارکتر @ یک نماد دلخواه است که خودتان انتخاب می‌کنید.
• عدد ۴۶ عکس حاصل‌ضرب عدد ۸ در خودش است. (۸*۸=۶۴)
• علامت = یک نماد دلخواه است که می‌تواند توسط شما انتخاب شود.
• حرف t از آخر کلمه‌ی Hamyarit گرفته شده است.
• حرف C از ابتدای پسوند com. آدرس سایت گرفته شده.
• علامت / یک نماد دلخواه به انتخاب شماست.
• عدد ۳ تعداد حروف پسوند دامنه را نشان می‌دهد (com)
• حرف m از آخر کلمه‌ی com گرفته شده است.
• نمادهای * و ( به صورت دلخواه انتخاب شده‌اند.
• عدد ۱۲ برابر کل تعداد کارکترهای دامنه‌ی سایت (Hamyarit.com) است.

شاید با خود فکر کنید حفظ کردن این روابط پیچیده کاری دشوار و طاقت فرساست، اما این تنها یک مثال بود، شما می‌توانید با توجه به علایق خود یک الگوی مناسب برای رمزهای عبورتان پیدا کرده و از آن برای ساخت گذرواژه‌های غیرتکراری و ایمن استفاده کنید، اما به عنوان تمرین آیا می‌توانید طبق الگوی بالا یک کلمه‌ی عبور برای وبسایت گوگل (Google.com) بسازید؟ نتیجه‌ی تلاشتان را در بخش دیدگاه‌های این پست با ما و سایر کاربران همیار آی تی به اشتراک بگذارید.