حملات فیشینگ و انواع آن

فیشینگ چیست؟phishing مخفف Password Harvesting Fishing، به معنای صید رمز عبور یا شکار گذر واژه کاربر از طریق یک طعمه می باشد. فیشینگ یک تکنیک مهندسی اجتماعی است که هکرها برای دزدیدن اطلاعات حساس مانند نام کاربری، رمز عبور و رمز کارت‌ های اعتباری از آن استفاده می‌کنند. در این حالت، حمله‌ کننده وانمود می‌کند یک شخص یا یک سازمان مورد اعتماد است. اولین مورد گزارش شده فیشینگ مربوط به دوم ژانویه سال ۱۹۹۶ است که روی گروه خبری یوزنت alt.online-service.America-online انجام شد.یک هکر می‌تواند هر کسی را به راحتی در دام کلاهبرداری خود بیندازد؛ البته این موضوع به کاربر بستگی دارد که برای شناسایی و ممانعت از فیشینگ، هوشمندانه عمل کند یا خیر. هر چند فیشینگ یک بدافزار نیست، اما برای کاربران هم بی خطر نیست. هر کاربر اینترنت باید از خطرات این گونه کلاهبرداری ها آگاه باشد.


انواع حملات فیشینگ

• فیشینگ فریبنده
  

در این نوع فیشینگ، هکر از یک ایمیل فریبنده، برای کلاهبرداری از کاربر استفاده می‌کند. او حجم زیادی از این ایمیل‌ های به ظاهر جذاب را ارسال می کند تا کاربر راضی به کلیک روی لینک موجود در ایمیل شود. سپس، هکر از کاربر می‌خواهد اطلاعات حساب خود را در جایی وارد نماید و بعد از آن هکر به راحتی اطلاعاتی را که کاربر در اختیار وی قرار داده است جمع‌ آوری می کند.

• دستکاری پیوند
  

امروزه این روش، معمول‌ ترین راه برای کلاهبرداری از کاربران اینترنتی است. در این روش، هکر مسیر کاربر را به یک وبسایت جعلی که بسیار شبیه سایت اصلی است، تغییر می‌دهد.

• جعل وبسایت
  

برخی فیشر ها از جاوا اسکریپت برای تغییر آدرس در نوار آدرس مرورگر استفاده می‌کنند تا هیچ جای شکی برای قربانی نماند. یک مهاجم حتی می‌تواند از ایراد های موجود در اسکریپت‌ های یک سایت معتبر نیز علیه خودش استفاده نماید؛ به این نوع حمله cross-site scripting گفته می‌شود. در این مورد، از کاربر خواسته می‌شود تا در بانک خودش لاگین کند. ظاهراً همه چیز عادی است، از آدرس وبسایت گرفته تا گواهینامه امنیتی ( security certificates )؛ اما در واقع، لینک به آن وبسایت دستکاری می‌شود تا با استفاده از عیب‌های موجود در اسکریپت‌ های آن، حمله انجام شود. با این حال، این روش نیازمند دانش و آگاهی بالایی است.

 

  پیام رسا و کامل...