کلمه فیشینگ یا Phishing از عبارت Password Harvesting Fishing به معنای “بدست آوردن رمز عبور از طریق طعمه” بوده و یکی از حملات مبتنی بر مهندسی اجتماعی است که با فریب دادن یک کاربر از پیش تعیین شده یا گروهی از کاربران به صورت هدف دار، اطلاعات حساس وی مانند رمزهای عبور، اطلاعات حساب بانکی، اطلاعات شخصی و اجتماعی و … را بدست آورده و با استفاده از آن‌ها، کار مورد نظر خود را انجام می‌دهد و یا به عبارت ساده تر وقتی شخصی سعی می‌کند شما را فریب دهد تا اطلاعات شخصی‌تان را در اختیارش بگذارید، یک حمله فیشینگ اتفاق می‌افتد.

تکنیک های رایج phishing

 اگرچه تکنیک‌های بسیار گسترده و یا حتی ادغام شده‌ای می‌تواند در طراحی و پیاده سازی حمله فیشینگ توسط فیشر مورد استفاده قرار گیرد، در این جا لیستی از تکنیک‌های رایج فیشینگ آمده است:

ایمیل های phishing

ایمیل یکی از راه‌های ارتباطی معمولاً ناشناسی است که توسط بسیاری از افراد استفاده می‌شود. استفاده از ایمیل برای به دام انداختن، بسیار رایج است. در فیشینگ از طریق ایمیل، حمله کننده یک ایمیل با محتوای کلاهبرداری یا تقلبی (کپی شده یک ایمیل قانونی)، اقدام به فریب دادن کاربر کرده و اطلاعات حساس مورد نیاز خود را دریافت می‌کند.

برای در امان ماندن از این نوع حمله به هیچ وجه به آدرس ارسال کننده ایمیل اعتماد نکنید و این که اگر ایمیلی در پوشه Spam شما بود، به احتمال زیاد محتوای آن یا تبلیغاتی است و یا فیشینگ. پس آن ایمیل را باز نکنید.

وب سایت های phishing

یکی دیگر از روش‌هایی که هکرها از آن‌ها استفاده می‌کنند، ایجاد یک صفحه یا وب سایت دقیقاً مشابه وب سایت مورد نظر است با این تفاوت که بجای این که اطلاعات ورود (یا اطلاعات حساب بانکی در صفحه تقلبی یک بانک) به سرویس دهنده اصلی برود، به سادگی به دست هکر می‌افتد.

برای در امان ماندن از این نوع حمله به آدرس سایت دقت کنید. آدرس اصلی سایت را با ساب دامین ‌های دلخواهی که توسط هکر ایجاد می‌شود اشتباه نگیرید.

پیام رسان های phishing

تلگرام، وایبر، واتس اپ، یاهو مسنجر و … همه برنامه‌هایی هستند تحت عنوان برنامه‌های پیام رسان که امکان برقراری ارتباط متنی، صوتی و تصویری را بین اعضای موجود در لیست یکدیگر، قرار می‌دهند. یکی از روش‌هایی که هکرها در پیش می‌گیرند، شناخت دوستان مورد نظر و ساخت یک حساب کاربری با مشخصات یکی از دوستان وی است. حتی می‌توانند بجای اینکار، اکانت یکی از دوستانش را برای رسیدن به وی هک کنند. چون قربانی به دوستان خود اعتماد بیشتری دارد و حال اکانتی تحت عنوان یکی از دوستانش در دست هکر است، خیلی راحت می‌تواند فریب بخورد و اطلاعاتی که هکر از او می خواهد را در اختیارش قرار دهد.

phishing از طریق تغییر دادن لینک

یکی از شیوه های متداول و رایج در فیشینگ ارسال لینک ها و آدرس های متعلق به سازمانهای غیر واقعی و جعلی از طریق ایمیل می باشد. آدرس هایی که تنها تفاوت آنها با آدرس اصلی یک یا دو حرف است یا از دامین های فرعی گمراه کننده برای ایجاد آنها استفاده گردیده است.

phishing تلفنی

در حملات فیشینک هکر نیاز مبرمی به جعل صفحه وب سایت خاصی برای فریب قربانیان و اقدام به دزدیدن اطلاعات شخصی آنان ندارد. بلکه می تواند از طریق یک پیام که به ظاهر از طرف یک موسسه بانکی خاصی می باشد برای قربانی ارسال شود که متن پیام می تواند خبری مبنی بر اینکه حساب بانکی قربانی با مشکل مواجه شده است و بانک نیاز به تماس فوری قربانی با شماره تلفن مذکور در متن پیام دارد هکر این شماره را توسط سرویس VoIP (Voice over IP service) پیاده سازی کرده است که در صورت تماس و شماره گیری از قربانی در خواست می شود برای بررسی مشکل حساب بانکی پیش آمده اقدام به وارد کردن مشخصات حساب بانکی از جمله شماره حساب و PIN مربوطه کند که به محض وارد کردن این اطلاعات هکر آنها را ثبت می کند که به این نوع حملات Vishing (voice-phishing) نیز گفته می شود.در حملات Vishing می توان از شماره های جعلی شرکت های معتبر و قابل اعتماد استفاده شود. SMS Phishing نیز با استفاده از پیام های متنی تلفن همراه و فریب قربانیان به اطلاعات شخصی و حساس آن ها دست می یابد.

آمار انواع حمله های phishing در سال 2017 به ترتیت فراوانی صورت زیر می باشد:

    بانکداری (23%)

    سامانه های پرداخت الکترونیکی (20%)

    جست و جوی اینترنتی و خدمات ناوبری (20%)

    سخت افزار رایانه (11%)

    خدمات مبتنی بر اطلاعات اینترنتی (10%)

    شبکه های اجتماعی (6%)