Phishing چیست ؟


Phishing    (فیشینگ) در اصطلاح کامپیوتری به معنای شبیه سازی قسمتهایی از یک سایت اینترنتی (مثلا یک صفحه از سایت) آشنا و یا معروف است که به وسیله آن بتوان کاربر را گمراه کرده و اطلاعات شخصی وی را بدست آورد . این اطلاعات می تواند شامل نام کاربری و کلمه ی عبور فرد در آن سایت یا اطلاعاتی مربوط به شماره حساب بانکی فرد و خیلی موارد دیگر باشد .


قبل از اینکه  بگوییم  تاریخچه ی Phishing  چیست و از چه کلمه ای بر گرفته شده است ، ابتدا به توضیح بیشتر در مورد این تکنیک می پردازیم .

Phishing  یک نمونه از تکنیک "مهندسی اجتماعی" ¹  به منظور گمراه کردن  کاربران اینترنتی برای بدست آوردن اطلاعت محرمانه آنان است . در این تکنیک  phisher  ها (کسانی که عمل phishing  را انجام می دهند ) با طراحی یک سایت که شبیه به سایت مورد نظر می باشد ، کار خود را آغاز می کنند. پس از انجام این مرحله آنها باید روشی را پیدا کنند که  قربانیان خود را مجبور کنند تا در سایت آنها وارد شده و اطلاعات محرمانه خود را وارد کنند که به روش های مختلفی این کار عملی  می شود .مثلا با ساخت یک خبر دروغین ، قربانیان را به سایت خود کشانده و... بقیه مراحل انجام می شود .شاید خود شما تا به حال به طور ناخواسته و بدون اینکه متوجه چیزی شوید ، یکی از قربانیان Phishing  شده باشید (به اصطلاح در قلاب ماهیگیر افتاده باشید !) . برای روشن تر شدن موضوع اجازه دهید با یک مثال کار را دنبال کنیم .

در این مثال فرض کنید شما یک Phisher  هستید (خدا نکنه!) و می خواهیم با استفاده از یک سایت معروف و آشنا برای اکثر کاربران اینترنت ، اطلاعات محرمانه  افراد را بدست آوریم  . در این مثال سایت مورد نظر ما سایت "یاهو"  می باشد .  همانطور که می دانید سایت یاهو سایت بسیار گسترده ای است و امکانات مختلفی برای کاربران خود فراهم می کند و در اکثر این سرویسها ما باید دارای یک شناسه ی کابری باشیم (یک نام کاربری  و یک کلمه عبور) که با استفاده از تنها  یک نام کاربری و کلمه ی عبور می توانیم از خیلی از سرویسهای یاهو استفاده کنیم . در همین جا مشخص می شود که این سایت ، سایتی مناسب برای یک phisher (بله ، خود شما) است . خب ! حالا شما باید یکی از صفحات تعیین هویت کاربران سایت یاهو را طراحی کنید (مثلا ، صفحه ی تعیین هویت قسمت 360  یاهو!) دقت داشته باشید که این صفحه را باید کاملا دقیق و مشابه صفحه ی اصلی طراحی کنید تا جای هیچ گونه تردیدی برای قربانی باقی نگذارد . پس از طی این مرحله شما کاری می کنید که هر کس در این صفحه نام کاربری و کلمه عبور خودش را وارد کرد ، اطلاعتش در مکان مورد نظر شما ذخیره شود(مثلا در یک پایگاه داده) بدون اینکه قربانی متوجه چیز مشکوکی شود .خب ، پس از انجام این مراحل صفحه ی تقلبی شما آماده است، فقط باید آن را در یک "هاست" آپلود (Upload) کنید  دقت داشته باشید که آدرس هاست شما باید در حد امکان شبیه سایت یاهو باشد مثلا چیزی شبیه این آدرس :   www.login.yahoo.com/config/.....   که آدرس صفحه ساین این (Sign in)  سایت یاهو است ، آدرس هاست شما مثلا می تواند این باشد :    www.yahoo.qsh.com/config/...  یا login.yahoo.qsh.com . حالا نوبت به آن می رسد که صفحه تقلبی خود را جای صفحه اصلی یاهو در اختیار قربانیان قرار دهیم ! در واقع مهمترین قسمت Phishing  همین مرحله است که بستگی به هوش وخلاقیت  شما دارد . شما می توانید با انتشار یک خبر دروغین ، افراد را به صفحه خود بکشانید و یا در این مثال می توانید با عنوان وب لاگ 360 یک فرد خاص که یک خبر مهم در آن است، قربانیان را به سمت خود بکشانید . حال اگر شما کمی با زبان Html آشنایی داشته باشید  می توانید برای گمراه کردن افراد چنین   کدی را  نیز در کدhtml  صفحه ی خود قرار دهید  :


که در واقع با این کار ، فرد بدون اینکه متوجه چیز خاصی شود بر روی لینک کلیک کرده و به صفحه تقلبی شما هدایت می شود . حال فرد با صفحه تعیین هویت سایت یاهو (که همان صفحه تقلبی شما است) روبرو می شود و چون به سایت یاهو اطمینان 100% دارد کلمه عبور و نام کاربری خود را وارد می کند که در پشت پرده، کلمه عبور و نام کاربری قربانی برای شما فرستاده می شود (در بانک اطلاعاتی شما ذخیره می شود)  و  ....

در این مثال یکی از ساده ترین روشهای phishing را به شما نشان دادیم، که البته باز هم خیلی ها ممکن است در تور شما گرفتار شوند! .

Phishing بر گرفته از کلمه “Fishing” به معنای "ماهیگیری"  است. احتمالا خودتان متوجه دلیل نام گذاری این تکنیک شده اید ، قربانیان حکم ماهی و شما حکم ماهیگیر را دارید و همانند یک ماهیگیر واقعی باید سعی کنید با استفاده از طعمه های مختلف ماهی بیشتری  در قلاب خود گرفتار کنید .

اولین مورد گزارش شده  Phishingمربوط به دوم ژانویه سال 1996 است که روی گروه خبریalt.online - service.America-online   انجام شد.

 

چگونه از دست Phisher  ها خلاص شویم ؟؟

 

یکی از  بهترین راههای جلو گیری از Phishing  دقت کافی در هنگام گشت و گذار در اینترنت است. به آدرس صفحات اینترنتی با دقت کافی نگاه کنید و روی هر لینکی بدون دقت کلیک نکنید .و البته ابزارهای آنتی فیشینگ (Anti Phishing) زیادی وجود دارند که شما می توانید از آنها استفاده کنید .

مثلا سایت یاهو برای مقابله با Phishing  در صفحه ی تعیین هویت خود (Login) قسمتی به نام :   Prevent Password Theft قراد داده است که با انتخاب یک عکس یا یک متن مورد نظر خود که فقط خود شما از آن اطلاع دارید ، از صحت صفحه ی login یاهو آگاه می شویم . این یک روش بسیار موثر و کارآمد در مقابله با Phishing  می باشد .


امیدوارم مطالب گفته شده براتون مفید بوده باشه...

 


پاورقی : در تکنیک مهندسی اجتماعی، یک مهاجم با برقراری ارتباط با کاربران و استفاده از مهارت های اجتماعی خاص ( روابط عمومی مناسب ، ظاهری آراسته و ... ) ، سعی می نماید به اطلاعات حساس یک سازمان و یا کامپیوتر شما دستیابی و یا به آنان آسیب رساند . یک مهاجم ممکن است خود را به عنوان فردی متواضع و قابل احترام نشان دهد . مثلا" وانمود نماید که یک کارمند جدید است ، یک تعمیر کار است و یا یک محقق و حتی اطلاعات حساس و شخصی خود را به منظور تائید هویت خود به شما ارائه نماید . یک مهاجم ، با طرح سوالات متعدد و برقراری یک ارتباط منطقی بین آنان،می تواند به بخش هائی از اطلاعات مورد نیاز خود به منظور نفوذ در شبکه سازمان شما دستیابی پیدا نماید . در صورتی که یک مهاجم قادر به اخذ اطلاعات مورد نیاز خود از یک منبع نگردد ، وی ممکن است با شخص دیگری از همان سازمان ارتباط برقرار نموده تا با کسب اطلاعات تکمیلی و تلفیق آنان با اطلاعات اخذ شده از منبع اول ، توانمندی خود را افزایش دهد .