منو
 کاربر Online
429 کاربر online
 : کامپیوتر
برای پاسخ دادن به این ارسال باید از صفحه قبلی اقدام کنید.   کاربر offline دبیر گروه کامپیوتر 3 ستاره ها ارسال ها: 1679   در :  دوشنبه 20 آذر 1391 [18:30 ]
  Phishing چیست ؟
 

Phishing از جمله واژه هائی است که توسط مهاجمان در عرصه ادبیات اینترنت مطرح و به ترغیب توام با نیرنگ کاربران به افشای اطلاعات حساس و شخصی آنان ، اشاره دارد . مهاجمان به منظور نیل به اهداف مخرب خود در اولین مرحله درخواست موجه خود را برای افراد بیشماری ارسال می نمایند و در انتظار پاسخ می مانند . آنان امیدوارند که حتی اگر بتوانند تعداد اندکی از افراد را ترغیب به افشای اطلاعات حساس و شخصی خود نمایند در رسالت خود موفق بوده اند . امیدواری آنان چندان هم بی دلیل نخواهد بود چراکه با توجه به گستردگی تعداد قربانیان اولیه احتمالی ، شانس موفیقت نهائی آنان از لحاظ آماری نیز افزایش می یابد .



مهاجمان به منظور افزایش ضریب موفقیت حملات سعی می نمایند خود را بگونه ای عرضه نمایند که مردم به آنان اعتماد نموده و آنان را به عنوان نمایندگان قانونی مراکز معتبری نظیر بانک ها قبول نمایند . ماهیت و یا بهتر بگوئیم رمز موفقیت این نوع از حملات بر قدرت جلب اعتماد مردم استوار است و بدیهی است که مهاجمان از هر چیزی که بتواند آنان را موجه تر جلوه نماید ، استقبال خواهند کرد . مهاجمان پس از جلب رضایت و اعتماد کاربران از آنان درخواست اطلاعات حساس و مهمی نظیر شماره کارت اعتباری را می نمایند .
اکثر عملیات اشاره شده به صورت اتوماتیک انجام و با توجه به این که کاربران گسترده ای هدف اولیه قرار می گیرند و درصد بسیار زیادی از آنان دارای آگاهی لازم جهت تشخیص و مقابله با این نوع حملات نمی باشند ، شانس موفقیت مهاجمان به منظور سرقت هویت کاربران افزایش می یابد .

سرقت هویت چیست ؟
سرقت هویت ، استفاده از هویت شخص دیگر ( اطلاعات حساس و یا شخصی ) برای سوء استفاده مالی و یا سایر اهدف مخرب است . سوء استفاده یا کلاهبرداری با استفاده از کارت اعتباری دیگران ، یک نمونه از سرقت هویت است . در واقع Phishing ، روشی است که مهاجمان از آن به منظور سرقت هویت استفاده می نمایند .

آیا سرقت هویت صرفا` گریبانگیر افرادی می گردد که اقدام به ارسال اطلاعات online می نمایند ؟
در صورتی که هرگز از کامپیوتر استفاده نکرده باشید ، ممکن است از جمله قربانیان سرقت هویت باشید . مهاجمان می توانند با بکارگیری روش های متعدد به اطلاعات شخصی شما نظیر شماره کارت اعتباری ، شماره تلفن ، آدرس و ... دستیابی پیدا نمایند . اکثر شرکت ها و موسسات ، اطلاعات مربوط به مشتریان خود را در بانک های اطلاعاتی ذخیره می نمایند و در صورت دستیابی سارقین به بانک های اطلاعاتی ، اطلاعات شخصی تعداد زیادی از افراد افشاء می گردد .اینترنت فضای لازم برای سارقین را فراهم نموده است تا بتوانند در زمانی مطلوب و در گستره ای وسیع تر به اطلاعات شخصی و مالی کاربران دستیابی نمایند .اینترنت ، همچنین امکانات مناسبی به منظور فروش و مبادلات تجاری اطلاعات سرقت شده را در اختیار مهاجمان قرار می دهد .

چرا می بایست از خود در مقابل حملات phishing حفاظت نمود؟
در یک سازمان ، افراد متفاوت اطلاعاتی را نزد خود نگهداری می نمایند که ممکن است حساس و یا برای سایر افراد و یا سازمان ها حائز اهمیت باشد . در حملات phishing ، مهاجمان عموما` از روش های غیرفنی ( نظیر مهندسی اجتماعی ) برای دستیابی به اطلاعات حساس و مهم اشخاص و یا سازمان ها استفاده نموده و موارد زیر را هدف قرار می دهند :
• اطلاعات بانکی نظیر کارت های اعتباری و یا حساب هائی نظیر paypal

اطلاعات مربوط به نام و رمز عبور

اطلاعات بیمه همگانی
•و ...
مهاجمان پس از دستیابی به اطلاعات فوق از آنان به منظور نیل به اهداف زیر استفاده می نمایند :
•برداشت از حساب بانکی
•سرویس های online متفاوتی نظیر eBay و یا Amazon
یک نمونه از حملات phishing
تعداد زیادی از حملات phishing از طریق email انجام می شود. مهاجمان email موجه خود را برای میلیون ها قربانی احتمالی ارسال می نمایند . این نوع نامه های الکترونیکی بسیار مشابه وب سایت شرکتی می باشند که email ادعا می نماید ، نامه از آنجا برای کاربران ارسال شده است .
مهاجمان به منظور فریب کاربران از روش های متعددی استفاده می نمایند :
•استفاده از logo وسایر علائم تجاری شناخته شده و معتبر

ساختار و طراحی email تقلبی مشابه وب سایت واقعی است ، بگونه ای که در اولین مرحله تشخیص جعلی بودن آن برای بسیاری از کاربران غیرممکن است .

بخش from نامه الکترونکیی ارسالی ، مشابه ارسال یک email معتبر از شرکت مربوطه است .
•در متن email ممکن است فرمی تعبیه شده باشد که از کاربران خواسته شود به دلایل خاصی( مثلا` account شما در معرض تهدید است و ممکن است مورد سوء استفاده قرار گیرد و یا به دلیل بروز اشکالات فنی ) ، مجددا` اطلاعات خود را در فرم درج و آن را ارسال نمایند . در شکل زیر یک نمونه email جعلی نشان داده شده است .





•در برخی موارد ، مهاجمان به منظور افزایش اعتماد کاربران و معتبر نشان دادن email ارسالی از روش هائی فنی تری استفاده می نمایند. مثلا` ممکن است آنان از روشی موسوم به URL spoofing استفاده نمایند و با ایجاد یک لینک در متن email از کاربران بخواهند که جهت ادامه عملیات بر روی آن کلیک نمایند . با کلیک کاربران بر روی لینک فوق ، آنان در مقابل هدایت به یک سایت معتبر که انتظار آن را دارند به وب سایتی هدایت می گردند که مهاجمان آن را مدیریت می نمایند . شکل ظاهری وب سایت بگونه ای طراحی می گردد که کاربران نتوانند جعلی بودن آن را تشخیص دهند .

  امتیاز: 0.00