Phishing از جمله واژه هائی است كه توسط مهاجمان در عرصه ادبيات اينترنت مطرح و به ترغيب توام با نيرنگ كاربران به افشای اطلاعات حساس و شخصی آنان ، اشاره دارد . مهاجمان به منظور نيل به اهداف مخرب خود در اولين مرحله درخواست موجه خود را برای افراد بيشماری ارسال می نمايند و در انتظار پاسخ می مانند . آنان اميدوارند كه حتی اگر بتوانند تعداد اندكی از افراد را ترغيب به افشای اطلاعات حساس و شخصی خود نمايند در رسالت خود موفق بوده اند . اميدواری آنان چندان هم بی دليل نخواهد بود چراكه با توجه به گستردگی تعداد قربانيان اوليه احتمالی ، شانس موفيقت نهائی آنان از لحاظ آماری نيز افزايش می يابد .
مهاجمان به منظور افزايش ضريب موفقيت حملات سعی می نمايند خود را بگونه ای عرضه نمايند كه مردم به آنان اعتماد نموده و آنان را به عنوان نمايندگان قانونی مراكز معتبری نظير بانك ها قبول نمايند . ماهيت و يا بهتر بگوئيم رمز موفقيت اين نوع از حملات بر قدرت جلب اعتماد مردم استوار است و بديهی است كه مهاجمان از هر چيزی كه بتواند آنان را موجه تر جلوه نمايد ، استقبال خواهند كرد . مهاجمان پس از جلب رضايت و اعتماد كاربران از آنان درخواست اطلاعات حساس و مهمی نظير شماره كارت اعتباری را می نمايند .
اكثر عمليات اشاره شده به صورت اتوماتيك انجام و با توجه به اين كه كاربران گسترده ای هدف اوليه قرار می گيرند و درصد بسيار زيادی از آنان دارای آگاهی لازم جهت تشخيص و مقابله با اين نوع حملات نمی باشند ، شانس موفقيت مهاجمان به منظور سرقت هويت كاربران افزايش می يابد .
سرقت هويت چيست ؟
سرقت هويت ، استفاده از هويت شخص ديگر ( اطلاعات حساس و يا شخصی ) برای سوء استفاده مالی و يا ساير اهدف مخرب است . سوء استفاده يا كلاهبرداری با استفاده از كارت اعتباری ديگران ، يك نمونه از سرقت هويت است . در واقع Phishing ، روشی است كه مهاجمان از آن به منظور سرقت هويت استفاده می نمايند .
آيا سرقت هويت صرفا" گريبانگير افرادی می گردد كه اقدام به ارسال اطلاعات online می نمايند ؟
در صورتی كه هرگز از كامپيوتر استفاده نكرده باشيد ، ممكن است از جمله قربانيان سرقت هويت باشيد . مهاجمان می توانند با بكارگيری روش های متعدد به اطلاعات شخصی شما نظير شماره كارت اعتباری ، شماره تلفن ، آدرس و ... دستيابی پيدا نمايند . اكثر شركت ها و موسسات ، اطلاعات مربوط به مشتريان خود را در بانك های اطلاعاتی ذخيره می نمايند و در صورت دستيابی سارقين به بانك های اطلاعاتی ، اطلاعات شخصی تعداد زيادی از افراد افشاء می گردد .اينترنت فضای لازم برای سارقين را فراهم نموده است تا بتوانند در زمانی مطلوب و در گستره ای وسيع تر به اطلاعات شخصی و مالی كاربران دستيابی نمايند .اينترنت ، همچنين امكانات مناسبی به منظور فروش و مبادلات تجاری اطلاعات سرقت شده را در اختيار مهاجمان قرار می دهد .
چرا می بايست از خود در مقابل حملات phishing حفاظت نمود؟
در يك سازمان ، افراد متفاوت اطلاعاتی را نزد خود نگهداری می نمايند كه ممكن است حساس و يا برای ساير افراد و يا سازمان ها حائز اهميت باشد . در حملات phishing ، مهاجمان عموما" از روش های غيرفنی ( نظير مهندسی اجتماعی ) برای دستيابی به اطلاعات حساس و مهم اشخاص و يا سازمان ها استفاده نموده و موارد زير را هدف قرار می دهند :
• اطلاعات بانكی نظير كارت های اعتباری و يا حساب هائی نظير paypal
• اطلاعات مربوط به نام و رمز عبور
• اطلاعات بيمه همگانی
• و ...
مهاجمان پس از دستيابی به اطلاعات فوق از آنان به منظور نيل به اهداف زير استفاده می نمايند :
• برداشت از حساب بانكی
• سرويس های online متفاوتی نظير eBay و يا Amazon
يك نمونه از حملات phishing
تعداد زيادی از حملات phishing از طريق email انجام می شود. مهاجمان email موجه خود را برای ميليون ها قربانی احتمالی ارسال می نمايند . اين نوع نامه های الكترونيكی بسيار مشابه وب سايت شركتی می باشند كه email ادعا می نمايد ، نامه از آنجا برای كاربران ارسال شده است
مهاجمان به منظور فريب كاربران از روش های متعددی استفاده می نمايند :
• استفاده از logo وساير علائم تجاری شناخته شده و معتبر
• ساختار و طراحی email تقلبی مشابه وب سايت واقعی است ، بگونه ای كه در اولين مرحله تشخيص جعلی بودن آن برای بسياری از كاربران غيرممكن است .
• بخش from نامه الكترونكيی ارسالی ، مشابه ارسال يك email معتبر از شركت مربوطه است .
• در متن email ممكن است فرمی تعبيه شده باشد كه از كاربران خواسته شود به دلايل خاصی( مثلا" account شما در معرض تهديد است و ممكن است مورد سوء استفاده قرار گيرد و يا به دليل بروز اشكالات فنی ) ، مجددا" اطلاعات خود را در فرم درج و آن را ارسال نمايند .
• در برخی موارد ، مهاجمان به منظور افزايش اعتماد كاربران و معتبر نشان دادن email ارسالی از روش هائی فنی تری استفاده می نمايند. مثلا" ممكن است آنان از روشی موسوم به URL spoofing استفاده نمايند و با ايجاد يك لينك در متن email از كاربران بخواهند كه جهت ادامه عمليات بر روی آن كليك نمايند . با كليك كاربران بر روی لينك فوق ، آنان در مقابل هدايت به يك سايت معتبر كه انتظار آن را دارند به وب سايتی هدايت می گردند كه مهاجمان آن را مديريت می نمايند . شكل ظاهری وب سايت بگونه ای طراحی می گردد كه كاربران نتوانند جعلی بودن آن را تشخيص دهند .