گاما رو نصب کن!

{{ number }}
اعلان ها
اعلان جدیدی وجود ندارد!
کاربر جدید

جستجو

پربازدیدها: #{{ tag.title }}

میتونی لایو بذاری!
نمونه سوال محتوای آموزشی آزمون آنلاین پرسش و پاسخ درسنامه آموزشی مدرسه‌یاب معلم‌ها

رمزگیری (فیشینگ): نوعی حمله است که معمولاً با فرستادن ایمیل یا پیامک جعلی انجام می‌شود. آنها خود را جای یک فرد یا سازمان معتبر جا می‌زنند تا ما را فریب دهند و اطلاعات مهم مثل رمز بانک را به آنها بدهیم.

بروزرسانی شده در: 19:21 1405/02/3 مشاهده: 25     دسته بندی: کپسول آموزشی

رمزگیری (فیشینگ): شکار الکترونیکی اطلاعات شخصی

آشنایی با روش‌های فریب، تشخیص پیام‌های جعلی و محافظت از اطلاعات بانکی در برابر حملات سایبری
خلاصهٔ مقاله: رمزگیری یا فیشینگ (Phishing) نوعی حملهٔ سایبری است که با ارسال ایمیل یا پیامک جعلی انجام می‌شود. در این روش، مهاجم خود را به جای سازمانی معتبر مانند بانک یا شرکت مخابراتی جا می‌زند تا کاربر را فریب دهد. هدف اصلی این حملات، سرقت اطلاعات حساس نظیر رمز بانک، شماره کارت و رمز دوم است. در این مقاله، انواع فیشینگ، نشانه‌های پیام‌های جعلی، روش‌های پیشگیری و پاسخ به چالش‌های رایج بررسی می‌شود.

تقسیم‌بندی حملات رمزگیری: از ایمیل جعلی تا اس‌ام‌اس فیشینگ

حملات رمزگیری بر اساس روش ارتباطی و هدف، به چند دستهٔ اصلی تقسیم می‌شوند. در جدول زیر، مهم‌ترین انواع فیشینگ با توضیح مختصر آورده شده است:

نوع حمله روش اصلی فریب هدف معمول
رمزگیری ایمیلی (ایمیل فیشینگ) ارسال انبوه ایمیل با لینک جعلی یا پیوست آلوده رمز عبور سرویس‌های اینترنتی
اس‌ام‌اس فیشینگ (اسمسینگ) فرستادن پیامک با متن اضطراری (مثلاً قطع سیم‌کارت) اطلاعات کارت بانکی و رمز دوم
شکار نیزه‌ای (اسپیر فیشینگ) هدف قرار دادن یک شخص خاص با اطلاعات شخصی‌سازی شده دسترسی به شبکهٔ سازمانی یا حساب بانکی خاص
فیشینگ از طریق شبکه‌های اجتماعی ساخت پروفایل جعلی و ارسال لینک بدافزار ربودن حساب کاربری
نکتهٔ مهم: در حملهٔ شکار نیزه‌ای (Spear Phishing)، مهاجم از اطلاعات عمومی شما مانند نام، محل کار یا خریدهای اخیر استفاده می‌کند تا ایمیل جعلی را باورپذیرتر کند. به همین دلیل، حتی کاربران آگاه نیز ممکن است فریب بخورند.

مثال عینی: یک پیامک جعلی را بشناسید

فرض کنید پیامکی دریافت می‌کنید با این مضمون: «بانک مرکزی: حساب شما مسدود می‌شود. برای جلوگیری، روی لینک زیر کلیک کنید». در اینجا چند نشانهٔ هشدار وجود دارد:

  • بانک‌ها هرگز از طریق پیامک از شما نمی‌خواهند روی لینک کلیک کنید یا رمز را وارد کنید.
  • آدرس لینک معمولاً شبیه آدرس اصلی بانک است، اما یک حرف یا علامت اضافه دارد (مثلا bank‑melii.com به جای bank‑melli.com).
  • متن پیامک معمولاً شامل اشتباهات نگارشی یا جمله‌بندی غیرحرفه‌ای است.

اگر روی لینک کلیک کنید، وارد صفحهٔ جعلی می‌شوید که کاملاً شبیه صفحهٔ ورود بانک طراحی شده است. با وارد کردن رمز، اطلاعات مستقیماً برای مهاجم ارسال می‌شود. برای محاسبهٔ سادهٔ احتمال موفقیت این حمله در مقابل کاربران آموزش‌دیده و آموزش‌ندیده، می‌توان از رابطهٔ زیر استفاده کرد:

$ P(فریب) = 1 - (1 - r)^n $ که در آن $r$ احتمال کلیک روی لینک جعلی در یک پیامک (مثلاً $r=0.3$) و $n$ تعداد پیامک‌های ارسالی است. هرچه $n$ بیشتر باشد، احتمال فریب حداقل یک بار به $1$ نزدیک می‌شود. آموزش کاربران مقدار $r$ را کاهش می‌دهد.

چالش‌های مفهومی: سه پرسش و پاسخ

پرسش ۱: چرا مهاجم از من می‌خواهد در یک صفحهٔ جعلی رمز بانک را وارد کنم؟ آیا او نمی‌تواند مستقیماً رمز را هک کند؟
پاسخ: هک مستقیم رمزهای بانکی بسیار دشوار است، زیرا بانک‌ها از روش‌های رمزنگاری قوی استفاده می‌کنند. اما فیشینگ به مهاجم اجازه می‌دهد شما خودتان داوطلبانه اطلاعات را در اختیارش بگذارید. این روش، به جای شکستن قفل، از شما می‌خواهد کلید را تحویل دهید.
پرسش ۲: اگر روی لینک جعلی کلیک کنم اما چیزی وارد نکنم، باز هم خطری وجود دارد؟
پاسخ: بله، در برخی موارد صرف کلیک روی لینک می‌تواند باعث دانلود بدافزار (بدون آگاهی شما) شود. این بدافزارها ممکن است بعداً اطلاعات شما را بدزدند. بنابراین هرگز روی لینک‌های مشکوک کلیک نکنید، حتی برای کنجکاوی.
پرسش ۳: آیا ارسال‌کنندهٔ واقعی یک ایمیل قابل جعل است؟ چگونه می‌توانم مطمئن شوم؟
پاسخ: بله، سرآیند (Header) ایمیل به راحتی جعل می‌شود. برای اطمینان، هرگز روی لینک داخل ایمیل کلیک نکنید، بلکه آدرس اصلی سازمان را در مرورگر تایپ کنید. همچنین، به وجود قفل سبز رنگ در نوار آدرس و مطابقت دامنه (دامین) اصلی توجه کنید.

روش‌های پیشگیری عملی و مقایسهٔ رفتارهای ایمن و ناایمن

در جدول زیر، رفتارهای رایج در مواجهه با پیامک یا ایمیل مشکوک مقایسه شده است:

رفتار کاربر نتیجهٔ امنیتی برچسب ریسک
کلیک روی لینک و وارد کردن رمز سرقت کامل اطلاعات بسیار پرخطر
کلیک روی لینک بدون وارد کردن اطلاعات احتمال آلودگی به بدافزار پرخطر
بررسی فرستنده، عدم کلیک، تماس مستقیم با بانک خنثی شدن کامل حمله ایمن

همان‌طور که مشاهده می‌کنید، بهترین راه این است که هرگز به درخواست‌های ناگهانی و اضطراری از طریق پیامک یا ایمیل اعتماد نکنید. همواره از طریق شماره تلفن یا وبسایت رسمی (که خودتان آدرس آن را وارد کرده‌اید) با سازمان مورد نظر تماس بگیرید و صحت پیام را بررسی کنید.

نکات پایانی برای محافظت همیشگی:
- هرگز رمزهای بانکی و رمز دوم را در پاسخ به پیامک یا ایمیل وارد نکنید.
- از نرم‌افزارهای آنتی‌فیشینگ (که مرورگرها اغلب دارند) استفاده کنید.
- اگر اطلاعات کارت بانکی خود را در صفحهٔ جعلی وارد کردید، سریعاً با بانک تماس بگیرید و کارت را مسدود کنید.
- فعال‌سازی رمز دوم یکبارمصرف (OTP) از طریق پیامک، امنیت را افزایش می‌دهد، اما شما را در برابر فیشینگ کاملاً مصون نمی‌کند.

پاورقی‌ها

1 فیشینگ (Phishing): واژه‌ای برگرفته از کلمهٔ Fishing (ماهیگیری) است، زیرا مهاجم با طعمهٔ جعلی منتظر است کاربر مانند ماهی صید شود. معادل فارسی پیشنهادی: «رمزگیری» به معنای دزدیدن رمز با فریب.

2 بدافزار (Malware): نرم‌افزاری مخرب که برای آسیب زدن یا سرقت اطلاعات طراحی می‌شود.

3 دامنه (Domain): آدرس منحصربه‌فرد یک وبسایت در اینترنت، مانند www.example.com.

4 سرآیند (Header): بخش فنی ایمیل که شامل اطلاعات فرستنده، گیرنده و مسیر ارسال است و به راحتی قابل جعل می‌باشد.

5 رمز دوم یکبارمصرف (OTP): رمزی که فقط برای یک تراکنش معتبر است و معمولاً از طریق پیامک ارسال می‌شود.