صرافي ارز ديجيتال

دزدي از كارت هاي اعتباري با استفاده از رمز دوم و cvv2  و سپس تبديل آن پول به هر چيز ديگر با روشي كه نتوان آن را پيگيري كرد (استفاده از نام شخصي ديگر براي خريد جنس، انتقال پول به حساب شخصي ديگر و بازپس گيري آن و ...) ، به موضوعي بسيار مهم و البته خطرناك تبديل شده است كه نگراني مردم را برانگيخنه و گريبان بسياري را نيز گرفته است.

از جمله ي اين روش ها مي توان به قراردادن كارت اعتباري خود در اختيار شخصي ديگر براي خريد و فروش با كارت شماست.به عبارت ديگرفردي به شما پيشنهاد مي دهد كه مبلغي را به كارت شما واريز مي كند و شما بايد جنسي را بخريد و در ازاي انجام اين كار، مبلغي را به عنوان دستمزد دريافت كنيد. از جمله ي اين اجناس براي خريد مي توان صرافي ارز ديجيتال به خريد بيت كوين، پرفكت،  وبماني و ديگر ارزهاي ديجيتال اشاره كرد. اين موضوع به قدري زياد است كه حتي با جستجو در ديوار هم به وفور مي توان اين نوع آگهي ها را مشاهده كرد. فرض كنيد فرد هكر مبلغ 30 ميليون تومان به كارت شما واريز كرده و از شما مي خواهد به وسيله ي اين پول، پرفكت ماني خريداري كنيد و مبلغ مثلا 5 ميليون تومان را دريافت كنيد. پليس با پيگيري پول دزديده شده از كارت شخص قرباني، به كارت شما  ميرسد و اين شما هستيد كه با آن خريد كرده ايد و مجرم خواهيد بود.

اما در پس اين معامله كه به نظر ساده مي آيد چيست؟ اين موضوع از چه زماني شروع شد و به زبان ساده چيست؟

به طور كلي به اين روش دزدي، فيشينگ (Phishing) گفته مي شود. با ما همراه باشيد تا به شرح فيشينگ، انواع آن و راه هاي جلوگيري از فريب خوردن توسط اين روش بپردازيم.

فيشينگ(Phishing) چيست؟

فيشينگ راهي است كه تبهكاران، اطلاعاتي نظير كلمه كاربري، رمز عبور، شماره 16 رقمي عابر بانك، رمز دوم و CVV2 را از طريق ابزارهاي الكترونيكي ارتباطات به سرقت مي برند. شبكه هاي اجتماعي، سايت هاي حراجي و درگاه هاي پرداخت آنلاين نمونه اي از ابزار هاي الكترونيكي ارتباطات مي باشند.به عبارت ساده تر زماني كه كسي سعي در فريب شما براي به دست آوردن اطلاعات فوق مي‌كند، يعني شما در برابر حمله فيشينگ قرار گرفته‌ايد.

 
كلاهبرداري فيشينگ از طريق ايميل ها و پيامها صورت مي پذيرد و قربانيان به صورت مستقيم اطلاعات حساس و محرمانه خود را در وب سايت هاي جعلي كه در ظاهر كاملا شبيه وب سايت هاي سالم و قانوني مي باشد وارد مي نمايند. حقه ي فيشينگ يكي از تكنيك هاي مهندسي اجتماعي براي فريب كاربران مي باشد كه علي‌القاعده از ضعف امنيتي يك وب سايت براي انجام عمليات مجرمانه خود استفاده مي كنند. براي اولين بار حقه ي فيشينگ در 1987 تعريف شد و اولين باري كه واژه فيشينگ براي نام گذاري اين واژه استفاده گرديد، سال 1996 بود.

انواع تكنيك ها در حقه ي فيشينگ

 دستكاري و تقلب در لينكها و آدرس ها

يكي از شيوه هاي متداول و رايج در فيشينگ ارسال لينك ها و آدرس هاي متعلق به سازمانهاي غير واقعي و جعلي  از طريق ايميل مي باشد. آدرس هايي كه تنها تفاوت آنها با آدرس اصلي يك يا دو حرف است يا از دامين هاي فرعي گمراه كننده براي ايجاد آنها استفاده گرديده است.

دور زدن فيلتر

 فيشرها با استفاده كردن از عكس به جاي متن، كار فيلترهاي ضد فيشينگ را كه براي شناسايي متن هايي كه عموماً در ايميل هاي حاوي آدرس هاي جعلي يافت مي شوند، را سخت مي كنند.

وب سايت جعلي

 تنها با ورود و بازديد يك قرباني به سايت جعلي عمل كلاهبرداري صورت نمي پذيرد . در برخي از روش هاي فيشينگ از دستورات جاوا اسكريپت استفاده مي شود تا نوار آدرس را اصلاح كند و تغيير دهد. اين كار با قرار دادن تصوير يك آدرس اينترنتي قانوني و موجه در نوار آدرس يا بستن نوار آدرس اصلي و باز كردن يك نوار آدرس جديد كه حاوي آدرس اينترنتي قانوني و موجه است، انجام مي شود.
 
يك فيشر(مهاجم) حتي مي تواند از نقايص موجود در برنامه جاوا اسكريپت يك سايت معتبر و قانوني عليه قربانيان خوداستفاده نمايند. اين نوع حمله ها ( كه به كراس سايت اسكريپتينگ معروف هستند) به طور خاص سخت و پيچيده هستند، چون آنها قرباني را به صفحه اينترنتي ثبت نام خدمات بانكي خود ارجاع مي دهند. صفحه اي كه در آن همه چيز از آدرس سايت گرفته تا گواهي امنيتي، همه درست و صحيح به نظر مي رسند. در حقيقت لينك دادن به صفحه اصلي حقه اي براي به ثمر رساندن سرقت و انجام دادن حمله است. با انجام اين كار كشف اين حمله براي افرادي كه دانش لازم را ندارند، كار بسيار سختي است. در سال 2006 چنين حمله اي عليه سايت Pay Pal انجام شد.

يك برنامه فيشينگ در سطح جهاني با عنوان Man-in-the-middle، كه در سال 2007 كشف شد، از يك رابط ساده استفاده مي كرد كه به فيشر (مهاجم) اجازه مي داد بدون هيچ مشكلي سايت هايي خاصي را مجدداً ايجاد كند و جزئيات اطلاعات ورود يا لاگين افراد (نام كاربري و رمز عبور) وارد شده در وب سايت جعلي را براي ورود به سايت هاي اصلي ثبت و ضبط كند.
 
براي از كار انداختن تكنيك ها و برنامه هايي كه وب سايت ها را با هدف پيدا كردن متون و علائم مرتبط با فيشينگ اسكن و بررسي مي كنند، فيشرها به تازگي شروع به استفاده از وب سايت هايي كرده اند كه با برنامه هاي فلش ساخته شده اند. اين گونه سايت ها بسيار واقعي به نظر مي رسند اما در واقع در اين سايت ها متون و علائم مرتبط با فيشينگ پشت ظاهر برنامه هاي فلش پنهان شده اند.

فيشينگ از طريق تلفن

 تمامي حملات فيشينگ نياز به استفاده از يك وب سايت جعلي و ساختگي ندارند. اين نوع حملات شامل پيام هايي هم مي شوند كه ادعا مي كند از طرف بانك هستند و از مشتري ها (استفاده كنندگان خدمات بانكي) مي خواهند با توجه به مشكلي كه براي حساب هاي آنها به وجود آمده است، با يك شماره تماس بگيرند. به محض اين كه مشتري با اين شماره تلفن (كه متعلق به مهاجم است و يك سرويس تلفن اينترنتي است) تماس بگيرد، دستوراتي به مشتري داده مي شود تا شماره حساب و رمز خود را وارد كند. فيشرهايي كه از سرويس تلفن اينترنتي استفاده مي كنند، گاهي اوقات از داده هاي جعلي براي آي دي كالر استفاده مي‌نمايند تا براي مشتريان اين گونه به نظر برسد كه اين تماس از طرف يك سازمان مطمئن و معتبر انجام مي شود.

ساير روش ها

• نوع ديگري از حمله كه موفقيت آميز بودنش ثابت شده است، ارجاع دادن قرباني به وب سايت اصلي بانك است. سپس يك پنجره پاپ آپ در بالاي صفحه سايت به نمايش در مي آيد و به شكلي كه به نظر برسد اين صفحه و اين سايت متعلق به بانك است، اطلاعات حساس قرباني را درخواست مي كنند.

• يكي از جديدترين روش هاي فيشينگ تب نبينگ است. اين برنامه از صفحاتي كه كاربر باز كرده استفاده مي كند و به طور آهسته كاربر را به سايت ساختگي ارجاع ميدهد.

• دوقلوهاي شر يا Evil twins روشي است كه شناسايي و كشف آن كار بسيار سختي است. يك فيشر يك شبكه بي سيم (وايرلس) ساختگي ايجاد مي كند. اين شبكه همانند شبكه هاي معتبر عمومي و قانوني مي تواند در مكان هايي مانند فرودگاه ها، هتل ها و كافي شاپ ها وجود داشته باشد. وقتي كه يك نفر وارد شبكه جعلي مي شود، كلاهبرداران سعي مي كنند رمزهاي عبور و يا ساير اطلاعات مرتبط با كارت اعتباري او را ثبت و ضبط كنند.

• ارسال ايميلي ازطرف فردي كه ادعا ميكند دوست يا همكار شما است.

• پيغام ها يا تبليغاتي كه درشبكه هاي اجتماعي ارسال مي‌كنند.

• وبسايت هاي قلابي كه كه براي امور خيريه تقاضاي كمك مي‌كنند.

چطور متوجه حمله فيشينگ بشويم؟

براي اين كه به دام حملات فيشينگ نيافتيد حتما به آدرس لينك آن ها دقت كنيد.  شما فقط بايد در وب‌سايت هايي اطلاعات كارت خود را وارد كنيد كه دامنه آن‌ها shaparak.ir باشد. به عنوان مثال به تصوير زير توجه كنيد:

هماهنطور كه مي‌بينيد، آدرس صفحه در عكس بالا https://bpm.shaparak.ir است.

در صورتي كه در گوشي موبايل خود چنين صفحه‌اي را مي‌بينيد به موارد زير هم توجه كنيد:

• برخي از سارقان از عبارت هاي شبيه shapark استفاده مي‌كنند. مثلاً shaporak يا … كه اين عبارات معتبر نيستند.

• در برخي از موارد نيز لينكي در بالاي صفحه وجود نداشته و صرفاً عكسي از لينك پرداخت shaparak وجود دارد. با كليك كردن روي لينك از واقعي بودن آن اطمينان حاصل كنيد.

علائم فيشينگ

آدرسي كه در قسمت مربوط به فرستنده يا فرم وجود دارد ظاهرا از طرف شركتي قانوني است.

• اين پيام‌ها معمولا شامل علامت يا تصاويري هستند كه از وب سايت شركت اصلي برداشته شده‌اند.

• پيام داراي يك لينك است كه به همراه توضيح فرستاده شده است. در صورتي كه روي مرورگر كامپيوتر، نشانگر را روي لينك قرار دهيد، در گوشه چپ و پايين صفحه آدرسي را مشاهده كنيد كه در اصل آدرس واقعي وب سايتي است كه در صورت كليك كردن به آن خواهيد رفت. توجه كنيد كه اين لينك به آدرس قانوني اي كه شما انتظار داريد منتهي نخواهد شد.

جمع بندي

پس به طور كلي مي توان گفت، فيشينگ يك راه ساده كلاهبرداري هكرها يا دزدان اينترنتي براي به دست آوردن اطلاعات شماره 16 رقمي كارت بانكي، رمز دوم، CVV2، تاريخ صدور كارت و ساير اطلاعات بانكي شما است. باري در امان ماندن از حملات فيشينگ سعي در حفظ رمزهاي اصلي خود و اتنا از انجام عمليات هاي مشكوك و يا وسوسه كننده اي كه ممكن سود خوبي نيز نصيب شما كنند داشته باشيد. همچنين از دادن حساب كاربري خود به هر شخص نزديك يا دوري به خود، به شدت بپرهيزيد چرا كه هر اتفاقي مي تواند گريبان صاحب حساب، يعني شما را بگيرد.