فیشینگ چیست و برنامه‌های مدیریت رمزعبور چگونه در مقابله با آن از ما حفاظت می‌کنند؟

آیا تاکنون اسیر قلاب فیشینگ شده‌اید؟ چه به دردسر افتاده باشید چه خیر، با عجله کردن، تنها وضع را بد یا بدتر خواهید کرد، پس خونسردی خود را حفظ کنید و در ادامه با ما همراه باشید.

ارزیابی وضعیتی

آیا هک شده‌اید، یا تنها قصد بالا بردن سطح و ارزش اطلاعاتی خود در راستای رویارویی هرچه بهتر با پیچیدگی‌ها را دارید، یا هردو؟ اگر در دام یک کلاهبردار گرفتار شده باشید، بازخوردش برای شما چه بوده است؟ احساس می‌کنید که تجربه‌ای نو به دست آورده‌اید؟ آنان را برای دیگران بازگو کنید.

تلاش کنید تا به سفارش‌های ما در ادامه توجه کنید، حتی اگر خیلی از فناوری و پیچیدگی‌ها و مسائل پیرامون آن چیزی نمی‌دانید.

اگر می‌خواهید انتقامی تهاجمی از کسی بگیرید، پس راه را اشتباه آمده‌اید — ولی ما در گرفتن انتقامی تدافعی به شما کمک خواهیم کرد. انتقام تدافعی یعنی دفاع از خود در برابر حملات غافلگیرکننده بعدی هکرها و شیادان، به مانند فیشینگ. گاهی انجام ندادن برخی از کارها بسیار کوبنده‌تر از برخی اقدامات عملی است.

اگر مایل به کسب اطلاعات بیشتر در مورد هک و هکرها، و فراگیری شیوه‌های حفظ امنیت فردی و حریم خصوصی هستید، پیشنهاد می‌کنیم که این مقاله را بخوانید.

فیشینگ چیست و چگونه کار می‌کند؟

فیشینگ (phishing) برگرفته از واژه fishing به معنی ماهیگیری است — در این عملیات، قربانی نقش ماهی را دارد و هکر نقش ماهیگیر. به عمل پنهان شدن در پوشش اشخاص یا نهادهای رسمی، به منظور سرقت اطلاعات حساس افراد به واسطه‌ها ایمیل‌ها، تماس‌های تلفنی، وب‌سایت‌ها، و غیره، فیشینگ می‌گویند.

بگذارید با یک مثال برای‌تان توضیح بدهیم; فرض کنید که ایمیلی را از کسی دریافت کرده‌اید که ادعا دارد از سوی بانک شما است. در ایمیل نوشته شده که حساب بانکی شما به خطر افتاده، و برای انجام اقدامات امنیتی درخور نیاز، باید روی لینک زیر کلیک کنید. شما روی لینک کلیک می‌کنید و وارد وب‌سایتی می‌شوید که به طور کامل شبیه به وبسایت بانکی شما است.

با عجله در پی امن کردن حساب خود، به سرعت با نوشتن نام کاربری و رمزعبور و شماره حساب بانکی و اطلاعات دیگر خود در کادر پیش رو، می‌کوشید تا وارد حساب خود شوید، و در نهایت می‌شوید، ولی پشت پرده حادثه‌ای رخ داده که از آن بی‌خبر هستید; همه اطلاعاتی که با دستان خود وارد کردید، به یک کلاهبردار فرستاده شدند!

از خود می‌پرسید چطور چنین چیزی می‌شود؟ بگذارید برای‌تان بسیار ساده و کوتاه شرح بدهیم.

به مراحل کلی حمله زیر به ترتیب توجه کنید:

1. کلاهبردار وب‌سایتی به طور کامل شبیه به وب‌سایت بانکی مورد نظر خود طراحی می‌کند و برای آن نامی شبیه به نام بانک مورد هدف برمی‌گزیند
2. او سیستمی برای دریافت اطلاعات (نام کاربری و …) و فرستادن آن‌ها به پایگاه داده (جایی که بتواند آنان را ذخیره کند) برای خود می‌سازد
3. او ایمیلی تمیز و رسمی آماده می‌کند که حاوی لینک رجوع به وب‌سایت جعلی خود است (همان لینکی که کلیک کردید) و سپس آن را گوشه‌ای ذخیره می‌کند
4. اهداف (کاربران بانک) مورد نظر خود را برمی‌گزیند (یکی از آنان شما هستید)
5. او به تک‌تک آنان ایمیل ذخیره‌شده را ارسال می‌کند و شما نیز آن را دریافت می‌کنید
6. شما پس از دریافت ایمیل، روی لینک داخل آن کلیک می‌کنید و وارد سایت جعلی می‌شوید
7. در سایت با چند کادر برای وارد کردن اطلاعات کاربری و بانکی خود روبه‌رو می‌شوید و آن‌ها را پر می‌کنید و سپس با فشردن دکمه پیش رو، آنان را ناخواسته به پایگاه داده کلاهبردار ارسال می‌کنید
8. صفحه وب به‌روز می‌شود، و بی‌آنکه بدانید، وارد سایت اصلی بانک خود می‌شوید (کلاهبردار این کار را برای رد گم کردن انجام داده است)
9. کلاهبردار از اطلاعات دریافتی شما و ده‌ها تن قربانی دیگر، بهره می‌برد
10. به قلاب افتادید!

به آرامی و به ساکتی، گول خوردید! سوگواری برای‌تان بهره‌ای نخواهد داشت. متخصصین امنیتی بارها سفارش کرده‌اند که در کلیک کردن بر روی لینک‌هایی که در ایمیل‌ها وجود دارند، نهایت هشیاری را پیشه کنید.

اگر در حساب بانکی‌تان مشکلی ریشه کند یا بانک‌تان کاری با شما داشته باشد، با تلفن شما تماس خواهد گرفت.

در صورتی که تماسی از کسی دریافت کردید که ادعا دارد از طرف بانک شما است و اطلاعات‌تان را خواست، بهتر است گوشی را قطع کنید و خودتان با بانک تماس بگیرید تا از قانونی بودن تماس پیشین اطمینان حاصل کنید.

از راه‌های گوناگون زیادی می‌توانید گرفتار فیشینگ شوید — شاید با کلیک کردن روی یک لینک، سر از سایتی درآوردید که شبیه به سایت دیجی‌کالا بود — یا سر از صفحه لاگین (login) گوگل درآوردید و با ارائه نام کاربری و رمزعبور خود، به قلاب فیشینگ گرفتار شدید — هر چیزی ممکن است.

چطور با فیشینگ مقابله کنیم؟
یکی از کارهایی که می‌توانید انجام دهید، توجه کردن و مورد بررسی قرار دادن نشانی وب‌سایت‌ها (URL) است.

برای مثال، اگر در بانک ملی ثبت‌نام کرده‌اید و با آن سروکار دارید، از پیش بدانید که دامنه وب‌سایت آن bmi.ir است. ولی سایت‌های فیشینگ هوشمندانه عمل می‌کنند; آنان می‌توانند از دامنه‌های ساده‌ای به مانند bml.ir یا brni.ir استفاده کنند — یا از دامنه‌های پیچیده‌تری به مانند secure.bmi.com.example.com/onlinebanking/login بهره ببرند.

با دقت بر دامنه بالا، می‌فهمید که نشانی اصلی سایت example.com است.

برخی از وب‌سایت‌‎های فیشینگ، حروف و شماره‌ها را به گونه‌ای در کنار یکدیگر می‌چینند تا نام دامنه شبیه به نام دامنه سایت اصلی شود; به مانند bml و brni. پس همیشه دقت بیشتری را پیش گیرید. ما سفارش می‌کنیم که از مانیتورهای با کیفیت و وضوح بالا بهره ببرید تا دچار خطای دید کمتری در متون شوید.

سفارشی که به شما در مواجه با لینک‌ها می‌کنیم، این است که هرگز روی آن‌ها کلیک چپ نکنید — به جای آن، با کلیک راست روی لینک مورد نظر، گزینه Copy Link Location (لینک درونی را کپی کنید) را انتخاب کنید و سپس در کادر نشانی وب مرورگرها، آن را بچسبانید (paste کنید) و بررسی لازم را روی آن انجام دهید.

به لینک روبه‌رو توجه کنید: https://wikipedia.com پیش از کلیک کردن روی این لینک، گمان می‌کنید که به وب‌سایت ویکی‌پدیا منتقل خواهید شد، ولی اینطور نیست، زیرا درون این متن، در اصل لینک روبه‌رو درج شده است: https://amazon.com که با کلیک بر روی آن، به وب‌سایت آمازون انتقال خواهید یافت. با روشی که به شما گفتیم، می‌توانید لینک درونی را کپی کنید و به جایی بچسبانید تا ببینید در حقیقت به کجا رجوع می‌شود.

برنامه مدیریت رمزعبور چیست و چطور می‌تواند در مقابله با فیشینگ به شما کمک کند؟

با این برنامه‌ها می‌توانید به مدیریت رمزعبورها و دیگر اطلاعات خود بپردازید. با نصب افزونه آن، اطلاعات لاگین وب‌سایت‌هایی که از آنان بازدید کرده‌اید در آن ذخیره می‌شود، و از آن پس، هربار که قصد وارد شدن به وب‌سایت‌ها را داشتید، مدیریت رمزعبور به صورت خودکار اطلاعات نام کاربری و رمزعبور را برای‌تان وارد می‌کند.

ولی اگر وارد وب‌سایت دیگر یا جعلی شدید، برنامه مدیریت رمزعبور اطلاعاتی ارائه نخواهد داد، از این رو در امان خواهید بود. وب‌سایت‌های جعلی شاید برای شما پنهان باشند، ولی در رویارویی با مرورگرها و چنین برنامه‌ها، شانسی ندارند.

این برنامه‌ها لایه حفاظتی برای‌تان ایجاد نمی‌کنند، ولی زمانی که با یک سایت فیشینگ روبه‌رو شدید، با ارائه نشدن اطلاعات از جانب آن، هشیار می‌شوید که یک جای کار می‌لنگد.

ناگفته نماند که حتی در صورت استفاده نکردن از این برنامه، اگر اطلاعات لاگین سایتی در مرورگر اینترنت شما ذخیره شده باشد، زمانی که به یک سایت فیشینگ رجوع کنید، پی خواهید برد که با حساب کاربری خود وارد آن نشده‌اید; همین می‌تواند برای‌تان پرسش برانگیز باشد که چرا از پیش در آن واردشده (logged in/signed in) نیستید، در حالی که در آخرین بازدید خود، از آن خارج نشده بودید.

خوبی این برنامه این است که زمانی که می‌خواهید وارد ایمیل یا سایتی شوید، پس از آنکه دامنه را بررسی کرد، نام کاربری و رمزعبور شما را به طور خودکار در آن وارد می‌کند، در نتیجه به روند کار سرعت می‌بخشد.

یکی از این برنامه‌ها LastPass نام دارد، که ویژگی‌های دیگری جدا از آنچه که اشاره کردیم، در اختیار شما می‌گذارد.

پیش از بهره‌گیری از این برنامه، باید یک حساب کاربری برای آن بسازید، سپس از طریق مرورگر اینترنت خود، وارد سایت آن (lastpass.com) شوید و به مدیریت حساب خود بپردازید.

پنج آیتم اصلی برای مدیریت وجود دارند، که با رجوع به هریک، می‌توانید اطلاعات شخصی خود را در آن ذخیره کنید:

• رمزعبور
• یادداشت امن
• نشانی
• کارت پرداخت
• حساب بانکی

با رفتن به بخش PASSWORD، با ارائه نشانی وب، نام کاربری، رمزعبور، و غیره، می‌توانید به ذخیره و مدیریت حساب‌های عادی خود بپردازید.

با رفتن به بخش BANK ACCOUNT نسبت به مدیریت حساب‌های بانکی خود اقدام کنید.

با نصب افزونه این برنامه، به صورت خودکار وارد سایت‌ها شوید.

کارکرد این برنامه در گوشی‌ها

نسخه موبایلی این برنامه برای گوشی‌های هوشمند اندروید، آی‌اواس، و تبلت آی‌پد نیز ساخته شده است، که می‌توانید آن را از فروشگاه گوگل پلی و اپ استور یا سایت رسمی آن دریافت کنید.

نکته: در پی بهره بردن از برنامه‌های مدیریت رمزعبور، درواقع اطلاعات خود را در دستان کسانی قرار داده‌اید که نمی‌شناسید، ولی نه آنکه به آنان بی‌اعتماد باشید. ما سفارش می‌کنیم که همه پیشگیری‌های درخور نیاز را انجام بدهید، و چه بهتر که اطلاعات بسیار حساس را تنها پیش خود نگهدارید.

جمع‌بندی

اگر مسائل پیچیده‌اند، شما پیچیده‌تر باشید. سفارش ما به کسانی که در دام فیشینگ گرفتار شدند، این است که به سرعت با پشتیبانی سایت مورد نظر از طریق ایمیل یا تلفنی تماس برقرار کنند، و موضوع را به آنان شرح دهند، تا اقدامات مورد نیاز توسط آنان صورت گیرد. یادتان باشد که در رویارویی با فناوری، تنها به تجربه‌های دیگران بسنده نکنید — کارها را به طور شخصی دنبال کنید.