ONETIMEPASSWORD

رمز یکبار مصرف(OTP)

onetimepassword یا رمز یکبار مصرف،بصورت تخصصی پیرامون فناوری اطلاعات،امنیت سایبری،گواهینامه های امنیتی،،لینوکس ،آموزش زبانهای برنامه نویسی تحت وب،هوش مصنوعی و … مطلب مینویسد.

وَقُلْ رَبِّ أَدْخِلْنِي مُدْخَلَ صِدْقٍ وَأَخْرِجْنِي مُخْرَجَ صِدْقٍ وَاجْعَلْ لِي مِنْ لَدُنْكَ سُلْطَانًا نَصِيرًا

پیامک: 10009000000
منوی سایت
فیشینگ

فیشینگ

فیشینگ مخفف Password Harvesting Fishing هست و مخفف آن phishing هست و نه Fishing !

فیشینگ به نوعی فریب دادن به حساب می آید.

در عملیات فیشینگ معمولا هکرها با تقلید ماهرانه از ظاهر یک سایت ،با روشهایی نظیر ارسال ایمیل تبلیغاتی و یا پیامک تبلیغاتی و یا آگهی های تبلیغاتی شما را به این سایتهای غیرواقعی راهنمایی میکنند تا شما با اعتمادی که به سایت اصلی دارید،اطلاعات خود را در این سایت که تقلید بسیار ماهرانه و دقیقی از سایت اصلی است بطور کامل و بدون هرگونه ترسی وارد کنید،و بدین وسیله در واقع شما طعمه شده اید.

سایتهای فیشینگ چه اطلاعاتی را جمع آوری میکنند؟

هرنوع اطلاعاتی که به نوعی شخصی است،مثلا نام کاربری و رمز عبور شما،شماره تلفن های کاربران،شماره های حساب،شماره های کارتهای بانکی،سالروز تولد،کدملی،نام پدر،نام مادر،نام و نام خانوادگی،شماره شناسنامه و اطلاعاتی که به نوعی شخصی و مهم است معمولا در سایتهای فیشینگ از کاربران جمع آوری میشود.

یک مثال مهم در ایران :

در ایران شما به هنگام خرید اینترنتی وقتی که به درگاه پرداخت اینترنتی منتقل میشوید باید حتما دقت کنید که اطلاعات کارت بانکی خود را در سایتی وارد کنید که انتهای نام دامنه آن shaparak.ir باشد،حالا ممکن است اگر دقت نکنید شما به درگاهی با نام shahparak.com منتقل شوید و خب به همین راحتی ممکن است وجه پرداختی شما مورد سرقت واقع شود.

مقابله با فیشینگ

یکی از ساده ترین راههای مقابله با فیشینگ دقت به آدرسهای ایمیل و آدرسهای سایتهایی است که در آنها اقدام به ورود اطلاعات خود مینمایید و دقت به آدرس وب سایت همیشه مهم و ضروری است.

باید توجه داشت که وجود پروتکل HTTPS به تنهایی دلیلی بر امن بودن یک وب سایت نیست؛ چرا که هرشخصی می‌تواند برای وبسایت خود از این پروتکل استفاده کند.

در بسیاری از موارد عدم آگاهی از نحوه استفاده از خدمات بانکداری اینترنتی سبب جلوگیری از ایجاد اعتماد می‏‌شود. آگاهی دادن به مشتری از جنبه‌‏ای توانایی سرویس‌دهنده را برای شخصی که به ما اعتماد می‏‌کند، مشخص کرده و از سوی دیگر این توانایی را به او می‌‏دهد به عامل‌هایی توجه کند که تا به حال به آنها توجه نکرده است.

تعداد زیادی از حملات سایبری روی سیستم‌های بانکی آنلاین متمرکز شده است که گزارش‌های اخیر نشان می‌‏دهد فیشینگ (Phishing) و کدهای مخرب (Malicious) از جمله تهدیدات مهم امنیتی بوده‌اند

نیروی انسانی، آسیب پذیرترین حلقه در زنجیره دفاعی سازمانها محسوب میشوند. شرکت Communications Verizon در گزارش سال ۲۰۲۱ خود، بروز خطا توسط عامل انسانی را در %۸۵ از حمالت سایبری مؤثر دانستهاست. بر اساس گزارشی نیز که مجمع جهانی اقتصاد در زمستان سال ۱۴۰۰ آن را منتشر کرد خطای انسانی در %۹۵ از رخدادهای
امنیت سایبری نقش داشته است.

یکی از اقداماتی که شما میتوانید برای اینکه طعمه فیشینگ نشوید انجام دهید نصب یک سیستم اینترنت سکوریتی بر روی رایانه شخصی شماست که تا حدود زیادی شما را از این قبیل حملات مصون میدارد.

تجربه شخصی در مقابله با فیشینگ

همیشه به ایمیل هایی که دریافت میکنید دقت کنید و حتما ایمیل ارسال کننده به ایمیل شما را کنترل کنید.

همیشه بهنگام وبگردی در اینترنت به آدرس سایتها دقت کنید.

انواع تکنیک هایی که در حقه فیشینگ مورد استفاده قرار می گیرد:

دستکاری و تقلب در لینکها و آدرس ها

یکی از شیوه های متداول و رایج در فیشینگ ارسال لینک ها و آدرس های متعلق به سازمانهای غیر واقعی و جعلی  از طریق ایمیل می باشد. آدرس هایی که تنها تفاوت آنها با آدرس اصلی یک یا دو حرف است یا از دامین های فرعی گمراه کننده برای ایجاد آنها استفاده گردیده است.

دور زدن فیلتر

فیشرها با استفاده کردن از عکس به جای متن، کار فیلترهای ضد فیشینگ را که برای شناسایی متن هایی که عموماً در ایمیل های حاوی آدرس های جعلی یافت می شوند، را سخت می کنند.

وب سایت جعلی

تنها با ورودو بازدید یک قربانی به سایت جعلی عمل کلاهبرداری صورت نمی پذیرد . در برخی از روش های فیشینگ از دستورات جاوا اسکریپت استفاده می شود تا نوار آدرس را اصلاح کند و تغییر دهد. این کار با قرار دادن تصویر یک آدرس اینترنتی قانونی و موجه در نوار آدرس یا بستن نوار آدرس اصلی و باز کردن یک نوار آدرس جدید که حاوی آدرس اینترنتی قانونی و موجه است، انجام می شود.

یک فیشر(مهاجم) حتی می تواند از نقایص موجود در برنامه جاوا اسکریپت یک سایت معتبر و قانونی علیه قربانیان خوداستفاده نمایند. این نوع حمله ها ( که به کراس سایت اسکریپتینگ معروف هستند) به طور خاص سخت و پیچیده هستند، چون آنها قربانی را به صفحه اینترنتی ثبت نام خدمات بانکی خود ارجاع می دهند. صفحه ای که در آن همه چیز از آدرس سایت گرفته تا گواهی امنیتی، همه درست و صحیح به نظر می رسند. در حقیقت لینک دادن به صفحه اصلی حقه ای برای به ثمر رساندن سرقت و انجام دادن حمله است. با انجام این کار کشف این حمله برای افرادی که دانش لازم را ندارند، کار بسیار سختی است. در سال ۲۰۰۶ چنین حمله ای علیه سایت Pay Pal انجام شد.

یک برنامه فیشینگ در سطح جهانی با عنوان Man-in-the-middle، که در سال ۲۰۰۷ کشف شد، از یک رابط ساده استفاده می کرد که به فیشر (مهاجم) اجازه می داد به دون هیچ مشکلی سایت هایی خاصی را مجدداً ایجاد کند و جزئیات اطلاعات ورود یا لاگین افراد (نام کاربری و رمز عبور) وارد شده در وب سایت جعلی را برای ورود به سایت های اصلی ثبت و ضبط کند.

برای از کار انداختن تکنیک ها و برنامه هایی که وب سایت ها را با هدف پیدا کردن متون و علائم مرتبط با فیشینگ اسکن و بررسی می کنند، فیشرها به تازگی شروع به استفاده از وب سایت هایی کرده اند که با برنامه های فلش ،ساخته شده اند. این گونه سایت ها بسیار واقعی به نظر می رسند اما در واقع در این سایت ها متون و علائم مرتبط با فیشینگ پشت ظاهر برنامه های فلش پنهان شده اند.

فیشینگ از طریق تلفن

تمامی حملات فیشینگ نیاز به استفاده از یک وب سایت جعلی و ساختگی ندارند. این نوع حملات شامل پیام هایی هم می شوند که ادعا می کند از طرف بانک هستند و از مشتری ها (استفاده کنندگان خدمات بانکی) می خواهند با توجه به مشکلی که برای حساب های آنها به وجود آمده است، با یک شماره تماس بگیرند. به محض این که مشتری با این شماره تلفن (که متعلق به مهاجم است و یک سرویس تلفن اینترنتی است) تماس بگیرد، دستوراتی به مشتری داده می شود تا شماره حساب و رمز خود را وارد کند. فیشرهایی که از سرویس تلفن اینترنتی استفاده می کنند، گاهی اوقات از داده های جعلی برای آی دی کالر استفاده می‌نمایند تا برای مشتریان این گونه به نظر برسد که این تماس از طرف یک سازمان مطمئن و معتبر انجام می شود.

سایر روش ها

  • نوع دیگری از حمله که موفقیت آمیز بودنش ثابت شده است، ارجاع دادن قربانی به وب سایت اصلی بانک است. سپس یک پنجره پاپ آپ در بالای صفحه سایت به نمایش در می آید و به شکلی که به نظر برسد این صفحه و این سایت متعلق به بانک است، اطلاعات حساس قربانی را درخواست می کنند.

  • یکی از جدیدترین روش های فیشینگ تب نبینگ است. این برنامه از صفحاتی که کاربر باز کرده استفاده می کند و به طور آهسته کاربر را به سایت ساختگی ارجاع میدهد.

  • دوقلوهای شر یا Evil twins روشی است که شناسایی و کشف آن کار بسیار سختی است. یک فیشر یک شبکه بی سیم (وایرلس) ساختگی ایجاد می کند. این شبکه همانند شبکه های معتبر عمومی و قانونی می تواند در مکان هایی مانند فرودگاه ها، هتل ها و کافی شاپ ها وجود داشته باشد. وقتی که یک نفر وارد شبکه جعلی می شود، کلاهبرداران سعی می کنند رمزهای عبور و یا سایر اطلاعات مرتبط با کارت اعتباری او را ثبت و ضبط کنند.

در آخر یک مقاله به زبان انگلیسی هم برای شما تهیه شده است که میتوانید آنرا اینجا بخوانید.

تصویر کاوه توفیقی

کاوه توفیقی

در سال 1372 یعنی اول دبیرستان به واسطه درس طرح کاد با کامپیوتر آشنا شدم و با خرید یکعدد کامپیوتر 80386DX4 یا یک مگابایت رم و 40 مگابایت هارد با مانیتور TVM توسط پدرم از شرکت به افزار اصفهان(مهندس شکرانی و مهندس موسوی) به کامپیوتر علاقه مند شدم و تا اکنون گرفتار رفاقت با کامپیوترم هستم.متولد 1358،متاهل،اصفهانی اولین سیستم عاملی که با آن کار با کامپیوتر را شروع کردم سیستم عامل MS-DOS ورژن 5 بود! و به یاد دارم زمانی که ویندوز نگارش 3 آمد،کامپیوترم را ارتقاء دادم تا بتوانم آنرا نصب کنم و چقدر آن دوران هیجان انگیز بود بعد از نصب ویندوز 95 ! به زبانهای قدیمی برنامه نویسی از جمله gw-basic،کوییک بیسیک،پاسکال،Fortran،C و فاکس پرو تحت سیستم عامل داس برنامه نوشته ام. از سال 1380 یا 1381 با سیستم عامل UNIX و بدنبال آن Linux آشنا شدم وحوالی سالهای 1383 یا 1384 اولین سی دی های اوبونتو را از طریق پست دریافت کردم که هنوز هم دارم و ترجیج خودم استفاده از سیستم عامل Linux اوبونتو است. در حال حاضر با PHP و MySQL تحت وب برنامه مینویسم.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

از بازدیدتان متشکرم!
کلیه حقوق مادی و معنوی برای کاوه توفیقی محفوظ است. کپی رایت (C) 1381 تا 1403