فیشینگ یا phishing به فعالیت مجرمانه ای گفته می شود که شخصی سعی در دریافت اطلاعات مهم از قبیل پسورد ها و پین کد ها یا اطلاعات بانکی از طریق جعل مرجع رسمی داشته باشد.به عنوان مثال با شبیه سازی محیط سایتی مشابه سایت اینترنت بانک و هدایت افراد به آن آدرس قربانی را فریب دهد و اطلاعاتی که قربانی در سایت تقلبی وارد میکند را بدزدد.
فیشینگ از طریق ایمیل
فیشینگ از طریق ایمیل یکی از رایج ترین راه های ترغیب قربانی است.شخص حمله کننده با ارسال ایمیل های انبوه با محتوی ای رسمی از کاربران میخواهد که اطلاعاتی را بدهند و عدم ارسال آنها عواقبی را خواهد داشت. اکثر مواقع این نوع ایمیل ها به پوشه spam شما هدایت می شوند.اما به خاطر داشته باشید هیچ سایت معتبری یا مرجع قانونی در ایمیل از شما درخواست اطلاعات نمی کند.
فیشینگ به روش صفحه قلابی
صفحه قلابی یا fake page صفحه اینترنتی است که کاملا ظاهری مشابه یک سایت رسمی ماننده جیمیل ، فیس بوک و … دارد. فرد حمله کننده معمولا می گویدبا به روز رسانی اطلاعات خود از غیرفعال شدن حساب خود جلوگیری کنید یا بعد از ورود به صفحه جایزه ای دریافت میکنید.برای تشخیص این سایت ها کافی است در منو بالای مرورگر خود نگاهی به نوار آدرس بیاندازید .اگر آدرس آدرس رسمی نباشد یا ssl (پرتکل https در اول ادرس)آن فعال نباشد صفحه مورد نظر یک صفحه قلابی است.
فیشینگ در شبکه های مجازی
در شبکه های مجازی فیشینگ میتواند از طریق پیام خصوصی با محتوی اغوا کننده راحت تر اتفاق بیوفتد.ابزار هایی که به شما وعده کار هایی را می دهند که از نظر فنی امکان پذیر نیست. مانند دیدن افراد ملاقات کننده از صفحه خود یا زیر نظر گرفتن صفحه افرادی خاص.سپس با فراهم کردن آدرسی که حاوی صفحه تقلبی است اطلاعات حساب شما را می دزدند.
راه های جلوگیری از فیشینگ
تشخیص حمله فیشینگ کار سختی نیست.
نخست باید بدانید که هیچ سازمان یا مرجع قانونی از طریق پیامک یا ایمیل از شما کسب اطلاعات نمیکند.
2- آدرس سایت های معتبر تنها یک آدرس خاص است و دیگر آدرس هایی که ظاهری شبیه آن دارند نمی توانند منبع رسمی باشند. حتی آدرس سایت مورد نظر اگر درست باشد حتما باید در نوار آدرس دارای یک گواهی ssl(https) معتبر باشد. در صورتی که از اینترنت های رایگان عمومی استفاده می کنید و وارد سایتی شدید اگر مرورگر شما هشدار نامعتبر دادن ssl را داد حتما آن را جدی بگیرید.
3- یوزرنیم و پسورد حساب یک سرویس را در هیچ برنامه ای دیگری که سرویس خاصی ارائه می کند وارد نکنید. برای مثال اگر برنامه ای قرار است سرویسی مانند ذخیره پست های اینستاگرام برای شما فراهم سازد ، نباید برای دسترسی به پروفایل شما درخواست یوزرنیم و پسورد کند، این برنامه ها باید شما را به صفحه کسب اجازه در اینستاگرام هدایت کنند و شما دسترسی آن ها را به صورت محدود مجاز کنید.
4-ورود دو مرحله ای را در تمامی سایت های مهم فعال کنید. ورود دو مرحله ای به معنای دریافت کد یک بار مصرف بعد از وارد سازی پسورد ثابت است. معمولا این کد های یکبار مصرف از طریق پیامک، ایمیل یا برنامه های تولید کد در اختیار شما قرار میگیرند. در این صورت حتی با لو رفتن حساب های شخصی شما دسترسی به آن ها امکان پذیر نیست.
5-استفاده از برنامه های امنیتی در رایانه یا تلفن همراه خود. برنامه های زیادی از جمله eset internet security برای ویندوز و eset mobile security قابلیت تشخیص سایت های تقلبی و حملات فیشینگ را دارند.