پرفكت ماني

دزدي از كارت هاي اعتباري با استفاده از رمز دوم و cvv2  و سپس تبديل آن پول به هر چيز ديگر با روشي كه نتوان آن را پيگيري كرد (استفاده از نام شخصي ديگر براي خريد جنس، انتقال پول به حساب شخصي ديگر و بازپس گيري آن و ...) ، به موضوعي بسيار مهم و البته خطرناك تبديل شده است كه نگراني مردم را برانگيخنه و گريبان بسياري را نيز گرفته است.

از جمله ي اين روش ها مي توان به قراردادن كارت اعتباري خود در اختيار شخصي ديگر براي خريد و فروش با كارت شماست.به عبارت ديگرفردي به شما پيشنهاد مي دهد كه مبلغي را به كارت شما واريز مي كند و شما بايد جنسي را بخريد و در ازاي انجام اين كار، مبلغي را به عنوان دستمزد دريافت كنيد. از جمله ي اين اجناس براي خريد مي توان به خريد بيت كوين، پرفكت ماني، وبمانيو ديگر ارز ديجيتال اشاره كرد. اين موضوع به قدري زياد است كه حتي با جستجو در ديوار هم به وفور مي توان اين نوع آگهي ها را مشاهده كرد. فرض كنيد فرد هكر مبلغ 30 ميليون تومان به كارت شما واريز كرده و از شما مي خواهد به وسيله ي اين پول، پرفكت ماني خريداري كنيد و مبلغ مثلا 5 ميليون تومان را دريافت كنيد. پليس با پيگيري پول دزديده شده از كارت شخص قرباني، به كارت شما  ميرسد و اين شما هستيد كه با آن خريد كرده ايد و مجرم خواهيد بود.

اما در پس اين معامله كه به نظر ساده مي آيد چيست؟ اين موضوع از چه زماني شروع شد و به زبان ساده چيست؟

به طور كلي به اين روش دزدي، فيشينگ (Phishing) گفته مي شود. با ما همراه باشيد تا به شرح فيشينگ، انواع آن و راه هاي جلوگيري از فريب خوردن توسط اين روش بپردازيم.

فيشينگ(Phishing) چيست؟

فيشينگ راهي است كه تبهكاران، اطلاعاتي نظير كلمه كاربري، رمز عبور، شماره 16 رقمي عابر بانك، رمز دوم و CVV2 را از طريق ابزارهاي الكترونيكي ارتباطات به سرقت مي برند. شبكه هاي اجتماعي، سايت هاي حراجي و درگاه هاي پرداخت آنلاين نمونه اي از ابزار هاي الكترونيكي ارتباطات مي باشند.به عبارت ساده تر زماني كه كسي سعي در فريب شما براي به دست آوردن اطلاعات فوق مي‌كند، يعني شما در برابر حمله فيشينگ قرار گرفته‌ايد.
 
كلاهبرداري فيشينگ از طريق ايميل ها و پيامها صورت مي پذيرد و قربانيان به صورت مستقيم اطلاعات حساس و محرمانه خود را در وب سايت هاي جعلي كه در ظاهر كاملا شبيه وب سايت هاي سالم و قانوني مي باشد وارد مي نمايند. حقه ي فيشينگ يكي از تكنيك هاي مهندسي اجتماعي براي فريب كاربران مي باشد كه علي‌القاعده از ضعف امنيتي يك وب سايت براي انجام عمليات مجرمانه خود استفاده مي كنند. براي اولين بار حقه ي فيشينگ در 1987 تعريف شد و اولين باري كه واژه فيشينگ براي نام گذاري اين واژه استفاده گرديد، سال 1996 بود.

 دستكاري و تقلب در لينكها و آدرس ها

يكي از شيوه هاي متداول و رايج در فيشينگ ارسال لينك ها و آدرس هاي متعلق به سازمانهاي غير واقعي و جعلي  از طريق ايميل مي باشد. آدرس هايي كه تنها تفاوت آنها با آدرس اصلي يك يا دو حرف است يا از دامين هاي فرعي گمراه كننده براي ايجاد آنها استفاده گرديده استپرفكت ماني.

دور زدن فيلتر

 فيشرها با استفاده كردن از عكس به جاي متن، كار فيلترهاي ضد فيشينگ را كه براي شناسايي متن هايي كه عموماً در ايميل هاي حاوي آدرس هاي جعلي يافت مي شوند، را سخت مي كنند.

وب سايت جعلي

 تنها با ورود و بازديد يك قرباني به سايت جعلي عمل كلاهبرداري صورت نمي پذيرد . در برخي از روش هاي فيشينگ از دستورات جاوا اسكريپت استفاده مي شود تا نوار آدرس را اصلاح كند و تغيير دهد. اين كار با قرار دادن تصوير يك آدرس اينترنتي قانوني و موجه در نوار آدرس يا بستن نوار آدرس اصلي و باز كردن يك نوار آدرس جديد كه حاوي آدرس اينترنتي قانوني و موجه است، انجام مي شود.
 
يك فيشر(مهاجم) حتي مي تواند از نقايص موجود در برنامه جاوا اسكريپت يك سايت معتبر و قانوني عليه قربانيان خوداستفاده نمايند. اين نوع حمله ها ( كه به كراس سايت اسكريپتينگ معروف هستند) به طور خاص سخت و پيچيده هستند، چون آنها قرباني را به صفحه اينترنتي ثبت نام خدمات بانكي خود ارجاع مي دهند. صفحه اي كه در آن همه چيز از آدرس سايت گرفته تا گواهي امنيتي، همه درست و صحيح به نظر مي رسند. در حقيقت لينك دادن به صفحه اصلي حقه اي براي به ثمر رساندن سرقت و انجام دادن حمله است. با انجام اين كار كشف اين حمله براي افرادي كه دانش لازم را ندارند، كار بسيار سختي است. در سال 2006 چنين حمله اي عليه سايت Pay Pal انجام شد.

يك برنامه فيشينگ در سطح جهاني با عنوان Man-in-the-middle، كه در سال 2007 كشف شد، از يك رابط ساده استفاده مي كرد كه به فيشر (مهاجم) اجازه مي داد بدون هيچ مشكلي سايت هايي خاصي را مجدداً ايجاد كند و جزئيات اطلاعات ورود يا لاگين افراد (نام كاربري و رمز عبور) وارد شده در وب سايت جعلي را براي ورود به سايت هاي اصلي ثبت و ضبط كند.
 
براي از كار انداختن تكنيك ها و برنامه هايي كه وب سايت ها را با هدف پيدا كردن متون و علائم مرتبط با فيشينگ اسكن و بررسي مي كنند، فيشرها به تازگي شروع به استفاده از وب سايت هايي كرده اند كه با برنامه هاي فلش ساخته شده اند. اين گونه سايت ها بسيار واقعي به نظر مي رسند اما در واقع در اين سايت ها متون و علائم مرتبط با فيشينگ پشت ظاهر برنامه هاي فلش پنهان شده اند.

چطور متوجه حمله فيشينگ بشويم؟

هماهنطور كه مي‌بينيد، آدرس صفحه در عكس بالا https://bpm.shaparak.ir است.

در صورتي كه در گوشي موبايل خود چنين صفحه‌اي را مي‌بينيد به موارد زير هم توجه كنيد:

• برخي از سارقان از عبارت هاي شبيه shapark استفاده مي‌كنند. مثلاً shaporak يا … كه اين عبارات معتبر نيستند.

• در برخي از موارد نيز لينكي در بالاي صفحه وجود نداشته و صرفاً عكسي از لينك پرداخت shaparak وجود دارد. با كليك كردن روي لينك از واقعي بودن آن اطمينان حاصل كنيد.

علائم فيشينگ

• آدرسي كه در قسمت مربوط به فرستنده يا فرم وجود دارد ظاهرا از طرف شركتي قانوني است.

• اين پيام‌ها معمولا شامل علامت يا تصاويري هستند كه از وب سايت شركت اصلي برداشته شده‌اند.

• پيام داراي يك لينك است كه به همراه توضيح فرستاده شده است. در صورتي كه روي مرورگر كامپيوتر، نشانگر را روي لينك قرار دهيد، در گوشه چپ و پايين صفحه آدرسي را مشاهده كنيد كه در اصل آدرس واقعي وب سايتي است كه در صورت كليك كردن به آن خواهيد رفت. توجه كنيد كه اين لينك به آدرس قانوني اي كه شما انتظار داريد منتهي نخواهد شد.

جمع بندي

پس به طور كلي مي توان گفت، فيشينگ يك راه ساده كلاهبرداري هكرها يا دزدان اينترنتي براي به دست آوردن اطلاعات شماره 16 رقمي كارت بانكي، رمز دوم، CVV2، تاريخ صدور كارت و ساير اطلاعات بانكي شما است. باري در امان ماندن از حملات فيشينگ سعي در حفظ رمزهاي اصلي خود و اتنا از انجام عمليات هاي مشكوك و يا وسوسه كننده اي كه ممكن سود خوبي نيز نصيب شما كنند داشته باشيد. همچنين از دادن حساب كاربري خود به هر شخص نزديك يا دوري به خود، به شدت بپرهيزيد چرا كه هر اتفاقي مي تواند گريبان صاحب حساب، يعني شما را بگيرد.