۹.۰۵.۱۳۸۹

Phishing چیست؟


Phishing از جمله واژه هایی است که توسط مهاجمان در عرصه ادبیات اینترنت مطرح و به ترغیب توام با نیرنگ کاربران به افشای اطلاعات حساس و شخصی آنان، اشاره دارد. مهاجمان به منظور نیل به اهداف مخرب خود در اولین مرحله درخواست موجه خود را برای افراد بی شماری ارسال می نمایند و در انتظار پاسخ می مانند. آنان امیدوارند که حتی اگر بتوانند تعداد اندکی از افراد را ترغیب به افشای اطلاعات حساس و شخصی خود نمایند در رسالت خود موفق بوده اند. امیدواری آنان چندان هم بی دلیل نخواهد بود چراکه با توجه به گستردگی تعداد قربانیان اولیه احتمالی، شانس موفقیت نهایی آنان از لحاظ آماری نیز افزایش می یابد. مهاجمان به منظور افزایش ضریب موفقیت حملات سعی می نمایند خود را بگونه ای عرضه نمایند که مردم به آنان اعتماد نموده و آنان را به عنوان نمایندگان قانونی مراکز معتبری نظیر بانک ها قبول نمایند. ماهیت و یا بهتر بگوییم رمز موفقیت این نوع از حملات بر قدرت جلب اعتماد مردم استوار است و بدیهی است که مهاجمان از هر چیزی که بتواند آنان را موجه تر جلوه نماید، استقبال خواهند کرد. مهاجمان پس از جلب رضایت و اعتماد کاربران از آنان درخواست اطلاعات حساس و مهمی نظیر شماره کارت اعتباری را می نمایند. اکثر عملیات اشاره شده به صورت اتوماتیک انجام و با توجه به این که کاربران گسترده ای هدف اولیه قرار می گیرند و درصد بسیار زیادی از آنان دارای آگاهی لازم جهت تشخیص و مقابله با این نوع حملات نمی باشند، شانس موفقیت مهاجمان به منظور سرقت هویت کاربران افزایش می یابد.
● سرقت هویت چیست؟
سرقت هویت، استفاده از هویت شخص دیگر (اطلاعات حساس و یا شخصی) برای سوءاستفاده مالی و یا سایر اهدف مخرب است. سوءاستفاده یا کلاهبرداری با استفاده از کارت اعتباری دیگران، یک نمونه از سرقت هویت است. در واقع Phishing، روشی است که مهاجمان از آن به منظور سرقت هویت استفاده می نمایند. آیا سرقت هویت صرفاً گریبانگیر افرادی می گردد که اقدام به ارسال اطلاعات online می نمایند؟
در صورتی که هرگز از کامپیوتر استفاده نکرده باشید، ممکن است از جمله قربانیان سرقت هویت باشید. مهاجمان می توانند با بکارگیری روش های متعدد به اطلاعات شخصی شما نظیر شماره کارت اعتباری، شماره تلفن، آدرس و... دستیابی پیدا نمایند. اکثر شرکت ها و مؤسسات، اطلاعات مربوط به مشتریان خود را در بانک های اطلاعاتی ذخیره می نمایند و در صورت دستیابی سارقین به بانک های اطلاعاتی، اطلاعات شخصی تعداد زیادی از افراد افشا می گردد. اینترنت فضای لازم برای سارقین را فراهم نموده است تا بتوانند در زمانی مطلوب و در گستره ای وسیع تر به اطلاعات شخصی و مالی کاربران دستیابی نمایند.اینترنت، همچنین امکانات مناسبی به منظور فروش و مبادلات تجاری اطلاعات سرقت شده را در اختیار مهاجمان قرار می دهد.
● چرا باید از خود در مقابل حملات phishing حفاظت نمود؟
در یک سازمان، افراد متفاوت اطلاعاتی را نزد خود نگهداری می نمایند که ممکن است حساس و یا برای سایر افراد و یا سازمان ها حائز اهمیت باشد. در حملات phishing، مهاجمان عموماً از روش های غیرفنی (نظیر مهندسی اجتماعی) برای دستیابی به اطلاعات حساس و مهم اشخاص و یا سازمان ها استفاده نموده و موارد زیر را هدف قرار می دهند: اطلاعات بانکی نظیر کارت های اعتباری و یا حساب هائی نظیر paypal
▪ اطلاعات مربوط به نام و رمز عبور
▪ اطلاعات بیمه همگانی
▪ و...
مهاجمان پس از دستیابی به اطلاعات فوق از آنان به منظور نیل به اهداف زیر استفاده می نمایند: برداشت از حساب بانکی سرویس های online متفاوتی نظیر eBay و یا Amazon
● یک نمونه از حملات phishing
تعداد زیادی از حملات phishing از طریق email انجام می شود. مهاجمان email موجه خود را برای میلیون ها قربانی احتمالی ارسال می نمایند. این نوع نامه های الکترونیکی بسیار مشابه وب سایت شرکتی می باشند که email ادعا می نماید، نامه از آنجا برای کاربران ارسال شده است. مهاجمان به منظور فریب کاربران از روش های متعددی استفاده می نمایند: استفاده از logo وسایر علائم تجاری شناخته شده و معتبر ساختار و طراحی email تقلبی مشابه وب سایت واقعی است، به گونه ای که در اولین مرحله تشخیص جعلی بودن آن برای بسیاری از کاربران غیرممکن است. بخش from نامه الکترونیکی ارسالی، مشابه ارسال یک email معتبر از شرکت مربوطه است. در متن email ممکن است فرمی تعبیه شده باشد که از کاربران خواسته شود به دلایل خاصی(مثلاً account شما در معرض تهدید است و ممکن است مورد سوءاستفاده قرار گیرد و یا به دلیل بروز اشکالات فنی)، مجدداً اطلاعات خود را در فرم درج و آن را ارسال نمایند. در برخی موارد، مهاجمان به منظور افزایش اعتماد کاربران و معتبر نشان دادن email ارسالی از روش هایی فنی تری استفاده می نمایند. مثلاً ممکن است آنان از روشی موسوم به URL spoofing استفاده نمایند و با ایجاد یک لینک در متن email از کاربران بخواهند که جهت ادامه عملیات بر روی آن کلیک نمایند. با کلیک کاربران روی لینک فوق، آنان در مقابل هدایت به یک سایت معتبر که انتظار آن را دارند به وب سایتی هدایت می گردند که مهاجمان آن را مدیریت می نمایند. شکل ظاهری وب سایت به گونه ای طراحی می گردد که کاربران نتوانند جعلی بودن آن را تشخیص دهند.

هیچ نظری موجود نیست:

http://up.iranblog.com/images/0z5dgraxwa4j49a5ts77.gif http://up.iranblog.com/images/gv83ah5giec9g8jkopmc.gif