جهت مطالعه مقاله ی دیگری در زمینه مشاوره حقوقی اینجا کلیک کنید
ایمیلی از یک شرکت مورد اعتماد مانند بانک که از شما میخواهد از یک پیوند بازدید کرده و جزئیات حساب خود را تأیید کنید، نمونهای از فیشینگ فریبنده است. Spear phishing یک تلاش فیشینگ است که فرد یا گروه خاصی از افراد را هدف قرار می دهد. یکی از گروههای متخاصم که به نام هلیکس کیتن شناخته میشود، در مورد افراد در صنایع خاص تحقیق میکند تا در مورد علایق آنها اطلاعات کسب کند و سپس پیامهای فیشینگ نیزهای را برای جذب آن افراد ایجاد میکند. به عنوان مثال، ممکن است یک متخصص مالی در سطح متوسط مورد هدف قرار گیرد زیرا لیست تماس او حاوی آدرس ایمیل مدیران مالی با دسترسی بیشتر به اطلاعات حساس است. یک کمپین فیشینگ منظم، یک ارتباط جمعی را به بیشترین تعداد قربانیان احتمالی ارسال می کند.
به آنها گفته شد که وجوه خود را به یک تامین کننده خاص بفرستند، در حالی که این واقعاً یک طرح فیشینگ بود که از anAI برای تقلید صدای مدیر اجرایی مدیر عامل شرکت مادر آنها استفاده می کرد. مشخص نیست که آیا مهاجمان از ربات ها برای واکنش به سوالات قربانی استفاده کرده اند یا خیر. اگر فیشر از یک ربات برای خودکار کردن حمله استفاده کند، بررسی آن برای مجریان قانون دشوارتر میشود. آزمایش حملات فیشینگ شبیهسازی شده میتواند به تیمهای امنیتی کمک کند تا اثربخشی برنامههای آموزشی آگاهی امنیتی را ارزیابی کنند و به کاربران نهایی در درک بهتر حملات کمک کند. حتی اگر کارمندان شما در یافتن پیامهای مشکوک خوب هستند، باید به طور مرتب آزمایش شوند تا حملات فیشینگ واقعی را تقلید کنند. چشم انداز تهدید به تکامل خود ادامه می دهد و شبیه سازی حملات سایبری نیز باید تکامل یابد.
امروزه، طرحهای فیشینگ متنوعتر شدهاند و به طور بالقوه خطرناکتر از قبل هستند. با ادغام رسانههای اجتماعی و روشهای ورود به سیستم مانند «ورود با فیسبوک»، یک مهاجم به طور بالقوه میتواند چندین نقض داده را با استفاده از یک رمز عبور فیش شده روی یک فرد انجام دهد و آنها را در این فرآیند آسیبپذیر کند. به عنوان مثال، مدیر عامل یک شرکت انرژی در بریتانیا فکر می کرد که با رئیس خود تلفنی صحبت می کنند.
این به یک کلاهبرداری فیشینگ معمولی تبدیل شد که از هویت حساب های شرکت در رسانه های اجتماعی استفاده می کند که ادعا می کند کانال رسمی خدمات مشتری آن است. بیشتر اوقات، مهاجمان با استفاده از یک کنترلر مشابه با حساب های رسمی، حساب های رسانه های اجتماعی را در فیس بوک، توییتر و اینستاگرام ایجاد می کنند. در Angler Phishing، معمولاً به قربانیان این گزینه پیشنهاد می شود که روی پیوندی کلیک کنند تا مستقیماً به یکی از اعضای تیم خود منتقل شوند. در عوض، قربانیان به وبسایتهای مخرب هدایت میشوند که در آن کلاهبرداری اتفاق میافتد. به طور معمول، قربانی پیامی را دریافت می کند که به نظر می رسد توسط یک مخاطب یا سازمان شناخته شده ارسال شده است. سپس حمله یا از طریق پیوست فایل مخرب یا از طریق پیوندهای متصل به وب سایت های مخرب انجام می شود.
فیشینگ یک حمله سایبری است که در آن مجرمان پیام های کلاهبرداری ارسال می کنند تا فردی را فریب دهند تا اطلاعات حساس را فاش کند یا بدافزار را دانلود کند. این در درجه اول از طریق ایمیل انجام می شود، اگرچه مهاجمان می توانند از تماس های تلفنی و پیام های متنی نیز استفاده کنند. صرف نظر از روش تحویل، یک حمله فیشینگ معمولاً به عنوان یک ارتباط قانونی از یک سازمان یا فرد شناخته شده پنهان می شود. در این مورد، مهاجم تلاش می کند تا اطلاعات محرمانه ای را از قربانیان به دست آورد. سپس مهاجمان از اطلاعات برای سرقت پول یا انجام حملات دیگر استفاده می کنند.
فیشینگ نوعی حمله مهندسی اجتماعی است، اصطلاحی فراگیر برای توصیف بسیاری از روشهای سرقت اطلاعات شخصی و دستکاری برای هک کردن حسابهای خصوصی یا شرکتی قربانیان. بسیاری از کلاهبرداری ها و جرایم سایبری در دسته مهندسی اجتماعی، به ویژه فیشینگ قرار می گیرند، اما مهندسی اجتماعی عمدتاً سطحی از دستکاری شخصی را نشان می دهد. دستکاری شخصی می تواند شامل تماس تلفنی با افراد یا ایجاد ارتباط اولیه با آنها از طریق رسانه های اجتماعی باشد.
چنین پیامهایی معمولاً حاوی تهدیدهایی برای مسدود کردن یک حساب کاربری هستند، در صورتی که گیرنده الزامات موجود در آن را برآورده نکند. به عنوان مثال، "اگر تا پایان هفته اطلاعات شخصی خود را ارائه نکنید، حساب شما مسدود خواهد شد". از قضا، اشاره به ضرورت بهبود سیستم های ضد فیشینگ به عنوان یکی از دلایل افشای اطلاعات محرمانه برای فیشرها ناشناخته نیست. یک حقه معمولی ممکن است این باشد که "اگر می خواهید خود را در برابر فیشینگ ایمن کنید، روی پیوند کلیک کنید و نام کاربری و رمز عبور خود را وارد کنید". فیشینگ نوع خاصی از حمله سایبری است که برای دسترسی به داده های حساس مانند آدرس ها، اطلاعات شخصی، رمز عبور، اعتبار ورود به سیستم و جزئیات بانکی استفاده می شود. در آن، با افراد از طریق ایمیل، پیامک یا تلفن تماس گرفته می شود و فریب داده می شود تا جزئیات یا پول را تحویل دهند.
زمانی که AOL اقداماتی را برای تعطیل کردن AOHell انجام داد، مهاجمان به تکنیکهای دیگر روی آوردند. آنها برای کاربران AOL پیام هایی ارسال کردند که ادعا می کردند کارمندان AOL هستند و از مردم خواستند حساب های خود را تأیید کنند و اطلاعات صورتحساب را تحویل دهند. در نهایت، این مشکل به قدری بدتر شد که AOL هشدارهایی را بر روی تمام مشتریان ایمیل و پیامرسانهای فوری اضافه کرد که بیان میکرد: «هیچکسی که در AOL کار میکند رمز عبور یا اطلاعات صورتحساب شما را نمیخواهد». فیشینگ یک جرایم سایبری است که در آن مهاجمان به عنوان همکاران، شرکتهای معتبر یا سایر موسسات شناخته شده ظاهر میشوند و قصد دارند قربانیان را مجبور به افشای اطلاعات حساس کنند و ایمیل به عنوان عامل اصلی حمله عمل میکند. اصطلاح «فیشینگ» از روشی که مهاجمان برای کسب اطلاعات «ماهیگیری» میکنند، میآیند، و یک قلاب طعمهدار را در مقابل یک فرد بیخبر آویزان میکنند. هنگام فیشینگ، مهاجمان هویت واقعی خود را با پنهان کردن آدرس ایمیل خود یا ایجاد تغییرات بسیار جزئی در آدرسهای ایمیل واقعی که کارمندان تشخیص میدهند، پنهان میکنند.
Proofpoint Essentials همچنین محافظت از حساب رسانههای اجتماعی، رمزگذاری سیاستگذاری شده، جلوگیری از از دست دادن دادهها و موتور قوانین فیلتر برای نامههای ورودی و خروجی را فراهم میکند. فیشینگ نوعی حمله سایبری است که از ایمیل، تلفن یا متن برای ترغیب افراد به ارائه اطلاعات شخصی یا حساس استفاده می کند، از رمزهای عبور، اطلاعات کارت اعتباری و شماره تامین اجتماعی گرفته تا جزئیات مربوط به یک شخص یا سازمان. مهاجمان به عنوان نمایندگان قانونی برای به دست آوردن این اطلاعات ظاهر می شوند، که سپس برای دسترسی به حساب ها یا سیستم ها استفاده می شود، که اغلب منجر به سرقت هویت یا ضرر مالی قابل توجه می شود.
جهت کسب اطلاعات بیشتر از سایت وکیل اراضی بازدید نمایید
هکرها و دزدان دریایی نرم افزار از آن برای برقراری ارتباط با یکدیگر و همچنین برای انجام حملات فیشینگ بر روی کاربران قانونی استفاده کردند.
اس ام اس فیشینگ یا smishing از نظر مفهومی شبیه به فیشینگ ایمیل است، با این تفاوت که مهاجمان از پیام های متنی تلفن همراه برای تحویل "طعمه" استفاده می کنند. حملات Smishing معمولاً کاربر را دعوت می کنند تا روی پیوند کلیک کند، با شماره تلفن تماس بگیرد یا با یک آدرس ایمیل ارائه شده توسط مهاجم از طریق پیام کوتاه تماس بگیرد. علاوه بر این، به دلیل ماهیت مرورگرهای تلفن همراه، URL ها ممکن است به طور کامل نمایش داده نشوند. از آنجایی که بازار تلفن همراه در حال حاضر از گوشیهای هوشمندی پر شده است که همگی دارای اتصال اینترنتی سریع هستند، پیوند مخربی که از طریق پیامک ارسال میشود، میتواند همان نتیجهای را داشته باشد که اگر از طریق ایمیل ارسال شود.
در سالهای اخیر، فیشرها بر روی خدمات بانکی، مالی و پولی، مشتریان تجارت الکترونیک و اعتبار شبکههای اجتماعی و ایمیل تمرکز کردهاند.
در هر صورت، هدف نصب بدافزار بر روی دستگاه کاربر یا هدایت قربانی به یک وب سایت جعلی است. وبسایتهای جعلی برای فریب قربانیان برای افشای اطلاعات شخصی و مالی، مانند رمز عبور، شناسه حساب یا جزئیات کارت اعتباری راهاندازی میشوند. فیشینگ روشی متقلبانه برای القای افراد برای افشای اطلاعات شخصی حساس مانند شماره کارت اعتباری و رمز عبور است. مهاجمان فیشینگ از طریق متن، ایمیل یا سایر ارتباطات الکترونیکی از طریق پیامک، ایمیل یا سایر ارتباطات الکترونیکی، ارتباطات قانونی را ارسال می کنند تا کاربران را به وب سایت های فیشینگ فریب دهند.
بسیاری از پیام های فیشینگ شامل کلمات غلط املایی، گرامر ضعیف، یا URL هایی با ظاهر جعلی هستند و به راحتی به عنوان جعلی تشخیص داده می شوند. سایر پیامهای فیشینگ معتبر به نظر میرسند و تشخیص آن در نگاه اول میتواند چالش برانگیز باشد. Proofpoint Essentials از تکنیک های امنیتی مختلفی برای محافظت در برابر فیشینگ برای SMB ها استفاده می کند. Proofpoint MLX متن، تصویر و محتوای پیوست را برای شناسایی حملات فیشینگ بررسی می کند. می تواند URL ها و پیوست های مخربی را شناسایی کند که سازمان های کوچکتر را هدف قرار می دهند.
بیشتر انواع فیشینگ شامل نوعی مهندسی اجتماعی است که در آن کاربران از نظر روانی دستکاری میشوند تا اقدامی مانند کلیک کردن بر روی پیوند، باز کردن یک پیوست یا افشای اطلاعات محرمانه را انجام دهند. علاوه بر جعل هویت آشکار یک نهاد مورد اعتماد، بیشتر فیشینگ شامل ایجاد احساس فوریت است - مهاجمان ادعا می کنند که حساب ها بسته یا توقیف می شوند مگر اینکه قربانی اقدامی انجام دهد. این یک تماس تلفنی جعلی است که برای به دست آوردن اطلاعات حساس مانند اعتبار ورود به سیستم طراحی شده است. برای مثال، مهاجم ممکن است با تظاهر به یک عامل پشتیبانی یا نماینده شرکت شما تماس بگیرد. کارمندان جدید اغلب در برابر این نوع کلاهبرداری ها آسیب پذیر هستند، اما ممکن است برای هرکسی اتفاق بیفتد - و در حال رایج تر شدن هستند. بر اساس نظرسنجی جهانی فیشینگ APWG، بیش از 250000 حمله فیشینگ منحصربهفرد در سال 2016 مشاهده شد که با استفاده از رکورد تعداد نامهای دامنه ثبت شده مخرب - از مرز 95000 فراتر رفت.
در مقابل، فیشینگ نیزه ای بسیار هدفمند است و سازمان خاصی یا فرد خاصی را هدف قرار می دهد که می خواهند به خطر بیفتند. آنها معمولاً به دنبال اطلاعاتی هستند که ارزش بیشتری نسبت به داده های کارت اعتباری دارند و تحقیقات دقیقی در مورد اهداف خود انجام می دهند تا شانس موفقیت خود را با حمله فیشینگ شخصی تر افزایش دهند. خوشبختانه، حملات فیشینگ هرگز کار نمی کنند مگر اینکه کاربر هدف اقدامی انجام دهد. اکثر حملات فیشینگ از قانون اعداد زیاد سوء استفاده می کنند و هزاران نفر را در یک زمان هدف قرار می دهند به این امید که درصد کمی از گیرندگان این ترفند را انجام دهند و اطلاعات حساس را تحویل دهند. دانستن تاکتیکهایی که ممکن است یک «فیشر» استفاده کند به شما کمک میکند قربانی حملات سایبری نشوید.
پیامهای smishing ممکن است از شمارههای تلفنی باشند که فرمت عجیب یا غیرمنتظرهای دارند. فیشینگ نوعی مهندسی اجتماعی است که در آن مهاجم پیامی جعلی (مثلاً جعلی، جعلی یا فریبنده) ارسال میکند که برای فریب دادن یک فرد برای افشای اطلاعات حساس به مهاجم یا استقرار نرمافزارهای مخرب در زیرساخت قربانی مانند باجافزار طراحی شده است. از سال 2020، فیشینگ تا حد زیادی رایج ترین حمله ای است که توسط مجرمان سایبری انجام می شود، به طوری که مرکز شکایات جرایم اینترنتی FBI بیش از دو برابر بیشتر از هر نوع دیگر جرایم رایانه ای، موارد فیشینگ را ثبت کرده است. حمله فیشینگ نوعی تهدید امنیت سایبری است که کاربران را مستقیماً از طریق ایمیل، متن یا پیام های مستقیم هدف قرار می دهد. در طول یکی از این کلاهبرداری ها، مهاجم به عنوان یک مخاطب قابل اعتماد ظاهر می شود تا داده هایی مانند ورود، شماره حساب و اطلاعات کارت اعتباری را سرقت کند. حملات فیشینگ ماهیگیر که به عنوان کلاهبرداری در رسانه های اجتماعی نیز شناخته می شوند، اغلب مانند پست های رسانه های اجتماعی بی ضرر به نظر می رسند.
مهاجمان با ظاهر شدن به عنوان کسی که قربانیان می شناسند و به آن اعتماد دارند، قربانیان را فریب می دهند تا جزئیات بانک یا کارت اعتباری، PII کارمند، مالکیت معنوی یا رمزهای عبور حساب را فاش کنند. برخی از کلاهبرداری های فیشینگ از تلفن به جای وب سایت های جعلی با ارسال پیام هایی که ادعا می کنند از فرستندگان مورد اعتماد مانند نهادهای دولتی یا بانک ها استفاده می کنند، استفاده می کنند. این پیامها قربانی را هدایت میکنند تا با شمارهای تماس بگیرد تا مشکل را حل کند، و سپس شماره تلفن فیشر که با استفاده از سرویس IP صوتی از طریق IP کار میکند، اطلاعات حساسی مانند شماره حساب و پین را درخواست میکند. تلاشهای فیشینگ شخصی که برای شرکتها یا افراد خاصی انجام میشود، فیشینگ نیزهای نامیده میشود. برخلاف فیشینگ معمولی، مهاجمان فیشینگ نیزه ای احتمال موفقیت خود را با جمع آوری و استفاده از اطلاعات شخصی در مورد هدف خود علیه خود افزایش می دهند.
فیشینگ نوعی حمله امنیت سایبری است که طی آن عوامل مخرب پیامهایی را ارسال میکنند که وانمود میکنند یک شخص یا نهاد مورد اعتماد هستند. پیامهای فیشینگ کاربر را دستکاری میکنند و باعث میشوند تا اقداماتی مانند نصب یک فایل مخرب، کلیک کردن روی پیوند مخرب، یا افشای اطلاعات حساس مانند اعتبار دسترسی انجام دهد. فیشینگ رایج ترین نوع مهندسی اجتماعی است که یک اصطلاح کلی است که تلاش برای دستکاری یا فریب کاربران رایانه را توصیف می کند. مهندسی اجتماعی یک عامل تهدید رایج است که تقریباً در تمام حوادث امنیتی مورد استفاده قرار می گیرد. حملات مهندسی اجتماعی، مانند فیشینگ، اغلب با تهدیدات دیگری مانند بدافزار، تزریق کد و حملات شبکه ترکیب میشوند.
بیشتر پیامهای فیشینگ از طریق ایمیل ارسال میشوند و شخصی یا هدفمند برای یک فرد یا شرکت خاص نیستند – این فیشینگ «انبوه» نامیده میشود. محتوای یک پیام فیشینگ انبوه بسته به هدف مهاجم بسیار متفاوت است – اهداف رایج برای جعل هویت شامل بانکها و خدمات مالی، ارائهدهندگان بهرهوری ایمیل و ابر و سرویسهای پخش است. مهاجمان ممکن است از اعتبار بهدستآمده برای سرقت مستقیم پول از قربانی استفاده کنند، اگرچه از حسابهای در معرض خطر اغلب بهعنوان نقطهای برای انجام حملات دیگر، مانند سرقت اطلاعات اختصاصی، نصب بدافزار، یا فیشینگ نیزهای استفاده میشود. سایر افراد در سازمان هدف حسابهای سرویس پخش در معرض خطر معمولاً مستقیماً در بازارهای تاریکنت به مصرفکنندگان فروخته میشوند. شماره تلفن تماس جعلی برای نشان دادن شماره واقعی بانک یا موسسه جعل شده جعل می شود. اطلاعات فیشینگ صوتی در مقایسه با روشهای فیشینگ ایمیل، از آگاهی کمتری در بین عموم مردم از تکنیکهایی مانند جعل شناسه تماسگیرنده و شمارهگیری خودکار، و در نتیجه اعتماد ذاتی بسیاری از مردم به تلفن صوتی استفاده میکند.