abolfazl-z
چهارشنبه 15 آبان 1392, 17:37 عصر
دوستان این حمله جنبه عمومی(PHP و ASP و ...) داره ولی خوب گفتن اش ضرری نداره.
فیشینگ (به انگلیسی: Phishing) به تلاش برای بدست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و... از طریق جعل یک وبسایت، آدرس ایمیل و... گفته میشود.
شبکههای اجتماعی و وبسایتهای پرداخت آنلاین از جمله اهداف حملات فیشینگ هستند. علاوه بر آن، ایمیلهایی که با این هدف ارسال میشوند و حاوی پیوندی به یک وبسایت هستند در اکثر موارد حاوی بدافزار هستند. [۱]
محتویات
۱ تاریخچه
۲ نحوه کار فیشینگ
۳ روشهای مختلف فیشینگ
۳.۱ جعل و دستکاری پیوندها و آدرسها
۳.۲ گریز از فیلترها
۳.۳ جعل وبگاه
۳.۴ فیشینگ تلفنی
۴ روشهای مقابله
۴.۱ توجه به پیوندها
۵ مقابله با فیشینگ
۶ پیوند به بیرون
۷ منابع
تاریخچه
روش فیشینگ با جزئیات در سال ۱۹۸۷ توضیح داده شده است و این واژه برای اولین بار در سال ۱۹۹۵ مورد استفاده قرار گرفته است. واژهی فیشینگ مخفف عبارت Password Harvesting Fishing (شکار کردن گذرواژه کاربر از طریق یک طعمه) است که در آن حرف Ph به جای F برای القای مفهوم فریفتن جایگزین شده است. [۲]
نحوه کار فیشینگ
فیشینگ یا سرقت آنلاین در عمل به صورت کپی دقیق رابط گرافیکی یک وبگاه معتبر مانند بانکهای آنلاین انجام میشود. ابتدا کاربر از طریق ایمیل و یا آگهیهای تبلیغاتی سایتهای دیگر، به این صفحه قلابی راهنمایی میشود. سپس از کاربر درخواست میشود تا اطلاعاتی را که میتواند مانند اطلاعات کارت اعتباری مهم و حساس باشد، آنجا وارد کند. در صورت گمراه شدن کاربر و وارد کردن اطلاعات خود، فیشرها به اطلاعات شخص دسترسی پیدا میکنند. از جمله سایتهای هدف این کار میتوان سایتهای پیپال، ایبی و بانکهای آنلاین را نام برد.
روشهای مختلف فیشینگ
جعل و دستکاری پیوندها و آدرسها
این روش یکی از شیوههای متداول فیشینگ است. در این روش، پیوندها و آدرسهای سازمانها و شرکتهای غیرواقعی و جعلی از طریق ایمیل ارسال میشود. این آدرسها با آدرسهای اصلی تنها در یک یا دو حرف تفاوت دارند.
گریز از فیلترها
فیشرها برای جلوگیری از شناسایی متنهای متداول فیشینگ در ایمیلها توسط فیلترهای ضد-فیشینگ از عکس به جای نوشته استفاده میکنند.
جعل وبگاه
برخی از فیشرها از جاوااسکریپت برای تغییر آدرس در نوار آدرس مرورگر استفاده میکنند تا هیچ جای شکی برای قربانی نماند. یک مهاجم حتی میتواند به کمک حملات تزریق کد از ایرادهای موجود در اسکریپتهای یک سایت معتبر بر علیه خودش استفاده کند. در این نوع فیشینگ از کاربر خواسته میشود تا در بانک خودش لاگین کند. ظاهرا همه چیز عادی است. از آدرس وبگاه گرفته تا گواهینامه امنیتی (به انگلیسی: Security Certificates). اما در واقعیت، پیوند به آن وبگاه دستکاری میشود تا با استفاده از عیبهای موجود در اسکریپتهای آن وبگاه، حمله انجام شود. با این حال این روش نیازمند دانش و آگاهی بالایی است. از این روش
در سال ۲۰۰۶ برای حمله به وبگاه پیپل استفاده شد.
فیشینگ تلفنی
تمام حملات فیشینگ نیازمند وبگاه قلابی نیست. پیامهایی که ظاهراً از طرف بانک فرستاده شده و از کاربر میخواهد تا مثلاً به دلیل وجود ایراد در حسابشان، شماره خاصی را شماره گیری کنند، نیز میتواند حمله فیشینگ باشد. بعد از گرفتن شماره (که متعلق به فیشر است و با سرویس صدا از طریق آی پی مهیا شدهاست)، از کاربر خواسته میشود تا شماره حساب و پین (PIN) خود را وارد کند.
روشهای مقابله
توجه به پیوندها
یکی از سادهترین روشهای مقابله با فیشینگ دقت به آدرس وبسایت و یا ایمیل دریافت شده است. به عنوان مثال در زمان ورود به حسابهای حساس مانند ایمیل و یا بانک، قبل از وارد کردن نام کاربری و گذرواژه، دقت به آدرس وبسایت حیاتی است.
مقابله با فیشینگ
استفاده از نرمافزارهای ضد هک و فیشینگ مانند کومودو که با فایروال قوی خود مانع هک شدن میشود. برای جلوگیری از افزایش آمار فیشینگ و سرقت اطلاعات باید آگاهی کاربران را افزایش داد. نباید به ایمیل هایی که از شما در آنها خواسته شده تا فرمی را پر کنید اطمینان کرد. نباید اطلاعات حساب کاربری خود را در اختیار سایت ها قرار داد. کاربران برای پرداخت آنلاین باید از درگاه های مخصوص بانک ها استفاده کنند. سعی کنید به ایمیل های داخل Spam در حساب کاربری تان بی اعتنا باشید و آنها را پاک کنید.
منبع : ویکی پدیا (http://fa.wikipedia.org/wiki/%D9%81%DB%8C%D8%B4%DB%8C%D9%86%DA%AF)
فیشینگ (به انگلیسی: Phishing) به تلاش برای بدست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و... از طریق جعل یک وبسایت، آدرس ایمیل و... گفته میشود.
شبکههای اجتماعی و وبسایتهای پرداخت آنلاین از جمله اهداف حملات فیشینگ هستند. علاوه بر آن، ایمیلهایی که با این هدف ارسال میشوند و حاوی پیوندی به یک وبسایت هستند در اکثر موارد حاوی بدافزار هستند. [۱]
محتویات
۱ تاریخچه
۲ نحوه کار فیشینگ
۳ روشهای مختلف فیشینگ
۳.۱ جعل و دستکاری پیوندها و آدرسها
۳.۲ گریز از فیلترها
۳.۳ جعل وبگاه
۳.۴ فیشینگ تلفنی
۴ روشهای مقابله
۴.۱ توجه به پیوندها
۵ مقابله با فیشینگ
۶ پیوند به بیرون
۷ منابع
تاریخچه
روش فیشینگ با جزئیات در سال ۱۹۸۷ توضیح داده شده است و این واژه برای اولین بار در سال ۱۹۹۵ مورد استفاده قرار گرفته است. واژهی فیشینگ مخفف عبارت Password Harvesting Fishing (شکار کردن گذرواژه کاربر از طریق یک طعمه) است که در آن حرف Ph به جای F برای القای مفهوم فریفتن جایگزین شده است. [۲]
نحوه کار فیشینگ
فیشینگ یا سرقت آنلاین در عمل به صورت کپی دقیق رابط گرافیکی یک وبگاه معتبر مانند بانکهای آنلاین انجام میشود. ابتدا کاربر از طریق ایمیل و یا آگهیهای تبلیغاتی سایتهای دیگر، به این صفحه قلابی راهنمایی میشود. سپس از کاربر درخواست میشود تا اطلاعاتی را که میتواند مانند اطلاعات کارت اعتباری مهم و حساس باشد، آنجا وارد کند. در صورت گمراه شدن کاربر و وارد کردن اطلاعات خود، فیشرها به اطلاعات شخص دسترسی پیدا میکنند. از جمله سایتهای هدف این کار میتوان سایتهای پیپال، ایبی و بانکهای آنلاین را نام برد.
روشهای مختلف فیشینگ
جعل و دستکاری پیوندها و آدرسها
این روش یکی از شیوههای متداول فیشینگ است. در این روش، پیوندها و آدرسهای سازمانها و شرکتهای غیرواقعی و جعلی از طریق ایمیل ارسال میشود. این آدرسها با آدرسهای اصلی تنها در یک یا دو حرف تفاوت دارند.
گریز از فیلترها
فیشرها برای جلوگیری از شناسایی متنهای متداول فیشینگ در ایمیلها توسط فیلترهای ضد-فیشینگ از عکس به جای نوشته استفاده میکنند.
جعل وبگاه
برخی از فیشرها از جاوااسکریپت برای تغییر آدرس در نوار آدرس مرورگر استفاده میکنند تا هیچ جای شکی برای قربانی نماند. یک مهاجم حتی میتواند به کمک حملات تزریق کد از ایرادهای موجود در اسکریپتهای یک سایت معتبر بر علیه خودش استفاده کند. در این نوع فیشینگ از کاربر خواسته میشود تا در بانک خودش لاگین کند. ظاهرا همه چیز عادی است. از آدرس وبگاه گرفته تا گواهینامه امنیتی (به انگلیسی: Security Certificates). اما در واقعیت، پیوند به آن وبگاه دستکاری میشود تا با استفاده از عیبهای موجود در اسکریپتهای آن وبگاه، حمله انجام شود. با این حال این روش نیازمند دانش و آگاهی بالایی است. از این روش
در سال ۲۰۰۶ برای حمله به وبگاه پیپل استفاده شد.
فیشینگ تلفنی
تمام حملات فیشینگ نیازمند وبگاه قلابی نیست. پیامهایی که ظاهراً از طرف بانک فرستاده شده و از کاربر میخواهد تا مثلاً به دلیل وجود ایراد در حسابشان، شماره خاصی را شماره گیری کنند، نیز میتواند حمله فیشینگ باشد. بعد از گرفتن شماره (که متعلق به فیشر است و با سرویس صدا از طریق آی پی مهیا شدهاست)، از کاربر خواسته میشود تا شماره حساب و پین (PIN) خود را وارد کند.
روشهای مقابله
توجه به پیوندها
یکی از سادهترین روشهای مقابله با فیشینگ دقت به آدرس وبسایت و یا ایمیل دریافت شده است. به عنوان مثال در زمان ورود به حسابهای حساس مانند ایمیل و یا بانک، قبل از وارد کردن نام کاربری و گذرواژه، دقت به آدرس وبسایت حیاتی است.
مقابله با فیشینگ
استفاده از نرمافزارهای ضد هک و فیشینگ مانند کومودو که با فایروال قوی خود مانع هک شدن میشود. برای جلوگیری از افزایش آمار فیشینگ و سرقت اطلاعات باید آگاهی کاربران را افزایش داد. نباید به ایمیل هایی که از شما در آنها خواسته شده تا فرمی را پر کنید اطمینان کرد. نباید اطلاعات حساب کاربری خود را در اختیار سایت ها قرار داد. کاربران برای پرداخت آنلاین باید از درگاه های مخصوص بانک ها استفاده کنند. سعی کنید به ایمیل های داخل Spam در حساب کاربری تان بی اعتنا باشید و آنها را پاک کنید.
منبع : ویکی پدیا (http://fa.wikipedia.org/wiki/%D9%81%DB%8C%D8%B4%DB%8C%D9%86%DA%AF)