امروز اومدم با توضیحات یک حمله دیگر! حملات phishing که برگرفته از واژه fishing به معنی ماهیگیری هستند یکی از خطرناک ترین و ساده ترین حمله هاییه که میشه انجامش داد. چطور؟بریم به بررسیش بپردازیم¡
با حملات فیشینگ بیشتر از اون چه که فکر میکنید آشنایی دارید! تا حالا شنیدید که رو هر لینکی نباید کلیک کنید؟بله، لینک های مخربی یکی از ترفند های حملات فیشینگه به طور کلی خود حمله فیشینگ مفهوم سخت و خاصی نداره ولی خوب به روش هایی تقسیم میشه که دونستنشون خارج از لطف نیست.
ولی قبل توضیح دادن دسته ها و ترفند هاش میخام یه تعریف کلی از خود فیشینگ براتون داشته باشم. همونجور که از اسمش معلومه حملات فیشینگ به حملاتی گفته میشه که در اون عملیات هکر یه طعمه هوس انگیز درست میکنه(مثل یک ماهیگیر) اون رو به آب میندازه و منتظر میمونه تا قربانی(ماهی)بگیره! هدف اصلی فیشینگ سرقت اطلاعات شخصی و سوء استفاده از اونها برای سرقت هویت، دسترسی به حسابهای بانکی یا انجام فعالیتهای غیرقانونی است. مهاجمان در حملات فیشینگ از تکنیکهای مهندسی اجتماعی استفاده میکنن تا قربانیان رو به کلیک بر روی لینکهای مخرب یا وارد کردن اطلاعات در وبسایتهای جعلی ترغیب کنن.
مدل های زیادی از حملات فیشینگ هست که خیلی هاشون زیرمجموعه مدل های قدیمی تر حساب میشن ولی میخام چند تا از معمول ترین هاش رو نام ببرم: ۱.لینکهای مخرب ۲.صفحات ورود جعلی ۳.ایمیلهای اضطراری ۴.پیامکهای فیشینگ ۵.تماسهای تلفنی (ویشینگ) ۶.فایلهای آلوده ۷.جعل هویت ۸.اپلیکیشن جعلی ۹.اسپیر فیشینگ (هدفمند) ۱۰.ویلینگ (فیشینگ نهنگی) ۱۱.پاپآپهای جعلی ۱۲.فرمهای جعلی در شبکههای اجتماعی حالا برای اینکه بهتر متوجه قضیه بشید باید بعضیاشونو بررسی کنیم!
بیاید از چهارمی شروع کنیم- پیامک فیشینگ یا (Smishing): این نوع فیشینگ از طریق پیامکهای متنی جعلی انجام میشه و اغلب قربانی رو ترغیب به کلیک بر روی لینکهای مخرب یا تماس با شمارههای جعلی میکنه.
ترفند سوم : ایمیل فیشینگ در این روش، ایمیلهای جعلی با ظاهری معتبر به قربانیان ارسال میشود که اون ها رو به کلیک بر روی لینکها یا باز کردن فایلهای پیوست شده تشویق میکند. ایمیلهای فوری و اضطراری میگن حسابت قفل شده، یا جایزه بردی، یا مالیات داری! استرس میده تا سریع عمل کنی و فرصت فکر کردن یا پیگیری نداشته باشی. «فوری! در غیر این صورت حسابت مسدود میشود!»
فیشینگ صوتی (Vishing): در این روش، مهاجمان با قربانیان تماس تلفنی برقرار میکنن و با ادعای اینکه از یک سازمان معتبر هستن، اطلاعات شخصی آنها را درخواست میکنن. به اصطلاح به این تماس ها scam call هم میگن . زنگ میزنن و خودشون رو بانک یا شرکت معرفی میکنن، اطلاعات میخوان. «سلام از بانک هستم، شماره کارت و رمز دوم رو بفرستید.» یا «شما برنده فلان قدر پول شدی حالا اطلاعات بده!» آشناست نه؟
۶.فایلهای آلوده (Malicious Attachments) فایل ضمیمه میفرستن (مثل PDF، Word) که توش بدافزار جاسازی شده. مثلا یک ایمیل: «قرارداد جدید در پیوست است.» و خوب شخص اون فایل رو باز میکنه و بوم🤌افتاد تو تله!
۸.برنامهای شبیه اپ اصلی میسازن و تو مارکتهای غیررسمی میذارن. مثلا یک اپلیکیشن بانکی تقلبیبسیار نشابه اصلیش به تفاوت های بسیار کوچک و از اونجایی هم که اکثر کاربر ها متوجه این تفاوت های ریز نمیشن به دام می افتند
۲.صفحات ورود جعلی یه صفحه درست میکنن عینِ صفحهی لاگین بانک یا اینستاگرام، تو هم اطلاعاتتو وارد میکنی. یا خیلی معمول ترش سایت فیک: faceb00k-login.com این لینکها معمولاً به وبسایتهایی هدایت میشن که ظاهری مشابه وبسایتهای اصلی دارن اما در واقع توسط مهاجمان کنترل میشن. با وارد کردن اطلاعات در این وبسایتهای جعلی، قربانیان ناآگاهانه اطلاعات خود رو در اختیار مهاجمان قرار میدند. درست مثل تصویر》》》 منظورم اینه کیه که به این ریزه کاری ها توجه کنه مگه نه؟ حتی جذاب ترش هم میشه کرد! هکر میاد یه سایت دقیقا مشابه یک آنلاین شاپ معتبر طراحی میکنه، یه محصول پر طرفدار رو تو اون سایت با ۹۰ درصد تخفیف میزاره برای فروش و دوباره بوم🤌باز هم به تله افتادی.
۹و ۱۰:Spear Phishing، Whaling به صورت کلی این دو مدل هدفگذاری برای سازمان ها هستن. Spear Phishing(فیشینگ هدفمند) پیام کاملاً شخصی شده برای یه فرد یا شرکت میفرستن تا شک نکنی. مثال>>ایمیل: «سلام ممدعلی! طبق پروژه قبلی، این فایل رو ببین.» 🐋 Whaling (فیشینگ نهنگی) مخصوص مدیران ارشد و افراد مهم. پیام خیلی معتبر و حرفهای میفرستن. مثال>>ایمیل: «سلام جناب آقای مدیرعامل ممد علی باقری، گزارش مالی رو در این لینک ببینید.»
۱۱و ۱۲:پاپآپهای جعلی و فرمهای جعلی در شبکههای اجتماعی 🖥️ Pop-upهای جعلی تو سایتهای آلوده یه پنجره باز میشه که میگه «حساب شما هک شده! برای حل مشکل کلیک کنید.» پنجرهی فیک آنتیویروس 📜 فرمهای جعلی در شبکههای اجتماعی فرمی میذارن تو گروه یا کانال که اطلاعات بزاری و جایزه ببری! «برای برنده شدن در قرعهکشی شماره کارت و رمز اول رو وارد کن!» پیشتهاد جذابیه نه فقط در ازای اطلاعات کوچیکی مثل اسم پیشنهاد جایزه های هوس انگیز✨️✨️ و درسته بومم!!دوباره گول خوردی🤌
و اما خوب اکثر این روش ها توسط لینک های مخرب شماره یک لیست ما مدیریت میشه، اما خوب اینجا سوال میاد که خود لینک مخرب چه نوع لینکیه؟ لینکی که شبیه لینک بانک یا شبکه اجتماعیه، روش میزنی میری تو سایت جعلی و اطلاعات رو میدزدند و یا بدافزار دانلود میکنی و دیگه اثراتش. Ip پشت این لینک در واقع همون قلاب ماهیگیره که هکر باید با طعمه های جذاب قشنگ جلوش بده
اگر پسندیدی، لایک کن و به سازنده انرژی بده!
باحال بودد
🤲✨️
ویژه نشه؟
🤗🥀تشکر
درخواست میدم
خسته نباشی قشنگ بود
تشکر🥀
عالی بود:)
✨️❤️