فیشینگ چیست؟
فیشینگ یک حمله مهندسی اجتماعی است که در آن مهاجم یک نسخه قانعکننده از یک وبسایت معتبر — اغلب با دقت پیکسلبهپیکسل — میسازد و قربانی را فریب میدهد تا اطلاعات ورود خود را در آن وارد کند. به محض ارسال فرم توسط قربانی، مهاجم نام کاربری، رمز عبور و هر عامل دوم احراز هویتی را ضبط میکند و ظرف چند ثانیه از آنها برای تصاحب حساب واقعی استفاده میکند.
این واژه از استعاره «ماهیگیری» برای قربانیان با طعمه (معمولاً یک ایمیل) گرفته شده است. تغییر در نوشتار آن برای تأکید بر این است که مهاجمان اغلب از شماره تلفن (فیشینگ SMS یا «اسمیشینگ») و زیرساختهای حرفهای استفاده میکنند.
چرا فیشینگ همچنان بزرگترین تهدید است
اکثر نقضهای گسترده حسابها امروزه شامل هک، کرک رمز عبور یا دور زدن رمزنگاری نمیشوند. آنها شامل یک انسان میشوند که رمز عبور خود را در یک سایت جعلی تایپ میکند. فیشینگ:
- ارزان است — یک مهاجم میتواند میلیونها ایمیل را با هزینه یک VPS و یک دامنه جعلی ارسال کند
- فیلتر کردن آن دشوار است — کیتهای مدرن دامنهها را میچرخانند، از هاستینگ معتبر استفاده میکنند و بهصورت بلادرنگ با فیلترها سازگار میشوند
- مؤثر است — حتی کاربران آگاه به امنیت نیز در برابر تلاشهای هدفمند خوبساخته شده (فیشینگ نیزهای) قربانی میشوند
- مقیاسپذیر است — یک حمله فیشینگ موفق اغلب دسترسی به دهها سرویس متصل را از طریق استفاده مجدد از رمز عبور فراهم میکند
گزارش تحقیقات نقض داده Verizon در سال ۲۰۲۴ نشان داد که فیشینگ در بیش از ۳۶٪ از تمام نقضها، بردار دسترسی اولیه بود — بیشتر از هر دلیل منفرد دیگری.
نحوه عملکرد فیشینگ مدرن
فیشینگ بسیار فراتر از ایمیلهای «شاهزاده نیجریایی» دهه ۲۰۰۰ تکامل یافته است. یک حمله فیشینگ مدرن معمولاً شامل موارد زیر است:
۱. یک طعمه قانعکننده
معمولاً یک ایمیل، پیام متنی یا پیام چت که احساس فوریت («حساب شما تعلیق خواهد شد»)، اقتدار («تیم امنیتی Microsoft») یا کنجکاوی («کسی شما را در یک عکس تگ کرده») ایجاد میکند. فیشینگ نیزهای این را با جزئیات شخصی استخراجشده از LinkedIn، پایگاههای داده نشتیافته یا مکاتبات قبلی یک گام جلوتر میبرد.
۲. یک سایت جعلی پیکسلبهپیکسل
مهاجمان از کیتهای فیشینگ آماده استفاده میکنند که HTML، CSS و JavaScript سایت هدف را شبیهسازی میکنند. بسیاری از این کیتها بهعنوان یک سرویس (فیشینگ-بهعنوان-سرویس) با داشبوردهای کاری و پشتیبانی مشتری فروخته میشوند.
۳. یک پروکسی بلادرنگ برای 2FA
بخش خطرناک: کیتهای مدرن فقط رمز عبور شما را ضبط نمیکنند. آنها بهعنوان یک پروکسی مرد میانی عمل میکنند که همه چیزی که تایپ میکنید — از جمله کد TOTP شما — را ظرف چند ثانیه به سایت واقعی ارسال میکنند و از اکثر روشهای 2FA عبور میکنند. این تکنیک adversary-in-the-middle (AiTM) نامیده میشود و در ابزارهایی مانند Evilginx2 و Modlishka استفاده میشود.
۴. سرقت توکن نشست
پس از احراز هویت شما از طریق پروکسی، مهاجم کوکی نشست شما را ضبط میکند و میتواند از آن برای ماندن در سیستم حتی پس از تغییر رمز عبور استفاده کند. به همین دلیل است که پاسخ به فیشینگ همیشه شامل لغو نشستهای فعال، نه فقط تغییر رمز عبور، میشود.
چه چیزی واقعاً جلوی فیشینگ را میگیرد
کلیدهای امنیتی سختافزاری (FIDO2 / WebAuthn)
این تنها دستهای از روشهای دفاعی است که ذاتاً در برابر فیشینگ مقاوم است. هنگامی که با یک کلید FIDO2 وارد میشوید، کلید شما دامنه دقیق سایتی که درخواست احراز هویت میکند را بهصورت رمزنگاریشده تأیید میکند. یک سایت جعلی — هر چقدر هم از نظر بصری کامل باشد — دامنه متفاوتی دارد، بنابراین کلید از پاسخ دادن خودداری میکند. دستدادن رمزنگاریشده به سادگی تکمیل نمیشود.
Google بهطور مشهور در سال ۲۰۱۷ YubiKey را برای تمام ۸۵٬۰۰۰+ کارمند خود اجباری کرد و در سالهای بعد هیچ حمله فیشینگ موفقی بر روی حسابهای شرکتی گزارش نداد.
پسکیها
پسکیها تکامل FIDO2 برای مصرفکنندگان هستند. آنها از همان رمزنگاری مبتنی بر دامنه استفاده میکنند و در iOS، Android، macOS و Windows تعبیه شدهاند. اگر سایتی که استفاده میکنید از پسکی پشتیبانی میکند، فعال کردن آن آن حساب را در برابر فیشینگ مقاوم میکند.
مدیران رمز عبور
مدیر رمز عبور دومین خط دفاعی شماست، زیرا فقط اطلاعات ورود را در دامنه دقیقی که در آن ذخیره شدهاند تکمیل خودکار میکند. اگر بهجای paypal.com وارد paypaI.com (با I بزرگ) شوید، مدیر شما بیسروصدا از تکمیل فرم خودداری میکند. این خودداری یک هشدار مهم است که چیزی اشتباه است.
فیلتر ایمیل و DNS
ارائهدهندگان ایمیل از DMARC، SPF و DKIM برای شناسایی آدرسهای فرستنده جعلی استفاده میکنند. اکثر ارائهدهندگان مدرن تلاشهای آشکار را شناسایی میکنند، اما حملات هدفمند همچنان از آنها عبور میکنند. دکمههای «گزارش فیشینگ» را در کلاینت ایمیل خود فعال کنید تا به بهبود فیلترها کمک کنید.
نشانههای هشداردهنده که باید مراقب آنها باشید
هنگامی که پیامی دریافت میکنید که از شما میخواهد وارد سیستم شوید، تأیید کنید یا فوری اقدام کنید:
- فوریت و تهدید — «حساب شما ظرف ۲۴ ساعت بسته خواهد شد»
- احوالپرسی کلی — «مشتری عزیز» بهجای نام شما
- دامنههای مشابه —
paypaI.com،app1e.com،secure-microsoft-login.net - پیوستهای غیرمنتظره — بهویژه فایلهای
.zip،.htmlیا.pdfکه از شما میخواهند برای مشاهده آنها وارد سیستم شوید - خطاهای دستوری یا قالببندی — شرکتهای بزرگ ایمیلهای خود را ویرایش میکنند
- عدم تطابق لینک — نشانگر ماوس را روی لینک نگه دارید و بررسی کنید آیا مقصد با متن مطابقت دارد
اگر چیزی غیرعادی به نظر میرسد، ایمیل را ببندید. بهصورت دستی به سایت بروید. اگر مشکل واقعی وجود داشته باشد، هنگامی که از طریق روش معمول خود وارد شوید آن را خواهید دید.
اگر قربانی حمله شدید چه کاری انجام دهید
سریع عمل کنید — سرعت اهمیت دارد زیرا مهاجمان ظرف چند دقیقه از اطلاعات ورود استفاده میکنند.
- فوراً رمز عبور را تغییر دهید از یک دستگاه دیگر (مثلاً گوشی خود، اگر روی لپتاپ قربانی شدید)
- تمام نشستهای فعال را لغو کنید در تنظیمات حساب — این کار هر کسی را که در حال حاضر از توکنهای نشست دزدیدهشده استفاده میکند بیرون میاندازد
- 2FA را فعال کنید اگر قبلاً فعال نبوده، و در صورت امکان از یک کلید سختافزاری یا پسکی استفاده کنید
- فعالیتهای غیرمجاز را بررسی کنید — ایمیلهای ارسالشده، ورودهای اخیر، تغییرات صورتحساب، قوانین ارسال جدید
- مؤسسه مربوطه را مطلع کنید اگر حساب مالی یا کاری است
- سایر حسابهایی را بررسی کنید که از همان رمز عبور استفاده میکنند — حتی اگر مطمئن هستید که رمز عبور را تکرار نمیکنید، بررسی کنید
نتیجهگیری
فیشینگ به این دلیل رونق میگیرد که فناوری را دور میزند و انسانها را هدف قرار میدهد. بهترین روشهای دفاعی سه لایه را با هم ترکیب میکنند: مدیران رمز عبور (که از تکمیل خودکار در دامنههای اشتباه خودداری میکنند)، 2FA مقاوم در برابر فیشینگ (کلیدهای سختافزاری یا پسکیهایی که به دامنه واقعی متصل میشوند)، و تردید سالم (هرگز از طریق لینک ایمیل وارد سیستم نشوید).
ابتدا هر سه مورد را در مهمترین حساب خود — ایمیل — فعال کنید. از آنجا، بقیه زندگی دیجیتالی شما بهطور قابلتوجهی ایمنتر خواهد شد.