Tsallake zuwa babban abun ciki

Yadda Ake Kare Kai Daga Hare-haren Phishing

Phishing shi ne hanyar farko da ake satar asusun mutane. Yadda phishing na zamani ke aiki, alamomin gargadi, da kariya da ke kawar da hare-hare da gaske.

An sabunta shi: 14 Afirilu, 2026

Taƙaitaccen bayani

  • Phishing shi ne sanadin farko na satar asusun — maharan suna yaudare ka don ka ba su bayanan shiga a wani shafi na karya.
  • Kayan aikin phishing na zamani suna kwafi shafukan shiga dalla-dalla kuma suna canja 2FA codes naka a lokaci na gaske.
  • Makullan tsaro na hardware (YubiKey, FIDO2) su ne kawai kariya da ta fi dacewa da hare-haren phishing ta hanyar ƙira.
  • Manajan kalmar sirri yana kare ka ta hanyar ƙi cike bayanan da aka adana a yankin da ba daidai ba.
  • Duba yankin daidai kafin ka rubuta bayanan shiga, kuma kada ka shiga daga hanyar haɗi da ke cikin imel.

Mene ne phishing?

Phishing wani hari ne na ƙirar zamantakewa inda mai kai hari ya ƙirƙiro kwafin shafin intanet na gaskiya wanda ya yi kamanni — galibi dalla-dalla — kuma ya yaudari wanda aka nufa da ya shigar da bayanan shiga a can. Da zarar wanda aka nufa ya tura fom, sai mai kai hari ya kama sunan mai amfani, kalmar sirri, da kowane ɓangare na biyu, sa'an nan ya yi amfani da su don karɓar asusun na gaske cikin daƙiƙoƙi.

Kalmar ta fito ne daga misalin "kamun kifi" don neman waɗanda aka azabtar da cin zarafi (galibi imel). Rubutun ya canza don jaddada cewa maharan galibi suna amfani da lambobin waya (phishing ta SMS, ko "smishing") da ababen more rayuwa masu sifar ƙwararru.

Me yasa phishing ke zama barazanar farko koyaushe

Yawancin kararyewar asusun da ke faruwa a yau ba sa haɗa da hacking, karya kalmomin sirri, ko keta ɓoyayyun bayanan. Suna haɗa da mutum da ke rubuta kalmar sirri a cikin wani shafi na karya. Phishing:

  • Arha ne — mai kai hari zai iya aika miliyoyin imel da farashin VPS da yanki da aka ɓata
  • Yana da wahalar tacewa — kayan aikin zamani suna juyar da yankuna, suna amfani da masaukin gaskiya, kuma suna daidaitawa da tacin ainihin lokaci
  • Yana da tasiri — ko ma masu amfani da ke sane da tsaro suna faɗawa cikin tarkon yunkurin da aka nufa da kyau (spear phishing)
  • Yana da girma — phishing ɗaya da ya yi nasara galibi yana ba da damar shiga dozin na ayyuka da aka haɗa ta sake amfani da kalmar sirri

Rahoton Binciken Laifukan Bayanan Data na Verizon 2024 ya gano cewa phishing shi ne hanyar farko ta shiga a sama da 36% na duk kararyewar — fiye da kowane sanadi guda ɗaya.

Yadda phishing na zamani ke aiki

Phishing ya wuce sosai ga imellan "Yariman Najeriya" na shekarun 2000. Harin phishing na zamani galibi ya haɗa da:

1. Ɗauri mai jan hankali

Galibi imel, saƙo, ko saƙon hira da ke ƙirƙiro gaggawa ("Asusun ka zai dakatar"), iko ("Ƙungiyar tsaro ta Microsoft"), ko sha'awa ("Wani ya nuna ka a hoto"). Spear-phishing yana ƙara wannan da bayanan mutum da aka ɗauko daga LinkedIn, fannonin kararyewa, ko wasiƙun da suka gabata.

2. Shafi na karya dalla-dalla

Maharan suna amfani da kayan aikin phishing na kasuwanci wanda ke kwafin HTML, CSS, da JavaScript na shafin da aka nufa. Kayan aikin da yawa ana sayar da su azaman aiki (phishing-as-a-service), tare da dashborad masu aiki da tallafin abokin ciniki.

3. Wakili na ainihin lokaci don 2FA

Bangaren haɗari: kayan aikin zamani ba sa ɗaukar kalmar sirrinka kawai. Suna aiki azaman wakilin man-in-the-middle wanda ke tura duk abin da ka rubuta — ciki har da lambar TOTP naka — zuwa shafin na gaske cikin daƙiƙoƙi, suna kewayewa 2FA da yawa. Ana kiran wannan dabarar adversary-in-the-middle (AiTM) kuma ana amfani da ita a kayan aiki kamar Evilginx2 da Modlishka.

4. Satar alamar zaman

Da zarar ka tabbatar ta wakili, mai kai hari yana kama cookie zaman naka kuma zai iya amfani da ita don ci gaba da shiga ko bayan ka canza kalmar sirrinka. Wannan shi ne dalilin da ya sa amsawar phishing koyaushe ta haɗa da soke zamanin da ke aiki, ba juyin kalmar sirri kawai ba.

Abin da ke tsayar da phishing da gaske

Makullan tsaro na hardware (FIDO2 / WebAuthn)

Wannan ita ce kawai rukunin kariya da ke da kariya daga phishing ta hanyar ƙira. Lokacin da ka shiga da makullin FIDO2, makullin ka yana tabbatar da yankin daidai na shafin da ke neman tabbatarwa ta hanyar ɓoyayyen lissafi. Wani shafi na karya — ko da ya yi kamanni cikakke ta gani — yana da yankin daban, saboda haka makullin yana ƙi amsa. Musayar ɓoyayyen lissafi kawai ba ta kammala.

Google ta shahara ta tilasta YubiKeys ga duk ma'aikatan 85,000+ a shekara ta 2017 kuma ta ba da rahoton babu nasarar hare-haren phishing a kan asusun kamfanin a shekaru da suka biyo baya.

Passkeys

Passkeys su ne juyin halittar FIDO2 mai amfani ga mabukaci. Suna amfani da ɓoyayyen lissafi ɗin da aka ɗaure da yankin ɗin kuma an gina su a cikin iOS, Android, macOS, da Windows. Idan shafi da ka yi amfani da shi yana goyon bayan passkeys, kunna ɗaya yana sa asusun phishing-proof.

Manajan kalmar sirri

Manajan kalmar sirri shine layin kariyar ka na biyu domin yana cika bayanan shiga atomatik kawai a yankin daidai inda aka adana su. Idan ka sauka a kan paypaI.com (babban I) maimakon paypal.com, manejanka yana ƙi cika fom a hankali. Wannan ƙin yarda babbar gargadi ne cewa wani abu ba daidai ba ne.

Tacin imel da DNS

Masu ba da imel suna amfani da DMARC, SPF, da DKIM don gano adiresoshin mai aika da aka ɓata. Yawancin masu ba da sabis na zamani suna kama yunkurin a bayyane, amma hare-haren da aka nufa har yanzu suna ratsa. Kunna maɓallan "rarraba phishing" a cikin abokin ciniki na imel ɗinka don taimakawa inganta tacin.

Alamomin gargadi da za a lura da su

Lokacin da ka karɓi saƙo da ke roƙon ka da ka shiga, tabbatar, ko aiki da gaggawa:

  • Gaggawa da barazana — "Asusun ka zai rufe cikin awanni 24"
  • Gaisuwar gama-gari — "Abokin ciniki mafi girma" maimakon sunanka
  • Yankuna masu kama da na gaskepaypaI.com, app1e.com, secure-microsoft-login.net
  • Haɗe-haɗen da ba a sa ran su ba — musamman fayilolin .zip, .html, ko .pdf da ke roƙon ka da ka shiga don kallo
  • Kuskuren nahawu ko tsarin — manyan kamfanoni suna duba imellansu kafin aika
  • Rashin daidaiton hanyar haɗi — danna gaban hanyar haɗin kuma duba ko wurin da zai kai ya dace da rubutun

Idan wani abu ba ya dace, rufe imel. Je shafin da hannu. Idan akwai matsala ta gaske, za ka gani lokacin da ka shiga ta hanyar aiki ta atomatik.

Me zan yi idan na faɗa cikin tarkon

Yi aiki da sauri — gudun lokaci yana da mahimmanci domin maharan suna fara amfani da bayanan shiga cikin mintuna.

  1. Canja kalmar sirri nan take a kan wata na'ura daban (wayar hannu, alal misali, idan ka faɗa cikin tarkon a kwamfutarka)
  2. Soke duk zamanin da ke aiki a cikin saitunan asusun — wannan yana fitar da kowa da ke amfani da alamomin zaman da aka saci a halin yanzu
  3. Kunna 2FA idan ba a kunna shi ba tukuna, kuma yi amfani da makullin hardware ko passkey idan zai yiwu
  4. Duba ayyukan da ba a yarda da su ba — imellan da aka aika, shiga na kwanan nan, canje-canje a lissafin kuɗi, sabon ka'idodin turawa
  5. Sanar da cibiyar da ta shafa idan asusun kuɗi ne ko na aiki
  6. Duba sauran asusun da suka yi amfani da kalmar sirri ɗaya — ko da kana tabbatar ba ka sake amfani da kalmomin sirri, duba

Ƙarshe

Phishing yana bunƙasa domin yana kewayawa fasaha kuma yana nufa ɗan adam. Mafi kyawun kariya ta haɗa da yadudduka uku: manajan kalmar sirri (yana ƙi cika a kan yankuna mara daidai), 2FA mai tsayayya da phishing (makullan hardware ko passkeys da ke ɗaurewa da yankin na gaske), da shakku na ƙwarai (kada ka shiga ta hanyar haɗin imel).

Kunna duk ukun a asusun ka mafi muhimmanci — imel ɗinka — da farko. Daga can, sauran rayuwar dijital ɗinka tana zama mai aminci sosai.

Yadda Ake Kare Kai Daga Phishing

Jerin ayyuka masu amfani da tsari don karfafa asusun ka daga hare-haren phishing.

  1. Yi amfani da manajan kalmar sirri:Shigar da manajan kalmar sirri mai inganci (1Password, Bitwarden, Proton Pass) kuma ka bar shi ya cika bayanan shiga ta atomatik. Zai ƙi cika a kan yankuna masu kama da na gaske, yana ba ka na'urar gano phishing da aka gina a ciki.
  2. Kunna 2FA mai tsayayya da phishing:Ƙara makullin hardware na FIDO2 (YubiKey, Google Titan) ko passkey ga asusun ka mafi muhimmanci — imel da farko, sa'an nan banki, ajiyar girgije, da manajan kalmar sirri. Waɗannan su ne kawai hanyoyin 2FA da ke tsayar da phishing na zamani da gaske.
  3. Kada ka shiga ta hanyoyin haɗi na imel:Idan ka karɓi imel da ke roƙon ka da ka shiga, rufe imel kuma ka je shafin da hannu ta yanayin da aka adana ko ta rubuta URL. Hanyar haɗi a cikin imel na iya zama kwafi kamil; yanayin da ke cikin mai binciken ka ba haka ba ne.
  4. Duba yankin daidai kafin rubuta bayanan:Kafin ka shigar da wata kalmar sirri, duba cikakken URL a cikin sanduna na adireshi. Nema https, rubutun daidai, kuma babu ƙarin yankuna ƙarami kamar paypal.com.secure-login.net.
  5. Rarraba kuma ci gaba:Rarraba yunkurin phishing ga mai ba da imel ɗinka (mafi yawa suna da maɓallin "Rarraba phishing"). Sa'an nan ci gaba da ranka — phishing na haɗari ne kawai idan ka faɗa cikinsa, kuma sani shi ne mafi yawan yaƙin.

Tambayoyin Da Ake Yawan Yi