Ба мундариҷаи асосӣ гузаред

Чӣ тавр худро аз ҳамлаҳои фишинг муҳофизат кунед

Фишинг #1 роҳи дуздидани ҳисобҳост. Чӣ тавр фишинги муосир кор мекунад, аломатҳои хатар ва муҳофизатҳое, ки воқеан ҳамлаҳоро пешгирӣ мекунанд.

Охирин навсозӣ: 14 Апрел 2026

Мухтасар

  • Фишинг #1 сабаби дуздидани ҳисобҳост — ҳамлагарон шуморо фиреб медиҳанд, то маълумоти ворид шудан ба сайти қалбакиро пешниҳод кунед.
  • Комплектҳои фишинги муосир саҳифаҳои воридшавиро дақиқ нусхабардорӣ мекунанд ва рамзҳои 2FA-и шуморо дар вақти воқеӣ пеш мебаранд.
  • Калидҳои амниятии сахтафзор (YubiKey, FIDO2) ягона муҳофизате мебошанд, ки аз нигоҳи тарҳрезӣ зидди фишинг аст.
  • Менеҷерони гузарвожа шуморо муҳофизат мекунанд, зеро дар домени нодуруст пуркунии автоматиро рад мекунанд.
  • Пеш аз воридкардани маълумот домени дақиқро тафтиш кунед ва ҳеҷ гоҳ аз тариқи пайванди дар почтаи электронӣ ворид нашавед.

Фишинг чист?

Фишинг ҳамлаи муҳандисии иҷтимоӣ аст, ки дар он ҳамлагар нусхаи эътимодбахши сайти қонунӣ — аксаран дақиқ — эҷод мекунад ва қурбониро фиреб медиҳад, то маълумоти ворид шудан ба он ҷо ворид кунад. Лаҳзае, ки қурбон формаро ирсол мекунад, ҳамлагар номи корбар, гузарвожа ва ҳар омили дуюмро мегирад, сипас онҳоро барои дар чанд сония ба ихтиёр гирифтани ҳисоби воқеӣ истифода мебарад.

Калима аз метафораи "моҳигирӣ" барои қурбонон бо тӯъма (одатан почтаи электронӣ) гирифта шудааст. Имло тағйир дода шуд, то таъкид кунад, ки ҳамлагарон аксаран аз рақамҳои телефонӣ (фишинги SMS, ё "smishing") ва зерсохтори зоҳиран касбӣ истифода мебаранд.

Чаро фишинг ҳоло ҳам таҳдиди #1 аст

Аксари иҳотаи бузурги ҳисобҳо имрӯз ба ҳакинг, шикастани гузарвожаҳо ё гузашт аз рамзнигорӣ вобаста нестанд. Онҳо ба инсоне вобастаанд, ки гузарвожаро ба сайти қалбакӣ менависад. Фишинг:

  • Арзон аст — ҳамлагар метавонад миллионҳо почтаи электронӣ бо нархи VPS ва домени қалбакӣ бифиристад
  • Филтр кардан барои он душвор аст — комплектҳои муосир доменҳоро тағйир медиҳанд, мизбонии қонунӣ истифода мебаранд ва дар вақти воқеӣ ба филтрҳо мутобиқ мешаванд
  • Самаранок аст — ҳатто корбаронии огоҳ аз амният низ ба кӯшишҳои ҳадафманди хуб сохташуда (фишинги найза) мегиранд
  • Миқёспазир аст — як фишинги муваффақ аксаран тавассути такрори истифодаи гузарвожа ба даҳҳо хизматҳои пайвасти дигар дастрасӣ медиҳад

Гузориши Таҳқиқоти Иҳотаи Маълумоти Verizon 2024 муайян кард, ки фишинг дар зиёда аз 36% ҳамаи иҳотаҳо вектори дастрасии аввалия буд — бештар аз ҳар сабаби дигари ягона.

Чӣ тавр фишинги муосир кор мекунад

Фишинг аз почтаҳои электронии "шоҳзодаи нигерӣ" солҳои 2000-ум хеле пеш рафтааст. Ҳамлаи фишинги муосир одатан инҳоро дар бар мегирад:

1. Ҷалб кунандаи эътимодбахш

Одатан почтаи электронӣ, паёмак ё паёми чат, ки фавриятро ("Ҳисоби шумо таваққуф дода мешавад"), мақомро ("Гурӯҳи амниятии Microsoft") ё кунҷковиро ("Касе шуморо дар акс нишон дод") эҷод мекунад. Фишинги найза ин корро бо тафсилоти шахсии гирифташуда аз LinkedIn, партовдонҳои иҳота ё мукотибаи қаблӣ боз ҳам амиқтар мебарад.

2. Сайти қалбакии дақиқ

Ҳамлагарон аз комплектҳои фишинги омодаи тиҷоратӣ истифода мебаранд, ки HTML, CSS ва JavaScript-и сайти ҳадафро нусхабардорӣ мекунанд. Бисёр комплектҳо ба сифати хизмат (phishing-as-a-service) бо панелҳои корӣ ва дастгирии муштарӣ фурӯхта мешаванд.

3. Прокси-и вақти воқеӣ барои 2FA

Қисми хатарнок: комплектҳои муосир танҳо гузарвожаи шуморо намегиранд. Онҳо ҳамчун прокси-и байни мард амал мекунанд, ки ҳар чизе шумо менависед — аз ҷумла рамзи TOTP-и шуморо — дар чанд сония ба сайти воқеӣ мефиристанд ва аксари 2FA-ро нодида мегиранд. Ин усул душман-дар-байн (AiTM) номида мешавад ва дар абзорҳое ба монанди Evilginx2 ва Modlishka истифода мешавад.

4. Дуздии нишонаи сессия

Вақте аз тариқи прокси тасдиқи ҳуввият мекунед, ҳамлагар кӯкии сессия-и шуморо мегирад ва метавонад онро ҳатто пас аз тағйир додани гузарвожаи шумо барои мондан дар системаи ворид шуда истифода барад. Аз ин рӯ посухи фишинг ҳамеша бекор кардани сессияҳои фаъолро дар бар мегирад, на танҳо чарх задани гузарвожа.

Чӣ воқеан фишингро пешгирӣ мекунад

Калидҳои амниятии сахтафзор (FIDO2 / WebAuthn)

Ин ягона категорияи муҳофизат аст, ки аз нигоҳи тарҳрезӣ зидди фишинг мебошад. Вақте бо калиди FIDO2 ворид мешавед, калиди шумо домени дақиқи сайте, ки дархости тасдиқи ҳуввиятро мефиристад, аз лиҳози рамзнигорӣ тафтиш мекунад. Сайти қалбакӣ — сарфи назар аз он ки аз нигоҳи зоҳирӣ чӣ қадар комил бошад — домени дигаре дорад, бинобар ин калид аз посух додан рад мекунад. Мусофаҳаи рамзнигорӣ оддитан анҷом намеёбад.

Google дар соли 2017 машҳуран истифодаи YubiKey-ро барои ҳамаи 85,000+ кормандонаш маҷбурӣ кард ва дар солҳои пас ҳеҷ ҳамлаи фишинги муваффақе ба ҳисобҳои корпоративӣ гузориш надод.

Гузарвожаҳо

Гузарвожаҳо эволютсияи дӯстона бо истифодабаранда барои FIDO2 мебошанд. Онҳо ҳамон рамзнигории вобаста ба доменро истифода мебаранд ва дар iOS, Android, macOS ва Windows дарунсохта шудаанд. Агар сайте, ки истифода мебаред, гузарвожаҳоро дастгирӣ кунад, фаъол кардани он ҳисобро зидди фишинг мекунад.

Менеҷерони гузарвожа

Менеҷери гузарвожа хати дуюми муҳофизати шумост, зеро маълумотро танҳо дар домени дақиқе, ки дар он захира шудааст, автоматӣ пур мекунад. Агар ба paypaI.com (ҳарфи бузурги I) ба ҷои paypal.com ворид шавед, менеҷери шумо хомӯшона аз пуркунии форма рад мекунад. Ин рад кардан огоҳии баланди он аст, ки чизе нодуруст аст.

Филтркунии почтаи электронӣ ва DNS

Провайдерони почтаи электронӣ аз DMARC, SPF ва DKIM барои ошкор кардани суроғаҳои фиристандаи қалбакӣ истифода мебаранд. Аксари провайдерони муосир кӯшишҳои равшанро мегиранд, аммо ҳамлаҳои ҳадафманд ҳанӯз ҳам мегузаранд. Тугмаҳои "Гузориш дар бораи фишинг" дар муштарии почтаи электронии худро фаъол кунед, то ба беҳтар кардани филтрҳо кӯмак кунед.

Аломатҳои хатар барои огоҳ будан

Вақте паёме мегиред, ки аз шумо мехоҳад ворид шавед, тасдиқ кунед ё фавриятан амал кунед:

  • Фавриват ва таҳдидҳо — "Ҳисоби шумо дар 24 соат баста мешавад"
  • Салому алейкумҳои умумӣ — "Муштарии азиз" ба ҷои номи шумо
  • Доменҳои шабеҳpaypaI.com, app1e.com, secure-microsoft-login.net
  • Замимаҳои ғайричашмдошт — алалхусус файлҳои .zip, .html ё .pdf, ки аз шумо мехоҳанд барои дидани онҳо ворид шавед
  • Хатоҳои грамматикӣ ё формат — ширкатҳои бузург почтаи электронии худро хонандагузинӣ мекунанд
  • Мутобиқ набудани пайванд — рӯи пайванд нигоҳ кунед ва тафтиш кунед, ки оё мақсад ба матн мутобиқ аст

Агар чизе нодуруст ба назар расад, почтаро пӯшед. Ба сайт дастӣ гузаред. Агар мушкилоти воқеӣ мавҷуд бошад, вақте аз тариқи кори муқаррарии худ ворид мешавед, онро хоҳед дид.

Агар қурбони он шуда бошед, чӣ кор кунед

Зуд амал кунед — суръат муҳим аст, зеро ҳамлагарон дар чанд дақиқа аз маълумот истифода мебаранд.

  1. Гузарвожаро фавран тағйир диҳед дар дастгоҳи дигар (масалан, телефони шумо, агар рӯи ноутбуки худ гирифтор шуда бошед)
  2. Ҳамаи сессияҳои фаъолро бекор кунед дар танзимоти ҳисоб — ин ҳар касеро, ки дар айни ҳол нишонаҳои сессияи дуздидашударо истифода мебарад, аз система мебарорад
  3. 2FA-ро фаъол кунед агар ҳанӯз фаъол набошад, ва агар имконпазир бошад, калиди сахтафзор ё гузарвожа истифода баред
  4. Фаъолияти ғайриваколатдорро тафтиш кунед — почтаҳои фиристодашуда, воридшавиҳои охирин, тағйироти ҳисоб-китоб, қоидаҳои нави иштироки
  5. Муассисаи зарардидаро огоҳ кунед агар ин ҳисоби молиявӣ ё корӣ бошад
  6. Ҳисобҳои дигарро тафтиш кунед, ки ҳамон гузарвожаро истифода мебурданд — ҳатто агар мутмаин бошед, ки гузарвожаҳоро такрор истифода намебаред, тафтиш кунед

Хулоса

Фишинг маъмул аст, зеро технологияро нодида мегирад ва инсонҳоро ҳадаф қарор медиҳад. Беҳтарин муҳофизатҳо се қабатро якҷоя мекунанд: менеҷерони гузарвожа (аз пуркунии автоматӣ дар доменҳои нодуруст рад мекунанд), 2FA-и муқовим ба фишинг (калидҳои сахтафзор ё гузарвожаҳое, ки ба домени воқеӣ вобаста мешаванд) ва шакку шубҳаи солим (ҳеҷ гоҳ аз пайванди почтаи электронӣ ворид нашавед).

Ҳар серо дар муҳимтарин ҳисоби худ — почтаи электронии худ — аввал фаъол кунед. Аз он ҷо, боқимондаи ҳаёти рақамии шумо ба таври назаррас бехатартар мешавад.

Чӣ тавр худро аз фишинг муҳофизат кунед

Рӯйхати амалии мураттаби санҷишӣ барои мустаҳкам кардани ҳисобҳои шумо дар муқобили ҳамлаҳои фишинг.

  1. Менеҷери гузарвожа истифода баред:Менеҷери гузарвожаи эътимоднок (1Password, Bitwarden, Proton Pass) насб кунед ва ба он иҷозат диҳед, ки маълумотро автоматӣ пур кунад. Он дар доменҳои шабеҳ аз пуркунии автоматӣ рад мекунад ва ба шумо детектори дохилии фишинг медиҳад.
  2. 2FA-и муқовим ба фишингро фаъол кунед:Калиди сахтафзории FIDO2 (YubiKey, Google Titan) ё гузарвожаро ба муҳимтарин ҳисобҳои худ — аввал ба почтаи электронӣ, сипас ба бонкдорӣ, нигаҳдории абрӣ ва менеҷери гузарвожа илова кунед. Инҳо ягона усулҳои 2FA мебошанд, ки воқеан фишинги муосирро пешгирӣ мекунанд.
  3. Ҳеҷ гоҳ аз пайвандҳои почтаи электронӣ ворид нашавед:Вақте почтаи электроние мегиред, ки аз шумо мехоҳад ворид шавед, почтаро пӯшед ва тавассути нишонак ё бо навиштани URL дастӣ ба сайт гузаред. Пайванди дар почтаи электронӣ метавонад нусхаи комили қалбакӣ бошад; нишонаки дар браузери шумо чунин нест.
  4. Пеш аз навиштан домени дақиқро тафтиш кунед:Пеш аз ворид кардани ҳар гузарвожае, ба URL-и пурра дар сатри суроға нигаред. Https, имлои дурусти домен ва набудани зердоменҳои иловагӣ ба монанди paypal.com.secure-login.net-ро тафтиш кунед.
  5. Гузориш диҳед ва пеш равед:Кӯшиши фишингро ба провайдери почтаи электронии худ гузориш диҳед (аксаран тугмаи "Гузориш дар бораи фишинг" доранд). Сипас рӯзатонро идома диҳед — фишинг танҳо агар қурбони он шавед хатарнок аст ва огоҳӣ бахши зиёди муборизаро ташкил медиҳад.

Саволҳои зуд-зуд пурсида мешаванда