فیشینگ ( . میگفتند فیشینگ از ماهیگیری «ماهیگیری، ماهیگیری کردن" [1] ) - نوع کلاهبرداری اینترنتی ، هدف این است که برای به دست آوردن دسترسی به اطلاعات محرمانه کاربران - باری و کلمه عبور. این امر به وسیله ارسال نامه های توده ای از ایمیل به نمایندگی از مارک های محبوب و همچنین پیام های شخصی در خدمات مختلف، به عنوان مثال، از طرف بانک ها و یا در شبکه های اجتماعی، به دست می آید . این نامه اغلب شامل یک لینک مستقیم به یک سایت است که ظاهرا از حال حاضر قابل شناسایی نیست و یا به یک سایت با تغییر مسیر.. پس از اینکه یک کاربر به یک صفحه جعلی رسید، کلاهبرداران با استفاده از تکنیک های مختلف روانشناختی تلاش می کنند تا کاربر را برای ورود به نام کاربری و رمز عبور خود بر روی صفحه جعلی، که آنها برای دسترسی به یک سایت خاص استفاده می کنند، به شما اجازه می دهد تا کلاهبرداران به دسترسی به حساب ها و حساب های بانکی دسترسی پیدا کنند .
فیشینگ یکی از انواع مهندسی اجتماعی است که بر پایه نادیده گرفتن کاربر از اصول امنیت شبکه است: به ویژه، بسیاری از آنها یک واقعیت ساده را نمی دانند: خدمات نامه هایی را ارسال نمی کنند که از آنها بخواهند مدارک، رمز عبور و غیره را ارائه دهند.
برای محافظت در برابر فیشینگ، تولید کنندگان مرورگرهای بزرگ اینترنتی توافق کرده اند از روش های مشابه برای اطلاع دادن به کاربران استفاده کنند که وبسایت مشکوک را که ممکن است متعلق به کلاهبرداران باشد، باز کند. نسخه های جدید مرورگرها از این ویژگی استفاده می کنند که به این ترتیب به عنوان «ضد فیشینگ» نامیده می شود
روش فیشینگ در جزئیات در توصیف شده 1،987 ، و مدت ظاهر شده است ژانویه 2 سال 1996 سال در گروه خبری شبکه alt.online-service.America-اینترنتی این یوزنت [2] [3] ، اگر چه شاید مراجع زودتر خود را به هکر مجله 2600 [4 ] .
فیشینگ AOL نزدیک به warez- community است که در توزیع نرم افزار با نقض حق نسخه برداری ، تقلب کارت اعتباری و سایر جرایم آنلاین مشارکت داشته است . پس از آنکه AOL اقدامات لازم را برای جلوگیری از استفاده از شماره کارت اعتباری جعلی در سال 1995 انجام داد ، مهاجمان فیشینگ را برای دسترسی به حسابهای دیگر شروع کردند [5] .
فیشر خود را به عنوان کارکنان AOL معرفی کرد و از طریق برنامه های پیام رسانی فوری، به یک قربانی احتمالی در تلاش برای یافتن رمز عبور او اشاره کرد [6] . برای متقاعد کردن قربانی، عباراتی مانند «تایید حساب»، «تأیید اطلاعات پرداخت» استفاده شد. هنگامی که قربانی رمز عبور را درک کرد، مهاجم دسترسی به اطلاعات قربانی را داشت و از حساب او برای اهداف جعلی و هنگام ارسال هرزنامه استفاده می کرد . فیشینگ به اندازه ای رسیده است که AOL به تمام پیام های آن افزوده است: "هیچ یک از کارمندان AOL از رمز عبور یا اطلاعات صورتحساب شما درخواست نخواهند کرد."
پس از سال 1997، AOL سیاست خود را در زمینه فیشینگ و warez تشدید کرد و سیستم را برای سریعا غیرفعال کردن حسابهای جعلی توسعه داد. در عین حال، بسیاری از فیشرها، اغلب نوجوانان، عادت های خود را از بین برده اند [7] ، و فیشینگ در سرورهای AOL به تدریج از بین رفته است.
گرفتن حساب های AOL، که اجازه دسترسی به داده های کارت اعتباری را می دهد ، نشان داد که سیستم های پرداخت و کاربران آنها نیز آسیب پذیر هستند. اولین تلاش شناخته شده حمله به سیستم پرداخت بود طلای اینترنتی در ماه ژوئن 2001 ، حمله دوم، که مدت کوتاهی پس از به عهده گرفت از حملات 11 سپتامبر [8] . این اولین تلاش ها فقط یک آزمایش ، آزمایش احتمالات بود. و در سال 2004، فیشینگ بزرگترین خطر برای شرکت ها بود و از آن زمان به طور مداوم در حال توسعه و افزایش ظرفیت آن است [9] .
نمودار رشد تعداد موارد فیشینگ ثبت شده
هدف از آزار دهنده ها امروزه مشتریان بانک ها و سیستم های پرداخت الکترونیکی هستند. [10] در ایالات متحده آمریکا ، که به عنوان سرویس درآمد داخلی جاسازی شده است ، متخلفان اطلاعات مهمی را در مورد مالیات دهندگان جمع آوری کردند [11] . و اگر اولین نامه ها به صورت تصادفی ارسال شوند، با امید به اینکه مشتریان بانک یا سرویس مورد نظر خود را برساند، اکنون فیشر می تواند تعیین کند که چه قربانی ها خدمات استفاده می کند و از پست های هدفمند استفاده می کند [12] . بخشی از آخرین حملات فیشینگ به طور مستقیم به مدیران و سایر اشخاصی که مقامات بلندپایه در شرکت ها را اشغال می کنند، هدف قرار گرفته است [13] .
شبکه های اجتماعی نیز برای آزار و اذیت های متفاوتی مورد توجه هستند، که به شما اجازه می دهد اطلاعات شخصی خود را از کاربران جمع آوری کنید. [14] در سال 2006 یک کرم کامپیوتری در MySpace بسیاری از پیوندهای به سایت های فیشینگ را به منظور سرقت اطلاعات ثبت نام [15] ؛ در ماه مه 2008، اولین کرم به شبکه محبوب روسی VKontakte گسترش یافت [16] [17] . به گفته کارشناسان، بیش از 70 درصد حملات فیشینگ در شبکه های اجتماعی موفق بوده اند [18] .
فیشینگ به سرعت در حال افزایش است اما برآورد خسارت بسیار متفاوت است: طبق گفته Gartner، قربانیان فیشینگ در سال 2004، 2.4 میلیارد دلار از دست داده اند [19] ، در سال 2006 آسیب به 2.8 میلیارد دلار رسید [20] ، در سال 2007 - 3.2 میلیارد [21] ؛ در ایالات متحده تنها 3.5 میلیون نفر قربانی فیشینگ در سال 2004 شد [20] ، تا سال 2008 شمار افرادی که فیشینگ در ایالات متحده تحت تأثیر قرار گرفته بودند، به 5 میلیون نفر افزایش یافت [22] .
مقاله اصلی: مهندسی اجتماعی
یک فرد همیشه به رویدادهای مهم برای او واکنش نشان می دهد. بنابراین، فیشر سعی می کند کاربر را با اقدامات خود آشنا کند و موجب واکنش فوری او شود. بنابراین، به عنوان مثال، یک پست الکترونیکی با عنوان "برای بازگرداندن دسترسی به حساب بانکی خود ..."، به عنوان یک قاعده، توجه را جلب می کند و شخص را مجبور می کند که یک پیوند وب را برای اطلاعات دقیق تر دنبال کند.
یک مثال از یک ایمیل فیشینگ از سیستم پرداخت Yandex.Money، جایی که یک لینک وب به ظاهر معتبر منجر به یک سایت فیشینگ
اکثر روشهای فیشینگ برای پوشاندن لینک های جعلی به سایت های فیشینگ زیر لینک های این سازمان جرقه می زند. آدرس های تایپ یا زیر دامنه اغلب توسط کلاهبرداران استفاده می شود.
به عنوان مثال، http://www.yourbank.example.com/ شبیه به آدرس Yourbank است، اما در واقع آن را به جزء فیشینگ example.com اشاره دارد. یکی دیگر از ترفندهای رایج این است که استفاده از پیوندهای صحیح خارجی، در واقع، منجر به یک سایت فیشینگ شود. به عنوان مثال، http://ru.wikipedia.org/wiki/Pravda منجر به مقاله "حقیقت" نمی شود، بلکه به مقاله "دروغ" می رسد.
یکی از روشهای قدیمی فریب، استفاده از لینک هایی است که حاوی نماد "@" است که برای نام کاربری و رمز عبور در لینک استفاده می شود [23] . به عنوان مثال، لینک http: //www.google.com@members.tripod.com/ منجر به www.google.com نمی شود، بلکه به member.tripod.com از طرف www.google.com کاربر منجر خواهد شد.این قابلیت در مرورگر اینترنت اکسپلورر غیرفعال شده است [24] ، و موزیلا فایرفاکس [25] و اپرا هشدار و پیشنهاد را برای تأیید انتقال به سایت ارائه می دهند. اما این به آن استفاده از نفی نمی HTML تگ از ارزش عکاس هنگام عکسبرداری ، به غیر از لینک های متنی.
یکی دیگر از مشکلی که مرورگرها در مورد دامنه های بین المللی پردازش می کردند کشف شد : آدرس هایی که به صورت بصری یکسان بوده و می تواند به سایت های کلاهبرداری منجر شود.
فیشر اغلب از تصاویر به جای متن استفاده می کند، که با شناسایی ایمیل های جعلی با فیلترهای ضد فیشینگ دشوار است [26] . اما کارشناسان آموخته اند که با این نوع فیشینگ مقابله کنند. بنابراین، فیلتربرنامه پست الکترونیکی می تواند به طور خودکار تصاویری را که از آدرس هایی که در کتاب آدرس نیستند، مسدود کند [27] . علاوه بر این، فناوری هایی ایجاد شده است که می توانند تصویر ها را باامضاهای مشابه تصاویر مورد استفاده برای هرزنامه و فیشینگ پردازش و مقایسه کنند . [28]
تقلب با یک قربانی که از یک سایت فیشینگ بازدید می کند، پایان نمی یابد. برخی از فیشرها برای تغییر نوار آدرس از جاوا اسکریپت استفاده می کنند [29] . این عمل با قرار دادن تصاویری از آدرس جعلی بیش از نوار آدرس یا بسته شدن نوار آدرس حاضر و در یک صفحه جدید با یک آدرس جعلی به دست آورد [30] .
مهاجم می تواند آسیب پذیری ها را در اسکریپت های معتبر سایت مورد سوء استفاده قرار دهد [31] . این نوع تقلب (شناخته شده به عنوان اسکریپت متقابل سایت ) خطرناک ترین است، زیرا کاربر در این صفحه از سایت رسمی مجاز است، جایی که همه چیز (از آدرس وب به گواهینامه ها ) معتبر است. چنین فیشینگ بسیار دشوار است بدون مهارت های خاص شناسایی شود. این روش برای PayPalدر سال 2006 اعمال شد [32] .
فیشر با استفاده از وب سایت های مبتنی بر فلش برای مقابله با ضد اسکنرهای فیشینگ . به طور ناگهانی، این سایت به نظر می رسد یک واقعی است، اما متن در اشیاء چند رسانه ای پنهان است [33] .
امروز فیشینگ فراتر از تقلب آنلاین است، و وب سایت های جعلی تنها یکی از بسیاری از مناطق آن است. نامه هایی که گفته می شود از یک بانک ارسال می شوند می توانند به اطلاع کاربران درباره نیاز به تماس با یک شماره خاص برای حل مشکلات با حساب های بانکی خود بپردازند [34] . این روش Vishing (فیشینگ صوتی) نامیده می شود. پس از فراخوانی به شماره مشخص شده، کاربر دستورالعمل های پاسخ دهنده را می شنود، که نشان دهنده نیاز به وارد کردن شماره حساب کاربری و PIN-کد شماست . علاوه بر این، گیلاس می تواند خود قربانیان را متقاعد کند که آنها با نمایندگان سازمان های رسمی با استفاده از جعلیات ارتباط برقرار می کنند [35] [36] . در نهایت، فرد نیز خواسته خواهد شد تا مدارک خود را ارائه دهد.[37] .
به دست آوردن شتاب و اس ام اس های ماهیگیری، همچنین به عنوان شناخته شده اس ام اس فیشینگ ( مهندس Smishing و - از "اس ام اس" و "فیشینگ") [38] . کلاهبرداران از ارسال پیام حاوی یک لینک به یک سایت فیشینگ - ورود به آن و ورود اطلاعات شخصی خود را، قربانی را در همان راه آنها را به مهاجم می فرستد [39] . این پیام همچنین می تواند بیان کند که لازم است با شمار خاصی از کلاهبرداران تماس بگیرد تا "مشکلات ایجاد شده" را حل کند [40] .
روش های مختلفی برای مبارزه با فیشینگ وجود دارد، از جمله اقدامات قانونی و فناوری های خاص طراحی شده برای محافظت در برابر فیشینگ.
یکی از روش های مبارزه با فیشینگ این است که آموزش افراد را برای تشخیص و مبارزه با فیشینگ آموزش دهد. مردم می توانند با کمی تغییر رفتار خود، تهدید فیشینگ را کاهش دهند. بنابراین، در پاسخ به نامه ای که از "تأیید" یک حساب (یا هر درخواست دیگر فیشر معمولی) درخواست می کند، کارشناسان توصیه می کنند با شرکت تماس بگیرند که از طرف آن پیام برای تأیید صحت آن ارسال شده است. علاوه بر این، کارشناسان توصیه می کنند به جای استفاده از هر لینک در پیام مشکوک، آدرس وب سایت سازمان را به نوار آدرس مرورگر وارد کنید [41] .
تقریبا تمام پیام های اصلی سازمان ها حاوی مرجع برای برخی از اطلاعات است که برای آدم ربایان غیر قابل دسترس است. بعضی از آنها مانند PayPal همیشه با نامهای خود به آدرس های خود مراجعه می کنند و پیام عمومی "مشتری عزیز PayPal" را می توان به عنوان یک تلاش فیشینگ در نظر گرفت [42] . نامه ها از بانک ها و موسسات اعتباری اغلب شامل بخشی از شماره حساب می شوند. با این حال، مطالعات اخیر نشان داده اند [43]که مردم بین ظاهر اولین رقم حساب یا رقم آخر تفاوت نمی کنند، در حالی که رقم های اول ممکن است برای همه مشتریان یک موسسه مالی یکسان باشد. این را می توان به مردم توضیح داد که هر حروف حاوی اطلاعات شخصی خاصی مشکوک هستند. اما حملات فیشینگ در اوایل سال 2006 حاوی اطلاعات شخصی شخصی بود، بنابراین حضور چنین اطلاعاتی ایمنی پیام را تضمین نمی کند [44] . علاوه بر این، بر اساس نتایج یک تحقیق دیگر، مشخص شد که حضور اطلاعات شخصی، میزان موفقیت حملات فیشینگ را به میزان قابل توجهی تغییر نمی دهد، که نشان می دهد که اکثر مردم به چنین جزئیاتی توجه نمی کنند [45] .
ضد فیشینگ کار گروه معتقد است که تکنیک های فیشینگ معمولی به زودی منسوخ تبدیل خواهد شد، چرا که مردم به طور فزاینده در مورد مهندسی اجتماعی می دانم، فیشرها استفاده [46] . کارشناسان بر این باورند که در آینده انواع روش های سرقت اطلاعات کشاورزی و برنامه های مخرب مختلف خواهد بود .
فیشینگ تهدید مرورگرها [ ویرایش | ویرایش کد ]
راه دیگری برای مبارزه با فیشینگ این است که فهرستی از سایتهای فیشینگ ایجاد کنید و سپس آنها را آشتی کنید. یک سیستم مشابه در اینترنت اکسپلورر ، موزیلا فایرفاکس ، گوگل کروم ، سافاری وOpera [47] [48] [49] [50] وجود دارد . فایرفاکس از سیستم فیشینگ Google استفاده می کند . Opera از لیست های سیاه و سفید لیست های PhishTank و GeoTrust و فهرست حذفGeoTrust استفاده می کند. بر اساس یک مطالعه مستقل در سال 2006، فایرفاکس در شناسایی سایت های فیشینگ موثر تر از اینترنت اکسپلورر بود [51] .
در سال 2006، یک روش با استفاده از ویژه ای وجود دارد DNS -Service، فیلتر شناخته شده آدرس فیشینگ: این روش با هر مرورگر کار می کند [52] و استفاده از مشابه میزبان برای مسدود کردن تبلیغ -file.
پیچیدگی روش مجوز [ ویرایش | ویرایش کد ]
وب سایت بانک مرکزی آمریکا [53] [54] کاربران را برای انتخاب یک تصویر شخصی انتخاب می کند و این تصویر انتخاب شده توسط کاربر را با هر فرم ثبت نام رمز عبور نشان می دهد. و کاربران خدمات بانکی باید تنها در زمانی که تصویر انتخاب شده را مشاهده می کنند وارد رمز عبور شوند. با این حال، یک مطالعه اخیر نشان داد که عدم وجود یک تصویر اغلب کاربران هنگام ورود به یک رمز عبور را متوقف می کند [55] [56] .
ایمیل ضد فیشینگ [ ویرایش | ویرایش کد ]
فیلترهای اسپم اختصاصی می توانند تعداد ایمیل های فیشینگ دریافت شده توسط کاربران را کاهش دهند. این روش بر اساس یادگیری ماشین و پردازش زبان طبیعی در هنگام تجزیه و تحلیل ایمیل های فیشینگ [57] [58] است .
خدمات نظارت [ ویرایش | ویرایش کد ]
برخی از شرکت ها بانک ها و سازمان های دیگر را ارائه می دهند که به طور بالقوه به حملات فیشینگ، نظارت، تجزیه و تحلیل و کمک در بستن سایت های فیشینگ کمک می کنند [59] . افراد با گزارش وقایع فیشینگ می توانند به گروه های مشابهی کمک کنند (60) (به عنوان مثال، PhishTank [61] ).
در تاریخ 26 ژانویه 2004، کمیسیون تجارت فدرال ایالات متحده اولین دعوی علیه یک مظنون فیشینگ را داد. متهم، یک نوجوان از کالیفرنیا ، متهم به ایجاد یک صفحه وب شبیه به سایت AOL شد و اطلاعات کارت اعتباری را سرقت کرد [62] . کشورهای دیگر به دنبال آن بودند و شروع به جستجو و دستگیری متهمان کردند. بدین ترتیب، در والدیر پائولو د المیدا، رئیس یکی از بزرگترین باندهای فاسد جاسوسی ، در برزیل دستگیر شد و در عرض دو سال از 18 تا 37 میلیون دلار سرقت کرد . [63] در ژوئن 2005 مقامات بریتانیا دو نفر از اعضای تقلب اینترنتی را محکوم کردند [64]. در سال 2006، هشت نفر توسط پلیس ژاپنی تحت سوء ظن فیشینگ و سرقت 100 میلیون ین (870،000 دلار) دستگیر شدند . [65] دستگیری ها در سال 2006 ادامه یافت - در طی یک عملیات ویژه FBIباند شانزده شرکت کننده در اروپا و ایالات متحده را بازداشت کرد [66] .
در ایالات متحده آمریکا، در تاریخ 1 مارس 2005، سناتور پاتریک لاهی پیش نویس قانون پیشگیری از فیشینگ را به کنگره ارائه کرد. اگر این لایحه تصویب شد، جنایتکاران که وب سایت های جعلی ایجاد و ارسال یک ایمیل جعلی را به یک جریمه تا 250 هزار دلار و حبس تا پنج سال در معرض [67] . در انگلستان، قانون تقلب 2006 [68] تصویب شد ، مسئولیت تقلب در قالب زندان تا 10 سال و همچنین ممنوعیت مالکیت یا توسعه ابزارهای فیشینگ برای انجام تقلب [69] را تصویب کرد .
شرکت ها همچنین در مبارزه با فیشینگ شرکت می کنند. در 31 مارس 2005، مایکروسافت 117 دادخواست را در دادگاه فدرال فدرال ایالات متحده در منطقه غربی، با اتهام John Doe از دریافت رمزهای عبور و اطلاعات محرمانه ، به دادگاه رسید . مارس 2005 توسط آغاز مشارکت بین مایکروسافت و دولت استرالیا در آموزش مأموران اجرای قانون برای مبارزه با جرایم مختلف اینترنتی، از جمله فیشینگ مشخص شد [70] .
در ژانویه سال 2007، جفری برت گودین از کالیفرنیا به خاطر فرستادن هزاران پیام الکترونیکی به America Online از طرف AOL محکوم شد و از مشتریان خواست تا اطلاعات محرمانه را افشا کنند. او به 70 ماه حبس محکوم شد. [71] [72] [73] [74] . داشتن یک فرصت برای گرفتن 101 سال حبس برای نقض قانون، تقلب، استفاده غیر مجاز از کارت های اعتباری و استفاده غیرقانونی علائم تجاری AOL .
در فدراسیون روسیه اولین پرونده مهم علیه یک گروه فیشینگ در سپتامبر 2009 آغاز شد . بر اساس تخمین های معتدل ترین، کلاهبرداران در حدود 6 میلیون روپیه را به سرقت برده اند. مهاجمان به دسترسی غیر مجاز به اطلاعات کامپیوتر و تقلب در مقیاس وسیع متهم شده اند [75] . فرآیندهای جداگانه ای پیش از آن صورت گرفت: به عنوان مثال، در سال 2006، دادگاه یوری سرگوستینتس را که در سرقت پول از حساب های شرکت های کارگزاری آمریکایی دخیل بود، محکوم کرد. تقلب کننده به 6 سال حبس و جبران خسارت به شرکت ها در مبلغ 3 میلیون روبل محکوم شد [76]. اما به طور کلی، مبارزه قانونی در روسیه محدود به تنها پرونده های دادرسی جزئی است که به ندرت به احکام جدی پایان می دهد.
با توجه به کارشناس برجسته کمیته تحقیقاتی وزارت امور داخله برای تحقیق درباره جنایات در زمینه اطلاعات رایانه و فناوری های پیشرفته، سرهنگ دوم دادگستری ایگور یوکوفف، مشکل اصلی در تحقیق در مورد چنین جنایاتی در روسیه، فقدان متخصصان با دانش و تجربه کافی است تا پرونده را نه تنها به دادگاه منتقل کند. اما قبل از محکومیت [77] . سرگئی مایخیلوف، رئیس مرکز اطلاعات امنیت در FSB روسیه ، می افزاید: "روسیه دارای وفادارترین قانون در رابطه با جرائم اینترنتی است." همکاری با ساختارهای خارجی نیز ضعیف است که از مبارزه هماهنگ با مجرمان جلوگیری می کند [78] .
.
