امروزه دیگر کمتر کسی را می‌توان یافت که با عبارت فیشینگ آشنایی نداشته باشد. فیشینگ نوعی کلاهبرداری است که در آن هکر یا افراز مزاحم، از روش‌های مختلف و با آزمون و خطا، اطلاعات حساس کاربران، مثل نام کاربری، رمز عبور، تاریخ تولد، کد ملی و … را جمع‌آوری کرده و از آنها برای اهداف مختلف استفاده می‌کنند. در ویشینگ نیز دقیقا همین اقدامات صورت می‌گیرد با این تفاوت که به جای ایمیل، از تماس صوتی استفاده می‌شود.

در این مقاله قصد داریم به نحوه اجرای حملات ویشینگ و همچنین نحوه مقابله با آن بپردازیم!

مهندسی اجتماعی، اصلی‌ترین مشکل فضای مجازی

تنها دلیلی که مهندسی اجتماعی را به کاربردی‌ترین و کارسازترین روش در کلاهبرداری از مصرف‌کنندگان و حتی سازمانهای تجاری تبدیل کرده، خطای انسانی است.  مجرمان سایبری بیش از هر چیز دیگری بر روی مهندسی اجتماعی تمرکز می‌کنند. به عبارت دیگر، مهندسی اجتماعی یعنی هنر ترغیب. هکرها خود را به عنوان افراد قابل اعتماد مثل کارمند بانک، شرکت ارائه دهنده خدمات اینترنتی، دولت و … معرفی کرده و با ایجاد حالتی اضطرار گونه و وحشتناک کاری می‌کنند که فرد به صورت غریضی عمل کرده و به هیچ عنوان جوانب احتیاط را رعایت نکند.

روشهای استفاده شده در فیشینگ و ویشینگ یکسان است. اما وقتی این روش‌ها به صورت لحظه‌ای و از طریق تماس تلفنی صورت می‌گیرد، تاثیر بیشتری دارند. این هکرها از ابزارهای دیگری نیز استفاده می‌کنند که احتمال موفقیت آنها را افزایش می‌دهد:

  • ابزارهای جعل کالر آی‌دی: از این طریق کلاهبردار می‌توان محدوده مکانی خود را جعل کند. حتی می‌تواند از شماره تلفن یک منبع مورد اعتماد استفاده کند.
  • کلاهبرداری‌های چند کاناله: در این روش برای افزایش اعتبار ادعا، از چندین کانال، مثل پیام متنی صوتی یا ایمیل استفاده می‌شود و کاربر را به تماس با مرکز پشتیبانی (که شماره آن در داخل پیام‌ها ارسال شده) ترغیب می‌کنند. در این صورت قربانی خود با کلاهبردار تماس می‌گیرد.
  • جمع‌آوری اطلاعات از شبکه‌های اجتماعی و منابع آزاد: از این طریق کلاهبردار، اطلاعات زیادی در مورد قربانی خود بدست می‌آورد و به سادگی می‌تواند او را در دام بیاندازد. از این روش برای به دام انداختن اشخاصی استفاده می‌شود که در سازمان‌ها یا ادارات دارای سطوح دسترسی بالایی هستند.

آیا ممکن است خانواده من دچار چنین حمله‌ای شود؟

متاسفانه پاسخ مثبت است. کلاهبرداران همیشه بر روی سازمانهای بزرگ و ادارات تمرکز نمی‌کنند. در این حملات هدف اصلی گرفتن پول از قربانی است. ممکن است این کار به صورت مستقیم، با درخواست واریز مبلغ، یا به صورت غیر مستقیم و از طریق جمع‌آوری اطلاعات کارت بانکی و … صورت می‌گیرد.

 

در زیر به برخی از شایع‌ترین روشهای ویشینگ اشاره می‌کنیم:

کلاهبرداری از طریق شرکت‌های خدماتی:

در این روش معمولا به صورت ناگهانی با فرد تماس گرفته شده و فرد خود را به عنوان یکی از کارمندان شرکت ارائه دهنده سرویس اینترنتی یا فروشنده لوازم جانبی معرفی می‌کند. آنها ادعا می‌کنند که مشکلی در سیستم یا IP شما مشاهده کرده‌اند که برای رفع آن لازم است مبلغی را به حساب شرکت واریز کنید. در برخی موارد از فرد خواسته می‌شود که برای رفع ایراد به وب‌سایت مشخصی مراجعه کرده و فایلی را دانلود و نصب کند که این کار نهایتا سیستم را به بدافزار آلوده می‌کند.

کلاهبرداری از روش واردیالینگ:

در این روش به صورت گسترده و خودکار، یک پیام صوتی به چندین شماره تلفن ارسال می‌شود. معمولا مضمون این پیام به شکلی است که قربانی را مجاب می‌کند تا با آن شماره تماس بگیرد.

بازاریابی تلفنی:

یکی از روشهای پرکاربرد بوده که در آن با قربانی تماس گرفته شده و به او می‌گویند یک جایزه فوق‌العاده برنده شده است. تنها راه گرفتن این جایزه واریز مبلغی ناچیز (مثلا برای حمل و نقل) است.

فیشینگ یا پیام متنی جعلی:

در این روش ابتدا یک پیام متنی یا ایمیل جعلی به کاربر ارسال می‌شود تا با شماره تلفنی که در پیام مشخص شده تماس بگیرد. وقتی با این شماره تماس بگیرید، مستقیما با کلاهبردار ارتباط برقرار خواهید کرد.

چگونه می‌توان از ویشینگ جلوگیری کرد؟

  • شماره تلفن خود را در صفحات مجازی، ننویسید.
  • شماره تماس خود را در فرم‌های ثبت نام آنلاین، یا فروشگاه‌های آنلاین وارد نکنید.
  • هنگامی که اطلاعات حساس شما مثل اطلاعات هویتی، بانکی و … طی یک تماس تلفنی از شما پرسیده می‌شود، حتما به آن تماس شک کنید.
  • در صورت دریافت تماس از طرف افراد ناشناس مراقب باشید به خصوص اگر از شما می‌خواهد هویت خود، یا اطلاعات بانکی خود را تایید کنید.
  • هرگز با شماره‌هایی که از طریق پیام‌های صوتی یا متنی برایتان ارسال شده تماس نگیرید.
  • حتما احراز هویت چند مرحله‌ای را در همه حسابهای خود فعال کنید.

نظرات

نظر (به‌وسیله فیس‌بوک)