فیشینگ و راههای مقابله
بزرگترین دشمنِ امنیت، ناآگاهی است. دنبال کردن مطالب امنیتی از منابع خوب و بروز باعث افزایش امنیت و آگاهی در این زمینه میشود تا با لذت از تکنولوژی استفاده کنید.
«فیشینگ» یکی از روشهای معمول کلاهبرداران برای بدست آوردن اطلاعات شخصی افراد از قبیل پسوردها و اطلاعات بانکی است. در این شیوه، ضعف امنیتی از سرویس دهندهها (شبکه ی شاپرک، شرکت های خدمات پرداخت و بانکی) نیست و تنها کاربر است که باید آگاه باشد و اطلاعات کارت بانکی خود را در هر جایی وارد نکند.
فیشنگ چگونه اتفاق میافتد؟
شیوه معمول فیشینگ در پرداخت به این صورت است که پرداخت کننده به صفحه ای کاملا مشابه صفحه درگاه پرداخت هدایت میشود. این صفحه هیچ تفاوتی ظاهری با درگاه پرداختهای واقعی ندارد و تنها تفاوت، نشانی صفحه در مرورگر کاربر است که گاهی در این نشانی هم تغییراتی داده میشود تا کاربر فکر کند که به نشانی درستی رفته است. پس از ورود اطلاعات کارت در صفحه پرداخت جعلی، اطلاعات کارتی که وارد شده برای کلاهبردار فرستاده می شود و به کاربر یک صفحهی خطا نشان داده می شود یا حتی در مواردی واقعا مبلغی هم از حساب کاربر کم می شود تا کاربر شک نکند.
راه مقابله با فیشینگ
نکتهی یک این که با تبلیغاتی که صحبت از جایزه و یا موارد وسوسهانگیز دیگر (و گاهی غیراخلاقی) میکنند بسیار با احتیاط برخورد کنید. کلاهبرداران برای به دام انداختن طعمههای خود از این موضوعات به وفور استفاده میکنند.
نکتهی دوم، همیشه پیش از وارد کردن اطلاعات کارت خود در خریدهای اینترنتی، همهی این موارد را بررسی کنید:
- نشانی صفحه با https آغاز شده باشد. حساس باشید که حتماً حرف s را در آخر این عبارت ببینید.
- هیچ گونه خطای گواهینامهی تایید هویت سایت را نگرفته باشید.
- نام دامنهی سایت، حتما به shaparak.ir پایان یابد و نام دامنهی جعلی مانند shaparak.ir.kharid.com نباشد.
برای نمونه این نشانی درست یکی از درگاههای پرداخت الکترونیک سامان است:
https://sep.shaparak.ir/MobilePG/MobilePayment
هم https است و هم نام دامنه به shaparak.ir پایان یافته است. توجه کنید حتی در این نشانی هم اگر خطای امنیتی گواهینامه از مرورگر خود گرفتید، نباید پرداخت را انجام دهید.
ولی برای نمونه این یک نشانی جعلی میتواند باشد:
https://sep.shaparak.ir.MobilePG.com/MobilePayment
در این صفحه احتمالا خطای گواهینامه هم نخواهید گرفت. توجه کنید که در این مثال، نام دامنه با shaparak.ir پایان نیافته و در واقع زیر دامنهای از سایت MobilePG.com است.
دستگیری مجرم ۲۲ ساله تهرانی
باهمتا داستان همکاری با پلیس فتا برای دستگیری پسر ۲۲ ساله تهرانی که توانسته بود اطلاعات ۳۶۵ کارت را بدست آورد را در بلاگ خود تعریف کرده است.
باهمتا یک سرویس پرداخت آنلاین برای اشخاص و کسب و کارها است که علاوه بر ایجاد ارزش افزوده و سادگی در پرداخت، تمرکز بالایی بر روی امنیت دارد. برای نیازهای دریافت و پرداخت خود به جای کارت به کارت میتوانید از این سرویس استفاده کنید.
یکی دیگر از کارهای خوب این تیم انتشار مطالب امنیتی است که با دنبال کردن بلاگ و کانال تلگرام آنها، میتوانید آگاهی خود را در زمینه امنیت افزایش دهید.
اخیرا موارد فیشینگ هم با پیشرفت قابل ملاحظه ای مشاهده شده که با نگاه به ادرس هم قابل شناسایی نیست
به کمک کاراکتر های با خط الرسم مشابه حروف انگلیسی که در واقع کد متفاوتی دارند ادرس رو عینا بازسازی میکنند
برای شفافیت مثلا کارکتر حرف “ی” و “ی” خط الرسم بسیار مشابهی دارند اما دومی دوتا نقطه زیرش داره و کد مجزایی از اولی
برای حرف c k … مشابه هایی وجود داره که در یک نگاه قابل تشخیص نیست
توی قسمت آدرس بار مرورگرها، کارکترهای غیر انگلیسی کلا به نحو دیگری و غیرطبیعی نشان داده میشوند که مشکلات اینچنینی پیش نیاید.
یه سری اسکریپت هم هست که متن توی آدرس بار رو میتونه عوض کنه