فیشینگ چیست؟

تقدیم به آنها که گوهره ي وجودشان در گستره علم و دانش در حال
رشد و تعالی است
چکیده
هر روزه دزدان اینترنتی راه هاي جدیدي را براي بدست آوردن هویت شخصی افراد و دست
یابی به اطلاعات شخصی آنها به کار می برند. یکی از رو شهایی که اخیرا بسیار مورد توجه
آنها قرار گرفته و البته کمی هم پیچیده می باشد، فیشینگ نام دارد. حملات موسوم به
فیشینگ به آن دسته از حملات اینترنتی گفته می شود که معمولا طراحان آنها از ایمیلهاي
داراي آدرسهاي فرستنده جعلی براي کشاندن کاربران به وب سایتهاي مورد نظرشان استفاده
می کنند.
در اینگونه حملات، معمولا ایمیل هایی براي کاربران ارسال م یشود که داراي آدرس فرستنده
مربوط به شرکتهاي معروف و یا بانکهاي معتبر هستند و درون آنها نیز لینکهایی قرار دارد که
ظاهرا به همان مراکز تعلق دارند اما در حقیقت کاربر را به سوي سایتهاي مورد نظر طراحان
فیشینگ هدایت می کنند و اطلاعات حساس نظیر کلمات عبور و یا رمز کارتهاي اعتباري
کاربران را می ربایند. . این عمل مجرمانه جدید در شبکه اینترنت می رود که به یک پدیده و
معضل گسترده تبدیل شود
فیشینگ به چه معناست
Password در زبان انگلیسی نیز یک واژه جدید است که برخی آن را مخفف عبارت Phishing کلمه
شکار کردن رمزعبور کاربر از طریق یک طعمه) و برخی دیگر آن را استعاره اي از ) Harvesting Fishing
به جاي Ph ماهیگیري) تعبیر کرد هاند. سازندگان این واژه کوشیده اند با جایگزین کردن ) Fishing کلمه
مفهوم فریفتن را به مخاطب القا کنند. F
فیشینگ در اصطلاح کامپیوتري به معناي شبیه سازي قسمتهایی از یک سایت اینترنتی (مثلا یک
صفحه از سایت) آشنا و یا معروف است که به وسیله آن بتوان کاربر را گمراه کرده و اطلاعات شخصی
وي را بدست آورد . این اطلاعات می تواند شامل نام کاربري و کلمه ي عبور فرد در آن سایت یا
اطلاعاتی مربوط به شماره حساب بانکی فرد و خیلی موارد دیگر باشد .
-2-2 فیشنگ چیست
فیشینگ یک نمونه از تکنیک مهندسی اجتماعی 1
به منظور گمراه کردن کاربران اینترنتی براي
بدست آوردن اطلاعت محرمانه آنان است . در این تکنیک فیشرها ها (کسانی که عمل فیشینگ را
انجام می دهند ) با طراحی یک سایت که شبیه به سایت مورد نظر می باشد ، کار خود را آغاز می
کنند. پس از انجام این مرحله آنها باید روشی را پیدا کنند که قربانیان خود را مجبور کنند تا در سایت
آنها وارد شده و اطلاعات محرمانه خود را وارد کنند که به روش هاي مختلفی این کار عملی می شود
.مثلا با ساخت یک خبر دروغین ، قربانیان را به سایت خود کشانده و... بقیه مراحل انجام می شود .شاید
خود شما تا به حال به طور ناخواسته و بدون اینکه متوجه چیزي شوید ، یکی از قربانیان فیشینگ
شده باشید (به اصطلاح در قلاب ماهیگیر افتاده باشید !)
________________________________________
-1 در تکنیک مهندسی اجتماعی، یک مهاجم با برقراري ارتباط با کاربران و استفاده از مهارت هاي اجتماعی خاص ( روابط عمومی مناسب ،
ظاهري آراسته و ... ) ، سعی می نماید به اطلاعات حساس یک سازمان و یا کامپیوتر شما دستیابی و یا به آنان آسیب رساند . یک مهاجم ممکن
است خود را به عنوان فردي متواضع و قابل احترام نشان دهد . مثلا" وانمود نماید که یک کارمند جدید است ، یک تعمیر کار است و یا یک
محقق و حتی اطلاعات حساس و شخصی خود را به منظور تائید هویت خود به شما ارائه نماید . یک مهاجم ، با طرح سوالات متعدد و برقراري
یک ارتباط منطقی بین آنان،می تواند به بخش هائی از اطلاعات مورد نیاز خود به منظور نفوذ در شبکه سازمان شما دستیابی پیدا نماید در
صورتی که یک مهاجم قادر به اخذ اطلاعات مورد نیاز خود از یک منبع نگردد ، وي ممکن است با شخص دیگري از همان سازمان ارتباط برقرار
نموده تا با کسب اطلاعات تکمیلی و تلفیق آنان با اطلاعات اخذ شده از منبع اول ، توانمندي خود را افزایش دهد .

5
فیشینگ از جمله واژه هایی است که توسط مهاجمان در عرصه ادبیات اینترنت مطرح و به ترغیب توام
با نیرنگ کاربران به افشاي اطلاعات حساس و شخصی آنان ، اشاره دارد . مهاجمان به منظور نیل به
اهداف مخرب خود در اولین مرحله درخواست موجه خود را براي افراد بیشماري ارسال می نمایند و در
انتظار پاسخ می مانند . آنان امیدوارند که حتی اگر بتوانند تعداد اندکی از افراد را ترغیب به افشاي
اطلاعات حساس و شخصی خود نمایند در کار خود موفق بوده اند . امیدواري آنان چندان هم بی دلیل
نخواهد بود چراکه با توجه به گستردگی تعداد قربانیان اولیه احتمالی ، شانس موفیقت نهایی آنان از
لحاظ آماري نیز افزایش می یابد .
مهاجمان به منظور افزایش ضریب موفقیت حملات سعی می نمایند خود را بگونه اي عرضه نمایند که
مردم به آنان اعتماد نموده و آنان را به عنوان نمایندگان قانونی مراکز معتبري نظیر بانک ها قبول
نمایند . رمز موفقیت این نوع از حملات بر قدرت جلب اعتماد مردم استوار است و بدیهی است که
مهاجمان از هر چیزي که بتواند آنان را موجه تر جلوه نماید ، استقبال خواهند کرد . مهاجمان پس از
جلب رضایت و اعتماد کاربران از آنان درخواست اطلاعات حساس و مهمی نظیر شماره کارت اعتباري را
می نمایند
اکثر عملیات اشاره شده به صورت اتوماتیک انجام و با توجه به این که کاربران گسترده اي هدف اولیه
قرار می گیرند و درصد بسیار زیادي از آنان داراي آگاهی لازم جهت تشخیص و مقابله با این نوع
حملات نمی باشند ، شانس موفقیت مهاجمان به منظور سرقت هویت کاربران افزایش می یابد

.