اگر کاربر اینترنت هستید، احتمالا حداقل یک‌بار با پیام یا ایمیلی روبه‌رو شده‌اید که از شما خواسته اطلاعات بانکی یا رمز عبورتان را وارد کنید. این پیام ظاهرا از طرف بانک، شرکت پستی یا حتی شبکه اجتماعی محبوبتان باشد، اما در واقع پشت این پیام، یک حمله فیشینگ (Phishing) پنهان است.

فیشینگ یکی از رایج‌ترین و خطرناک‌ترین شیوه‌های کلاهبرداری اینترنتی محسوب می‌شود که هدف آن سرقت اطلاعات حساس کاربران است. در ادامه این مطلب از مجله پارس هاست ،اطلاعاتی کامل و جامع در رابطه با اینکه فیشینگ چیست و چه انواعی دارد ارائه می‌کنیم؛ سپس به این پرسش که بعد از حمله فیشینگ چه کنیم پاسخی کامل خواهیم داد. پس اگر می‌خواهید روش های جلوگیری از فیشینگ را بشناسید، تا پایان این مطلب ما را همراهی کنید.

تاریخچه فیشینگ

اصطلاح فیشینگ اولین بار در سال ۱۹۸۷ مطرح شد، اما آغاز استفاده عمومی از آن به سال ۱۹۹۶ برمی‌گردد. در آن دوران، هکرها با استفاده از سرویس‌های ایمیل AOL کاربران را فریب می‌دادند تا اطلاعات ورود خود را در اختیارشان بگذارند. از آن زمان تاکنون، روش‌های فیشینگ بسیار متنوع‌تر و پیشرفته‌تر شده‌اند و شامل ایمیل‌های جعلی، لینک‌های آلوده در شبکه‌های اجتماعی و حتی ربات‌های تلگرام (برای سرقت اطلاعات بانکی) می‌شوند.

فیشینگ چیست؟

فیشینگ نوعی حمله سایبری است که در آن مهاجم با فریب افراد از طریق وب‌سایت‌های جعلی، ایمیل‌ها یا پیام‌های شبکه‌های اجتماعی، سعی می‌کند اطلاعات حساس آن‌ها مثل رمز عبور یا داده‌های مالی را سرقت کند.

معنی کلمه‌ فیشینگ (به‌انگلیسی: Phishing) از واژه Fishing به‌معنای «ماهی‌گیری» گرفته شده‌است. همان‌طور که ماهیگیر با طعمه ماهی را به‌دام می‌اندازد، هکر نیز با طعمه‌هایی مانند ایمیل، پیامک یا لینک جعلی، کاربر را به‌دام می‌کشد تا اطلاعاتش را فاش کند. 

برخلاف تصور بسیاری از کاربران، فیشینگ فقط مخصوص کاربران کم‌تجربه نیست. حتی افراد متخصص در حوزه فناوری نیز ممکن است قربانی حملات پیچیده‌تری مانند اسپیر فیشینگ (Spear Phishing) یا فیشینگ هدفمند سازمانی شوند.

کد فیشینگ چیست و چگونه کار می‌کند؟

در بسیاری از موارد، حملات فیشینگ با استفاده از کدهای HTML یا جاوا اسکریپت طراحی می‌شوند تا صفحه‌ای مشابه وب‌سایت اصلی ایجاد کنند. این کدها در ظاهر بی‌خطرند، اما زمانی که کاربر اطلاعات ورود یا کارت بانکی خود را وارد می‌کند، داده‌ها مستقیما به سرور هکر ارسال می‌شوند.

گاهی این کدها حتی در قالب ایمیل تعبیه می‌شوند؛ برای مثال، ایمیلی از طرف بانک ارسال می‌شود که لوگو و طراحی مشابه وب‌سایت رسمی دارد و از شما می‌خواهد روی دکمه «ورود به حساب» کلیک کنید. در واقع با کلیک روی این لینک، به صفحه‌ای جعلی هدایت می‌شوید که از نظر ظاهری مشابه سایت اصلی است، اما داده‌های واردشده در آن به‌سرقت می‌رود.

مراحل معمول حمله فیشینگ به‌صورت زیر است:

• تهیه طعمه: طراحی ایمیل/پیامک یا صفحه وبی که شبیه یک مرجع معتبر باشد.
• پخش طعمه: ارسال انبوه ایمیل، پیامک یا قرار دادن لینک در شبکه‌های اجتماعی و ربات‌ها.
• جذب کلیک: کاربر روی لینک کلیک می‌کند یا فایل پیوست را باز می‌کند.
• هدایت به صفحه جعلی: کاربر به صفحه‌ای که ظاهر قانونی دارد منتقل می‌شود.
• درخواست اطلاعات: فرم ورود یا پرداخت جعلی از کاربر اطلاعات حساس می‌طلبد.
• ارسال به مهاجم: اطلاعات واردشده به سرور مهاجم منتقل و ذخیره می‌شود.
• سو ‌استفاده: مهاجم اطلاعات را برای سرقت مالی، سرقت هویت یا حملات بعدی استفاده می‌کند.

انواع فیشینگ و مثال‌های واقعی از حملات سایبری

در توضیحات فوق با اینکه فیشینگ چیست آشنا شدیم. حال می‌خواهیم قبل از بررسی روش های جلوگیری از فیشینگ، انواع حملات آن را مرور کنیم. در ادامه با ۱۹ نوع از رایج‌ترین حملات فیشینگ آشنا می‌شوید تا بتوانید در برابر آن‌ها هوشیار باشید.

در جدول زیر انواع فیشینگ و نمونه‌های واقعی آن‌ها را به‌صورت خلاصه مشاهده می‌کنید:

در ادامه، انواع فیشینگ را با بیشتر توضیح می‌دهیم تا هر کدام را بهتر بشناسید:

۱. فیشینگ هدفمند (Spear Phishing)

در این روش، مهاجم شخص یا سازمان خاصی را هدف می‌گیرد و با تحقیق درباره اطلاعات آن فرد (نام، سمت، محل کار و …) پیام شخصی‌سازی‌شده‌ای ارسال می‌کند.

نمونه واقعی:

• در یک حمله به شرکت Virgin Media، ایمیلی برای یکی از کارمندان ارسال شد که از او خواسته بود «فرم سیاست جدید کارکنان» را تایید کند؛ در حالی‌ که لینک حاوی صفحه جعلی ورود بود.

۲. فیشینگ صوتی (Vishing)

در فیشینگ صوتی، مهاجم از تماس تلفنی برای جلب اعتماد قربانی استفاده می‌کند و خود را نماینده بانک یا شرکت معرفی می‌کند.

نمونه واقعی:

• در سال ۲۰۱۹، اعضای پارلمان بریتانیا هدف تماس‌های جعلی گسترده‌ای قرار گرفتند که از آن‌ها اطلاعات ورود به سیستم خواسته می‌شد.

۳. فیشینگ ایمیلی (Email Phishing)

شایع‌ترین نوع فیشینگ که در آن ایمیل‌های جعلی با ظاهر معتبر (مثلا از طرف بانک یا شرکت) برای قربانی ارسال می‌شود.

نمونه واقعی:

• هکرها از اطلاعات کارکنان شرکت سونی در لینکدین استفاده کردند و با ایمیل جعلی، بیش از ۱۰۰ ترابایت داده سرقت کردند.

۴. فیشینگ HTTPS

در این نوع حمله، لینک موجود در ایمیل یا پیامک کاربر را به سایتی هدایت می‌کند که ظاهرا امن است (دارای HTTPS و قفل سبز)، اما در واقع جعلی است.

نمونه واقعی:

• گروه هکری Scarlet Widow از لینک‌های HTTPS جعلی برای فریب کارمندان شرکت‌ها استفاده می‌کرد.

نکته: اگر صاحب وبسایت یا اپلیکیشن هستید برای محافظت از کاربران و افزایش اعتماد بازدیدکنندگان، از گواهی امنیتی معتبر استفاده کنید؛ گواهی SSL لایه ارتباطی را رمزنگاری می‌کند و اعتبار سایت شما را بالا می‌برد. برای اطلاع از انواع گواهی‌ها و سفارش ساده می‌توانید به صفحه خرید ssl کلیک کنید و از بسته‌های ایمن و پشتیبانی پارس هاست بهره‌مند شوید.

۵. فارمینگ (Pharming)

در حمله فارمینگ، بدافزار نصب‌شده روی سیستم، کاربر را به نسخه جعلی یک سایت هدایت می‌کند تا اطلاعات ورودش را ثبت کند.

نمونه واقعی:

• در سال ۲۰۰۷، بیش از ۵۰ موسسه مالی هدف فارمینگ قرار گرفتند و کاربرانشان به سایت‌های جعلی هدایت شدند.

۶. فیشینگ پاپ‌آپ (Pop-up Phishing)

هکرها با نمایش پیامی در قالب هشدار امنیتی یا خطای سیستم، کاربر را ترغیب می‌کنند روی لینک کلیک یا فایل را دانلود کند.

نمونه واقعی:

• پاپ‌آپ جعلی تمدید AppleCare کاربران را به سایت تقلبی هدایت می‌کرد که حاوی بدافزار بود.

۷. فیشینگ وای‌فای (Evil Twin)

در این روش، مهاجم شبکه وای‌فای جعلی با نامی مشابه شبکه واقعی ایجاد می‌کند تا کاربران به آن متصل شوند.

نمونه واقعی:

• آژانس نظامی GRU روسیه با استفاده از وای‌فای‌های جعلی، اطلاعات کاربران را سرقت می‌کرد.

در بسیاری از موارد، حملات فیشینگ با استفاده از کدهای HTML یا جاوا اسکریپت طراحی می‌شوند تا صفحه‌ای مشابه وب‌سایت اصلی ایجاد کنند.

۸. واترینگ هول (Watering Hole)

در این حمله، هکر سایت‌هایی را هدف می‌گیرد که یک گروه خاص از کاربران (مثلا کارمندان یک سازمان) زیاد به آن مراجعه می‌کنند.

نمونه واقعی:

• در سال ۲۰۱۲، سایت شورای روابط خارجی آمریکا هدف این حمله قرار گرفت و از آسیب‌پذیری مرورگر IE سوءاستفاده شد.

۹. وِیلینگ (Whaling)

در فیشینگ وِیلینگ، مدیران ارشد یا افراد کلیدی شرکت هدف قرار می‌گیرند.

نمونه واقعی:

• مدیر یک صندوق سرمایه‌گذاری استرالیایی در اثر کلیک روی لینک جعلی، ۸۰۰ هزار دلار از دست داد.

۱۰. کلون فیشینگ (Clone Phishing)

در این روش، هکر نسخه مشابهی از ایمیل قبلی (واقعی) قربانی می‌سازد، اما لینک یا فایل آن را با نسخه آلوده جایگزین می‌کند.

نمونه واقعی:

• شرکت Inoteq Pty Ltd استرالیا پس از دریافت فاکتور جعلی از طریق ایمیل مدیر تامین‌کننده، مبلغ حدود ۱۹۰٬۰۰۰ دلار پرداخت کرد.

۱۱. فیشینگ فریبنده (Deceptive Phishing)

در این نوع فیشینگ، هکر وانمود می‌کند از طرف شرکت یا پشتیبانی رسمی است و قربانی را به کلیک روی لینک آلوده تشویق می‌کند.

نمونه واقعی:

• ایمیل‌هایی با آدرس [email protected] ادعا می‌کردند Apple ID قربانی مسدود شده‌است و از او می‌خواستند اطلاعات ورود را وارد کند.

۱۲. مهندسی اجتماعی (Social Engineering)

در این روش، مهاجم با استفاده از روان‌شناسی و ایجاد حس اضطراب یا اعتماد، کاربر را وادار به افشای اطلاعات می‌کند.

نمونه واقعی:

• یک هکر، خود را نماینده بانک Chase معرفی کرد و قربانی را با ترس از مسدود شدن حساب، مجبور به دادن رمز کارت کرد.

۱۳. فیشینگ در شبکه‌های اجتماعی (Angler Phishing)

در این روش هکرها از حساب‌های جعلی در پلتفرم‌هایی مانند توییتر و اینستاگرام استفاده می‌کنند تا کاربران را فریب دهند.

نمونه واقعی:

• هکرها با ساخت حساب جعلی پشتیبانی Domino’s Pizza در توییتر، اطلاعات مشتریان را برای دریافت جایزه سرقت کردند.

۱۴. فیشینگ پیامکی چیست؟

در فیشینگ پیامکی، پیامک‌هایی حاوی لینک یا درخواست ورود برای کاربران ارسال می‌شود.

نمونه واقعی:

• کلاهبرداران با پیام‌هایی جعلی از American Express قربانیان را به سایت تقلبی هدایت کردند.

۱۵. حمله مرد میانی (Man-in-the-Middle)

در این روش، مهاجم بین کاربر و سرویس مورد استفاده قرار می‌گیرد و اطلاعات در حال تبادل را شنود می‌کند.

نمونه واقعی:

• در سال ۲۰۱۷، کاربران اپلیکیشن Equifax قربانی حملات MITM شدند که رمزهای عبورشان هنگام ورود رهگیری می‌شد.

۱۶. جعل وب‌سایت (Website Spoofing)

در این روش هکر نسخه‌ای دقیق از سایت واقعی ایجاد می‌کند تا اطلاعات ورود کاربران را بگیرد.

نمونه واقعی:

• نسخه جعلی Amazon.com با طراحی مشابه نسخه اصلی ساخته شد و کاربران نام کاربری و رمز خود را در آن وارد کردند.

۱۷. جعل دامنه (Domain Spoofing)

در این حمله، مهاجم دامنه‌ای مشابه دامنه واقعی می‌سازد تا ایمیل‌ها یا صفحات جعلی از آن ارسال کند.

نمونه واقعی:

• دامنه‌ای مشابه LinkedIn طراحی شد تا اطلاعات کاربران را جمع‌آوری کند.

نکته: پارس هاست با ارائه خدمات ثبت انواع دامنه‌های بین‌المللی و ملی، امکان خرید دامنه با بیش از ۶٠٠ پسوند مختلف را برای شما فراهم کرده‌است.

۱۸. فیشینگ تصویری (Image Phishing)

در این نوع حمله، کدهای مخرب در فایل‌های تصویری یا تبلیغاتی پنهان می‌شوند.

نمونه واقعی:

• گروه AdGholas کدهای JavaScript آلوده را در تصاویر HTML قرار داد تا با کلیک کاربر، بدافزار نصب شود.

۱۹. فیشینگ موتور جستجو (Search Engine Phishing)

در این روش، مهاجم سایت یا محصولی جعلی می‌سازد که در نتایج جستجو نمایش داده می‌شود.

نمونه واقعی:

• در سال ۲۰۲۰، گوگل اعلام کرد روزانه بیش از ۲۵ میلیارد صفحه اسپم را شناسایی کرده‌است که بسیاری از آن‌ها تبلیغات جعلی مشابه Booking.com بوده‌اند.

روش‌ های جلوگیری از فیشینگ چیست؟

حالا که با اینکه انواع فیشینگ چیست آشنا شدیم، زمان آن است که روش‌های جلوگیری از فیشینگ را یاد بگیریم. مقابله با فیشینگ فقط با نرم‌افزار یا فایروال ممکن نیست؛ بلکه به ترکیب آگاهی کاربر، تنظیمات امنیتی و زیرساخت امن وب‌سایت نیاز دارد. در ادامه انواع روش های جلوگیری از فیشینگ را مرور خواهیم کرد.

۱. دقت در لینک‌ها و فرستنده پیام

اولین خط دفاع در برابر فیشینگ، دقت در لینک‌ها است. همیشه قبل از کلیک روی لینک یا باز کردن پیوست ایمیل، نشانگر موس را روی آدرس ببرید تا مقصد واقعی را در پایین مرورگر خود ببینید. اگر آدرس با دامنه رسمی شرکت یا بانک متفاوت بود، هرگز روی آن کلیک نکنید.

نکته: در ایمیل‌هایی که فورا از شما اقدام می‌خواهند، مثل حساب شما مسدود شد یا جایزه خود را دریافت کنید، بسیار محتاط باشید.

۲. استفاده از گواهی SSL و پروتکل HTTPS

وب‌سایت‌هایی که از HTTPS استفاده می‌کنند، اطلاعات کاربران را رمزنگاری می‌کنند و مانع از شنود یا تغییر داده‌ها در مسیر می‌شوند. اگر صاحب کسب‌وکار اینترنتی هستید، نصب گواهی SSL روی سایت شما هم امنیت را افزایش می‌دهد و هم اعتماد کاربر را جلب می‌کند؛ این شیوه یکی از بهترین روش های جلوگیری از فیشینگ برای سایت‌هاست.

۳. به‌روزرسانی مداوم نرم‌افزارها و سیستم‌عامل

بسیاری از حملات فیشینگ با بهره‌گیری از آسیب‌پذیری‌های نرم‌افزاری اجرا می‌شوند. مرورگر، افزونه‌ها و سیستم عامل خود را همیشه به‌روزرسانی کنید تا از وصله‌های امنیتی جدید بهره‌مند شوید. حتی یک آسیب‌پذیری کوچک می‌تواند راه ورود مهاجم باشد.

۴. فعال‌سازی احراز هویت دو مرحله‌ای (۲FA)

حتی اگر رمز عبور شما فاش شود، فعال‌سازی احراز هویت دو مرحله‌ای، مانند ارسال کد از طریق پیامک یا اپلیکیشن، می‌تواند از ورود غیرمجاز جلوگیری کند. این ویژگی را در حساب‌های بانکی، شبکه‌های اجتماعی و سرویس‌های ایمیل خود فعال کنید.

۵. استفاده از رمزهای قوی و منحصربه‌فرد

هر حساب کاربری باید رمز عبور متفاوت و قوی داشته باشد. از رمزهای ساده یا تکراری (مثل ۱۲۳۴۵۶ یا birthdate) استفاده نکنید. بهتر است از برنامه Password Manager برای نگهداری امن رمزها استفاده کنید.

۶. بررسی اعتبار وب‌سایت با ای‌نماد و مجوز کسب‌وکار اینترنتی

قبل از وارد کردن اطلاعات بانکی یا خرید از هر سایت، وجود ای‌نماد (Enamad) و مجوز کسب‌وکار اینترنتی را بررسی کنید. این نمادها به شما اطمینان می‌دهند که سایت موردنظر توسط نهادهای رسمی تایید شده‌است.

۷. اجتناب از باز کردن پیوست‌های ناشناس

فایل‌های پیوست در ایمیل‌ها ممکن است حاوی بدافزار یا اسکریپت‌های جاسوسی باشند. اگر ایمیل از منبع نامشخصی آمده یا متن آن مشکوک است، از باز کردن پیوست خودداری کنید. حتی در صورت آشنایی با فرستنده، اگر متن ایمیل غیرعادی است، ابتدا با او تماس بگیرید.

۸. عدم ذخیره رمز عبور در مرورگرهای عمومی

هرگز رمز عبور خود را در کامپیوترهای عمومی یا مرورگرهایی که در دسترس دیگران هستند ذخیره نکنید. بهتر است از حالت Private یا Incognito هنگام ورود به حساب‌های مهم استفاده کنید.

۹. بررسی دقیق صفحات پرداخت

در هنگام پرداخت اینترنتی، آدرس سایت باید با https:// آغاز شود و دامنه آن دقیقا با نام شرکت یا بانک مطابقت داشته باشد. وجود قفل سبز در کنار آدرس به‌تنهایی کافی نیست؛ برخی سایت‌های جعلی نیز از گواهی‌های ارزان قیمت استفاده می‌کنند. فقط از درگاه‌های پرداخت معتبر و مورد تایید بانک مرکزی استفاده کنید.

۱۰. آموزش امنیت سایبری به کارکنان و خانواده

یکی از مهم‌ترین روش های جلوگیری از فیشینگ، آگاهی از نحوه مقابله با آن است. شرکت‌ها باید دوره‌های آموزشی امنیت اطلاعات برای کارکنان خود برگزار کنند تا بتوانند ایمیل‌ها یا پیام‌های جعلی را تشخیص دهند. کاربران خانگی نیز باید اعضای خانواده، به‌ویژه کودکان و سالمندان را در این زمینه آگاه کنند.

۱۱. استفاده از فایروال و آنتی ویروس به‌روز

نرم‌افزارهای امنیتی قوی می‌توانند بسیاری از سایت‌های فیشینگ را قبل از بارگذاری مسدود کنند. فعال نگه‌داشتن فایروال سیستم و به‌روزرسانی آنتی‌ویروس، از مهم‌ترین اقدامات حفاظتی است.

۱۲. گزارش سایت‌های فیشینگ

اگر با سایت یا ایمیل مشکوک مواجه شدید، می‌توانید آن را در سرویس‌هایی مانند Google Safe Browsing یا به پلیس فتا گزارش دهید. این کار از قربانی شدن دیگر کاربران جلوگیری می‌کند و در بهبود امنیت فضای وب موثر است. 

بعد از حمله فیشینگ چه کنیم؟

حتی اگر همه نکات امنیتی را رعایت کنیم، احتمال گرفتار شدن در حمله فیشینگ همیشه وجود دارد. اگر مورد حمله فیشینگ قرار گرفتیم، سوال اصلی اینجاست: بعد از حمله فیشینگ چه کنیم!؟ در این شرایط، سرعت عمل و آگاهی از مراحل بازیابی اهمیت زیادی دارد. هرچه زودتر واکنش نشان دهید، احتمال جبران خسارت بیشتر است.

بعد از حمله فیشینگ، به‌سرعت مراحل زیر را انجام دهید:

۱. تغییر سریع رمزهای عبور

اگر روی لینک فیشینگ کلیک کردید یا اطلاعات حساب خود را وارد کردید، بلافاصله رمز عبور تمام حساب‌های مرتبط را تغییر دهید. برای اطمینان بیشتر، از رمزهای قوی و منحصربه‌فرد استفاده کنید و در صورت امکان، احراز هویت دو مرحله‌ای (۲FA) را فعال کنید تا در آینده از ورود غیرمجاز جلوگیری شود.

۲. بررسی حساب‌های بانکی و تراکنش‌ها

اگر اطلاعات بانکی وارد شده‌است، سریعا وارد حساب اینترنتی خود شوید و تراکنش‌های اخیر را بررسی کنید. در صورت مشاهده هرگونه برداشت مشکوک، حساب را مسدود کنید و با بانک تماس بگیرید. بانک‌ها اغلب در صورت گزارش سریع، امکان برگشت وجه یا توقف تراکنش را دارند.

۳. قطع ارتباط با سایت یا فایل آلوده

در صورت باز کردن لینک مشکوک یا دانلود فایل آلوده، اینترنت دستگاه خود را فورا قطع کنید و با استفاده از آنتی‌ویروس به‌روز، سیستم را اسکن کنید. اگر از شبکه سازمانی استفاده می‌کنید، مدیر شبکه را مطلع کنید تا از گسترش بدافزار جلوگیری شود.

۴. گزارش حمله فیشینگ

برای جلوگیری از تکرار این نوع حملات، بهتر است مورد را به مراجع رسمی گزارش دهید. کاربران ایرانی می‌توانند از طریق وب‌سایت پلیس فتا، حملات فیشینگ را گزارش و مشاوره دریافت کنند. در صورت وقوع حملات در سطح سازمانی، گزارش‌دهی به تیم CERT (مرکز ماهر) و ثبت مستندات حمله برای بررسی حقوقی ضروری است.

۵. اطلاع‌رسانی به دیگران

اگر ایمیل یا پیام فیشینگ برای مخاطبان شما نیز ارسال شده‌است (مثلا از طریق حساب کاربری‌تان)، به‌سرعت اطلاع‌رسانی کنید تا آن‌ها قربانی نشوند. آگاهی جمعی یکی از مهم‌ترین سدهای دفاعی در برابر فیشینگ است.

۶. بازیابی داده‌ها و ایمن‌سازی مجدد

پس از حذف فایل‌های مخرب، سیستم را به‌طور کامل اسکن کنید، رمزهای ذخیره‌شده در مرورگر را پاک کنید و نسخه پشتیبان  قدیمی را بازیابی کنید. همچنین بررسی کنید که گواهی SSL سایت یا ایمیل کاری شما معتبر باشد و اطلاعات DNS دچار تغییر نشده باشد.

فیشینگ اینستاگرام چیست؟

شاید تصور کنید که حملات فیشینگ فقط محدود به روش‌هایی است که در قسمت‌های قبلی اشاره کردیم، اما باید بگوییم هکرها از روش‌های دیگی هم برای دسترسی به اطلاعات بانکی شما استفاده می‌کنند. یکی از حملات فیشینگ که در اینستاگرام اتفاق افتاده، با هدف ورود به حساب کاربری در این شبکه اجتماعی انجام می‌شود.

گروه Fstoppers این حمله را گزارش داده‌اند. هکرها در این روش برای یکی از کاربران پیامی ارسال و از او درخواست کرده بودند تا به پیام جواب دهد و اگر اینکار را نکند، طی ۲۴ ساعت حساب کاربری او مسدود خواهد شد. در این پیام لینکی به آدرس وب‌سایت InstagramHelpNotice قرار دارد که شبیه وب‌سایت اصلی و رسمی اینستاگرام است.

بنابر اعلام وب‌سایت Fstoppers:

“The message explains that you need to ‘provide feedback’ or your account will be permanently closed by Instagram in 24 hours.”

«این پیام توضیح می‌دهد که باید بازخورد ارائه دهید وگرنه حساب شما توسط اینستاگرام ظرف ۲۴ ساعت به‌طور دائمی بسته خواهد شد.»

زمانی که کاربر روی لینک‌ کلیک می‌کند، وب‌سایت‌های جعلی با صفحه ورود شبیه اینستاگرام مشاهده می‌کند. همین موضوع موجب می‌شود تا وب‌سایت جعلی را با سایت اصلی اشتباه بگیرد و اطلاعات خود را وارد کند؛ یعنی همان چیزی که هکرها به دنبال آن هستند.

حل مشکل فیشینگ اینستاگرام

اصلی‌ترین و مطمئن‌ترین روش برای جلوگیری از فیشینگ اینستاگرام خودتان هستید! چرا که شما با مراقبت از پیام‌های ناشناس و حساب‌های کاربری نامطمئن، از حملات بسیاری جلوگیری به‌عمل می‌آورید. هرگز بدون تحقیق به درخواست‌هایی که برای ورود به سایت متفرقه می‌شود، پاسخ مثبت ندهید.

به‌علاوه، پیام نقض قوانین کپی‌رایت را نیز جدی نگیرید؛ چراکه اگر واقعا این کار را مرتکب شده باشید، آن‌ها می‌توانند از طریق Help اینستاگرام، این موضوع را پیگیری کنند. پس شما با توجه نکردن به این قبیل افراد، از حملات سایبری جلوگیری کنید.

فیشینگ بانکی چیست؟

فیشینگ بانکی یکی از خطرناک‌ترین انواع فیشینگ است که در آن مهاجمان با جعل صفحات درگاه پرداخت یا اپلیکیشن‌های بانکی، اطلاعات کارت و رمز کاربران را سرقت می‌کنند. این صفحات به‌طور معمول کاملا شبیه درگاه‌های رسمی طراحی می‌شوند تا کاربر بدون تردید اطلاعات خود را وارد کند.

• نمونه واقعی:

در سال‌های اخیر، صفحات جعلی شبیه درگاه شاپرک در ایران ساخته شده‌اند که کاربران پس از وارد کردن شماره کارت و رمز دوم، موجودی حساب‌شان در عرض چند دقیقه خالی شده‌است. پلیس فتا بارها درباره این روش هشدار داده و گفته است آدرس درگاه‌های بانکی همیشه باید با https://shaparak.ir آغاز شوند.

شناسایی وب سایت فیشینگ

یکی از مهمترین روش های جلوگیری از فیشینگ شناسایی صفحات و سایت‌های جعلی است؛ اما شناسایی آن‌ها همیشه آسان نیست. در واقع، طراحی این صفحات به‌گونه‌ای است که کاملا مشابه سایت‌های معتبر به‌نظر می‌رسند. با این حال، بررسی چند جزئیات ساده می‌تواند شما را از دام کلاهبرداران نجات دهد. هدف مهاجم فریب چشم شماست، اما نشانه‌های فنی هرگز دروغ نمی‌گویند.

نکات کلیدی برای شناسایی سایت فیشینگ:

• بررسی دقیق آدرس دامنه و اطمینان از شروع آن با https:// و نام دامنه رسمی (برای مثال shaparak.ir.)
• توجه به وجود یا عدم وجود قفل امنیتی SSL در کنار آدرس.
• خطاهای املایی، ترجمه‌های نامناسب یا طراحی غیرحرفه‌ای در سایت.
• نداشتن ای‌نماد یا صفحه تماس معتبر با اطلاعات رسمی.
• درخواست مستقیم برای وارد کردن اطلاعات حساس مانند رمز دوم یا CVV2 در صفحاتی غیر از درگاه‌های بانکی.

جمع‌بندی

در این مطلب از مجله پارس هاست ضمن بیان اینکه فیشینگ چیست، با روش های جلوگیری از فیشینگ آشنا شدیم. این نوع حمله یکی از رایج‌ترین و خطرناک‌ترین روش‌های سرقت اطلاعات است که هر ساله هزاران کاربر را قربانی خود می‌کند. آگاهی، دقت در جزئیات و استفاده از ابزارهای امنیتی بهترین راه مقابله با این تهدید است.

به یاد داشته باشید: هیچ بانک یا سازمان رسمی از طریق ایمیل یا پیامک از شما اطلاعات ورود یا شماره کارت بانکی درخواست نمی‌کند.

سوالات متداول

۱. فیشینگ چیست؟
فیشینگ نوعی کلاهبرداری اینترنتی است که در آن مهاجم با جعل هویت یک منبع معتبر (مثل بانک یا شرکت) تلاش می‌کند اطلاعات شخصی کاربر را سرقت کند.

۲. چگونه می‌توانم وب‌سایت فیشینگ را شناسایی کنم؟
با بررسی دقیق آدرس دامنه، عدم وجود گواهی SSL (HTTPS باشد) و طراحی غیرحرفه‌ای می‌توانیم بسیاری از سایت‌های جعلی را شناسایی کنیم.

۳. اگر روی لینک فیشینگ کلیک کرده باشم، چه کنم؟
در اولین قدم، رمز عبور خود را تغییر دهید، سپس سیستم را اسکن و تراکنش‌های بانکی را بررسی کنید. در صورت نیاز، موضوع را به پلیس فتا گزارش دهید.

۴. آیا HTTPS نشانه امنیت کامل است؟
خیر، برخی مهاجمان نیز از گواهی‌های SSL رایگان برای جعل سایت استفاده می‌کنند. بنابراین فقط به وجود قفل سبز اکتفا نکنید و همیشه دامنه را به‌دقت بررسی کنید.

۵. بهترین راه جلوگیری از فیشینگ چیست؟
آگاهی، به‌روزرسانی مداوم سیستم، فعال‌سازی احراز هویت دو مرحله‌ای و استفاده از گواهی SSL معتبر، مهم‌ترین روش‌های جلوگیری از فیشینگ هستند.