مهاجمان به منظور افزایش ضریب موفقیت حملات
سعی می نمایند خود را بگونه ای عرضه نمایند که مردم به آنان اعتماد نموده
و آنان را به عنوان نمایندگان قانونی مراکز معتبری نظیر بانک ها قبول
نمایند . ماهیت و یا بهتر بگوئیم رمز موفقیت این نوع از حملات بر قدرت جلب
اعتماد مردم استوار است و بدیهی است که مهاجمان از هر چیزی که بتواند آنان
را موجه تر جلوه نماید ، استقبال خواهند کرد . مهاجمان پس از جلب رضایت و
اعتماد کاربران از آنان درخواست اطلاعات حساس و مهمی نظیر شماره کارت
اعتباری را می نمایند .
اکثر عملیات اشاره شده به صورت
اتوماتیک انجام و با توجه به این که کاربران گسترده ای هدف اولیه قرار می
گیرند و درصد بسیار زیادی از آنان دارای آگاهی لازم جهت تشخیص و مقابله با
این نوع حملات نمی باشند ، شانس موفقیت مهاجمان به منظور سرقت هویت
کاربران افزایش می یابد .
سرقت هویت چیست ؟
سرقت
هویت ، استفاده از هویت شخص دیگر ( اطلاعات حساس و یا شخصی ) برای سوء
استفاده مالی و یا سایر اهدف مخرب است . سوء استفاده یا کلاهبرداری با
استفاده از کارت اعتباری دیگران ، یک نمونه از سرقت هویت است . در واقع
Phishing ، روشی است که مهاجمان از آن به منظور سرقت هویت استفاده می
نمایند .
آیا سرقت هویت صرفا" گریبانگیر افرادی می گردد که اقدام به ارسال اطلاعات online می نمایند ؟
در
صورتی که هرگز از کامپیوتر استفاده نکرده باشید ، ممکن است از جمله
قربانیان سرقت هویت باشید . مهاجمان می توانند با بکارگیری روش های متعدد
به اطلاعات شخصی شما نظیر شماره کارت اعتباری ، شماره تلفن ، آدرس و ...
دستیابی پیدا نمایند . اکثر شرکت ها و موسسات ، اطلاعات مربوط به مشتریان
خود را در بانک های اطلاعاتی ذخیره می نمایند و در صورت دستیابی سارقین به
بانک های اطلاعاتی ، اطلاعات شخصی تعداد زیادی از افراد افشاء می گردد
.اینترنت فضای لازم برای سارقین را فراهم نموده است تا بتوانند در زمانی
مطلوب و در گستره ای وسیع تر به اطلاعات شخصی و مالی کاربران دستیابی
نمایند .اینترنت ، همچنین امکانات مناسبی به منظور فروش و مبادلات تجاری
اطلاعات سرقت شده را در اختیار مهاجمان قرار می دهد .
چرا می بایست از خود در مقابل حملات phishing حفاظت نمود؟
در
یک سازمان ، افراد متفاوت اطلاعاتی را نزد خود نگهداری می نمایند که ممکن
است حساس و یا برای سایر افراد و یا سازمان ها حائز اهمیت باشد . در حملات
phishing ، مهاجمان عموما" از روش های غیرفنی ( نظیر مهندسی اجتماعی )
برای دستیابی به اطلاعات حساس و مهم اشخاص و یا سازمان ها استفاده نموده و
موارد زیر را هدف قرار می دهند :
اطلاعات بانکی نظیر کارت های اعتباری و یا حساب هائی نظیر paypal
اطلاعات مربوط به نام و رمز عبور
اطلاعات بیمه همگانی
و ...
مهاجمان پس از دستیابی به اطلاعات فوق از آنان به منظور نیل به اهداف زیر استفاده می نمایند :
برداشت از حساب بانکی
سرویس های online متفاوتی نظیر eBay و یا Amazon
یک نمونه از حملات phishing
تعداد
زیادی از حملات phishing از طریق email انجام می شود. مهاجمان email موجه
خود را برای میلیون ها قربانی احتمالی ارسال می نمایند . این نوع نامه های
الکترونیکی بسیار مشابه وب سایت شرکتی می باشند که email ادعا می نماید ،
نامه از آنجا برای کاربران ارسال شده است .
مهاجمان به منظور فریب کاربران از روش های متعددی استفاده می نمایند :
استفاده از logo وسایر علائم تجاری شناخته شده و معتبر
ساختار
و طراحی email تقلبی مشابه وب سایت واقعی است ، بگونه ای که در اولین
مرحله تشخیص جعلی بودن آن برای بسیاری از کاربران غیرممکن است .
بخش from نامه الکترونکیی ارسالی ، مشابه ارسال یک email معتبر از شرکت مربوطه است .
در
متن email ممکن است فرمی تعبیه شده باشد که از کاربران خواسته شود به
دلایل خاصی( مثلا" account شما در معرض تهدید است و ممکن است مورد سوء
استفاده قرار گیرد و یا به دلیل بروز اشکالات فنی ) ، مجددا" اطلاعات خود
را در فرم درج و آن را ارسال نمایند . در شکل زیر یک نمونه email جعلی
نشان داده شده است .
در برخی موارد ، مهاجمان به منظور افزایش
اعتماد کاربران و معتبر نشان دادن email ارسالی از روش هائی فنی تری
استفاده می نمایند. مثلا" ممکن است آنان از روشی موسوم به URL spoofing
استفاده نمایند و با ایجاد یک لینک در متن email از کاربران بخواهند که
جهت ادامه عملیات بر روی آن کلیک نمایند . با کلیک کاربران بر روی لینک
فوق ، آنان در مقابل هدایت به یک سایت معتبر که انتظار آن را دارند به وب
سایتی هدایت می گردند که مهاجمان آن را مدیریت می نمایند . شکل ظاهری وب
سایت بگونه ای طراحی می گردد که کاربران نتوانند جعلی بودن آن را تشخیص
دهند 
پرسپولیس