حملات فیشینگ (Phishing) عبارت است از ترغیب کاربران به افشای اطلاعات محرمانه شخصی با استفاده از هویتهای قلابی و ساختگی. به منظور تدارک و یا برنامهریزی یک تهاجم از نوع حملات مهندسی اجتماعی، یک مهاجم با برقراری ارتباط با کاربران و استفاده از مهارتهای اجتماعی خاص (روابط عمومیمناسب، ظاهری آراسته و...)، سعی مینماید به اطلاعات حساس یک سازمان و یا کامپیوتر شما دستیابی و یا به آنان آسیب رساند.
حملات فیشینگ معمولاً در قالبهای زیر ظاهر میشوند:
ایمیل از سمت فردی که ادعا می کند مدیر سیستم است.
ایمیل از طرف فردی که ادعا میکند دوست یا همکار شما است.
وبسایتی با نامی مشابه وبسایتهایی که شما متناوباً به آنها سر میزنید.
در برنامههای پیغام فوری مانند یاهو مسنجر
توجه: در صورتیکه قبلا اطلاعاتی را برای این افراد فرستاده اید در اسرع وقت کلمه عبور (پسورد) خود را تغییر دهید.
این حملات شکلهایی نظیر درخواست اطلاعات از سوی بانکی قلابی، اعلام برندهشدن شما در قرعهکشی و یا پیغامی از طرف شبکههای اجتماعی به خود میگیرند. ایمیلهای فیشینگ معمولاً دارای لوگوها و تیترهای رسمی از بانکها یا موسسات مالی معتبر هستند و حاوی درخواست ارائه اطلاعات شخصی و حساس هستند. سازندگان این ایمیلها معمولاً برای رسمی جلوهدادن بیشتر فعالیتهای خود، لینکی از سایتی با ظاهری آراسته و رسمی به ایمیلهای خود اضافه میکنند.
نحوه پیشگیری از حملات مهندسی اجتماعی و کلاهبرداری
آدرس email خود را در شبکه های عمومی انتشار ندهید و در صورت قرار دادن آن بر روی وب سایت خود به جای شکل user@mail.com به صورت user [at] mail.com یا شکلهای دیگر استفاده نمایید تا جمع آوری نرم افزاری آدرسهای email شما از صفحات وب برای مقاصد سوء امکانپذیر نباشد.
به نامههای الکترونیکی که عموما ناخواسته بوده و در آنان از شما درخواست اطلاعاتی خاص در مورد کارکنان و یا سایر اطلاعات شخصی میگردد، مشکوک بوده و با دیده سوء ظن به آنان نگاه کنید. در صورتی که یک فرد ناشناس ادعا مینماید که از یک سازمان معتبر است، سعی نمایید با سازمان مورد ادعای وی تماس گرفته و نسبت به هویت وی کسب تکلیف کنید.
هرگز اطلاعات شخصی و یا اطلاعات مربوط به سازمان خود را ( مثلا ساختار و یا شبکهها ) در اختیار دیگران قرار ندهید، مگر این که اطمینان حاصل گردد که فرد متقاضی مجور لازم به منظور دستیابی به اطلاعات درخواستی را دارا میباشد . هرگز اطلاعات شخصی و یا مالی خود را در یک emailافشا نکرده و به نامههای الکترونیکی ناخواستهای که درخواست این نوع اطلاعات را از شما مینمایند، پاسخ ندهید (به لینکهای موجود در اینگونه نامههای الکترونیکی ناخواسته نیز توجهی نداشته باشید(.
هرگز اطلاعات حساس و مهم شخصی خود و یا سازمان خود را بر روی اینترنت ارسال ننمایید. قبل از ارسال اینگونه اطلاعات حساس، میبایست Privacyوب سایت مورد نظر به دقت مطالعه شده تا مشخص شود که اهداف آنان از جمع آوری اطلاعات شخصی شما چیست و نحوه برخورد آنان با اطلاعات به چه صورت است ؟
در صورت عدم اطمینان از معتبر بودن یک Emailدریافتی، سعی نمایید با برقراری تماس مستقیم با سازمان ارسال کننده نسبت به هویت آن اطمینان حاصل نمایید. از اطلاعات موجود بر روی یک سایت مخرب به منظور تماس با آنان استفاده ننمایید چرا که این اطلاعات میتواند شما را به مسیری دیگر هدایت نماید که صرفا اهداف مهاجمان را تامین نماید.