به گزارش ایران اکونومیست، حمله های فیشینگ (Phishing) نوعی از حملات مبتنی بر مهندسی اجتماعی است که در آن حمله کننده با فریب دادن هدف یا اهداف، اطلاعات حساسی مثل رمزهای عبور، مشخصات کارت اعتباری را از وی میگیرد.
بنا به این گزارش از وزارت ارتباطات و فناوری اطلاعات، مرکز ماهر اعلام کرد:بر اساس رصد صورت گرفته حملات فیشینگ درگاههای پرداخت بانکی در کشور در 2 ماه گذشته بشدت افزایش داشته است و این حملات عموما با محوریت انتشار برنامکهای اندرویدی مخرب یا جعلی صورت گرفته است.
بر این اساس مرکز ماهر به مخاطبان توصیه کرده است که از نصب هر گونه برنامک اندرویدی از منابعی غیر از توزیعکنندگان شناخته شده و معتبر به ویژه از نصب برنامک های منتشر شده در شبکههای اجتماعی و کانالها برای درامان مانده از حملات به شدت پرهیز کنند.
مرکز ماهر توصیه کرده تا مخاطبان حساسیت بیشتری نسبت به هرگونه پرداخت درون برنامه های تلفن همراه(اپلیکیشنهای موبایلی )حتی در صورت دریافت آن از طریق توزیعکنندگان معتبر (لازم به توجه است که هرگونه پرداخت درون برنامه باید با انتقال کاربر به آدرس معتبر درگاه پرداخت از طریق صفحه مرورگر صورت پذیرد) داشته باشند.
مرکز ماهر به مخاطبان اعلام کرد:توجه داشته باشند که برنامکهای متعددی حتی از طریق توزیع کنندگان شناخته شده منتشر شده که با فریب کاربر و با استفاده از درگاههای پرداخت معتبر از کاربر وجه دریافت کرده ولی در عمل هیچ خدمتی ارائه نمیکنند.
مرکز ماهر اعلام کرد:درگاههای پرداخت فقط در آدرسهای معرفی شده از سوی شرکت شاپرک در این آدرس و بصورت زیردامنههایی از shaparak.ir (بدون هرگونه تغییر در حروف) معتبر هستند و هر گونه آدرسی غیر از این نامعتبر بوده و لازم است ضمن خودداری از وارد کردن اطلاعات در آن، نسبت به گزارش آن به مرکز ماهر(cert@certcc.ir) یا پلیس فتا برای پیگیری و مقابله اقدام شود.
براین اساس مرکز ماهر اعلام داشت: صرف مشاهده مجوز HTTPS معتبر در وبسایت به معنی اعتبار آن نیست و باید به آدرس دامنه وبسایت دقت کرد.
مرکز مذکور اعلام کرد: هویت عاملان برخی از این حملات شناسایی شده و اقدام ها برای برخورد قانونی با آنها در جریان است.
بنا به این گزارش، کلمه فیشینگ یا Phishing از عبارت Password Harvesting Fishing به معنای 'بدست آوردن رمز عبور از طریق طعمه' بوده و یکی از حملات مبتنی بر مهندسی اجتماعی است که با گول زدن و فریب دادن یک کاربر از پیش تعیین شده یا گروهی از کاربران به صورت هدف دار، اطلاعات حساس وی مانند رمزهای عبور، اطلاعات حساب بانکی، اطلاعات شخصی و اجتماعی هدف را بدست آورده و با استفاده از آنها، کار مورد نظر خود را انجام میدهد.
برخلاف سایر روشهای هک و ورود به سیستم، در روش فیشینگ به طور معمول هیچ نفوذی انجام نشده و از رخنهها و آسیب پذیریها استفاده نمیشود و این خود کاربر است که با استفاده از تکنیکهای گوناگون فریب خورده و این اطلاعات را در اختیار حمله کننده که به اصطلاح فیشر (Phisher) نامیده میشود، قرار میدهد.