روش کلاهبرداری فیشینگ، یکی از متداولترین ترفندهای حملات سایبری و هک حسابهای کاربری است که امروزه در بازار ارزهای دیجیتال هم دیده میشود. در این روش ممکن است که حساب کاربری به طور کامل در اختیار فرد کلاهبردار قرار گرفته و دارایی شما برداشت شده و از بین برود. آن هم در بازار ارزهای دیجیتال که پیگیری پول انتقال یافته، کار چندان راحتی نیست. در این مقاله به بررسی بیشتر حملات فیشینگ، نمونههای فیشینگ و معرفی کانالهای رسمی بیتپین با هدف افزایش آگاهی شما کاربران عزیز، پرداختهایم.
پیشنهاد میکنیم برای داشتن فعالیتی امن در بازار ارزهای دیجیتال و حفاظت از داراییهای خود، این مقاله را با دقت تا انتها مطالعه و برای دیگران نیز ارسال کنید.
فیشینگ چیست و چطور انجام میشود؟
کلاهبردارها در ترفند فیشینگ با استفاده از اسامی شرکتها و برندهای مطرح و با طراحی صفحات و اپلیکیشنهای شبیه به این شرکتها روی یک دامنه جعلی، پیامی را طراحی میکنند تا دریافتکنندگان را به کلیک روی طعمه و لینک ارسالی سایت مشابه ترغیب کرده و به اطلاعات حساب کاربری قربانی دست پیدا میکنند.
پس از آنکه کاربر روی لینک قلابی کلیک میکند، از آنها خواسته میشود تا نام کاربری و رمز عبور خود را وارد کنند و همزمان این اطلاعات به ربات یا هکر ارسال میشود. به همین سادگی اطلاعات حساب شما حتی با وجود فعالسازی ورود دو مرحلهای در اختیار کلاهبردارها قرار میگیرد.
حتی ممکن است در مرحلهای از شما درخواست نصب یک بدافزار با نام مشابه سایت اصلی کنند که پس از نصب بدافزار، ممکن است به تمام اطلاعات سیستم و یا گوشی شما مثل اطلاعات تمام حسابها، پیامکها و… در چند لحظه، دست پیدا کنند. اطلاعاتی مثل یوزر و پسورد ایمیل، شماره کارت و اکانت بانکی و… .
رایجترین روش در فیشینگ همان طراحی صفحهای مشابه با صفحه ورود سایتها، درگاه پرداخت آنلاین بانکها و قراردادن آن در دامنههایی با آدرسهای مختلف و ترغیب کاربران به کلیک روی آنها است. برای مثال، بهتازگی پیامک پلیس فتا مبنی بر دقت در ورود به سایت عدل ایران را همهی ما دریافت کردهایم که به کاربران هشدار میداد در ورود اطلاعات حساب کاربری و بانکی، دقت کنند!
هشدار پلیس فتا در مورد فیشینگ از طریق پیامک
یا در نمونهای دیگر، کلاهبردارها به بهانه رجیستر کردن گوشی، پیامکی را همراه با لینک مشابه سامانه همتا ارسال میکنند و پس از کلیک روی لینک، از شما درخواست میکنند تا برای رجیستر کردن گوشی خود، اطلاعات حساب بانکی (شماره کارت، تاریخ انقضاء، CVV2 و رمز دوم ثابت یا پویا) را وارد و هزینهای را پرداخت کنید. پس از وارد کردن اطلاعات حتی به اشتباه، اطلاعات شما به صورت آنی برای کلاهبردار ارسال میشود.
کلاهبرداری از طریق ترغیب به کلیک صفحه مشابه سامانه همتا
چند مثال واقعی از فیشینگ
با ذکر مثالهای واقعی فیشینگ، میتوان میزان مقابله با آنرا افزایش داد؛ هرچند کاربران کامپیوتر هوشمندتر شده و ابزارهای مقابله با فیشینگ مورد استفاده آنها نسبت به همیشه، دقیقتر شدهاند؛ اما، هنوز هم در بیشتر مواقع مجرمین و کلاهبرداران موفق میشوند. این افراد با دادن وعده سود مالی کاربران را فریب میدهند یا با اعلام وجود خطرات فیزیکی یا مالی، آنها را تهدید میکنند و از این طریق، دهها میلیون تومان کلاهبرداری میکنند. شرکتها حتی بیشتر از این مقدار متحمل خسارت میشوند–یعنی دهها میلیارد تومان.
این روشها همچنان کارایی دارند؛ زیرا مهاجمین همواره یک قدم جلوتر از قربانیانشان هستند؛ اگر این طور نبود با شکست روبرو میشدند و به سراغ یک شغل واقعی میرفتند.
در ادامه این مطلب، چند مثال واقعی از فیشینگ که حتی آگاهترین کاربران را هم فریب میدهند، برای شما آماده کردهایم.
وبسایتهایی با نامهای یکسان
تشخیص تفاوت یک سایت جعلی و یک سایت واقعی، بسیار سخت است، به ویژه زمانیکه کاربران تنها به رابط کاربری و چیدمان عناصر درون یک صفحه دقت میکنند و همه چیز را مشابه با نمونه واقعی تصور میکنند. صفحات جعلی به دقیقترین شکل ممکن طراحی میشوند و تنها در آدرس وبسایت یک اختلاف بسیار جزیی با نمونه واقعی دارند.
برای مثال ممکن است که شما قصد ورود به سایت karbar.com را داشته باشید و پس از تایپ «سایت کاربر» در گوگل، روی اولین نتیجه که آیکن آگهی در کنارش مشاهده میشود، کلیک میکنید. ممکن است که آدرس سایت جعلی حتی شبیه سایت اصلی و چنین آدرسی را داشته باشد که تشابه زیادی با سایت اصلی دارد:
Karbarr.com (که یک حرف r اضافه هست و در نگاه اول متوجه آن نمیشویم.)
چگونه وبسایتهای با نام یکسان را تشخیص دهیم؟
همواره پیوندهای درون یک ایمیل و نتایج جستجو گوگل که آگهی هستند، که درخواست میکنند روی آن کلیک کنید را به دقت بررسی کنید تا مطمئن شوید به دامنه درستی اشاره دارد. هیچگاه در ایمیل و نتایج گوگل، روی آدرسهای عجیب کلیک نکنید؛ زیرا نمیدانید این پیوند شما را به چه سایتی هدایت میکنند.
در حالت ایدهآل بهتر است به شکل دستی آدرس یک سایت را وارد کنید.
کلاهبرداری یک دوست را نجات دهید!
یکی از قدیمیترین کلاهبرداریهای فیشینگ، ترفند نجات یک دوست است. پیش از پیدایش اینترنت کلاهبرداران از این تکنیک حمله استفاده میکردند و زمانی که فردی از خانه خارج میشد، مجرمان با منزل شخص تماس میگرفتند و به فردی که تماس را پاسخ میداد اعلام میکردند شخص خارج شده از خانه تصادف کرده یا گروگان گرفته شده و باید در کوتاهترین زمان مبلغ درخواستی را به حسابی واریز کنند. امروزه چنین کلاهبرداریهایی از طریق فیسبوک، اینستاگرام، تلگرام، ایمیل و یا پیامک انجام میشود. هکرها سعی میکنند یک حساب کاربری در یک شبکه اجتماعی همچون فیسبوک را هک کنند تا اطلاعات دقیقی در ارتباط با فرد به دست آورند.
در مرحله بعد به فهرست مخاطبان شخص مراجعه میکنند و درخواست میکنند برای نجات جان دوستشان مبلغی به یک شماره حساب واریز کنند، در غیر این صورت اتفاقات وحشتناکی برای مالک حساب و خود مخاطب رخ میدهد.
این مدل کلاهبرداری بیشتر در زمان بروز بلایای طبیعی انجام میشود.
بهطور مثال، پس از یک زلزله یا طوفان، کلاهبرداران به افراد مختلف پیام میزدند که برای نجات افرادی که دچار حادثه شدهاند، مبلغی به حساب آنها واریز کنند. این مدل حملات بیشتر افرادی که مسنتر هستند را قربانی میکند، زیرا نگران فرزندان و سایر افراد خانواده هستند.
هر چند این حملات در دنیای فیشینگ غیرحرفهای و آماتور محسوب میشوند اما کاملاً موفقیت آمیز هستند زیرا معمولاً قربانی انتظار ندارد که به این روش هم کلاهبرداری انجام شود.
چگونه کلاهبرداری نجات یک دوست را تشخیص دهیم؟
هیچگاه برای فردی که شناختی از او ندارید پول ارسال نکنید و سعی کنید سوالاتی بپرسید که شخص واقعی پاسخ را میداند.
کلاهبرداری پیام کوتاه
امروزه گوشیهای هوشمند نیز قربانی کلاهبرداریهای فیشینگ میشوند و هر فردی ممکن است یک تماس صوتی اسپم (ویشینگ) یا فیشینگ پیام کوتاه (اسمیشینگ) را دریافت کرده باشد. در حمله فیشینگ پیام کوتاه، متنی همراه با یک لینک برای قربانی ارسال میشود و درخواست میشود تا قربانی روی پیوند کلیک کند. در مرحله بعد از قربانی درخواست میشود روی گوشی خود یک نرمافزار عادی (بدافزار) نصب کند. در نمونههای دیگر از کاربر درخواست میشود با شماره خاصی تماس بگیرد، در این مرحله حمله مهندسی اجتماعی خاصی بهنام ویشینگ آغاز میشود. در نمونههای جدیدتر که پلیس فتا بارها و بارها نسبت به آن هشدار داده به قربانی اعلام میشود اطلاعات کارت اعتباری در معرض خطر قرار دارد و باید با شمارهای تماس بگیرد. پس از برقراری تماس از قربانی اطلاعات شماره کارت اعتباری و گذرواژه سوال میشود.
در تصویر زیر چند نمونه فیشینگ پیامکی را مشاهده میکنید که با لینکهای جعلی در تلاش برای فریب کاربران هستند!
چگونه فیشینگ از طریق پیامک را شناسایی کنیم؟
به پیامهای کوتاه ناشناخته از شمارههای شخصی و گاهاً سازمانی مثل 1000…. یا 2000…. توجه نکنید و آنها را حذف کنید.
اگر پیامکی غیرمنتظره و نامعقول به نظر میرسد آن را نادیده گرفته یا حذف کنید چون قطعا نوعی حمله فیشینگ است.
کلاهبرداری هدایت تماس
اگر کسبوکاری دارید که ارتباط مستقیمی با مردم دارد، همچون هتلداری، پیتزا فروشی یا مشاغل دیگری که ممکن است پشت تلفن اطلاعات کارت اعتباری افراد را دریافت کنند، ممکن است کلاهبرداری فیشینگ در کمین شما باشد. در این حمله فیشینگ هکر زنگ میزند و فردی که تلفن را پاسخ میدهد، متقاعد میکند تا یکسری عدد را شمارهگیری کند. با اینکار تماسهای ورودی کسبوکارتان به سمت کلاهبرداران هدایت میشود و همچنین باید هزینه تماسهای کلاهبرداران را پرداخت کنید. در نمونههای پیشرفته هکرها میتوانند با انتقال تماسهایی که قرار بود با کسبوکار شما انجام شود، اطلاعات کارتهای بانکی مشتریان را دریافت کنند یا وجهی که باید به حساب شما واریز شود را به حساب خود انتقال دهند.
چگونه حمله کلاهبرداری هدایت تماس شناسایی کنیم؟
اگر شخصی با کسبوکارتان تماس گرفت و درخواست کرد اعداد خاصی را شمارهگیری کنید، هیچگاه اینکار را انجام ندهید.
خلاصه روشهای مقابله با کلاهبرداری فیشینگ
پس از معرفی کامل نحوه انجام فیشینگ و ذکر چند مثال واقعی، شاید برایتان این سوال طرح شود که چطور میتوانیم با این روش مقابله کنیم و چطور تشخیص دهیم؟
برای تشخیص این روشها پیشنهاد میکنیم که بهطور خلاصه، موارد زیر را همیشه در نظر بگیرید!
1- در زمان ورود به سایت اصلی مورد نیاز خود از موتورهای جستجو همچون گوگل، حتما در آدرس بار مرورگر، آدرس دقیق سایت را چک کنید.
2- از نصب اپلیکیشن بانکی، صرافی و… از طریق سایتهای دیگر به جز سایت اصلی (آدرس دقیق) و اپ استورهای مطرح مثل کافهبازار و مایکت، بهطور کامل خودداری کنید!
3- از کلیک روی لینکهای ارسالی در پیامک قبل از بررسی آدرس دقیق، خودداری کنید!
در زمان دریافت پیامک حاوی لینکهایی که در زمان ورود درخواست وارد کردن اطلاعات حساب کاربری یا بانکی را دارند، سریعاً از صفحه خارج شده و با یک فرد آگاه در این زمینه، مشورت کنید و به وی اطلاع دهید.
کانالهای ارتباطی رسمی بیتپین
برای جلوگیری از به دام افتادن در حملات فیشینگ، باید در زمان ورود به سایت هدف و یا اپلیکیشن، حتما از کانالهای رسمی استفاده کنیم. در این بخش، کانالهای رسمی صرافی بیتپین برای اطلاع بیشتر شما و امنیت حساب کاربریتان معرفی شدهاند:
گفتار پایانی!
در این مقاله با بررسی نحوه فیشینگ و ذکر چند مثال واقعی، با این ترفند رایج کلاهبرداری آشنا شده و دانستید که با در نظر داشتن روشهای شناسایی آنها میتوان انواع فیشینگ را تشخیص داده و با اعمال محدودیتهای امنیتی، از رخ دادن انواع فیشینگ جلوگیری کرد. در پایان پیشنهاد میکنیم که این مقاله را مجدد با دقت مرور کرده و برای دیگران نیز بفرستید!
یک پیشنهاد اونم نمیدونم خوبه قابل اجراست یا نه اونم اینکه یک محدودیتهایی رو خوده کاربر خصوصا توی سطوح کاربری بالا بتونه ایجاد کنه که لغو این محدودیتها هم فقط با عکس کاربر بهمراه درخواست و کارت شناساییی باشه ، نمیدونم بدرد بخور هست یا نه صرفا پیشنهادی بود که ذهنم رسید
ممنون از پیشنهاد شما. 🙏 حتما با تیم فنی مطرح میشه و درصورت نیاز اجرا خواهد شد.
سلام من یک سایتی صرافی دیدم که امکان ایجاد کد ضد فیشینگ رو داشت به ایصورت که یک کلمه ای رو خود کاربر تعیین میکنه و از اون به بعد همراه تمام ایمیلها و پیامکهای تبلیغاتی و غیره این کلمه هم که خود کاربر تعیین کرده ارسال میشه تا کاربر اطمینان حاصل کنه که این ایمیل و پیامک از طرف صرافیه و یک ایمیل یا پیامک فیشینگ نیست البته من خودم بشخصه سطح کاربریم رو سطح پایه نگه داشتم تا امکان برداشت حتی درصورت هک حساب کاربریم وجود نداشته باشه وفقط برداشت ریالی که اونم فقط به حساب بانکی که بنام خودم هست وجود داشته باشه, یک امکان دیگه هم دیدم در یک صرافی و اونم اینکه امکان ایجاد محدودیت برداشت ۷۲ ساعته توسط کاربر، من خودم با این حال دوست دارم با بیت پین کارکنم، و ضمن اینکه اون صرافی محدودیت برداشت رمز ارز رو توی سطح ۱ نداره و یک میلیون تومن میشه برداشت ارزی داشت و این خوب نیست و من دوست دارم حسابم محدودیت برداشت ارزی رو داشته باشه،
سلام مجید عزیز
بله درست میفرمایین. راهکارهای متعددی برای جلوگیری از فیشینگ طراحی شده. درآینده به بیت پین اضافه خواهد شد.
ضمن اینکه درصورتی که موارد امنیتی رعایت بشه، احتمال نفوذ و برداشت از حساب شما تقریبا 0 خواهد بود.
ممنون از همراهی شما.
سلام ، چطوری میشه فهمید که تراکنش و پولی که به کارتمون اومده فیشینگ هست ؟
تو توصیحات کارت به کارت چی میزنه ؟
راهی وجود داره؟
سلام
این امکان وجود نداره! فقط برای اینکه بفهمید از سمت چه کسی واریز شده، باید به بانک خودتون مراجعه کنید!
در صورتی که وجه واریزی مشکوک هست و اطلاعی ندارید، بهش دست نزنید تا تعیین تکلیف بشه.
سلام ،عرض ادب واحترام؛بسیارعالی وکارآمد بود ممنون ازراهنمایی های شما خسته نباشید
خیلی عالی بود
سلام ببخشیدسوال داشتم چندوقت پیش یک نرم افزاراستخراج ترون ازداخل یک سایت نصب کردم بعدچندوقت دیدم کیف پول متامسک وتراست ولتم خالی شده متاسفانه دوازده کلمه روتوبادداشت های گوشیم داشتم الان چطورمی تونم گوشیم که هک شده روپاک کنم چون فک می کنم هنوزبه اطلاعات گوشیم دسترسی دارن
سلام عباس عزیز
بارها اعلام کردیم که در اتصال پلتفرم ها به کیف پول و دارایی هاتون، دقت و احتیاط کنید!
احتمالا یک بدافزار نصب شده رو گوشیتون و ترجیحاً باید نرم افزارهای مشکوک رو پاک کنید و اگر حل نشد، گوشیتون رو حذف کنید.
سلام تحت عنوان شراکت باشخصیت درفارکس هاب مارکت حساب بازکردم وسودم رابه تراست والت ریختن والان آزمن میخواهد دستورالعمل های آنها راانجام بدم ایمیل فرستادن وازمن خواستندایمیل بزنم به آنها سودمن در قسمت کلیدخصوصی ذخیره شده .چه خطراتی من راتهدیدمیکنه ایاازسودم بگذرم یاادامه بدم لطفاً راهنمایی بفرمائید
سلام کاربر عزیز
به هیچ وجه عبارت بازایابی 12 کلمه ای رو در اختیار هیچ کسی قرار ندید!!!!
کاملا کیف پولتون در خطره.
واس من یک پیامک آمده بود واس شما شکایت شده رفتم رو لینک زدم یک اپلیکشن اومد اونو نصب کردم نوشت ۲۰۰۰هزار تومن هزینه داره خواستم اونو پرداخت کنم که کل حسابم خالی شد الان من چیکار کنم
سلام محمد عزیز
شما مورد حمله فیشینگ قرار گرفتید و متاسفانه تمام دارایی شما از بین رفته!
باید به پلیس فتا شکایت کنید و در اولین فرصت حتما این کار رو انجام بدین.
ممنونم
سلام احسنت طیب الله برشعورومعرفت وبصیرت الهی شما خداوند عمر سلامتی برای شما وخانواده محترمتان عنایت بفرمایید ان شاءالله
بسیار عالی بود سپاس گرامی ❤❤❤❤🌱🌱🌱
سلام، من به خاطر وارد شدن به سایت جعلی بیت پین الان سه روزه حساب کاربری صرافی بیت بین برام غیر فعال شده باید چیکار کنم باز بشه؟
سلام دوست عزیز
این مورد برای امنیت بیشتر حساب کاربری شما بوده تا داراییهاتون از بین نره.
با پشتیبانی در ارتباط باشید تا حساب کاربری رفع محدودیت بشه و راهنمایی در مورد امنیت حساب کاربریتون انجام بشه.
سلام من چند روز پیش در صرافی کوکوین مورد حمله فشینگ قرار گرفتم متاسفانه و حسابم خالی شد فقط نمیدونم چطور به کد اتنتیکتور من دست پیدا کردن لطفا راهنمایی کنید ، من از طریق لپ تاب با گوگل کروم متصل شدم متاسفانه دقت نکردم و وارد صفحه جعلی صرافی شدم همزمان یه ای پی ناشناس با من وارد شد و من متوجه نشدم فکر کردم نشر ایپی از فیلتر شکن من هستش و بعد چند دقیقه حسابم خالی شد متاسفانه ولی چیزی که متوجه نمیشم اینه که چطور به کد دومرحله ای من دست پیدا کرده !!!
سلام
شما کد آتنتیکیتور رو خودتون تو فرم صفحه فیشینگ وارد کردید؟
اگر وارد کرده باشید براشون میره و وارد شدن به حسابتون سخت نخواهد بود.
و اینکه ممکنه یه اپلیکیشن مخرب رو نصب کرده باشید که پیامک ها و … رو فورارد کنه به یه شماره ی دیگه، بدون اینگه باخبر بشید! به اصطلاح فورواردر مسیج میشه.
سلام و عرض ادب واقعا مچکرم از راهنمایی هاتون ..
سلام بسیار عالی بود و با سپاس فراوان.
با سلام خسته نباشد به شما و همکارانتون دمتون گرم خیلی مفید بود خدا قوت خدا خیرتون بده
باسلام برای برادرمان هم پیام جعلی از دادگاه اینکه شکایت داری آمد باز کردلینکا چند آنی حسابشا خالی کردن مراقب باشید
سلام واقعا ممنون
فک کنم برا منم همچین پیامهایی اومده همین دیروز اومد
سلام حبیب عزیز
برای همهی ما تقریبا این روزها همچین پیامهایی میاد، تو اینترنت یا پیامک.
باید خیلی مراقب بود.
سپاس و درود ،
بابت ارائه محتوای ارزشمند و مفید.
سلام افشین عزیز
ممنونیم از اینکه برای افزایش اطلاعات خودتون، ارزش قائل هستید و مقاله رو مطالعه کردید.
این مقاله آگاه کننده و هشدار دهنده
بود متشکرم
عالیست دمتون گرم. خیلی تاثیر داشت. ممنون.
امکانش هست هکر بتونه تایید دو مرحلهای اتنتیکیتور رو هک کنه؟
گاهی موقع وارد شدن به اپلیکیشن بیت پین مجددا باید ایمیل و رمز ورود و کد دو مرحلهای رو وارد کنیم در چنین مواقعی از کجا مطمئن باشیم اون لحظه مورد هک قرار نگرفتیم؟
سلام ابوالفضل عزیز
ببینید باید مطمئن بشید که اپ بیت پین رو از طریق سایت bitpin.ir و یا اپ استورهای معتبر مثل مایکت و کافه بازار نصب کردید.
گوگل آتنتیکیتور شما در صورتی هک میشه که گوشی یا جی میلتون در اختیار فرد دیگه ای باشه.
و همینطور کد گوگل آتنتیکیتور به طریقی در اختیار هکر قرار بگیره.
مثلا شما وارد یه اپ جعلی بشید و اونجا ازتون بخواد کد گوگل آتنتیکتور رو وارد کنید…
عالی بود واقعا ممنونم از بیت پین
من مورد حمله فیشینگ قرار گرفتم متاسفانه