سرقت هویت Phishing

سرقت هویت و مقابله با آن 

حمله‌های phishing یا سرقت هویت چیزی فراتر از هرزنامه‌های ناخواسته و مزاحم هستند. آنها می‌توانند منجر به دزدیده شدن شماره‌های اعتباری، کلمات عبور، اطلاعات حساب یا سایر اطلاعات شخصی کاربر شوند. این حمله ها در واقع نوعی از حملات مهندسی اجتماعی هستند که با استفاده از فریب کاربران سعی در به دست آوردن اطلاعات محرمانه از آن‌ها دارند.

یک حمله مهندسی اجتماعی چیست؟

برای انجام یک حمله مهندسی اجتماعی، مهاجم به تعامل با کاربر برای به دست آوردن اطلاعات در مورد سازمان‌ها و یا سیستم‌های کامپیوتری نیاز دارد. فرد مهاجم معمولاً بسیار ساده و قابل احترام به نظر می‌رسد و ممکن است ادعا کند کارمند جدید، تعمیرکار و یا محقق است. حتی گاهی اوقات تاییدیه ای را به فرد قربانی نشان می‌دهد و ادعا می‌کند که برای پشتیبانی از وی فرستاده شده است. به هر حال با پرسیدن سؤالات، فرد مهاجم می‌تواند اطلاعات خرد به دست آمده را کنار هم گذاشته و به اطلاعات کافی برای شکستن سد دفاعی شبکه یک سازمان دست پیدا کند. این افراد معمولاً با به دست آوردن اطلاعات کمی از فردی در سازمان مورد نظر، بنا بر اطلاعات به دست آمده سعی می‌کنند تا با پرسیدن سؤالات تخصصی تر از افراد دیگر در همان سازمان، دامنه اطلاعات خود را گسترش دهند.

منظور از حمله سرقت هویت چیست؟

همان طور که گفته شد، حملات سرقت هویت نوعی از حملات مهندسی اجتماعی هستند. حملات سرقت هویت از ایمیل‌ها یا وب سایتهای خرابکاری که ظاهرا به یک سازمان قابل اطمینان تعلق دارند، برای به دست آوردن اطلاعات از افراد سوءاستفاده می‌کنند. برای مثال، فرد مهاجم یک ایمیل را برای فرد قربانی ارسال می‌کند که به نظر می رسد از یک شرکت صاحب کارت اعتباری و یا از یک مؤسسه مالی ارسال شده است و در آن از کاربر خواسته می‌شود اطلاعات حساب کاربری خود را به علت به وجود آمدن یک مشکل وارد کند. زمانی که کاربر اطلاعات خواسته شده را به خیال معتبر بودن ایمیل برای فرستنده ارسال می‎‎‌کند، مهاجم قادر است با استفاده از اطلاعات مذکور به حساب کاربری فرد قربانی دسترسی پیدا کند. حملات سرقت هویت می توانند از طریق دیگر مؤسسات نیز انجام شوند که اغلب مؤسسات خیریه می‌باشند و از وقایع روز یا مناسبت‌های موجود در سال برای فریب کاربران استفاده می‌کنند. برای مثال می‌توان به مصائب طبیعی (سونامی اندونزی)، ترس از اپیدمی بیماری‌ها (H1N1)، مسائل اقتصادی، انتخابات‌ها و تعطیلات اشاره کرد.
در زیر چندین راهکار برای اجتناب از قربانی شدن در حملات سرقت هویت آورده شده است:

  • تغییر منظم رمز عبور

    متخصصان امنیتی پیشنهاد می‌کنند، کاربران هر سه ماه یک بار رمز عبور حساب‌های کاربری خویش را تغییر دهند. در ضمن بهتر است که از رمز عبورهای یکسان در وب سایت‌های مختلف استفاده  نشود. تغییر منظم رمزهای عبور مختلف بر روی وب سایت‌های گوناگون و به خاطر سپردن همه آن‌ها کار چندان ساده ای نیست. برای این منظور بهتر است از نرم افزارهای مدیریت رمز عبور مانند LastPass یا RoboForm استفاده کرد که رمزهای عبور قوی را تولید و مدیریت می‌کنند. 

  • کلیک با احتیاط
    در صورتی که کاربر ایمیلی را ظاهراً از یک وب سایت معتبر دریافت کند و در آن به هر دلیلی از وی خواسته شود تا بر روی لینکی کلیک کند، لازم است قبل از کلیک کردن لحظه‌ای تأمل کند. لینک مذکور ممکن است وی را به یک وب سایت تقلبی ارجاع دهد که قصد جمع آوری اطلاعات برای سرقت هویت یا دیگر جرائم اینترنتی را دارد. روش مطمئن‌تر تایپ URL صحیح در نوار آدرس است. در مورد وب سایت‌هایی که شماره ملی و یا شماره کارت اعتباری را درخواست می‌کنند باید بسیار مراقب بود و با احتیاط عمل کرد. همچنین کاربر باید از تطابق آدرس وب سایت با سایتی که در حال مشاهده آن است، اطمینان حاصل کند.

  • استفاده از وب سایت‌های امن
    در صورتی که کاربر در حال ارسال اطلاعات کارت اعتباری و یا دیگر اطلاعات حساس به وب سایتی است، لازم است دقت کند که حتماً آدرس وب سایت مذکور با https شروع شود که s در اینجا نماینده security یا امنیت است. همچنین باید علامت قفل که معمولاً در قسمت پایین و سمت راست مرورگر مشاهده می‌شود، در وب سایت مذکور موجود باشد.

این نشانه دلالت بر استفاده وب سایت از رمزنگاری برای کمک به محافظت از اطلاعات حساس دارد. (شماره کارت اعتباری، شماره کارت ملی و جزئیات پرداخت که کاربر وارد می‌کند.) اگر کاربر بر روی این علامت دوبار کلیک کند، گواهی امنیتی سایت نشان داده می‌شود. نام بعد از Issued to باید با سایتی که کاربر در آن حضور دارد، مطابقت کند و در صورتی که نام متفاوت است، احتمالاً در سایت جعلی قرار دارد.

  • مرور منظم اعلامیه‌های کارت اعتباری و بانک
    حتی اگر کاربر سه مرحله قبل را به درستی انجام دهد، هنوز ممکن است قربانی دزدی هویت شود. در صورتی که کاربر اعلامیه‌های بانک و کارت اعتباری را حداقل ماهانه مرور کند، ممکن است بتواند یک جاعل را شناسایی و از وارد آمدن خسارات قابل توجه جلوگیری کند.

  • استفاده از فیلترهای ضد سرقت و نرم افزارهای مطمئن ضد بدافزار
    خوشبختانه امروزه در مرورگرهای جدید امکانات فیلتر کردن سایت‌های سرقت هویت وجود دارد و بسته‌های نرم افزاری آنتی ویروس معروف نیز امکاناتی مشابه را ارائه می‌کنند. فایده دیگر نرم افزارهای ضد بدافزار مراقبت از کاربر در برابر سرقت ضربات صفحه کلید است. لازم است کاربران برای مقابله با حملات خرابکارانه آنتی ویروس خود را همواره به روز نگه دارند.

  • تفکر منتقدانه
    در صورتی که چیزی خوبتر از آن به نظر می رسد که حقیقت داشته باشد، در اغلب موارد واقعاً خوبتر از آن است که حقیقت داشته باشد. لازم است کاربران در مشاهده وب سایت‌هایی که وعده‌های باورنکردنی به آنها می‌دهند دقت لازم را به عمل آورند.

  • گزارش سوء استفاده‌های مشکوک از اطلاعات شخصی به مراکز مناسب
    قربانیان حملات سرقت هویت باید:
    فوراً جعل را به شرکتی که جعل در مورد آن صورت گرفته است، گزارش کنند. اگر مطمئن نیستند که چگونه با شرکت تماس بگیرند، بهتر است وب سایت شرکت را برای گرفتن اطلاعات صحیح تماس، نگاه کنند. شرکت ممکن است یک آدرس ایمیل مخصوص برای گزارش چنین سوء استفاده‌ای داشته باشد. لازم است جزئیات جعل مانند ایمیل‌های دریافت شده، به مراکز ذی‌صلاح قانونی همچون مرکز ماهر نیز گزارش شود.