به گزارش خبرنگار گروه حقوقی و قضایی خبرگزاری میزان، فیشینگ راهی است که تبهکاران اطلاعاتی نظیر کلمه کاربری، رمز عبور، شماره 16 رقمی عابر بانک، رمز دوم و CVV2 را از طریق ابزارهای الکترونیکی ارتباطات به سرقت میبرند.
شبکههای اجتماعی، سایتهای حراجی و درگاههای پرداخت آنلاین نمونهای از ابزارهای الکترونیکی ارتباطات میباشند.
کلاهبرداری فیشینگ از طریق ایمیلها و پیامها صورت میپذیرد و قربانیان به صورت مستقیم اطلاعات حساس و محرمانه خود را در وب سایتهای جعلی که در ظاهر کاملا شبیه وب سایتهای سالم و قانونی میباشد وارد مینمایند. حقهی فیشینگ یکی از تکنیکهای مهندسی اجتماعی برای فریب کاربران میباشد که علیالقاعده از ضعف امنیتی یک وب سایت برای انجام عملیات مجرمانه خود استفاده میکنند. برای اولین بار حقهی فیشینگ در 1987 تعریف شد و اولین باری که واژه فیشینگ برای نام گذاری این واژه استفاده گردید، سال 1996 بود.
انواع تکنیکهایی که در حقه فیشینگ مورد استفاده قرار میگیرد: دستکاری و تقلب در لینکها و آدرسها یکی از شیوههای متداول و رایج در فیشینگ ارسال لینکها و آدرسهای متعلق به سازمانهای غیر واقعی و جعلی از طریق ایمیل میباشد. آدرسهایی که تنها تفاوت آنها با آدرس اصلی یک یا دو حرف است یا از دامینهای فرعی گمراه کننده برای ایجاد آنها استفاده گردیده است.
دور زدن فیلتر فیشرها با استفاده کردن از عکس به جای متن، کار فیلترهای ضد فیشینگ را که برای شناسایی متنهایی که عموماً در ایمیلهای حاوی آدرسهای جعلی یافت میشوند، را سخت میکنند.
وب سایت جعلی تنها با ورودو بازدید یک قربانی به سایت جعلی عمل کلاهبرداری صورت نمیپذیرد. در برخی از روشهای فیشینگ از دستورات جاوا اسکریپت استفاده میشود تا نوار آدرس را اصلاح کند و تغییر دهد. این کار با قرار دادن تصویر یک آدرس اینترنتی قانونی و موجه در نوار آدرس یا بستن نوار آدرس اصلی و باز کردن یک نوار آدرس جدید که حاوی آدرس اینترنتی قانونی و موجه است، انجام میشود.
یک فیشر (مهاجم) حتی میتواند از نقایص موجود در برنامه جاوا اسکریپت یک سایت معتبر و قانونی علیه قربانیان خوداستفاده نمایند. این نوع حملهها (که به کراس سایت اسکریپتینگ معروف هستند) به طور خاص سخت و پیچیده هستند، چون آنها قربانی را به صفحه اینترنتی ثبت نام خدمات بانکی خود ارجاع میدهند. صفحهای که در آن همه چیز از آدرس سایت گرفته تا گواهی امنیتی، همه درست و صحیح به نظر میرسند. در حقیقت لینک دادن به صفحه اصلی حقهای برای به ثمر رساندن سرقت و انجام دادن حمله است. با انجام این کار کشف این حمله برای افرادی که دانش لازم را ندارند، کار بسیار سختی است. در سال 2006 چنین حملهای علیه سایت Pay Pal انجام شد.
یک برنامه فیشینگ در سطح جهانی با عنوان Man-in-the-middle، که در سال 2007 کشف شد، از یک رابط ساده استفاده میکرد که به فیشر (مهاجم) اجازه میداد به دون هیچ مشکلی سایتهایی خاصی را مجدداً ایجاد کند و جزئیات اطلاعات ورود یا لاگین افراد (نام کاربری و رمز عبور) وارد شده در وب سایت جعلی را برای ورود به سایتهای اصلی ثبت و ضبط کند.
برای از کار انداختن تکنیکها و برنامههایی که وب سایتها را با هدف پیدا کردن متون و علائم مرتبط با فیشینگ اسکن و بررسی میکنند، فیشرها به تازگی شروع به استفاده از وب سایتهایی کرده اند که با برنامههای فلش، ساخته شده اند. این گونه سایتها بسیار واقعی به نظر میرسند، اما در واقع در این سایتها متون و علائم مرتبط با فیشینگ پشت ظاهر برنامههای فلش پنهان شده اند.
فیشینگ از طریق تلفن تمامی حملات فیشینگ نیاز به استفاده از یک وب سایت جعلی و ساختگی ندارند. این نوع حملات شامل پیامهایی هم میشوند که ادعا میکند از طرف بانک هستند و از مشتریها (استفاده کنندگان خدمات بانکی) میخواهند با توجه به مشکلی که برای حسابهای آنها به وجود آمده است، با یک شماره تماس بگیرند. به محض این که مشتری با این شماره تلفن (که متعلق به مهاجم است و یک سرویس تلفن اینترنتی است) تماس بگیرد، دستوراتی به مشتری داده میشود تا شماره حساب و رمز خود را وارد کند. فیشرهایی که از سرویس تلفن اینترنتی استفاده میکنند، گاهی اوقات از دادههای جعلی برای آی دی کالر استفاده مینمایند تا برای مشتریان این گونه به نظر برسد که این تماس از طرف یک سازمان مطمئن و معتبر انجام میشود.
سایر روشها نوع دیگری از حمله که موفقیت آمیز بودنش ثابت شده است، ارجاع دادن قربانی به وب سایت اصلی بانک است. سپس یک پنجره پاپ آپ در بالای صفحه سایت به نمایش در میآید و به شکلی که به نظر برسد این صفحه و این سایت متعلق به بانک است، اطلاعات حساس قربانی را درخواست میکنند.
یکی از جدیدترین روشهای فیشینگ تب نبینگ است. این برنامه از صفحاتی که کاربر باز کرده استفاده میکند و به طور آهسته کاربر را به سایت ساختگی ارجاع میدهد.
دوقلوهای شر یا Evil twins روشی است که شناسایی و کشف آن کار بسیار سختی است. یک فیشر یک شبکه بی سیم (وایرلس) ساختگی ایجاد میکند. این شبکه همانند شبکههای معتبر عمومی و قانونی میتواند در مکانهایی مانند فرودگاه ها، هتلها و کافی شاپها وجود داشته باشد. وقتی که یک نفر وارد شبکه جعلی میشود، کلاهبرداران سعی میکنند رمزهای عبور و یا سایر اطلاعات مرتبط با کارت اعتباری او را ثبت و ضبط کنند.
در قوانین موجود ایران مواد 740 و 741 بخش جرایم رایانهای قانون مجازات اسلامی جدید به این امر پرداخته است:
ماده 740 قانون مجازات اسلامی بیان می کند: هر کس به طور غیرمجاز دادههای متعلق به دیگری را برباید، چنانچه عین دادهها در اختیار صاحب آن باشد، به جزای نقدی از یک تا 20 میلیون ریال و در غیر این صورت به حبس از 91 روز تا یک سال یا جزای نقدی از پنج تا 20 میلیون ریال یا هر دو مجازات محکوم خواهد شد.
ماده 741 قانون مجازات اسلامی بیان می کند: هر کس به طور غیرمجاز از سیستمهای رایانهای یا مخابراتی با ارتکاب اعمالی از قبیل: وارد کردن، تغییر، محو، ایجاد یا متوقف کردن دادهها یا مختل کردن سیستم وجه یا مال یا منفعت یا خدمات یا امتیازات مالی برای خود یا دیگری تحصیل کند، علاوه بر رد مال به صاحب آن به حبس از یک تا پنج سال یا جزای نقدی از 20 تا یکصد میلیون ریال یا هر دو مجازات محکوم خواهد شد.
همچنین ماده 1 قانون جرائم رایانهای در خصوص دسترسی غیرمجاز مقرر داشته است: هرکس به طور غیرمجاز به دادهها یا سیستمهای رایانهای یا مخابراتی که به وسیله تدابیر امنیتی حفاظت شده است دسترسی یابد، به حبس از 91 روز تا یک سال یا جزای نقدی از پنج تا 20 میلیون ریال یا هر دو مجازات محکوم خواهد شد.