وقتی قصد این در میان باشد که اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی، آیپی و مانند اینها به دست بیاید، یکی از راههای ممکن فیشینگphishing است که اصطلاحی مشابه ماهیگیری است و به معنای تلهگذاری یا رمزگیری است. در این نوشتار از دفتر اسناد رسمی ۶۶۲بر آن هستیم در خصوص عمل مجرمانه فیشینگ در فضای سایبری و مجازات آن توضیح دهیم.
فیشینگ به نوعی یک حمله مهندسی اجتماعی و سایبری محسوب میشود که با هدف سرقت اطلاعات ورود به سیستم و دیگر اطلاعاتی که حساس هستند و جنبهی هویتی دارند، صورت میپذیرد. آنچه که ویژگی اصلی فیشینگ محسوب میشود، غافلگیری یا سوپرایز است.
در این حملات تلاش بر این است که با فریب کاربر یا در تله (trap)گرفتار کردن او، اطلاعات حساس او مانند رمزهای عبور و نام کاربری او بدست آید. مرسومترین و متداولترین هدف فیشینگ سرقت اطلاعات بانکی است. چنین حملاتی غالبا با استفاده از یک رابط گرافیکی در ظاهر امن و مشابه با نمونهی اصلی و معمولا با یک ایمیل جعلی، درگاه پرداخت ساختگی، وبسایت تقلبی، SMS یا پیامک که از منبعی غیر قانونی است آغاز میشود، در سوی دیگر ماجرا مخاطب با این گمان که با مرجع قانونی و اصلی روبه روست اطلاعاتش را فاش میکند و بدین ترتیب حملهی فیشینگ موفق میشود. درباره مجازات شرب خمر بدانید.
تاریخچه فیشینگ
اولین بار و با جزئیات در سال ۱۹۸۷توضیح داده شد و بعد از آن اولین بار در سال ۱۹۹۵ مورد استاده قرار گرفت. فیشینگ یا phishing برگرفته شده است از password Harvesting Fishing و در آنph به جای f برای القای فریب و نیرنگ و مفهوم فریفتن به کار گرفته شد.
انواع حملات فیشینگ
امروزه فیشینگ صورتهای مختلفی پیدا کرده و متخلفان از روشهای گوناگونی سعی در فریب مخاطب خود دارند و اطلاعات او را به سرقت می برند و او را در دام فریب خود گرفتار میکنند.
فیشینگ نیزهای (spear phishing)
نوعی از حملات سایبری است که در جهت دریافت و سرقت اطلاعات فرد، شرکت یا ارگانی خاص صورت گرفته است. این اقدام تلاشی زیرکانه و هدفمند است برای سرقت اطلاعات مهم و حساسی به مانند اطلاعات مالی و حساب کاربری یا حتی اطلاعات شخصی همچون دوستان، محل تولد، خریدهای آنلاین و مکانهایی که به آنها مراجعه میکند. آنگاه مهاجم با بدست آوردن این اطلاعات میتواند خود را در پوشش فردی آشنا یا نهادی شناخته شده و مطمئن جلوه دهد. موفقترین نوع حمله در فضای سایبری فیشینگ نیزهای است که ۹۱٪ حملات را به خود اختصاص داده است.
برای نمونه گروه خرس فانتزی روسیه در هنگام انتخابات ریاستجمهوری ایالات متحده آمریکا در سال ۲۰۱۶ با بهرهگیری از همین روش فیشینگ نیزهای با هدف قرار دادن ایمیلهای ستاد انتخاباتی هیلاری کلینتون، به بیش از ۱۸۰۰ حساب کاربری گوگل حمله کردند. آنها برای این اقدام دامنهی accounts-google.com در اختیار گرفتند.
بیشتر بخوانید: قوانین حق طلاق
فیشینگ تلفنی
در مواردی که مهاجم از وبگاه تقلبی استفاده نمی کند و تنها با وانمود اینکه از سوی بانک است با ارسال پیام از قربانی خود میخواهد که مثلا به دلیل برخی ایرادات در حسابشان، شمارهی خاصی را شمارهگیری کند زمینهساز یک حملهی فیشینگ است. درچنین تماسهایی خط تلفن متعلق به فیشر است و سرویس صدا روی پروتکل اینترنت فراهم شده است و در صورت اقدام فرد برای وارد کردن اطلاعات سرقت اتفاق میافتد.
آن دسته از اقدامات مجرمانه و حملات سایبری که با هدف کشف غیرقانونی اطلاعات حساب بانکی صورت میپذیرد را فیشینگ حساب بانکی میگویند.
اینگونه مجرمان که غالبا نبوغ زیادی دارند و الگوریتمهای هوش مصنوعی را به خوبی میشناسند در تلاشند تا همزمان با ساخت درگاههای مشابه درگاههای بانکی یا وبگاههایی که به چشم کاربران آشنا هستند و از سویی دیگر با ارسال پیامک یا لینک آنها را به این درگاهها هدایت کنند. بدین ترتیب به محض این که کاربر روی لینک کلیک کند با دستور درج نام کاربری و رمزخود مواجه میشود. چنانچه تصمیم بگیرد که این اطلاعات را وارد کند، برای هکر ارسال میشود و بدین ترتیب اطلاعاتی مثل کلمه کاربری، رمز عبور، شماره ۱۶ رقمی عابر بانک، رمز دوم و cvv2 در اختیار هکر قرار میگیرد.
در پاسخ به این سوال که فیشینگ کارت بانکی چیست ؟ نیز باید گفت این نوع حمله هم زیر مجموعهی فیشینگ حساب بانکی محسوب میشود که با توسعهی کسبو کارهای اینترنتی و آسیبپذیری امنیتی سیستمهایی مانند تلفن همراه، لپتاپ و نرمافزارها، هکرها راهی برای نفوذ به اطلاعات بانکی پیدا میکنند.درباره بخشش مهریه بیشتر بدانید.
برای پیشگیری از افتادن در دام کلاهبرداری فیشینگ کارت بانکی باید نسبت به این موارد هوشیار بود :
- به طراحی صفحه مشابه با درگاه پرداخت بانک حساس باشید؛ بی محابا اطمینان نکنید، حتما به URL و آدرس سایت اصلی توجه کنید!
- ثبتنام رایگان در دورهی آموزشی خاص و کسب درآمد میلیونی ؛ چنین وعدههایی را جدی نگیرید!
- به دستگاههای POS یا ATM دقت کنید؛ شاید تقلبی باشد تا از اطلاعات کارت کپیبرداری کند!
- به پیامکهای وسوسهکننده و شمارههای ناشناس اعتنا نکنید؛ یک فریب است برای سرقت دارایی بانکی شما!
- به رباتهای انتقال وجه در شبکههایی مانند تلگرام اعتماد نکنید!
فیشینگ در ارزهای دیجیتال
اگر این پرسش ذهن شما را درگیر نموده که فیشینگ در ارزهای دیجیتال چیست؟ یا چگونه به وقوع میپیوندد ؟ باید گفت در این روش نیز همانند دیگر روشهای فیشینگ هکران تبهکار در پی فریب قربانی خود هستند و با هک کردن سایت اصلی صرافی هدف و هدایت کردن افراد به سایت جعلی ارز دیجیتال او را مورد سوء قصد و سرقت قرار میدهند. یا با استفاده از نرمافزارهای جعلی و آلوده اطلاعات کاربر نظیر اطلاعات کیف پول یا به اصطلاح wallet او را کشف میکنند.
حملهی والینگ (whaling)
والینگ نوع خاصی از فیشینگ نیزهای محسوب میشود و قدری فراتر از فیشینگ نیزهای است. در این نوع حمله افراد صاحب نفوذ و یا مدیران عامل بخش خصوصی مورد هدف قرار میگیرند.
معمولا در حملات والینگ سعی بر این است تا زیردستان فرد قربانی را برای انجام عملی تحت فشار قرار بگیرند. طبق گزارش FBI، مجرمان اغلب در تلاش هستند تا کنترل مدیر ارشد مالی یا مدیرعامل را در دست بگیرند و حسابشان را جعل کنند.
فیشینگ شبیهسازی کلون (clone phishing)
در این نوع حمله فیشر از ایمیلی که پیش از این با وجهی قانونی و قابل اعتماد ارسال شده استفاده میکند و محتویات آن را در ایمیلی دیگر حاوی یک لینک مخرب کپی میکند و با این ادعا که راه دسترسی تغییر کرده، قربانی را فریب میدهد.
فیشینگ چاله آبیاری (the watering hole)
در روش چاله آبیاری، برای مدتی فیشر سایتهایی که فرد مورد نظر در طول روز به آنها مراجعه میکند را زیر نظر میگیرد و در نهایت با حملات سایبری در قالب ارسال اسکریپتهای مخرب به آن سایتها باعث مخدوش شدن آنها شده و اطلاعات شخص هدف را تخلیه میکنند.
فیشینگ اینستاگرام
در این روش نیز هکر با استفاده از یک پیام جعلی ظاهرا از سوی اینستاگرام مخاطب خود را نگران نموده و با هدایت کردن او به یک صفحهی جعلی او را وادار میکند اطلاعات خود را وارد کرده و بدین ترتیب به اطلاعات او دست مییابد. در این حالت فیشینگ اینستاگرام رخ داده است.
مجازات فیشینگ
جرم فیشینگ رایانهای از آن جهت در راستای بدست آوردن مالی که متعلق به دیگری است، صورت میپذیرد؛ در قانون جرم انگاری شده برای آن مجازات لحاظ گردیده است:
الف) در قانون جرایم رایانهای و مواد ۱۲ و ۱۳ این قانون، برای چنین جرم کلاهبرداری و سرقت اینترنتی صراحتا مجازات تعیین شده است. به موجب همین شماره موارد از قانون جرایم رایانهای مصوب ۱۳۸۹ مجازات مرتکبان ۱ تا ۵ سال حبس و جزای نقدی معادل ۲۰ تا ۱۰۰ میلیون ریال و رد مال به صاحب آن محکوم تعیین گردیده است.
ب) همچنین در مواد ۷۴۱ و ۷۴۰ قانون مجازات اسلامی و در بخش جرایم رایانهای مرتکبان چنین جرایمی که مرتکب متوقف کردن دادهها یا مختل کردن سیستم وجه شوند و یا مال یا منفعت یا خدمات و یا امتیازات مالی را برای خود کسب کنند؛ به موجب ماده ۷۴۱ قانون مجازات علاوه بر رد مال به صاحب آن به حبس از ۱ تا ۵ سال و پرداخت جزای نقدی ۲۰ تا ۱۰۰ میلیون ریال یا حتی به هر دو مجازات محکوم خواهند شد.
ج) همچنین در ماده یک قانون جرایم رایانهای نیز قید شده که مرتکبان دسترسی غیر مجاز به دادهها و اطلاعات و محرمانگی به حبس به مدت ۹۱ روز تا ۱سال یا پرداخت جزای نقدی از ۵ تا ۲۰ میلیون ریال یا هردو مجازات محکوم خواهند شد.
بعد از حمله فیشینگ چه کنیم
در چنین مواردی فرد قربانی شک بزرگی را تجربه خواهد کرد اما بهترین کار حفظ آرامش و خونسردی و اقدام در جهت شکایت علیه فرد مهاجم است چون ممکن است هنوز ردپایی از مجرمان باقی مانده باشد. در راستای شکایت از عمل مجرمانهی فیشینگ رایانهای ۲ روش وجود دارد:
- در گام نخست به مراجعه به پلیس فتا شهرستان: با همراه داشتن پیرینت حساب شخصی میتوان نسبت به ثبت شکایت اقدام نمود و درخواست پیگیری و ارسال دستور از مرجع قضایی داشت.
- با در دست داشتن تمامی مدارک از جمله پرینت حساب و عکسهایی از صفحات مجازی میتوان مستقیما به دادسرای جرایم رایانهای و یا دادسرای عمومی انقلاب مراجعه نمود.
نتیجهگیری
در دنیای امروز و عصر ارتباطات وسیع و گسترده و چرخش اطلاعات، سرقت اطلاعات مجازی و رمزهای ورود و نام کاربری و هک حسابهای بانکی راهی برای سودجویی و تصاحب اموال و دارایی دیگران است. نوعی از این اقدامات را در فضای مجازی فیشینگ مینامند که اهداف متفاوت و شیوههای مختلفی دارد. آگاهی از روشهای فریبکارانهی این نوع اقدام میتواند اولین و موثرترین را برای پیشگیری از خسران و آسیب در فضای مجازی باشد.
سوالات پرتکرار
- حملهی فیشینگ چیست ؟
نوعی حمله در فضای سایبری و اطلاعاتی است که با هدف ربایش و سرقت اطلاعات دیگر کاربران برنامهریزی میشود. معمولا سایتهای جعلی با رابط کاربری مشابه سایتهای اصلی، ایمیل یا پیامهای حاوی لینک مخرب و نرمافزارهای آلوده طعمهی چنین سرقتهای قرار میگیرند و افراد را فریب میدهند.
- مجازات جرم فیشینگ برای تبهکاران چیست ؟
برای چنین جرایمی بر طبق مواد قانون جرایم رایانهای و قانون مجازات اسلامی، بین ۹۱ روز تا ۵ سال حبس و یا مجازات نقدی تعیین شده و در برخی موارد هکر به هر دو مجازات محکوم میشود.