« تبریک^{(Congratulations)} ! شما n میلیون دلار^(Dollars) برنده شده اید . مشخصات بانکی خود را برای ما ارسال کنید. اگر در اینترنت^(Internet) هستید، ممکن است چنین ایمیل هایی را در صندوق ورودی یا صندوق پستی ناخواسته خود دیده باشید. چنین ایمیل‌هایی فیشینگ نامیده می‌شوند: یک جرم سایبری که در آن مجرمان از فناوری رایانه برای سرقت داده‌های قربانیان استفاده می‌کنند که می‌توانند افراد یا شرکت‌های تجاری باشند. این برگه تقلب فیشینگ^{(Phishing cheat sheet)} تلاشی است برای ارائه حداکثر دانش در مورد این جرایم سایبری به طوری که قربانی جنایت نشوید. ما همچنین در مورد انواع فیشینگ^{(types of Phishing)} صحبت می کنیم .

فیشینگ چیست؟

فیشینگ یک جنایت سایبری است که در آن مجرمان با استفاده از ایمیل‌ها و پیام‌های متنی جعلی، قربانیان را به قصد سرقت داده‌های قربانی فریب می‌دهند. عمدتاً توسط کمپین های ایمیلی انبوه انجام می شود. آنها از شناسه های^(IDs) ایمیل موقت و سرورهای موقت استفاده می کنند، بنابراین دستگیری آنها برای مقامات سخت می شود. آنها یک الگوی کلی دارند که برای صدها هزار گیرنده ارسال می شود تا حداقل تعدادی را فریب دهند. نحوه شناسایی حملات فیشینگ را^{(how to identify phishing attacks)} بیاموزید .

چرا به آن فیشینگ می گویند؟

شما از ماهیگیری خبر دارید. در ماهیگیری واقعی، ماهیگیر طعمه ای تنظیم می کند تا زمانی که ماهی به چوب ماهیگیری قلاب می شود، بتواند ماهی بگیرد. در اینترنت^(Internet) نیز از طعمه در قالب پیامی استفاده می کنند که می تواند قانع کننده باشد و واقعی به نظر برسد. از آنجایی که مجرمان از طعمه استفاده می کنند، به آن فیشینگ می گویند. این مخفف کلمه رمز عبور ماهیگیری است که اکنون به عنوان فیشینگ شناخته می شود.

طعمه می تواند وعده پول یا هر کالایی باشد که می تواند هر کاربر نهایی را وادار کند روی طعمه کلیک کند. گاهی اوقات، طعمه متفاوت است (به عنوان مثال، تهدید یا فوریت) و نیاز به اقداماتی مانند کلیک کردن روی پیوندها دارد که می گوید باید حساب خود را در آمازون^(Amazon) ، اپل^(Apple) یا پی پال^(PayPal) مجدداً تأیید کنید .

چگونه فیشینگ را تلفظ کنیم؟

به صورت PH-ISHING تلفظ می شود. "PH" در Fishing^(F) .

فیشینگ چقدر رایج است؟

حملات فیشینگ بیشتر از بدافزارها هستند. این بدان معناست که در مقایسه با کسانی که بدافزار را با استفاده از ایمیل‌ها، وب‌سایت‌های جعلی یا تبلیغات جعلی در وب‌سایت‌های واقعی منتشر می‌کنند، تعداد بیشتری از مجرمان سایبری درگیر فیشینگ می‌شوند.

این روزها، کیت های فیشینگ به صورت آنلاین فروخته می شوند، بنابراین عملاً هر کسی که اطلاعاتی در مورد شبکه دارد، می تواند آنها را خریداری کرده و برای کارهای غیرقانونی از آنها استفاده کند. این کیت‌های فیشینگ همه چیز را از شبیه‌سازی یک وب‌سایت گرفته تا جمع‌آوری یک ایمیل یا متن قانع‌کننده ارائه می‌کنند.

انواع فیشینگ

انواع مختلفی از فیشینگ وجود دارد. برخی از محبوب ترین ها عبارتند از:

1. ایمیل های معمولی عمومی^(General) که از شما اطلاعات شخصی شما را می پرسند، پر استفاده ترین شکل فیشینگ هستند
2. نیزه فیشینگ
3. کلاهبرداری های شکار نهنگ
4. Smishing (اس ام اس فیشینگ) و Vishing
5. کلاهبرداری های QRishing
6. Tabnabbing

1] فیشینگ عمومی

در ابتدایی‌ترین شکل فیشینگ، با ایمیل‌ها و متن‌هایی مواجه می‌شوید که در مورد چیزی به شما هشدار می‌دهند در حالی که از شما می‌خواهند روی یک پیوند کلیک کنید. در برخی موارد از شما می خواهند فایل پیوست را در ایمیلی که برایتان ارسال کرده اند باز کنید.

در خط موضوع ایمیل، مجرمان سایبری شما را فریب می دهند تا ایمیل یا متن را باز کنید. گاهی اوقات، موضوع این است که یکی از حساب های آنلاین شما نیاز به به روز رسانی دارد و به نظر فوری می رسد.

در متن ایمیل یا متن، اطلاعات قانع‌کننده‌ای وجود دارد که جعلی است، اما باورپذیر است و سپس با فراخوانی برای اقدام پایان می‌یابد: از شما می‌خواهد روی پیوندی که در ایمیل یا متن فیشینگ ارائه می‌دهند کلیک کنید. پیام‌های متنی^(Text) خطرناک‌تر هستند زیرا از نشانی‌های اینترنتی^(URLs) کوتاه‌شده استفاده می‌کنند که هنگام خواندن آنها در تلفن، نمی‌توان مقصد یا پیوند کامل آنها را بدون کلیک کردن روی آنها بررسی کرد. ممکن است برنامه‌ای در هر جایی وجود داشته باشد که بتواند به بررسی URL کامل کمک کند ، اما من هنوز از آن اطلاعی ندارم.

2] نیزه فیشینگ

به فیشینگ هدفمند اشاره می کند که در آن هدف کارکنان خانه های تجاری هستند. مجرمان سایبری شناسه^(IDs) محل کار خود را دریافت می کنند و ایمیل های فیشینگ جعلی را به آن آدرس ها ارسال می کنند. به عنوان ایمیلی از طرف شخصی در نردبان شرکت ظاهر می شود که عجله کافی برای پاسخ دادن به آنها ایجاد می کند ... در نتیجه به مجرمان سایبری کمک می کند تا به شبکه خانه تجاری نفوذ کنند. همه چیز در مورد نیزه فیشینگ^{( spear phishing)} را اینجا بخوانید. این پیوند همچنین حاوی نمونه هایی از نیزه فیشینگ است.

3] صید نهنگ

صید نهنگ^(Whaling) شبیه به نیزه فیشینگ است. تنها تفاوت بین نهنگ^(Whaling) و فیشینگ Spear این است که spear-phishing می تواند هر کارمندی را مورد هدف قرار دهد، در حالی که صید نهنگ برای هدف قرار دادن برخی از کارکنان ممتاز استفاده می شود. روش هم همینه مجرمان سایبری شناسه‌های^(IDs) ایمیل رسمی و شماره تلفن قربانیان را دریافت می‌کنند و یک ایمیل یا متن قانع‌کننده برای آن‌ها ارسال می‌کنند که شامل فراخوانی برای اقدام می‌شود که ممکن است اینترانت شرکت^{(corporate intranet)} را برای دسترسی در پشتی باز کند. درباره حملات فیشینگ نهنگ^{(Whaling phishing attacks)} بیشتر بخوانید .

4] Smishing و Vishing

هنگامی که مجرمان سایبری از سرویس پیام کوتاه ( اس ام اس^(SMS) ) برای کشف اطلاعات شخصی قربانیان استفاده می کنند، به آن اس ام اس^(SMS) فیشینگ یا به اختصار Smishing می گویند. درباره جزئیات Smishing و Vishing بخوانید .

5] کلاهبرداری های QRishing

کدهای QR جدید نیستند. زمانی که قرار است اطلاعات کوتاه و مخفی نگه داشته شوند، کدهای QR بهترین برای پیاده سازی هستند. ممکن است کدهای QR را در درگاه های پرداخت مختلف، تبلیغات بانکی یا به سادگی در واتس اپ وب^{(WhatsApp Web)} مشاهده کرده باشید . این کدها حاوی اطلاعاتی به شکل مربع با رنگ سیاه پراکنده در سراسر آن هستند. از آنجایی که معلوم نیست یک کد QR چه اطلاعاتی ارائه می دهد، بهتر است همیشه از منابع ناشناخته کدها دوری کنید. به این معنی که اگر کد QR را در ایمیل یا متنی از نهادی که نمی‌شناسید دریافت کردید، آن‌ها را اسکن نکنید. درباره کلاهبرداری های QRishing در تلفن های هوشمند بیشتر بخوانید .

6] Tabnabbing

Tabnabbing یک صفحه قانونی را که بازدید می کردید به یک صفحه تقلبی تغییر می دهد، پس از بازدید از یک برگه دیگر. بیایید بگوییم:

1. شما به یک وب سایت واقعی هدایت می شوید.
2. یک برگه دیگر باز می کنید و سایت دیگر را مرور می کنید.
3. پس از مدتی به تب اول باز می گردید.
4. با جزئیات ورود جدید، شاید به حساب جیمیل خود، از شما استقبال می شود.^(Gmail)
5. شما دوباره لاگین می کنید، بدون اینکه شک نکنید که صفحه، از جمله فاویکون، واقعاً پشت سر شما تغییر کرده است!

این Tabnabbing است که ^(Tabnabbing)Tabjacking نیز نامیده می شود .

انواع دیگری از فیشینگ وجود دارد که امروزه چندان مورد استفاده قرار نمی گیرند. در این پست نامی از آنها نبرده ام. روش های مورد استفاده برای فیشینگ همچنان تکنیک های جدیدی را به جرم اضافه می کند. در صورت تمایل انواع مختلف جرایم سایبری را بشناسید .

شناسایی ایمیل ها و متون فیشینگ

در حالی که مجرمان سایبری همه اقدامات را انجام می دهند تا شما را فریب دهند تا روی پیوندهای غیرقانونی آنها کلیک کنید تا بتوانند داده های شما را بدزدند، چند نکته وجود دارد که پیام جعلی بودن ایمیل را نشان می دهد.

در بیشتر موارد، افراد فیشینگ از نام آشنای شما استفاده می کنند. این می تواند نام هر بانک تاسیس شده یا هر خانه شرکتی دیگری مانند آمازون^(Amazon) ، اپل^(Apple) ، eBay و غیره باشد. شناسه ایمیل را جستجو کنید.

مجرمان فیشینگ از ایمیل دائمی مانند Hotmail ، Outlook ، و Gmail و غیره از ارائه دهندگان میزبانی ایمیل محبوب استفاده نمی کنند. آنها از سرورهای ایمیل موقت استفاده می کنند، بنابراین هر چیزی که از یک منبع ناشناس باشد مشکوک است. در برخی موارد، مجرمان سایبری سعی می‌کنند با استفاده از یک نام تجاری، شناسه‌های^(IDs) ایمیل را جعل کنند - به عنوان مثال، [email protected] شناسه ایمیل حاوی نام آمازون^(Amazon) است، اما اگر دقیق‌تر نگاه کنید، از سرورهای آمازون^(Amazon) نیست، بلکه برخی از ایمیل‌های جعلی است. سرور .com

بنابراین، اگر ایمیلی از http://axisbank.com از یک شناسه ایمیلی می آید که می گوید [email protected] ، باید احتیاط کنید. همچنین به دنبال اشتباهات املایی باشید. در مثال Axis Bank ، اگر شناسه ایمیل از axsbank.com باشد، یک ایمیل فیشینگ است.

PhishTank به شما کمک می کند تا وب سایت های فیشینگ را تأیید یا گزارش دهید

اقدامات احتیاطی برای فیشینگ

در بخش بالا در مورد شناسایی ایمیل ها و متون فیشینگ صحبت شد. اساس همه اقدامات احتیاطی، نیاز به بررسی منشاء ایمیل به جای کلیک کردن بر روی پیوندهای موجود در ایمیل است. رمز عبور و سوالات امنیتی خود را در اختیار کسی قرار ندهید. به شناسه ایمیلی که ایمیل از آن ارسال شده است نگاه کنید.

اگر متنی از یک دوست است، می‌دانید، شاید بخواهید تأیید کنید که آیا واقعاً آن را ارسال کرده است یا خیر. می توانید با او تماس بگیرید و از او بپرسید که آیا پیامی با لینک ارسال کرده است یا خیر.

هرگز روی پیوندهای موجود در ایمیل های منابعی که نمی دانید کلیک نکنید. حتی برای ایمیل هایی که واقعی به نظر می رسند، فرض کنید از آمازون^(Amazon) ، روی لینک k کلیک نکنید . ^{(do not click on the lin)}در عوض، یک مرورگر باز کنید و URL آمازون ^(URL)را^(Amazon) تایپ کنید . از آنجا، می‌توانید بررسی کنید که آیا واقعاً نیاز به ارسال جزئیات به نهاد دارید.

برخی از پیوندها وارد می شوند که می گویند شما باید ثبت نام خود را تأیید کنید. ببینید آیا اخیراً برای سرویسی ثبت نام کرده اید یا خیر. اگر نمی توانید به خاطر بسپارید، پیوند ایمیل را فراموش کنید.

اگر روی پیوند فیشینگ کلیک کنم چه می شود؟

فورا مرورگر را ببندید. در صورت عدم امکان بستن مرورگر، مانند مرورگر پیش فرض برخی از تلفن های هوشمند، هیچ اطلاعاتی را لمس یا وارد نکنید. هر برگه از این مرورگرها را به صورت دستی ببندید. به یاد داشته باشید که تا زمانی که اسکن را با استفاده از ^(Remember)BitDefender یا Malwarebytes اجرا نکنید، وارد هیچ یک از برنامه های خود نشوید . برخی از برنامه های پولی نیز وجود دارد که می توانید از آنها استفاده کنید.

در مورد کامپیوتر هم همینطور. اگر روی یک پیوند کلیک کنید، مرورگر راه اندازی می شود و نوعی وب سایت تکراری ظاهر می شود. به هیچ کجای مرورگر ضربه نزنید یا لمس نکنید. فقط^(Just) روی دکمه بستن مرورگر کلیک کنید یا از Task Manager ویندوز^{(Windows Task Manager)} برای بستن همان استفاده کنید. قبل از استفاده از برنامه های کاربردی دیگر در رایانه، اسکن ضد بدافزار را اجرا کنید.

بخوانید^(Read) : کجا می توان وب سایت های کلاهبرداری آنلاین، هرزنامه و فیشینگ را گزارش کرد ؟

لطفاً نظر بدهید و اگر چیزی را در این برگه تقلب فیشینگ جا انداختم به ما اطلاع دهید.^{(Please comment and let us know if I left out anything in this phishing cheat sheet.)}

Types of Phishing - Cheat Sheet and Things you need to know

“Congratυlations! You have won n million Dollars. Send us your bank details.” If you are on Internet, you might have seen such emails in your inbox or junk mailbox. Such emaіls are called phishing: a cyber-сrime whereіn criminals use computer technology to steal data from victims that can be individuals or corporate business houses. This Phishing cheat sheet is an attempt to provide you with max knowledge about this cyber-crime so that you don’t become a victim of the crime. We also discuss the types of Phishing.

What is phishing?

Phishing is a cybercrime where criminals lure victims, with an intention to steal victim’s data, using fake emails and text messages. Mainly, it is done by mass email campaigns. They use temporary email IDs and temporary servers, so it becomes hard for authorities to nab them. They have a general template that is sent to hundreds of thousands of recipients so that at least a few can be tricked. Learn how to identify phishing attacks.

Why is it called phishing?

You know about fishing. In real life fishing, the fisherman sets a bait so that he can catch fish when the latter are hooked to the fishing rod. On the Internet too, they use bait in the form of a message that can be convincing and appears genuine. Since the criminals use a bait, it is called phishing. It stands for password fishing which is now referred to as phishing.

The bait could be a promise of money or any goods that could compel any end-user to click on the bait. Sometimes, the bait is different (for example, threat or urgency) and calls for action like clicking links saying you have to re-authorize your account at Amazon, Apple, or PayPal.

How to pronounce phishing?

It is pronounced as PH-ISHING. ‘PH’as in Fishing.

How common is phishing?

Phishing attacks are more common than malware. This is to say that more and more cybercriminals are engaged in phishing compared to those who spread malware using emails, fake websites, or fake advertisements on genuine websites.

These days, phishing kits are sold online so practically anyone with some knowledge of networks can buy them and use them for illegal tasks. These phishing kits provide everything from cloning a website to compiling a compelling email or text.

Types of phishing

There are many types of phishing. Some of the popular ones are:

1. General regular emails asking you your personal details are the most used form of phishing
2. Spear phishing
3. Whaling scams
4. Smishing (SMS phishing) and Vishing
5. QRishing scams
6. Tabnabbing

1] General Phishing

In its most basic form of phishing, you encounter emails and texts cautioning you about something while asking you to click a link. In some cases, they ask you to open the attachment in the email they sent to you.

In the email subject line, the cybercriminals lure you into opening the email or text. Sometimes, the subject line is that one of your online accounts needs updating and sounds urgent.

In the body of the email or text, there is some compelling information that is fake but believable and then ends with a call to action: asking you to click on the link they provide in the phishing email or text. Text messages are more dangerous because they use shortened URLs whose destination or full link can’t be checked without clicking on them when you read them on the phone. There may be any app anywhere that may help with checking out the full URL but there’s none I am aware of yet.

2] Spear phishing

Refers to targeted phishing where the targets are employees of business houses. The cybercriminals get their workplace IDs and send the fake phishing emails to those addresses. It appears as an email from someone top on the corporate ladder, creating enough hurry to reply to them… thereby helping the cybercriminals with breaking into the network of the business house. Read all about spear phishing here. The link also contains some examples of spear phishing.

3] Whaling

Whaling is similar to spear phishing. The only difference between Whaling and Spear phishing is that spear-phishing can target any employee, while whaling is used to target certain privileged employees. The method is the same. The cybercriminals get the official email IDs and phone numbers of the victims and send them a compelling email or text that involves some call for action that might open the corporate intranet to give the back-door access. Read more about Whaling phishing attacks.

4] Smishing and Vishing

When cybercriminals use short messaging service (SMS) to fish out personal details of victims, it is known as SMS phishing or Smishing for short. Read about Smishing and Vishing details.

5] QRishing scams

QR codes are not new. When information is supposed to be kept short and secret, QR codes are the best to implement. You may have seen QR codes on different payment gateways, bank adverts, or simply on WhatsApp Web. These codes contain information in the form of a square with black scattered all over it. Since it is not known what all information a QR code provides, it is always best to stay away from unknown sources of the codes. That is to say that if you receive a QR code in an email or text from an entity that you do not know, don’t scan them. Read more about QRishing scams on smartphones.

6] Tabnabbing

Tabnabbing changes a legitimate page you were visiting, to a fraudulent page, once you visit another tab. Let’s say:

1. You navigate to a genuine website.
2. You open another tab and browse the other site.
3. After a while, you come back to the first tab.
4. You are greeted with fresh login details, maybe to your Gmail account.
5. You login again, not suspecting that the page, including the favicon, has actually changed behind your back!

This is Tabnabbing, also called Tabjacking.

There are some other types of phishing that are not used much nowadays. I have not named them in this post. The methods used for phishing keep on adding new techniques to the crime. Know the different types of cybercrimes if interested.

Identifying phishing emails and texts

While the cybercriminals take all measures to trick you into clicking their illegal links so that they can steal your data, there are a few pointers that give out a message that the email is fake.

In most cases, the phishing guys use a name familiar to you. It can be the name of any established bank or any other corporate house such as Amazon, Apple, eBay, etc. Look for the email ID.

Phishing criminals do not use permanent email like Hotmail, Outlook, and Gmail, etc. popular email hosting providers. They use temporary email servers, so anything from an unknown source is suspicious. In some cases, the cybercriminals try to spoof email IDs by using a business name—for example, [email protected] The email ID contains the name of Amazon, but if you look closer, it is not from Amazon’s servers but some fakeemail.com server.

So, if a mail from http://axisbank.com comes from an email ID that says [email protected], you need to exercise caution. Also, look for spelling errors. In the Axis Bank example, if the email ID comes from axsbank.com, it is a phishing email.

PhishTank will help you verify or report Phishing websites

Precautions for phishing

The above section talked about identifying phishing emails and texts. At the base of all precautions is the need to check the origin of email instead of simply clicking on the links in the email. Do not give out your passwords and security questions to anyone. Look at the email ID from which the email was sent.

If it is a text from a friend, you know, you might want to confirm if he or she had sent it really. You could call him and ask him if he sent a message with a link.

Never click on links in emails from sources you do not know. Even for emails that appear genuine, suppose from Amazon, do not click on the link. Instead, open a browser and type out the URL of Amazon. From there, you can check if you actually need to send any details to the entity.

Some links come in saying you have to verify your sign up. See if you signed up for any service recently. If you cannot remember, forget the email link.

What if I clicked on a phishing link?

Close the browser immediately. Do not touch or enter any information in case of not being able to close the browser, like in some smartphones’ default browser. Manually close each tab of such browsers. Remember not to log in to any of your apps until you run a scan using BitDefender or Malwarebytes. There are some paid apps too that you can use.

The same goes for computers. If you clicked a link, the browser would be launched, and some sort of duplicate website would appear. Don’t tap or touch anywhere on the browser. Just click on the close browser button or use the Windows Task Manager to close the same. Run an antimalware scan before using other applications on the computer.

Read: Where to report Online Scams, Spam and Phishing websites?

Please comment and let us know if I left out anything in this phishing cheat sheet.

Related posts

• چگونه برای جلوگیری از Phishing Scams and Attacks؟

• صید نهنگ کلاهبرداری و چگونه برای محافظت از شرکت شما چیست

• فیشینگ و نحوه شناسایی حملات فیشینگ چیست؟

• Domains and Sinkhole Domains پارک شده است؟

• Avoid Online Shopping Fraud & Holiday Season Scams

• چگونه Excel Sheet را در وب سایت خود جاسازی کنید

• Doordash کار نمی کند؟ 7 چیز برای امتحان

• Apple Pay کار نمی کند؟ 15 چیزی که باید امتحان کنید

• Internet از Things چیست - معرفی Skynet!

• چگونه برای ایجاد Video Contact Sheet در Windows 10

• 5 کار سرگرم کننده و جالب که می توانید با مشتری Telnet انجام دهید

• Microsoft Excel Blank Sheet به جای فایل باز می شود

• چراغ قوه در iPad Pro شما کار نمی کند؟ 9 چیزی که باید امتحان کنید

• آداپتور شبکه کار نمی کند؟ 12 چیزی که باید امتحان کنید

• Coronavirus COVID-19 Phishing، Scams، Frauds and Schemes

• F8 در ویندوز 10 کار نمی کند؟ 5 چیز برای امتحان کردن

• Zapier SMS: 5 Cool Things شما می توانید انجام

• 5 کار جالبی که می توانید با رم قدیمی انجام دهید

• ماوس بی سیم کار نمی کند؟ 17 چیز برای بررسی

• جستجوی ویژوال بینگ: 10 کار جالبی که می توانید با آن انجام دهید