هشدار در مورد افزایش فیشینگ های صوتی
نوشته شده توسط وکیل جرایم سایبری در ۴ شهریور ۱۳۹۹ در بخش فیشینگ, کلاهبرداری, هک و کرک | بدون دیدگاه
پلیس فدرال آمریکا در مورد افزایش موارد حملات فیشینگ صوتی هشدار داد و گفت این حملات که به ویشینگ شهرت یافته اند به دنبال گسترش دورکاری بیشتر شده اند.
همزمان با شیوع ویروس کرونا و خانه نشینی بخش زیادی از نیروی کار در سراسر جهان هکرها نیز به فکر افتاده اند با ارسال پیام های صوتی فریبنده برای شاغلان نسبت به فریب آنها و سرقت اطلاعات و پول اقدام کنند.
بررسی های اف بی آی از افزایش این نوع حملات خبر می دهد و بسیاری از شرکت ها و موسسات تجاری و دولتی هنوز برنامه ای برای مقابله با حملات مذکور ندارند.
پیش از این حملات یادشده محدود به شرکت های اینترنتی و مخابراتی بود، اما در حال حاضر دامنه آن بسیار وسیع شده است. یکی از اهداف جدید این حملات سرقت اطلاعات شبکه های وی پی ان شرکت های تجاری است.
حملات مذکور از اواسط ماه جولای افزایش یافته و برخی طراحان حملات یادشده با طراحی سایت های لاگین وی پی ان قلابی برای فریب کارمندان شرکت ها و موسسات تجاری و اقناع آنها برای وارد کردن اطلاعات خصوصی خود در این صفحات تلاش می کنند. کارمندان تازه کار و ناآگاه هدف اصلی این حملات هستند و لذا باید برای آموزش آنها اقدام شود.
منبع: فارس به نقل از انگجت
نمونه فرم شکایت فیشینگ | اینجا کلیک کنید
بیشتر بخوانید“لیست سیاه هدف کلاهبرداری فیشینگ از کاربران اینستاگرام
نوشته شده توسط وکیل جرایم سایبری در ۳۱ فروردین ۱۳۹۸ در بخش جرایم رایانه ای-اینترنتی-سایبری, فیشینگ | بدون دیدگاه
به کاربران اینستاگرام هشدار داده میشود تا مراقب کلاهبرداری جدید فیشینگ با هدف برداشتن log-in ها و گسترش کرمها در شبکه اجتماعی، باشند.
به گزارش پلیس فتا به نقل از مجله اینفوسکیوریتی، به گفته کاربران توییتر که تصاویری از کلاهبرداری ها را ارسال کردهاند، کاربران اینستاگرام معمولاً در ابتدای کار یک پیام مستقیم از یک حساب کاربری که پیگیری میکنند را دریافت کردهاند. هدف میتواند شامل یکی از چندین لیست متنوع در یک موضوع باشد، قربانی این نوع حملات در یک لیست سیاه برجسته میشوند.
اگر کاربران بر روی لینک موجود در پیام کلیک کنند، آنها را به یکی از چند پروفایل اینستاگرام با نامهایی مانند “the_nasty_list_848” که برای این منظور ثبت شده است، هدایت میکند. توصیف نمایه این حسابها معمولاً شبیه به متنی همچون «این خیلی وحشتناک است !!» «ما همه اینجا هستیم» یا «وای که واقعاً اینجا هستی» به همراه عنوان پیام اصلی و اولیه است.
بااینحال، با کلیک کردن بر روی لینک در شرح پروفایل، کاربر به یک صفحه ورود به سیستم اینستاگرام رسمی اما جعلی هدایت میشود. اگر کاربران مشخصات خود را برای ورود در اینجا پر کنند، هکرها به حساب کاربری آنها نفوذ و برای ارسال همان پیام، مخاطبین آنها را در “لیست سیاه” قرار میدهند.
فیشینگ یکی از تکنیکهای محبوب در انبار ذهن هکرها است؛ این تکنیک یک نقص فنی از سوی تجهیزات کاربر نیست، بلکه کمبود ذهنیت سایبری از سوی کاربر است.
به گفته مایکروسافت، حجم حملات فیشینگ در سال گذشته میلادی ۲۵۰ درصد افزایش داشته است.
اینستاگرام مانند اکثر پلتفرمهای مبتنی بر مصرفکننده، سهم مناسبی از چالشهای امنیتی سایبری را به همراه دارد. اینستاگرام در ماه اوت سال گذشته، تعداد زیادی آگهی برای ایجاد حساب کاربری شفاف و سخت برای عدم نفوذ هکرها منتشر کرد.
این شامل پشتیبانی از برنامههای تأیید هویت شخص ثالث است تا کاربران را برای ترک حسابهای باز ترغیب کند.
راه ساده برای جلوگیری از حملات فیشینگ
نوشته شده توسط وکیل جرایم سایبری در ۱۷ مهر ۱۳۹۷ در بخش امنیت اطلاعات, فیشینگ, هک و کرک | بدون دیدگاه
در حالی که هکرها میتوانند با هدایت شما بهجای سایت واقعی به دامنه فیشینگ، حساب کاربری شما را هک کنند، با تصدیق دو مرحلهای میتوان از حملات فیشینگ آنها جلوگیری کرد.
به گزارش ایسنا، احراز هویت دو مرحلهای یک لایه امنیتی را بالاتر از نام و رمز عبور کاربر ایجاد کند که با این روش مهاجمان بهراحتی نمیتوانند به دستگاههای شخصی دسترسی پیدا کنند. در حالی که برخی از هکرها برای دسترسی به حسابهای کاربران لینکداین حمله میکنند، اما این ایمیلها بهطور خاص از دامنه tlposquatted llnked [.] com استفاده میکنند.
حملات فیشینگ به سادگی انجام میشود؛ زمانی که کاربر یک درخواست جدید را از لینکداین دریافت میکند، با ارسال یک ایمیل به شما اطلاعرسانی میشود که با کلیک کردن برروی لینک به حساب کاربری لینکداین وارد میشوید. اما بهجای هدایت به لینکداین، شما را به دامنه فیشینگ llnked [.] com هدایت و از شما درخواست میکند تا اطلاعات ورود به سیستم را پر کنید. پس از ورود به صفحه شما میتوانید زمان حمله نام کاربری، رمز عبور و کوکیها را در یک پنجره جداگانه مشاهده کنید.
هنگامی که قربانی وارد صفحه میشود، یک کد شش رقمی برای وی ارسال میشود که این ورود انجامشده در کوکی ثبت شده و بعد از درج کد اجازه دسترسی امن برقرار میشود. در همین راستا مهاجمان میتوانند ورود به حساب کاربری توسط قربانی را دسترسی داشته و به راحتی رهگیری کنند. بر اساس اطلاعات سایت پلیس فتا، در حال حاضر مهاجم برای دسترسی به کوکی قربانی نیاز به وارد شدن به وبسایت واقعی لینکداین را دارند و و بعد از آن با ابزارهای توسعهدهنده بهسادگی میتواند به سیستم قربانی وارد شود.
با وجود این، حداقل ۱۰ روش مختلف برای جلوگیری از احراز هویت وجود دارد. همچنین آموزش ضدفیشینگ واقعا مهم است، زیرا اگر قربانی امنیت هک سیستم را هوشمندانه انجام دهد و هکرهای کلاه سفید از گسترش تایید هویت جعلی جلوگیری کنند، آلودگی سیستمها بسیار کاهش مییابد.
بیشتر بخوانیدکدام پیامهای فیشینگ دارای نرخ کلیک ۱۰۰٪ هستند؟
نوشته شده توسط وکیل جرایم سایبری در ۱۸ فروردین ۱۳۹۷ در بخش امنیت اطلاعات, فیشینگ | بدون دیدگاه
در صورتی که سازمانی میخواهد شاهد کاهش نرخ کلیک باشد، کارکنان آن میتوانند تنها یکبار در سال آموزش لازم برای تشخیص ایمیلها، پیامها و تماسهای تلفنی فیشینگ را ببینند.
پس ببینید، کارمندان میآیند و میروند (و نقشها را تغییر میدهند). دوم اینکه، تهدیدات در طول زمان تغییر میکنند. سوم اینکه دانش و عملکردهایی که به طور منظم تقویت نمیشوند، از دست خواهند رفت و در نهایت، آگاهی یکسان نیست.
به گزارش هلپنتسکیوریتی، “تنها دانستن یک تهدید وجود دارد، این همان چیزی است که دانستن اینکه چگونه به رسمیت شناختن و شناسایی و تهدید به آن پاسخ میدهد. به گفته محققان امنیتی، آموزش عمیق در مورد جلوگیری از فیشینگ برای ایجاد تغییر رفتاری پایدار مورد نیاز است.
آماری که در آخرین گزارش سالانه این شرکت ثبت شده، تفاوت ایجاد شده توسط هر دو ابزار مورد استفاده برای آموزش کاربران نهایی جهت تشخیص و اجتناب از حملات فیشینگ و نحوه استفاده از آنها را نشان میدهد.
در ایالاتمتحده، اغلب سازمانها از آموزش آنلاین مبتنی بر کامپیوتر استفاده میکنند و حملات فیشینگ تلفنی را برای آموزش کارکنان شبیهسازی میکنند، در حالی که سازمانهای بریتانیایی به طور کلی بیشتر آموزش منفعل را انتخاب میکنند.
روشهای زیادی را برای تمرین در دست داشته باشید:
۱- همچنین ۴۶ درصد از سازمانهای آمریکایی از این ابزارها یک هفتهای یا ماهانه استفاده میکنند، در حالی که سازمانهای بریتانیایی تنها ۲۱ درصد موارد را انجام میدهند.
۲- در نتیجه، ۶۱ درصد از سازمانهای آمریکایی نتایج قابل شمارش را از این تلاشها میبینند، در حالی که ۲۸ درصد از ارگانها ، بریتانیایی هستند.
۳- محققان خاطرنشان کردند که شما همچنین ممکن است وسوسه خود را با برنامه آموزش آگاهی امنیتی ” آن را تنظیم کرده و آن را فراموش کنید”، اما این ایدهآل نیست.
۴- “وقتی برنامههای تست فیشینگ را برنامه ریزی و زمانبندی میکنید، ماه ها (یا حتی سال ها) پیش از آن، توانایی پاسخ دادن به تهدیدات در حال ظهور و تطبیق فعالیتها بر اساس نتایج خود را از دست میدهید.”
سایر یافتههای جالب این شرکت براساس اطلاعات دهها میلیون نفر از حملات فیشینگ تلفنی گزارش داد و آنها دریافتند که :
۱- تستهای فیشینگ شخصی (آدرس ایمیل شخصی، نام و نام خانوادگی) هیچ کارآمدی نسبت به موارد غیر شخصی ندارند و به احتمال زیاد کاربران نهایی در اواسط هفته ، ایمیلهای مشکوک را گزارش میکنند.
۲- موضوعات و آیتمهایی که برای کاربران نهایی بسیار وسوسهانگیز هستند :” به روز رسانیهای امنیت خرید آنلاین “، ” پیام صوتی شرکت از یک تماسگیرنده ناشناس ” و ” بهبود ایمیل شرکتها ” هستند.
۳- دو الگوی فیشینگ ( شبیهسازی شده ) در حدود ۱۰۰ درصد روی نرخ کلیک داشتند: یکی که به عنوان یک گذرواژه پایگاه اطلاعاتی راهاندازی شده بود، و دیگری که ادعا میکرد یک برنامه تخلیه ساختمان به روز را در بر میگیرد.
۴- سازمانها در ارتباطات مخابراتی، خرده فروشی، کالاهای مصرفی، دولت و صنعت گردشگری به طور متوسط بدترین میزان کلیک ( ۱۵ تا ۱۳ درصد) را دارند ، در حالی که صنایع پایه صنعتی، انرژی، مالی، حمل و نقل و دفاعی دارای بهترین نرخ ( ۸٪ تا ۳٪) را دارند.
۵- متوسط نرخ کلیک در هر چهار دسته ( شرکتی، تجاری، ابری و مصرفکننده ) در سال جاری در مقایسه با سال ۲۰۱۶ افت کرده است. ۶- محققان به ویژه شاهد بهبود قابلتوجهی در نرخهای کلیک بر روی الگوهای مبتنی بر ابر ( پیامهای مرتبط تجاری ) هستند که شامل پیغامها در مورد دانلود اسناد از خدمات ذخیرهسازی ابری، یا رفتن به یک سرویس به اشتراک گذاری آنلاین برای ایجاد یا ویرایش یک سند میباشند.
نظارت متخصصان infosec و کاربران نهایی نیز نشان داد که :
۱- به طور متوسط ۵۳ درصد از افراد حرفهای در سال ۲۰۱۷ فیشینگ را تجربه کردند.
۲- ۹۵ درصد از سازمانها به کاربران نهایی درباره چگونگی شناسایی و جلوگیری از حملات فیشینگ آموزش میدهند.
۳- ۴۵ درصد از سازمانها گفتهاند که در صورتی که کاربران آنها همچنان بر روی حملات فیشینگ تلفنی ادامه دهند ، عواقب وجود دارد.
۴- نتیجه شامل مشاوره از یک مدیر یا بخش فناوری اطلاعات، آموزش بیشتر و حذف دسترسی به سیستم، بلکه ختم (۱۱ درصد از جرم) و مجازات پولی (۵ درصد از جرم) است.
۵- بسیاری از کاربران نهایی میدانند که فیشینگ چیست، اما تنها ۱۶ درصد از آنها میدانند که smishing چیست “. محققان اظهار داشتند: “از آنجایی که کارکنان بیشتر و بیشتر از گوشیهای هوشمند برای اتصال به سیستمهای سازمانی و دادهها استفاده میکنند، کارایی بالقوه نیروی کار بیتحصیل نیز نباید نادیده گرفته شود.”
ترجمه : محمد جواد عرب پور
بیشتر بخوانیدچگونه گرفتار کلاهبرداران سایبری نشویم
نوشته شده توسط موسسه توسعه حقوق فناوری اطلاعات برهان|وکالت دادگستری در ۲۰ شهریور ۱۳۹۴ در بخش اخبار حقوق فناوری اطلاعات | بدون دیدگاه
سرهنگ نیکنام افزود : کلاهبرداران اغلب به وسیله حملات فیشینگ در ایمیلها یا شبکههای اجتماعی و یا سایتهای مخرب دست به این کار میزنند.
وی ادامه داد: جلوگیری از ورود کلاهبرداران به حریمخصوصی افراد و ثبت اطلاعات شخصی کار دشواری نیست بلکه با داشتن اطلاعات در زمینه فضای مجازی و رعایت موارد امنیتی به راحتی میتوان از دام کلاهبرداران در امان ماند. اما باید مراقب باشید چون آنها با ترفندهای مختلف سعی میکنند تا شما را با ارسال یک پیام جعلی وسوسه کرده و به دام اندازند.
وی گفت: علاوه بر ایمیلها، امروزه با گسترش شبکههای اجتماعی در بین کاربران یکی از بهترین راههای ورود به حریم خصوصی و کلاهبرداری سایبری به دام انداختن کاربران در این شبکههاست، زیرا با دسترسی به اطلاعات حساب کاربران در شبکههای اجتماعی نه تنها میتوان به اطلاعات حساب آنها دست پیدا کرد بلکه به راحتی میتوان خصوصیترین اطلاعات افراد را نیز در اختیار داشت.
سرهنگ نیکنام در پایان افزود: یکی از شایعترین روشهای کلاهبرداران اینترنتی ارسال پیام به ایمیل و یا حساب شبکه اجتماعی با عنوان “شما برنده قرعه کشی شدید”، “درخواست کمک” و… است. بنابراین باید کاملا مراقب ایمیلهای افراد ناشناس بوده و در مواجه شدن با آنها هرگز بر روی لینک ارسالی آنها کلیک نکنید، فایل پیوستی پیام آنها را باز و یا دانلود نکنید، همیشه آدرس پست الکترونیک شخص پیغام دهنده را چک کنید و فقط به نام فرستنده آن بسنده نکنید.
منبع:پلیس فتا
بیشتر بخوانید