فیشینگ (Phishing) چیست؟ آموزش کامل جلوگیری از سرقت اطلاعات

تا به حال پیامک‌هایی با مضمون «قطع یارانه»، «برنده شدن در قرعه‌کشی» یا «حکم جلب سیار» دریافت کرده‌اید که از شما می‌خواهند سریعاً وارد یک لینک شوید؟ اگر پاسخ مثبت است، شما با یکی از رایج‌ترین روش‌های کلاهبرداری اینترنتی یعنی فیشینگ (به انگلیسی: Phishing) روبرو شده‌اید.

فیشینگ چیست؟

فیشینگ چیست؟ فیشینگ هنر فریب دادن کاربران در دنیای دیجیتال است. در این نوع حمله سایبری، مهاجم (هکر) با استفاده از تکنیک‌های مهندسی اجتماعی، قربانی را متقاعد می‌کند که روی یک لینک آلوده کلیک کند. هدف اصلی این حملات، سرقت اطلاعات محرمانه شماست؛ از نام کاربری و رمز عبور شبکه‌های اجتماعی گرفته تا رمز دوم پویا و خالی کردن حساب بانکی در چند ثانیه.

واژه فیشینگ (Phishing) از نظر لغوی شباهت زیادی به کلمه Fishing یا همان ماهیگیری دارد و این شباهت تصادفی نیست. در حقیقت، معنی فیشینگ در دنیای امنیت سایبری، همان «تلاش برای به قلاب انداختن کاربر» در اقیانوس اینترنت است. در این فرآیند، هکر درست مانند یک ماهیگیر صبور، طعمه‌ای فریبنده (مثل یک ایمیل جعلی بانک یا پیامک برنده شدن) را سر قلاب می‌گذارد و منتظر می‌ماند تا قربانی را شکار کند. دلیل نوشتن این کلمه با “Ph” به جای “F” نیز ادای احترامی به اصطلاح قدیمی هکرها (Phreaking) است که بر ماهیت فنی و فریب‌کارانه این سرقت اطلاعات تأکید می‌کند.

فیشر کیست؟ آشنایی با چهره پنهان پشتِ پیامک‌های جعلی

فیشر (Phisher) کیست؟ فیشر در واقع همان هکر یا کلاهبردار اینترنتی است که نقش «صیاد» را در این دنیای دیجیتال بازی می‌کند. برخلاف تصور رایج که هکرها همیشه با نوشتن کدهای پیچیده به سیستم‌ها نفوذ می‌کنند، یک فیشر بیشتر بر «مهندسی اجتماعی» و هنر فریب دادن انسان‌ها تکیه دارد. او کسی است که با جعل هویت سازمان‌های معتبر (مانند بانک‌ها، پلیس یا سرویس‌های ایمیل) و ایجاد ظاهری موجه، اعتماد شما را جلب می‌کند. کار اصلی فیشر، طراحی طعمه‌های جذاب یا ترسناک است تا کاربر را وادار کند با دست خود، کلید گاوصندوق اطلاعاتش را تحویل دهد.

تاریخچه فیشینگ

تاریخچه فیشینگ به اوایل دهه ۱۹۹۰ بازمی‌گردد؛ زمانی که کاربران اینترنت dial-up شرکت AOL به‌دنبال راهی برای دور زدن هزینه‌های اشتراک بودند. برخی از آن‌ها با جعل نام کاربری و وانمود کردن به اینکه مدیر سیستم هستند، تلاش می‌کردند از دیگر کاربران اطلاعات ورود یا همان Credentials را دریافت کنند. این روش ساده اما مؤثر، نقطه شروع یکی از گسترده‌ترین کلاهبرداری‌های اینترنتی بود که با گذشت زمان پیچیده‌تر شد.

اولین بار واژه «فیشینگ» در سال ۱۹۹۶ در ابزاری مخصوص هک به نام AOHell دیده شد. این اصطلاح با جایگزین کردن «f» با «ph» (که ادای احترامی به هکرهای تلفنی قدیمی یا Phreaks بود) ابداع شد. با گذشت زمان، فیشینگ از دزدی اکانت اینترنت فراتر رفت و از سال ۲۰۰۳ با هدف قرار دادن سیستم‌های پرداخت آنلاین مثل E-Gold، وارد فاز خطرناک‌تری شد: سرقت مستقیم پول و اطلاعات بانکی.

انواع رایج حملات فیشینگ

«هکرها همیشه از یک روش ثابت استفاده نمی‌کنند. اگر می‌خواهید بدانید که دقیقاً حمله سایبری چیست؟، باید گفت فیشینگ یکی از زیرمجموعه‌های اصلی آن است. آن‌ها بسته به ابزاری که در اختیار دارند (ایمیل، تلفن، پیامک) و هدفشان، روش‌های مختلفی را به کار می‌گیرند. در ادامه با مهم‌ترین انواع فیشینگ آشنا می‌شویم:»

۱. فیشینگ ایمیلی (Email Phishing)

این قدیمی‌ترین و رایج‌ترین نوع فیشینگ است. هکرها میلیون‌ها ایمیل را به صورت رگباری (Spray and Pray) برای کاربران مختلف ارسال می‌کنند.

• نحوه عملکرد: ایمیلی با ظاهری رسمی از طرف بانک، سرویس‌هایی مثل PayPal یا Gmail دریافت می‌کنید که می‌گوید: «حساب شما در خطر است، فوراً رمز عبور خود را تغییر دهید.»
• مثال: ایمیل جعلی با لوگوی بانک ملت یا گوگل که شما را به صفحه‌ای شبیه صفحه ورود اصلی هدایت می‌کند.

۲. اسمیشینگ یا فیشینگ پیامکی (Smishing)

واژه Smishing ترکیب SMS و Phishing است. این روش در ایران به شدت رواج دارد و خطرناک‌تر از ایمیل است، زیرا مردم به پیامک‌های روی گوشی اعتماد بیشتری دارند.

• نحوه عملکرد: ارسال پیامک کوتاه حاوی یک لینک مخرب با متنی اضطراب‌آور.
• مثال ایرانی: پیامک‌های معروف «ابلاغیه الکترونیکی قضایی (ثنا)»، «واریز سود سهام عدالت» یا «قطع یارانه» که همگی حاوی لینک‌های آلوده برای سرقت اطلاعات کارت بانکی هستند.

۳. فیشینگ نیزه‌ای یا هدفمند (Spear Phishing)

برخلاف فیشینگ معمولی که مثل تور ماهیگیری برای همه پهن می‌شود، این روش مثل «شکار با نیزه» است و یک فرد یا سازمان خاص را هدف می‌گیرد.

• نحوه عملکرد: هکر قبل از حمله، اطلاعاتی درباره قربانی (نام، شغل، علایق) جمع‌آوری می‌کند تا پیامش کاملاً واقعی به نظر برسد.
• مثال: ایمیلی که ظاهراً از طرف «مدیر بخش مالی شرکت شما» ارسال شده و شما را با نام کوچک خطاب می‌کند و از شما می‌خواهد فاکتوری را پرداخت کنید.

۴. ویشینگ یا فیشینگ صوتی (Vishing)

ویشینگ (Voice Phishing) از طریق تماس تلفنی انجام می‌شود. در اینجا هکر با مهندسی اجتماعی و لحن متقاعدکننده، قربانی را فریب می‌دهد.

• نحوه عملکرد: تماس گیرنده ادعا می‌کند از طرف بانک، پلیس فتا یا پشتیبانی اپراتور موبایل تماس می‌گیرد و برای «جلوگیری از مسدود شدن حساب»، از شما کد تایید (OTP) یا رمز دوم را می‌خواهد.
• نکته مهم: هیچ سازمان معتبری پشت تلفن از شما رمز عبور نمی‌خواهد.

۵. فیشینگ نهنگ (Whaling)

این نوع حمله، نسخه پیشرفته‌ترِ فیشینگ هدفمند است که فقط «ماهی‌های بزرگ» (مدیران ارشد، مدیرعامل‌ها و افراد ثروتمند) را هدف قرار می‌دهد.

• نحوه عملکرد: پیام‌ها بسیار حرفه‌ای و با ادبیات تجاری نوشته می‌شوند تا مدیران را قانع کنند که روی لینک‌های آلوده کلیک کرده یا مبالغ سنگین انتقال دهند.

۶. فیشینگ در شبکه‌های اجتماعی (Angler Phishing)

با گسترش اینستاگرام و تلگرام، این روش بسیار محبوب شده است.

• نحوه عملکرد: هکرها اکانت‌های جعلی پشتیبانی (Fake Support) می‌سازند. وقتی شما در توییتر یا اینستاگرام از مشکل خود با یک سرویس می‌نویسید، آن‌ها به دایرکت شما می‌آیند و لینک فیشینگ می‌فرستند.
• مثال: پیامی در دایرکت اینستاگرام با مضمون «قوانین کپی‌رایت را نقض کرده‌اید و پیج شما تا ۲۴ ساعت دیگر بسته می‌شود. برای اعتراض اینجا کلیک کنید.»

۷. فارمینگ (Pharming)

این روش پیچیده‌تر است و نیاز به کلیک کاربر ندارد. هکر با دستکاری DNS (سیستم نام دامنه)، ترافیک یک سایت معتبر را به سمت سایت جعلی خودش هدایت می‌کند.

• نحوه عملکرد: شما آدرس صحیح بانک را تایپ می‌کنید (bank.ir)، اما بدون اینکه متوجه شوید به سرور هکر هدایت می‌شوید.

فیشینگ ارز دیجیتال

با گسترش بازار رمزارزها، روش‌های کلاهبرداری نیز مدرن‌تر شده‌اند و اکنون فیشینگ ارز دیجیتال (Crypto Phishing) به یکی از بزرگترین تهدیدات برای تریدرها تبدیل شده است. اما دقیقاً فیشینگ ارز دیجیتال چیست؟ در این نوع حمله، هکرها با جعل هویت صرافی‌های معتبر (مانند بایننس یا کوین‌بیس) و یا کیف‌ پول‌های شناخته‌شده (مانند تراست‌ولت و متامسک)، سعی می‌کنند اعتماد کاربران را جلب کنند. هدف نهایی در فیشینگ کریپتو، به دست آوردن «کلید خصوصی» (Private Key) یا «کلمات بازیابی» (Seed Phrase) کیف پول شماست. مهاجمان با ارسال ایمیل‌های هشداردهنده یا ایجاد صفحات جعلیِ دریافت ایردراپ (Airdrop)، کاربر را فریب می‌دهند تا اطلاعات حیاتی خود را وارد کند؛ اتفاقی که منجر به خالی شدن آنی حساب و سرقت غیرقابل‌بازگشت دارایی‌ها می‌شود.

نحوه شناسایی حملات فیشینگ

شناخت روش‌های هکرها نیمی از راه امنیت است. اگرچه کلاهبرداران سعی می‌کنند پیام‌ها و صفحات خود را کاملاً واقعی جلوه دهند، اما همیشه ردپایی از خود به جا می‌گذارند. برای یادگیری نحوه شناسایی حملات فیشینگ و جلوگیری از سرقت اطلاعات، کافی است قبل از هر کلیک، به این ۵ نشانه طلایی دقت کنید:

۱. بررسی دقیق آدرس سایت (URL)

مهم‌ترین قدم در تشخیص سایت فیشینگ، نگاه کردن به نوار آدرس مرورگر است. هکرها معمولاً از دامنه‌هایی استفاده می‌کنند که بسیار شبیه به دامنه اصلی هستند اما یک حرف کم یا زیاد دارند (Typosquatting).

• مثال: به جای shaparak.ir ممکن است shaaparak.com یا shaparak-pay.ir را ببینید. همیشه آدرس درگاه پرداخت باید دقیقاً با دامنه اصلی بانک یا شاپرک مطابقت داشته باشد.

۲. لحن تهدیدآمیز و ایجاد عجله (Urgency)

فیشرها می‌دانند اگر به شما زمان بدهند، متوجه فریب آن‌ها می‌شوید. بنابراین در متن پیامک یا ایمیل از عبارات استرس‌زا استفاده می‌کنند.

• نشانه خطر: جملاتی مثل «حساب شما تا ۲ ساعت دیگر مسدود می‌شود»، «سریعاً جهت جلوگیری از قطع یارانه اقدام کنید» یا «پرونده قضایی علیه شما تشکیل شد». سازمان‌های معتبر هرگز با تهدید و ضرب‌الاجل‌های کوتاه با کاربران ارتباط برقرار نمی‌کنند.

۳. بررسی فرستنده پیام (Sender ID)

یکی از ساده‌ترین روش‌های شناسایی ایمیل فیشینگ، چک کردن آدرس فرستنده است. اگر ایمیلی از طرف «پشتیبانی اینستاگرام» دریافت کردید اما آدرس آن support@gmail.com یا instagram-security@yahoo.com بود، شک نکنید که کلاهبرداری است. شرکت‌های بزرگ همیشه از دامنه اختصاصی خود (مثل support@instagram.com) استفاده می‌کنند.

• در پیامک: بانک‌ها و سازمان‌های دولتی معمولاً با نام تجاری (مثل Bank Mellat یا Hamrah Aval) پیام می‌دهند، نه با شماره موبایل شخصی (مثل ۰۹۱۲…).

۴. لینک‌های مخرب و کوتاه شده

قبل از کلیک روی هر لینک، نشانگر موس را روی آن نگه دارید (در موبایل انگشتتان را روی لینک نگه دارید) تا آدرس واقعی را ببینید. اگر لینک با چیزی که در متن ادعا شده تفاوت دارد، هرگز کلیک نکنید. همچنین مراقب لینک‌های کوتاه شده (مثل bit.ly) در پیامک‌های بانکی باشید؛ بانک‌ها معمولاً از این سرویس‌ها برای اطلاع‌رسانی تراکنش استفاده نمی‌کنند.

۵. غلط‌های املایی و نگارشی

بسیاری از حملات فیشینگ از خارج از کشور یا توسط افراد کم‌سواد طراحی می‌شوند. وجود غلط‌های املایی فاحش، جمله‌بندی‌های عجیب و استفاده از فونت‌های بهم‌ریخته در یک نامه رسمی بانکی، نشانه قطعی کلاهبرداری اینترنتی است.

۷ راهکار طلایی برای مقابله با فیشینگ و جلوگیری از سرقت اطلاعات

شناسایی لینک‌های مخرب قدم اول است، اما برای امنیت سایبری کامل، باید لایه‌های دفاعی محکمی دور اطلاعات خود بکشید. با رعایت این نکات ساده اما حیاتی، حتی اگر سهواً روی لینک آلوده‌ای کلیک کنید، احتمال هک شدن شما به حداقل می‌رسد. در ادامه بهترین روش‌های مقابله با فیشینگ را بررسی می‌کنیم:

۱. فعال‌سازی تایید هویت دو مرحله‌ای (2FA)

اگر بخواهید فقط یک کار برای امنیت خود انجام دهید، همین است! تایید دو مرحله‌ای (Two-Factor Authentication) مثل یک قفل دوم برای درب خانه است. حتی اگر هکر رمز عبور شما را بدزدد، بدون داشتن کد تایید دوم (که به گوشی شما پیامک می‌شود یا در اپلیکیشن‌هایی مثل Google Authenticator تولید می‌شود) نمی‌تواند وارد حساب کاربری شود. این روش، ۹۹٪ حملات فیشینگ را خنثی می‌کند.

۲. استفاده از رمز پویا (OTP) برای تراکنش‌های بانکی

در ایران، خوشبختانه استفاده از رمز دوم پویا اجباری شده است. هرگز برای خریدهای اینترنتی از رمز دوم ثابت استفاده نکنید. رمز پویا فقط ۶۰ تا ۱۲۰ ثانیه اعتبار دارد و اگر فیشر بخواهد از آن استفاده کند، زمان کافی نخواهد داشت.

۳. تایپ دستی آدرس سایت‌ها (Bookmark کردن)

عادت کنید که هرگز روی لینک‌های موجود در ایمیل یا پیامک برای ورود به بانک یا حساب کاربری کلیک نکنید. بهترین راه جلوگیری از فیشینگ این است که آدرس سایت مورد نظر (مثل bmi.ir یا gmail.com) را خودتان در مرورگر تایپ کنید یا آن‌ها را در مرورگر خود بوک‌مارک (Bookmark) کنید.

۴. بررسی گواهی امنیتی SSL (قفل کنار آدرس)

اگرچه امروزه بسیاری از سایت‌های فیشینگ هم از HTTPS استفاده می‌کنند، اما نبودن آن یک زنگ خطر بزرگ است. همیشه چک کنید که کنار آدرس سایت، علامت قفل بسته وجود داشته باشد و آدرس با https:// شروع شود. اگر سایتی از شما اطلاعات کارت بانکی خواست و http (بدون s) بود، فوراً صفحه را ببندید.

۵. نصب آنتی‌ویروس و افزونه‌های ضد فیشینگ

نرم‌افزارهای امنیتی و آنتی‌ویروس‌های معتبر (مانند ESET یا Kaspersky) دارای قابلیت Web Protection هستند که به طور خودکار سایت‌های فیشینگ شناخته شده را مسدود می‌کنند. همچنین مرورگرهایی مثل کروم و فایرفاکس، هشدارهای امنیتی خوبی برای سایت‌های خطرناک نمایش می‌دهند؛ به این هشدارها اعتماد کنید.

۶. به‌روزرسانی مداوم مرورگر و سیستم عامل

هکرها همیشه از حفره‌های امنیتی قدیمی استفاده می‌کنند. شرکت‌های سازنده مرورگر (مثل گوگل و موزیلا) مدام لیست سیاه سایت‌های فیشینگ را آپدیت می‌کنند. با آپدیت نگه داشتن مرورگر خود، یک قدم از کلاهبرداران جلوتر باشید.

۷. شک کردن به درخواست‌های مالی فوری

اگر دوستی در شبکه‌های اجتماعی پیامی داد و درخواست پول فوری کرد، قبل از واریز وجه، حتماً با او تماس تلفنی بگیرید. ممکن است اکانت او هک شده باشد و فیشر در حال کلاهبرداری از لیست مخاطبین او باشد.

بعد از حمله فیشینگ چه کنیم؟

اگر متوجه شدید که اطلاعات خود را در یک سایت جعلی وارد کرده‌اید یا روی لینک آلوده کلیک کرده‌اید، نترسید؛ اما ثانیه‌ها را هدر ندهید. بسیاری از قربانیان در لحظات اول شوکه می‌شوند و مدام از خود می‌پرسند که بعد از حمله فیشینگ چه کنیم تا جلوی خسارت را بگیریم؟ پاسخ ساده است: «سرعت عمل».

برای به حداقل رساندن خسارت، فوراً این ۵ مرحله را به ترتیب انجام دهید:

۱. تغییر بلافاصله رمز عبور (اولین و مهم‌ترین قدم)

اولین پاسخی که باید به سوال بعد از حمله فیشینگ چه کنیم بدهید، قطع دسترسی هکر است. سریعاً به سایت اصلی (بانک، ایمیل یا شبکه اجتماعی) بروید و رمز عبور خود را عوض کنید.

• نکته حیاتی: اگر از این رمز عبور در سایت‌های دیگر هم استفاده کرده‌اید، آن‌ها را هم تغییر دهید تا جلوی نفوذ زنجیره‌ای را بگیرید.

۲. تماس با بانک و مسدود کردن کارت

اگر اطلاعات بانکی (شماره کارت، رمز دوم، CVV2) را لو داده‌اید، منتظر خالی شدن حساب نمانید.

• کارت بانکی خود را فوراً از طریق اینترنت‌بانک یا دستگاه خودپرداز مسدود (بلاک) کنید.
• رمزهای اینترنتی و پویای خود را غیرفعال کنید.

۳. بررسی نشست‌های فعال (Active Sessions)

اگر حمله مربوط به تلگرام، اینستاگرام یا واتساپ بود، هکر ممکن است هنوز در اکانت شما باشد. به بخش تنظیمات (Settings) و سپس دستگاه‌های متصل (Devices) بروید. اگر نام گوشی یا کامپیوتر ناشناسی دیدید، فوراً گزینه Log out یا Terminate را بزنید.

۴. اسکن دستگاه با آنتی‌ویروس

گاهی اوقات کلیک روی لینک فیشینگ باعث دانلود پنهانی بدافزار یا جاسوس‌افزار (Spyware) می‌شود. حتماً گوشی یا لپ‌تاپ خود را با یک آنتی‌ویروس به‌روز اسکن کنید تا مطمئن شوید هکر هیچ دسترسی پنهانی به دستگاه شما ندارد.

۵. گزارش به مراجع قانونی (پلیس فتا)

اگر مبلغی از حساب شما کسر شده یا اطلاعات حساسی به سرقت رفته، حتماً موضوع را پیگیری کنید. مستندات (اسکرین‌شات پیامک، آدرس سایت جعلی و پرینت حساب) را جمع‌آوری کرده و به پلیس فتا (شماره ۰۹۶۳۸۰) گزارش دهید.

مجازات فیشینگ در ایران چیست؟

بسیاری از کاربران می‌پرسند که مجازات فیشینگ در ایران چیست و قانون چه برخوردی با کلاهبرداران اینترنتی دارد؟ طبق قانون جرایم رایانه‌ای (مواد ۱ و ۱۳) و قانون مجازات اسلامی (مواد ۷۴۰ و ۷۴۱)، فیشینگ جرم محسوب شده و مجرم علاوه بر اینکه باید پول‌های دزدیده شده را به صاحبش برگرداند (رد مال)، به حبس و جریمه نقدی نیز محکوم می‌شود.

جمع‌بندی

در این مقاله آموختیم که فیشینگ (Phishing) نه یک باگ نرم‌افزاری، بلکه یک ترفند روانشناختی برای فریب دادن کاربران است. هکرها و فیشرها همیشه در کمین هستند تا با وعده‌های دروغین (مثل برنده شدن در قرعه‌کشی) یا ایجاد ترس (مثل قطع یارانه و حکم جلب)، «قفل هوشیاری» شما را بشکنند.

به یاد داشته باشید، در دنیای دیجیتال، شما «فایروال انسانی» (Human Firewall) هستید. هیچ آنتی‌ویروسی به اندازه شک کردنِ به موقعِ شما قدرتمند نیست. امنیت اطلاعات شما، با یک کلیکِ اشتباه به خطر می‌افتد و با یک لحظه مکث و بررسی، تضمین می‌شود.

سوالات متداول درباره فیشینگ (FAQ)