فیشینگ در عمل به صورت کپی دقیق رابط گرافیکی یک وب سایت معتبر مانند بانک های آنلاین
انجام می شود. ابتدا کاربر از طریق ایمیل و یا آگهی های تبلبیغاتی سایتهای دیگر، به این صفحه قلابی
راهنمایی می شود. سپس از کاربر درخواست می شود تا اطلاعاتی را که می تواند مانند اطلاعات کارت
اعتباری مهم و حساس باشد، انجا وارد کند. در صورت گمراه شدن کاربر و وارد کردن اطلاعت خود،
فیشرها به اطلاعات شخص دسترسی می یابند. از جمله سایت های هدف این کار می توان سایت های
و بانک های انلاین را نام برد. PayPal ،eBay
تکنیک های مورد استفاده در فیشینگ
دستکاری پیوند
در این تکنیک برای گمراه کردن کاربر از اسامی معتبری در ادرس استفاده می شود مانند استفاده از
هدایت phisher که در واقع کاربر را به سایت ، www.gmail.phisher.com در gmail زیر دامنه اشنای
که در واقع www.google.com@members.tripod.com می کند و یا استفاده از حرف @، مثلاً در
هدایت می کند و نه گوگل. members.tripod.com کاربر را به سایت
گریز از فیلتر ها
فیشر ها برای جلوگیری از شناسایی متن های متداول فیشینگ در ایمیل توسط فیلترهای ضد-
فیشینگ از عکس به جای نوشته استفاده می کنند.
جعل وب گاه
برخی از فیشرها از جاوااسکریپت برای تغییر ادرس در نوار ادرس مرورگر استفاده می کنند تا هیچ
جای شکی برای قربانی نماند. یک مهاجم حتی می تواند از ایراد های موجود در اسکریپت های یک
گفته می شود. در cross-site scripting سایت معتبر نیز علیه خودش استفاده کند. به این نوع حمله
این مورد از کاربر خواسته می شود تا در بانک خودش لاگین کند. ظاهراً همه چیز عادی است از ادرس
اما در واقعیت، پیوند به ان وب گاه . (security certificates) و بگاه گرفته تا گواهینامه امنیتی
دستکاری می شود تا با استفاده از عیب های موجود در اسکریپت های ان وب گاه ، حمله انجام شود. با
این حال این روش نیازمند دانش و اگاهی بالایی است. از این روش در سال 2006 برای حمله به
استفاده شد. PayPal و بگاه
-4-2-3 فیشینگ تلفنی
تمام حملات فیشینگ نیازمند وب گاه قلابی نیست. پیامهایی که ظاهراً از طرف بانک فرستاده شده و از
کاربر می خواهد تا مثلاً به دلیل وجود ایراد در حسابشان، شماره خاصی را شماره گیری کنند، نیز می
تواند حمله فیشینگ باشد. بعد از گرفتن شماره (که متعلق به فیشر است و با سرویس صدا از طریق آی
خود را وارد کند. (PIN) پی محیا شده است) ، از کاربر خواسته می شود تا شماره حساب و پین
-5-2-3 تمرکز بر روی کاربر خاص
یکی از این روشهای فیشینگ، متمرکز شدن بر یک کاربر خاص یا یک حوزه خاص در یک تشکیلات
است. نامه جعلی ظاهرا بدون هیچ مورد غیر قانونی است وا ز او کمک میخواهد و خواسته است تا او رمز
خود را ارسال کند و طوری نوشته شده است که گویا خشص فرستنده تنها به ID یا رمزهای عبور و یا
شخص گیرنده این درخواست را فرستاده است.
این روش با بهره بردن از ذکر نام یک شخص حقیقی به جای یک سیستم پشتیبانی، اعتماد بیشتری را
جلب میکند و گاهی از کاربر میخواهد که بهد لیل خاصی اطلاعات خود را به روز درآورده یا صحت آنها
را بررسی کند .به این ترتیب جاعلان و سوء استفاده گران وارد سیستم امن شبکه یک شرکت میشوند.
-6-2-3 نرم افزارهای جاسوسی
یک روشی که آخرین بار برای کاربران وبسایت گوگل اتفاق افتاد این بود که به وسیله و ترفند مختلف
را وارد سیستم میکند .ا ین spyware مانند کلیک کردن بر روی یک لینک، نرم افزارهای جاسوسی
جاسوس افزار که در قالب یک کد مخرب است هیچ تخریب یا عمل دیگری انجام نمی دهد .ا ما
ر ج می کند ؛ این نرم hدttp://www.google.com هنگامی که کاربر آدرس یک وبسایت مانند گوگل
افزار به کار افتاده و کاربر را به صورت خودکار به یک وبسایت جعلی که مانند گوگل هست هدایت می
کند حال شما می خواهید پست الکترونیکی خود در جی میل چک کنید وارد باکس جی میل البته در
وبسایت جعلی شده و با وارد کردن پسورد و ش ناسه کاربری ؛شما پسورد وشناسه کاربری اصلی گوگل
خود را از دست می دهید یا در مواردی گوگل جعلی از شما می خواهد که مشخصات یک فرم را پر
کنید ، و اینگونه بدون هیچ مشکلی فیشینگ می شود
منو
