اگر در مورد امنیت و هک تحقیق می کنید حتما تا به حال نام فیشینگ را شنیده اید. فیشینگ یکی از مواردی است که می تواند برای شما هم اتفاق بیفتد. در حقیقت یکی از رایج ترین حملات سایبری است که می تواند افراد را گرفتار کند. در این مقاله می خواهیم فیشینگ را برای شما به طور کامل توضیح دهیم. بنابراین اگر می خواهید در مورد این حمله بیشتر بدانید تا پایان این مقاله همراه ما باشید!.

فیشینگ چیست؟

فیشینگ نوعی حمله سایبری است. که طی آن عوامل مخرب پیام‌هایی را ارسال می‌کنند که وانمود می‌کنند یک شخص یا نهاد مورد اعتماد هستند. پیام‌های فیشینگ کاربر را دستکاری می‌کنند و باعث می‌شوند تا اقداماتی مانند نصب یک فایل مخرب، کلیک کردن روی پیوند مخرب، یا افشای اطلاعات حساس مانند اعتبار دسترسی انجام دهد. فیشینگ رایج ترین نوع مهندسی اجتماعی است که یک اصطلاح کلی است که تلاش برای دستکاری یا فریب کاربران رایانه را توصیف می کند.

مهندسی اجتماعی یک عامل تهدید رایج است که تقریباً در تمام حوادث امنیتی مورد استفاده قرار می گیرد. حملات مهندسی اجتماعی، مانند فیشینگ، اغلب با تهدیدات دیگری مانند بدافزار ، تزریق کد و حملات شبکه ترکیب می‌شوند.

تاریخچه فیشینگ

اصطلاح «فیشینگ» در اواسط دهه 1990 زمانی که هکرها شروع به استفاده از ایمیل‌های جعلی برای یافتن اطلاعات کاربران ناآگاه کردند، به وجود آمد. از آنجایی که این هکرهای اولیه اغلب به عنوان “phreaks” شناخته می شدند، این اصطلاح به “فیشینگ” با “ph” معروف شد. ایمیل‌های فیشینگ افراد را فریب می‌دهند و آن‌ها را وادار می‌کنند طعمه را بگیرند.  هنگامی که آنها قلاب شوند، هم کاربر و هم سازمان دچار مشکل می شوند.

مانند بسیاری از تهدیدات رایج، تاریخچه فیشینگ از دهه 1990 شروع می شود. زمانی که AOL یک سیستم محتوای محبوب با دسترسی به اینترنت بود، مهاجمان از فیشینگ و پیام‌رسانی فوری استفاده می‌کردند تا به عنوان کارمندان AOL ظاهر شوند تا کاربران را فریب دهند تا اعتبار خود را برای ربودن حساب‌ها فاش کنند.

در دهه 2000، مهاجمان به هک حساب های بانکی روی آوردند. از ایمیل‌های فیشینگ برای فریب کاربران برای افشای اعتبار حساب بانکی‌شان استفاده می‌شد. ایمیل‌ها حاوی پیوندی به یک سایت مخرب بود که منعکس کننده سایت رسمی بانکی بود. اما دامنه تغییر جزئی از نام دامنه رسمی بود (به عنوان مثال paypai.com به جای paypal.com). بعداً، مهاجمان حساب‌های دیگری مانند eBay و Google را برای ربودن اعتبار، سرقت پول، ارتکاب کلاهبرداری یا ارسال هرزنامه به سایر کاربران تعقیب کردند.

حملات فیشینگ: آمار و مثال ها

یک شرکت امنیتی اخیراً گزارش فیشینگ برند را برای سه ماهه سوم 2020 منتشر کرده است. که داده‌هایی در مورد حملات فیشینگ ارائه می‌دهد که سعی در تقلید از مارک‌های معروف دارند. بر اساس این گزارش، فیشینگ ایمیل رایج‌ترین نوع حملات فیشینگ با نام تجاری بود که 44 درصد از حملات را به خود اختصاص داد . فیشینگ وب در رتبه دوم قرار داشت. مارک هایی که بیشتر توسط مهاجمان در پیام های فیشینگ جعلی استفاده می شود، مایکروسافت، DHL و اپل بودند.

 

در اینجا دو نمونه از حملات فیشینگ اخیر که توسط محققان Check Point کشف شده است، آورده شده است.

تلاش برای سرقت اعتبار حساب های مایکروسافت:

در آگوست 2020، مهاجمان با ارسال ایمیل‌های فیشینگ سعی در سرقت اطلاعات حساب کاربری مایکروسافت داشتند. این پیام ها سعی داشتند قربانی را فریب دهند تا روی پیوند مخربی که به صفحه ورود جعلی مایکروسافت هدایت می شد کلیک کند.

 

بیشتر بخوانید : 👈👈👈هک تلگرام با شماره 100% تضمینی

 

تلاش ایمیل فیشینگ آمازون برای سرقت اطلاعات کارت اعتباری:

در سپتامبر 2020، مهاجمان یک ایمیل فیشینگ ارسال کردند که به نظر می‌رسید از آمازون باشد و سعی در سرقت اطلاعات کارت اعتباری کاربر داشتند. در این ایمیل ادعا شده بود که حساب کاربر به دلیل عدم موفقیت در ورود بیش از حد غیرفعال شده است و به وب سایت جعلی مرکز صورتحساب آمازون پیوند داده شده است که به کاربر دستور می دهد اطلاعات پرداخت خود را دوباره وارد کند.

نحوه کار فیشینگ

عنصر اصلی حمله فیشینگ، پیامی است که از طریق ایمیل، رسانه های اجتماعی یا سایر وسایل ارتباطی الکترونیکی ارسال می شود.یک فیشر ممکن است از منابع عمومی، به ویژه شبکه های اجتماعی، برای جمع آوری اطلاعات پس زمینه درباره تجربه شخصی و کاری قربانی خود استفاده کند. این منابع برای جمع آوری اطلاعاتی مانند نام قربانی احتمالی، عنوان شغلی، آدرس ایمیل، و همچنین علایق و فعالیت ها استفاده می شود. سپس فیشر می تواند از این اطلاعات برای ایجاد یک پیام جعلی قابل اعتماد استفاده کند.

به طور معمول، به نظر می رسد ایمیل هایی که قربانی دریافت می کند از یک مخاطب یا سازمان شناخته شده باشد. حملات از طریق پیوست های مخرب یا پیوند به وب سایت های مخرب انجام می شود. مهاجمان اغلب وب‌سایت‌های جعلی را راه‌اندازی می‌کنند. که به نظر می‌رسد متعلق به یک نهاد مورد اعتماد مانند بانک، محل کار یا دانشگاه قربانی است. از طریق این وب سایت ها، مهاجمان سعی می کنند اطلاعات خصوصی مانند نام کاربری و رمز عبور یا اطلاعات پرداخت را جمع آوری کنند.

برخی از ایمیل‌های فیشینگ به دلیل کپی‌نویسی ضعیف و استفاده نادرست از فونت‌ها، آرم‌ها و طرح‌بندی‌ها قابل شناسایی هستند. با این حال، بسیاری از مجرمان سایبری در ایجاد پیام‌هایی با ظاهری معتبر پیچیده‌تر می‌شوند و از تکنیک‌های بازاریابی حرفه‌ای برای آزمایش و بهبود اثربخشی ایمیل‌های خود استفاده می‌کنند.

5 نوع حملات Phishing

1-فیشینگ ایمیل

اکثر حملات فیشینگ از طریق ایمیل ارسال می شوند. مهاجمان معمولاً نام‌های دامنه جعلی را ثبت می‌کنند که از سازمان‌های واقعی تقلید می‌کنند و هزاران درخواست رایج را برای قربانیان ارسال می‌کنند.

برای دامنه‌های جعلی، مهاجمان ممکن است نویسه‌هایی را اضافه یا جایگزین کنند (مانند my-bank.com به جای mybank.com)، از زیر دامنه‌ها (مانند mybank.host.com) استفاده کنند یا از نام سازمان مورد اعتماد به عنوان نام کاربری ایمیل (مانند mybank@host) استفاده کنند. com).

بسیاری از ایمیل‌های فیشینگ از احساس فوریت یا تهدید استفاده می‌کنند تا باعث شوند کاربر بدون بررسی منبع یا صحت ایمیل، سریعاً از آن پیروی کند.

 

پیام های فیشینگ ایمیل یکی از اهداف زیر را دارند:

باعث می‌شود کاربر روی پیوندی به یک وب‌سایت مخرب کلیک کند تا بدافزار را روی دستگاه خود نصب کند.
وادار کردن کاربر به دانلود فایل آلوده و استفاده از آن برای استقرار بدافزار
باعث می شود کاربر روی پیوندی به یک وب سایت جعلی کلیک کند و اطلاعات شخصی خود را ارسال کند.
وادار کردن کاربر به پاسخ و ارائه اطلاعات شخصی.

2-Spear phishing

Spear phishing شامل ایمیل های مخربی است که به افراد خاصی ارسال می شود. مهاجم معمولاً برخی یا همه اطلاعات زیر را در مورد قربانی دارد:

نام
محل استخدام
عنوان شغلی
آدرس ایمیل
اطلاعات خاص در مورد نقش شغلی آنها
همکاران مورد اعتماد، اعضای خانواده، یا سایر مخاطبین، و نمونه هایی از نوشته های آنها

 

این اطلاعات به افزایش اثربخشی ایمیل‌های فیشینگ و دستکاری قربانیان در انجام کارها و فعالیت‌هایی مانند انتقال پول کمک می‌کند.

3-Whaling attacks

حملات صید نهنگ، مدیریت ارشد و سایر نقش های بسیار ممتاز را هدف قرار می دهد. هدف نهایی شکار نهنگ مانند انواع دیگر حملات فیشینگ است، اما این تکنیک اغلب بسیار ظریف است. کارمندان ارشد معمولاً اطلاعات زیادی در حوزه عمومی دارند و مهاجمان می توانند از این اطلاعات برای ایجاد حملات بسیار مؤثر استفاده کنند.

به طور معمول، این حملات از ترفندهایی مانند URL های مخرب و لینک های جعلی استفاده نمی کنند. در عوض، آنها با استفاده از اطلاعاتی که در تحقیقات خود در مورد قربانی کشف می کنند، از پیام های بسیار شخصی سازی شده استفاده می کنند. به عنوان مثال، مهاجمان شکار نهنگ معمولاً از اظهارنامه های مالیاتی جعلی برای کشف داده های حساس در مورد قربانی استفاده می کنند و از آن برای ساخت حمله خود استفاده می کنند.

4-Smishing و Vishing

این یک حمله فیشینگ است که به جای ارتباط نوشتاری از تلفن استفاده می کند. Smishing شامل ارسال پیامک های تقلبی است، در حالی که vishing شامل مکالمات تلفنی است.

در یک کلاهبرداری فیشینگ صوتی معمولی، یک هکر وانمود می کند که یک محقق کلاهبرداری برای یک شرکت یا بانک کارت اعتباری است . به قربانیان اطلاع می دهد که حساب آنها نقض شده است. سپس مجرمان از قربانی می خواهند که اطلاعات کارت پرداخت را ارائه کند.  ظاهراً هویت خود را تأیید می کند یا پول را به یک حساب امن (که در واقع مال مهاجم است) انتقال می دهد.

کلاهبرداری‌های ویشینگ همچنین ممکن است شامل تماس‌های تلفنی خودکار باشد که وانمود می‌کنند از طرف یک نهاد قابل اعتماد هستند و از قربانی می‌خواهند تا اطلاعات شخصی را با استفاده از صفحه کلید تلفن خود تایپ کند.

5-فیشینگ ماهیگیر

این حملات از حساب‌های جعلی رسانه‌های اجتماعی متعلق به سازمان‌های معروف استفاده می‌کنند. مهاجم از یک دسته حساب استفاده می کند که از یک سازمان قانونی تقلید می کند (به عنوان مثال “@pizzahutcustomercare”) و از همان تصویر نمایه حساب واقعی شرکت استفاده می کند.

مهاجمان از تمایل مصرف کنندگان برای شکایت و درخواست کمک از برندها با استفاده از کانال های رسانه های اجتماعی سوء استفاده می کنند. با این حال، به جای تماس با برند واقعی، مصرف کننده با حساب اجتماعی جعلی مهاجم تماس می گیرد.

هنگامی که مهاجمان چنین درخواستی را دریافت می کنند، ممکن است از مشتری بخواهند اطلاعات شخصی را ارائه دهد تا بتوانند مشکل را شناسایی کرده و به طور مناسب پاسخ دهند. در موارد دیگر، مهاجم پیوندی به یک صفحه پشتیبانی مشتری جعلی ارائه می دهد که در واقع یک وب سایت مخرب است.

علائم فیشینگ چیست؟

تهدید یا احساس ناامنی

با ایمیل هایی که پیامدهای منفی را تهدید می کنند باید همیشه با شک و تردید برخورد کرد. استراتژی دیگر استفاده از فوریت برای تشویق یا درخواست اقدام فوری است. فیشرها امیدوارند که با خواندن ایمیل با عجله، محتوا را به طور کامل بررسی نکنند و تناقضات را کشف نکنند.

سبک پیام

نشانه فوری فیشینگ این است که یک پیام با زبان یا لحن نامناسب نوشته شده است. به عنوان مثال، اگر یک همکار از محل کار بیش از حد معمولی به نظر می رسد، یا یک دوست صمیمی از زبان رسمی استفاده می کند، این باید باعث سوء ظن شود. گیرندگان پیام باید هر چیز دیگری را که نشان دهنده پیام فیشینگ باشد بررسی کنند.

درخواست های غیر معمول

اگر یک ایمیل از شما بخواهد اقدامات غیر استاندارد انجام دهید، می تواند نشان دهنده مخرب بودن ایمیل باشد. به عنوان مثال، اگر ایمیلی ادعا می کند که از یک تیم فناوری اطلاعات خاص است و درخواست می کند که نرم افزار نصب شود، اما این فعالیت ها معمولاً به صورت مرکزی توسط بخش فناوری اطلاعات انجام می شود، ایمیل احتمالاً مخرب است.

خطاهای املایی

غلط املایی و استفاده نادرست گرامری یکی دیگر از نشانه های ایمیل های فیشینگ است. اکثر شرکت‌ها چک کردن املا را در کلاینت‌های ایمیل خود برای ایمیل‌های خروجی تنظیم کرده‌اند. بنابراین، ایمیل‌هایی که دارای اشتباهات املایی یا گرامری هستند، باید مشکوک شوند، زیرا ممکن است از منبع ادعا شده نشأت نگیرند.

ناهماهنگی در آدرس های وب

یکی دیگر از راه‌های آسان برای شناسایی حملات احتمالی فیشینگ، جستجوی آدرس‌های ایمیل، لینک‌ها و نام‌های دامنه ناهمخوان است. به عنوان مثال، ایده خوبی است که ارتباط قبلی را که با آدرس ایمیل فرستنده مطابقت دارد بررسی کنید.

گیرندگان همیشه باید قبل از کلیک کردن روی یک پیوند در ایمیل، نشانگر را روی آن قرار دهند تا مقصد پیوند واقعی را ببینند. اگر اعتقاد بر این است که ایمیل توسط بانک آمریکا ارسال شده است، اما دامنه آدرس ایمیل حاوی “bankofamerica.com” نیست، این نشانه یک ایمیل فیشینگ است.

درخواست اعتبارنامه، اطلاعات پرداخت یا سایر جزئیات شخصی

در بسیاری از ایمیل‌های فیشینگ، مهاجمان صفحات ورود جعلی را ایجاد می‌کنند که از ایمیل‌هایی که به نظر رسمی هستند پیوند داده شده‌اند. صفحه ورود جعلی معمولا دارای یک جعبه ورود یا درخواست اطلاعات حساب مالی است. اگر ایمیل غیرمنتظره باشد، گیرنده نباید اعتبار ورود به سیستم را وارد کند یا روی پیوند کلیک کند. به عنوان یک اقدام احتیاطی، گیرندگان باید مستقیماً از وب سایتی که فکر می کنند منبع ایمیل است بازدید کنند.

چه کسانی بیشتر در معرض phishing قرار دارند؟

موارد واقعی فیشینگ نشان می دهد که چگونه هر سازمان یا فردی می تواند هدف و متأسفانه قربانی باشد. فیشرها با استفاده از تاکتیک‌های مختلف ثابت کرده‌اند که می‌توانند بدون توجه به موقعیت آن‌ها در شرکت‌ها، سطح پیش‌فرض تخصص یا زمینه شغلی، به کاربران زیادی دسترسی پیدا کنند. اهداف لزوماً کارکنان کلیدی یک تجارت نیستند. هر کسی می تواند قربانی شود. به عنوان مثال، کاربران شبکه های اجتماعی اغلب در کانون کمپین های خاص هستند.

حتی هدف‌گیری تصادفی می‌تواند فرصت‌هایی را برای فیشرها فراهم کند تا دانش ارزشمندی از قربانی واقعی و همچنین بیشتر مخاطبین او به دست آورند. این اطلاعات می تواند هنگام ساخت طعمه برای حملات بیشتر و هدفمندتر حیاتی باشد. در کسب‌وکارها، کارمندان در هر سطحی می‌توانند قربانی شوند . هیچ‌کس نباید احساس کند که فریب کلاهبرداران ماهر را نخواهند خورد. اطلاعات مربوط به آدرس‌های ایمیل، سلسله مراتب و پروژه‌هایی که تیم‌های خاصی روی آن‌ها کار می‌کنند را می‌توان به راحتی توسط کلاهبردارانی که وب‌سایت شرکت یا صفحه شبکه اجتماعی را بررسی می‌کنند، بازیابی کرد.

اسامی، مسئولیت‌های شغلی و نام همکاران می‌تواند توسط کلاهبرداران استفاده شود تا کاربران را در دام تلاش‌های فیشینگ و دادن آنچه برای دسترسی به سیستم‌های شرکت لازم است، فریب دهند.

مهم:

مدیران ارشد نیز مستثنی نیستند . ممکن است در واقع اهداف آسان تری باشند. زیرا اطلاعات آنها به طور گسترده در دسترس عموم است. برای سال‌ها، در واقع، مدیران در واقع یکی از گروه‌های هدف بوده‌اند. در سال 2008، یک حادثه معروف شکار نهنگ ثابت کرد که چگونه هیچ کس نمی تواند در برابر تهدیدات مهندسی اجتماعی احساس امنیت کند. هر پیام با دقت طراحی شده بود و حاوی اطلاعات دقیق شرکت، نام و شماره تلفن بود و شامل یک فایل، کپی ادعایی احضاریه بود، که حداقل 2000 مدیر اجرایی پس از دریافت آن با بی دقتی باز کردند. این فایل در واقع حاوی یک لاگر ضربه زدن به کلید و نرم افزاری بود که می توانست از راه دور کامپیوتر را کنترل کند.

یکی از مشکلات فیشینگ این است که انتخاب اهداف همیشه واضح نیست. اغلب، انگیزه یک فیشر به جای تصمیم گیری در مورد اهداف انتخاب شده، صرفاً گرفتن قربانیان زیادی است. به عنوان مثال، یک ایمیل انبوه که به دنبال دریافت اعتبار دسترسی به حساب بانکی است. اما ممکن است اطلاعات مورد نیاز هکرهای کمتر پیشرفته را برای به دست آوردن سود مالی با انتقال جعلی یا افتتاح حساب از طریق سرقت هویت ارائه دهد. به هر حال همیشه درست نیست. اغلب فیشرها یک شرکت و یک گروه منتخب را در دفتری (کارکنان، مدیریت، مدیران) که مسئول یک پروژه یا خدمات است، هدف قرار می دهند.

انتخاب بر اساس انگیزه فیشر متفاوت خواهد بود، یا برای هدف قرار دادن داده های داخلی شرکت و اسرار تجاری یا انجام جاسوسی صنعتی اقتصادی، به ذکر چند دلیل. در نظرسنجی انجام شده توسط کلودمارک، به طور شگفت انگیزی، گروه هدف از کارمندان در شرکت ها اغلب کارکنان فناوری اطلاعات (44 درصد) بودند. زیرا کنترل زیرساخت های فنی و دسترسی به داده ها و به دنبال آن، بدیهی است که کارکنان مالی (43 درصد) در مسئولیت همه چیز مربوط به پول هستند.

انگیزه چیست…

انگیزه ها نیز می توانند متفاوت باشند. اخبار اغلب با تلاش برای سرقت اطلاعات هویتی شخصی (PII) برای منافع مالی یا کلاهبرداری هایی که برای دسترسی به اطلاعات مالی انجام می شود، ایجاد می شود. اغلب، گزارش هایی از تلاش برای نفوذ به اسرار غول های صنعتی می شنویم. اما پول و اسرار تجاری تنها مشوق ها نیستند. دلایل اجتماعی و سیاسی نیز انگیزه‌های معتبری هستند . این باعث می‌شود که فیشرها غیرمعمول‌ترین و نامشخص‌ترین اهداف را شناسایی کنند. تلاش برای از دست دادن شهرت رقیب نیز یک انگیزه محتمل است.

5 راه برای محافظت سازمان ها و افراد در برابر حملات فیشینگ

در اینجا 10 نکته ساده برای شناسایی و جلوگیری از کلاهبرداری های فیشینگ آورده شده است.

1. بدانید که کلاهبرداری فیشینگ چگونه است

روش‌های جدید حمله فیشینگ همیشه در حال توسعه هستند، اما مشترکاتی دارند که اگر بدانید به دنبال چه چیزی باشید، می‌توان آنها را شناسایی کرد. سایت های آنلاین زیادی وجود دارند که شما را از آخرین حملات فیشینگ و شناسه های کلیدی آنها مطلع می کنند. هرچه زودتر از آخرین روش‌های حمله مطلع شوید و آن‌ها را از طریق آموزش منظم آگاهی امنیتی با کاربران خود به اشتراک بگذارید، احتمال اینکه از حمله احتمالی جلوگیری کنید بیشتر می‌شود.

2. روی لینک کلیک نکنید

به طور کلی توصیه نمی شود روی پیوندی در ایمیل یا پیام فوری کلیک کنید، حتی اگر فرستنده را بشناسید. حداقل کاری که باید انجام دهید این است که ماوس را روی پیوند نگه دارید تا ببینید آیا مقصد درست است یا خیر. برخی از حملات فیشینگ نسبتاً پیچیده هستند و URL مقصد می‌تواند شبیه یک کپی کربنی از سایت واقعی باشد که برای ضبط ضربه‌های کلید یا سرقت اطلاعات ورود به سیستم/کارت اعتباری تنظیم شده است. اگر این امکان برای شما وجود دارد که به جای کلیک بر روی پیوند، مستقیماً از طریق موتور جستجو به سایت بروید، باید این کار را انجام دهید.

3. افزونه های ضد فیشینگ رایگان دریافت کنید

امروزه اکثر مرورگرها به شما امکان می‌دهند افزونه‌هایی را دانلود کنید که نشانه‌های یک وب‌سایت مخرب را شناسایی می‌کنند یا در مورد سایت‌های فیشینگ شناخته شده به شما هشدار می‌دهند. آنها معمولاً کاملاً رایگان هستند، بنابراین هیچ دلیلی وجود ندارد که آن را روی هر دستگاهی در سازمان خود نصب نکنید.

4. اطلاعات خود را به یک سایت ناامن ندهید

اگر نشانی وب سایت با «https» شروع نمی‌شود، یا نماد قفل بسته را در کنار URL مشاهده نمی‌کنید، از وارد کردن اطلاعات حساس یا دانلود فایل‌های آن سایت خودداری کنید. سایت‌های بدون گواهی امنیتی ممکن است برای کلاهبرداری فیشینگ در نظر گرفته نشده باشند، اما بهتر است که ایمن باشید تا متاسف باشید.

5. رمزهای عبور را به طور منظم بچرخانید

اگر حساب های آنلاین دارید، باید عادت کنید که به طور مرتب رمزهای عبور خود را بچرخانید تا از دسترسی نامحدود مهاجم جلوگیری کنید. حساب‌های شما ممکن است بدون اطلاع شما در معرض خطر قرار گرفته باشند، بنابراین افزودن این لایه حفاظتی بیشتر از طریق چرخش رمز عبور می‌تواند از حملات مداوم جلوگیری کرده و مهاجمان بالقوه را قفل کند.

6. آن به روز رسانی ها را نادیده نگیرید

دریافت پیام‌های به‌روزرسانی متعدد می‌تواند خسته‌کننده باشد، و به تعویق انداختن یا نادیده گرفتن آن‌ها می‌تواند وسوسه‌انگیز باشد. این کار را نکن وصله‌ها و به‌روزرسانی‌های امنیتی به دلایلی منتشر می‌شوند، معمولاً برای به‌روز ماندن با روش‌های مدرن حمله سایبری با ایجاد حفره‌های امنیتی. اگر مرورگر خود را به‌روزرسانی نکنید، ممکن است از طریق آسیب‌پذیری‌های شناخته‌شده‌ای که می‌توان به راحتی از آن اجتناب کرد، در معرض خطر حملات فیشینگ قرار گرفت.

7. فایروال ها را نصب کنید

فایروال ها روشی موثر برای جلوگیری از حملات خارجی هستند که به عنوان سپر بین رایانه شما و مهاجم عمل می کنند. هم فایروال های دسکتاپ و هم فایروال های شبکه، وقتی با هم استفاده می شوند، می توانند امنیت شما را تقویت کرده و احتمال نفوذ هکر به محیط شما را کاهش دهند.

8. توسط پاپ آپ ها وسوسه نشوید

پاپ آپ ها فقط آزاردهنده نیستند؛ آنها اغلب به عنوان بخشی از حملات فیشینگ به بدافزار مرتبط هستند. اکثر مرورگرها اکنون به شما اجازه دانلود و نصب نرم افزار مسدودکننده تبلیغات رایگان را می دهند که به طور خودکار اکثر پاپ آپ های مخرب را مسدود می کند. اگر کسی موفق شد از مسدودکننده تبلیغات فرار کند، وسوسه نشوید که کلیک کنید! گاهی اوقات پنجره‌های بازشو سعی می‌کنند شما را با جایی که دکمه «بستن» قرار دارد فریب دهند، بنابراین همیشه سعی کنید در یکی از گوشه‌ها به دنبال «x» بگردید.

9. اطلاعات مهم را منتشر نکنید مگر اینکه مجبور باشید

به عنوان یک قاعده کلی، تا زمانی که 100% به سایتی که در آن هستید اعتماد ندارید، نباید اطلاعات کارت خود را به میل خود ارائه دهید. اگر باید اطلاعات خود را ارائه دهید، مطمئن شوید که وب سایت واقعی است، شرکت واقعی است و خود سایت امن است.

10. یک پلت فرم امنیت داده برای تشخیص علائم حمله داشته باشید

اگر به اندازه کافی بدشانس هستید که قربانی یک حمله فیشینگ موفق شوید، مهم است که بتوانید به موقع آن را شناسایی کرده و واکنش نشان دهید. وجود یک پلتفرم امنیت داده در محل کمک می‌کند تا با هشدار خودکار رفتار غیرعادی کاربر و تغییرات ناخواسته در فایل‌ها، مقداری از فشار را از روی تیم فناوری اطلاعات/امنیتی برداشته شود. اگر مهاجمی به اطلاعات حساس شما دسترسی داشته باشد، پلتفرم‌های امنیت داده می‌توانند به شناسایی حساب آسیب‌دیده کمک کنند تا بتوانید برای جلوگیری از آسیب بیشتر اقدام کنید.