بلاگ

هر زمان ازتان خواستند به سرویس آنلاین لاگین کنید، هویت‌تان را احراز یا داکیومنتی را از طریق لینکی دانلود نمایید معمولاً می‌خواهند نام کاربری و پسورد خود را بزنید. این کار چنان رایج شده که گاهی بدون اینکه مجدداً فکر کنیم، به صورت خودجوش و خودکار انجامش می‌دهیم. اما اسکمرها می‌توانند با تقلید از فرم لاگین سرویس روی وبسایت (طرف‌سوم) خود، فریب‌تان دهند تا پسورد ایمیل، وبسایت‌های سرویس دولتی، سرویس‌های بانکی یا شبکه‌های اجتماعی را وارد کنید. گول‌شان را نخورید: فقط خود سرویس ایمیل می‌تواند از شما بخواهد پسورد ایمیل‌تان را احراز کنید و نه هیچ سرویس دیگری! این برای سرویس‌های دولتی، بانک‌ها و شبکه‌های اجتماعی نیز صادق است. برای اینکه قربانی چنین کلاهبرداری‌ای نشوید هر بار که پسورد را وارد می‌کنید، لحظه‌ای به این فکر کنید دارید دقیقاً کجا لاگین می‌کنید و کدام پنجره دارد از شما اطلاعات محرمانه می‌خواهد. سه سناریو محتمل وجود دارد: دو سناریو امن هستند و یکی کلاهبرداری.

سناریوهای فیک برای وارد کردن پسوردها

1.      لاگین کردن به ایمیل، شبکه اجتماعی یا سرویس آنلاین از طریق وبسایت رسمی. این ساده‌ترین سناریو است اما باید مطمئن شوید روی سایت قانونی‌ای قرار دارید که هیچ خطایی در یوآرال آن وجود ندارد. اگر با کلیک روی لینکی در ایمیل یا از نتایج سرچ به سرویس آنلاین دسترسی دارید پیش از اینکه پسورد خود را وارد کنید به دقت نوار آدرس مرورگر را بررسی کنید. مطمئن شوید هر دو نام سرویس و نوار آدرس درست هستند و با همدیگر تطابق دارند. چرا هر ثانیه بیشتر دقت برای چک کردن، اهمیت دارد؟ چون ساختن کپی‌های فیشینگ از سایت‌های قانونی شده بازی مورد علاقه‌ی اسکمرها! آدرس سایت فیشینگ شاید تقریباً عین اصلی‌اش باشد و تنها فرقشان در یک یا دو حرف باشد (برای مثال شاید به جای i حرف I را بگذارند) یا محدوده دامنه‌ی دیگری را استفاده کنند. همچنین خیلی ساده است که لینکی بسازند که شبیه سایت اورجینال است اما در واقع شما را جای دیگری قرار است ببرد.
2.      لاگین به سایت با استفاده از سرویس کمکی. این راه آسانی است برای لاگین بدون ایجاد پسورد اضافه و عموماً برای سرویس‌های ذخیره فایل، ابزارهای مشارکتی و غیره. سرویس‌های کمکی معمولاً ارائه‌دهندگان بزرگ ایمیل یا سایت‌های سرویس دولتی هستند. دکمه لاگین ممکن است چیزهای این‌چنینی بگوید: «با گوگل ادامه دهید»، «با فیسبوک ادامه دهید»، «با اپل ادامه دهید» و غیره. وقتی روی دکمه زدید، پنجره دیگری باز می‌شود که به سرویس کمکی تعلق دارد (گوگل، فیسبوک، اپل و غیره). ساز و کارش چنین است: سرویس خارجی هویت شما را تأیید نموده و این موضوع را به سایتی که وارد آن می‌شوید اطلاع می‌دهد. بررسی آدرس‌ها در هر دو پنجره بسیار مهم است: مطمئن شوید که پنجره بازشوی که رمز عبور شما را می‌خواهد واقعاً متعلق به سرویس کمکی مورد انتظار شما (گوگل، فیس‌بوک، اپل و غیره) باشد و پنجره اصلی واقعاً متعلق به مشروع باشد. سایتی که می خواهید وارد آن شوید. در بسیاری از موارد، پنجره پاپ آپ همچنین نشان می‌دهد که به کدام سایت وارد خواهید شد.  این مکانیزم خدمات کمکی به شما امکان می‌دهد بدون اینکه هرگز رمز عبور شما را ببیند وارد سایت مورد نظر شوید. تأیید رمز عبور در کنار سرویس کمکی (گوگل، فیس بوک، اپل و غیره) انجام می‌شود. متخصصین فناوری اطلاعات این روش ورود به سیستم را یک ثبت نام SSO) ) می‌نامند.

و حالا سناریوی کلاهبرداری (سناریوی سوم): سرقت پسورد

شما لینک لاگین، ایمیل یا پیامی دریافت می‌کنید، رویش کلیک کرده یا به سایتی می‌روید که به شدت به ایمیل قانونی، شبکه‌اجتماعی، اشتراک‌گذاری فایل یا سرویس امضای دیجیتال قانونی شباهت دارد. این سایت از شما می‌خواهد برای احراز هویت خود لاگین کنید. برای این منظور، از شما خواسته می‌شود ایمیل و پسورد ایمیل، سرویس‌های دولتی یا سرویس بانکداری و شبکه اجتماعی خود را مستقیم روی این سایت وارد کنید. در این سناریو، یا هیچ پنجره پاپ آپی از یک سرویس قانونی وجود ندارد (مانند مورد قبلی)، یا پنجره اضافی نیز متعلق به یک سایت طرف‌سوم است. این یک کلاهبرداری است که برای سرقت شما طراحی شده است. پسورد اکانت! به یاد داشته باشید، یک سایت طرف‌سوم نمی‌تواند رمز عبور شما را تأیید کند – آن را نمی‌داند، و رمز عبور هرگز بین سایت‌ها به اشتراک گذاشته نمی‌شود.

راهکارهای امنیتی

•         آدرس سایت درخواست‌کننده رمز عبور خود را به دقت بررسی کنید.
•         فقط یک رمز عبور برای یک سرویس در وبسایت رسمی آن سرویس وارد کنید – و نه هیچ جای دیگری.
•         گاهی اوقات یک پنجره جداگانه برای وارد کردن رمز عبور ظاهر می‌شود. مطمئن شوید که این پنجره یک پنجره معمولی مرورگر است که می‌توانید نوار آدرس را ببینید و آدرس را تأیید کنید.
•         کلاهبرداران می توانند سایت هایی شبیه به آدرس‌هایی ایجاد کنند که تشخیص آنها از آدرس‌های واقعی دشوار است. برای جلوگیری از افتادن در چنین دامی، از محافظت قابل اعتماد ضد فیشینگ در همه دستگاه‌ها و پلت‌فرم‌ها استفاده کنید. ما Kaspersky Premium را توصیه می‌کنیم، برنده آزمایش ضد فیشینگ در سال 2024.
•         یک روش حفاظتی پیشرفته این است که از یک مدیر رمز عبور برای همه حساب‌های خود استفاده کنید. آدرس واقعی صفحه را تأیید نموده و هرگز اعتبار شما را در یک سایت ناآشنا هر قدر هم که قانع‌کننده به نظر برسد وارد نمی‌کند.

آبادیس (نمایندگی فروش محصولات کسپرسکی)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.