حملات فیشینگ (Phishing)

حملات فیشینگ (Phishing) عبارت است از ترغیب کاربران به افشای اطلاعات محرمانه شخصی با استفاده از هویت‌های قلابی و ساختگی. به منظور تدارك و یا برنامه‌ریزی یك تهاجم از نوع حملات مهندسی اجتماعی، یك مهاجم با برقراری ارتباط با كاربران و استفاده از مهارت‌های اجتماعی خاص (روابط عمومی‌مناسب، ظاهری آراسته و...)، سعی می‌نماید به اطلاعات حساس یك سازمان و یا كامپیوتر شما دستیابی و یا به آنان آسیب رساند.

حملات فیشینگ معمولاً در قالب‌های زیر ظاهر می‌شوند:

  • ایمیل از سمت فردی که ادعا می کند مدیر سیستم یا پرسنل مرکز فناوری اطلاعات و ارتباطات است.
  • ایمیل از طرف فردی که ادعا می‌کند دوست یا همکار شما است.
  • وب‌سایتی با نامی مشابه وب‌سایت‌هایی که شما متناوباً به آن‌ها سر می‌زنید.
  • در برنامه‌های پیغام فوری مانند یاهو مسنجر

توجه: در صورتیکه قبلا اطلاعاتی را برای این افراد فرستاده اید در اسرع وقت کلمه عبور (پسورد) خود را تغییر دهید.

این حملات شکل‌هایی نظیر درخواست اطلاعات از سوی بانکی قلابی، اعلام برنده‌شدن شما در قرعه‌کشی و یا پیغامی از طرف شبکه‌‌های اجتماعی به خود می‌گیرند. ایمیل‌های فیشینگ معمولاً دارای لوگوها و تیترهای رسمی از بانک‌ها یا موسسات مالی معتبر هستند و حاوی درخواست ارائه اطلاعات شخصی و حساس هستند. سازندگان این ایمیل‌ها معمولاً برای رسمی جلوه‌دادن بیشتر فعالیت‌‌های خود، لینکی از سایتی با ظاهری آراسته و رسمی به ایمیل‌های خود اضافه می‌کنند.

نحوه پیشگیری از حملات مهندسی اجتماعی و كلاهبرداری

توجه: پرسنل مرکز فناوری اطلاعات و ارتباطات تحت هیچ شرایطی درخواست ارسال کلمه عبور (پسورد) و هرگونه اطلاعات شخصی دیگر را از شما نمی کنند. به محض دریافت چنین نامه هایی حتما آدرس email فرستنده را چک نمایید. این نامه ها اغلب از آدرسهای خارج از دانشگاه می باشند که بدیهی است نمی تواند از طرف مرکز فناوری اطلاعات و ارتباطات و یا پرسنل مرکز باشد.

  • آدرس email خود را در شبکه های عمومی انتشار ندهید و در صورت قرار دادن آن بر روی وب سایت خود به جای شکل user@iust.ac.ir به صورت user [at] iust.ac.ir یا شکلهای دیگر استفاده نمایید تا جمع آوری نرم افزاری آدرسهای email شما از صفحات وب برای مقاصد سوء امکانپذیر نباشد.
  • به  نامه‌های الكترونیكی كه عموما ناخواسته بوده و در آنان از شما درخواست اطلاعاتی خاص در مورد كاركنان و یا سایر اطلاعات شخصی می‌گردد، مشكوك بوده و با دیده سوء ظن به آنان نگاه كنید. در صورتی كه یك فرد ناشناس ادعا می‌نماید كه از یك سازمان معتبر است، سعی نمایید با سازمان مورد ادعای وی تماس گرفته و نسبت به هویت وی كسب تكلیف كنید.
  •  هرگز اطلاعات شخصی و یا اطلاعات مربوط به سازمان خود را (مثلا ساختار و یا شبكه‌ها) در اختیار دیگران قرار ندهید، مگر این كه اطمینان حاصل گردد كه فرد متقاضی مجور لازم به منظور دستیابی به اطلاعات درخواستی را دارا می‌باشد . هرگز اطلاعات شخصی و یا مالی خود را در یكemailافشا نكرده و به نامه‌های الكترونیكی ناخواسته‌ای كه درخواست این نوع اطلاعات را از شما می‌نمایند، پاسخ ندهید (به لینك‌های موجود در این‌گونه نامه‌های الكترونیكی ناخواسته نیز توجهی نداشته باشید).
  • هرگز اطلاعات حساس و مهم شخصی خود و یا سازمان خود را بر روی اینترنت ارسال ننمایید. قبل از ارسال این‌گونه اطلاعات حساس، می‌بایست Privacy وب سایت مورد نظر به دقت مطالعه شده تا مشخص شود كه اهداف آنان از جمع آوری اطلاعات شخصی شما چیست و نحوه برخورد آنان با اطلاعات به چه صورت است ؟
  • در صورت عدم اطمینان از معتبر بودن یك Email دریافتی، سعی نمایید با برقراری تماس مستقیم با سازمان ارسال کننده نسبت به هویت آن اطمینان حاصل نمایید. از اطلاعات موجود بر روی یك سایت مخرب به منظور تماس با آنان استفاده ننمایید چرا كه این اطلاعات می‌تواند شما را به مسیری دیگر هدایت نماید كه صرفا اهداف مهاجمان را تامین نماید.

تماس با مرکز

  • نشانی : ايران، تهران، ميدان رسالت، خیابان هنگام، خیابان دانشگاه، دانشگاه علم و صنعت ايران
  • پاسخگویی مشکلات: تلفن مستقیم ۷۳۲۲۵۹۵۹ ۹۸۲۱+ تلفن داخلی ۵۹۵۹
  • فکس: ۷۳۰۲۱۲۰۰ ۹۸۲۱+
  • ایمیل: its [at] iust.ac.ir
  • سیستم پشتیبانی: http://support.iust.ac.ir