Smishing ،Phishing و Vishing: تفاوت چیست

آیا تا به‌حال ایمیل‌ها، پیامک‌ها یا تماس‌های عجیب و غریبی دریافت کرده‌اید که درخواست پول یا اطلاعات شخصی‌تان را دارند؟ یا برای انجام کاری روی لینک‌های مبهم کلیک می‌کنید؟ این احتمال وجود دارد که یک کلاهبردار سعی کند با تکنیک‌های فیشینگ، ضربه زدن یا واشینگ شما را طعمه قرار دهد.

اما چگونه می‌توانید تشخیص دهید که با هر یک از این موارد مواجه می‌شوید و چگونه می‌توانید از گرفتار شدن در تله‌های آنها جلوگیری کنید؟

فیشینگ در مقابل اسمشینگ در مقابل ویشینگ

فیشینگ چیست؟

تلاش‌های فیشینگ معمولا از طریق ایمیل انجام می‌شود. کلاهبرداران از ایمیل استفاده می‌کنند زیرا به‌راحتی می‌توان آدرس «From» را جعل کرد و به‌نظر برسد که ایمیل از بانک شما، یک فروشگاه محبوب، یک سازمان دولتی و غیره است. آنها اغلب پیام‌ها را بر اساس چیزهایی استوار می‌کنند که مردم به‌طور منطقی درباره آن ایمیل دریافت می‌کنند، مانند بانک شما، سفارش‌های آمازون، اعلامیه‌های ردیابی بسته از سوی UPS یا FedEx، یا درخواست‌های بازنشانی رمز عبور از فیس‌بوک یا جی‌میل.

البته، اولین واکنش شما این است که فکر کنید، “اوه نه، بهتر است آن را بررسی کنم!” بنابراین، روی لینک ارسال شده آنها کلیک می‌کنید تا فوراً از آن مراقبت کنید. اما این پیوند شما را به وب‌سایت معتبر نمی‌برد. در عوض، شما را به یک صفحه ورود جعلی که کلاهبرداران ایجاد کرده‌اند می‌برد و به محض اینکه جزئیات ورود خود را وارد می‌کنید، به حساب شما دسترسی کامل دارند. نکته بعدی که می‌دانید، آنها رمز عبور شما را تغییر داده‌اند، حساب بانکی شما را تخلیه کرده اند یا هویت شما را دزدیده‌اند.

من اخیراً یک ایمیل مشکوک دریافت کردم (عکس بالا) که چندین نشانه از یک کلاهبرداری احتمالی فیشینگ را نشان می‌داد. در اینجا چه نشانه‌هایی وجود دارد:

1- من اصلاً حساب Cash App ندارم و برای آن ثبت نام نکرده ام.
2- آدرس فرستنده مزخرف، نامشروع و نامرتبط به ایمیل رسمی Cash App به نظر می‌رسد.
3- اگر من از برنامه مالی استفاده می‌کردم، چرا باید روی پیوندی برای تأیید واریز کلیک کنم تا اینکه به‌طور خودکار در حساب من ظاهر شود؟

به‌نظر می‌رسد وعده‌های یادداشت «بدون مشارکت پولی» برای فرار از سوء ظن در مورد انگیزه‌های اساسی فرستنده طراحی شده است. در حالی که این پیام به‌دنبال دادن وجه رایگان است، خطرات آن شامل سرقت هویت، دانلود بدافزار یا سایر طرح‌های سود از داده‌های شخصی سرقت شده است. با توجه به این چند پرچم قرمز، من بلافاصله ایمیل را بدون پاسخگویی حذف کردم.

Smishing چیست؟

Smishing یک کلاهبرداری فیشینگ است که از طریق پیام‌های متنی به تلفن شما به‌جای ایمیل به صندوق ورودی شما ارسال می‌شود. این کلمه از ترکیب “SMS” به معنای سرویس پیام کوتاه (پیام های متنی) و “فیشینگ” آمده است.متون Smishing از انواع ترفندها استفاده می‌کنند تا شما را وادار کنند روی پیوندها کلیک کنید یا جزئیات حساس را رها کنید. پیام‌ها اغلب مشروع به‌نظر می‌رسند، مثل اینکه از طرف بانک، دوست یا شرکتی هستند که استفاده می‌کنید، و شامل پیوندهای تعبیه‌شده برای کلیک کردن هستند. اگر روی آن لینک کلیک کنید و اعتبار ورود خود را ارسال کنید، طعمه کلاهبرداری شده‌اید.

در سناریویی دیگر، یک متن کوبنده ممکن است ادعا کند که شما یک جایزه یا بخت آزمایی برنده شده‌اید. برای دریافت «جایزه» خود، باید هزینه کمی بپردازید، با شماره‌ای تماس بگیرید یا روی پیوندی کلیک کنید که به اطلاعات شخصی شما (از جمله رمز عبور) نیاز دارد. این جایزه وجود ندارد، و جزئیات حساب به خطر افتاده شما ممکن است به کلاهبرداران امکان دهد موجودی بانک شما را تخلیه کنند.

به همین ترتیب فریب دهنده پیامی است که نشان می‌دهد شخصی در قرعه‌کشی برنده شده است و مایل است جایزه های خود را با شما به اشتراک بگذارد. همانطور که انتظار می‌رود، آنها دستورالعمل‌هایی را برای کلیک کردن روی یک پیوند یا ارائه اطلاعات شخصی برای ایمن کردن وجوه ارائه می‌دهند.

حتی فصل‌های مالیاتی هم امن نیستند. متن‌های نادرست ممکن است وعده بازپرداخت مالیات را بدهند یا ادعا کنند که شما به اداره مالیات بدهکار هستید.

پس چرا پیامک خطرناک‌تر است نه ایمیل؟ خب، طبق گفته گارتنر، افراد بیشتری متن‌ها را می‌خوانند و به آن‌ها پاسخ می‌دهند. حدود 98٪ در مقابل فقط 2٪ برای ایمیل. از آنجا که ما دائماً به تلفن‌های خود چسبیده‌ایم، smishing شانس بیشتری برای موفقیت دارد.

ویشینگ چیست؟

Vishing “فیشینگ صوتی” است و به کلاهبرداری‌هایی گفته می‌شود که از طریق تماس‌های تلفنی انجام می‌شود. این مانند دریافت یک ایمیل فیشینگ است، با این تفاوت که مهاجم به جای ارتباط دیجیتالی، مستقیماً با یک تعامل ضبط شده یا زنده با شما تماس می‌گیرد.

کلاهبرداری‌های Vishing از استراتژی‌های مختلف مهندسی اجتماعی برای فریب دادن شما استفاده می‌کنند. یک تکنیک رایج حمله ویشینگ این است که ادعا کنید یک سناریوی وحشتناک فوری مانند استفاده از شماره تامین اجتماعی شما به‌طور جعلی یا اینکه شما به مالیات بدهکار هستید. این موضوع باعث ترس یا وحشت قربانی می‌شود و باعث می‌شود زمانی که کلاهبردار می‌گوید به اطلاعات شخصی برای کمک به حل و فصل وضعیت نیاز دارد، به احتمال بیشتری از آن پیروی کند. داستان در یک رشته X (رشتو) زیر یک سناریوی معمولی است:

یکی دیگر از ترفندهایی که ویشرها استفاده می‌کنند «جعل شناسه تماس گیرنده» است، به این معنی که آنها شناسه تماس گیرنده را جعل می‌کنند تا به‌نظر برسد که تماس از یک شرکت قانونی، آژانس دولتی یا شماره محلی است. آنها ممکن است تکه‌هایی از اطلاعات شما را از نقض داده‌های گذشته جمع‌آوری کرده باشند، بنابراین وقتی تماس می‌گیرند بسیار متقاعدکننده به‌نظر می‌رسند. آنها چیزهایی مانند «سلام آقای الف، از بانک شما تماس می‌گیرم…” و بوم، توجه و اعتماد شما را به خود جلب می‌کنند.

یکی از دو مورد در حال حاضر رخ می‌دهد:

قربانی با یک سیستم صوتی خودکار مواجه می‌شود که از قربانی می‌خواهد کارت اعتباری، کارت نقدی یا سایر جزئیات بانکی خود را همراه با پین و سایر شناسه‌های شخصی خود وارد کند.
وقتی قربانی در ابتدا تلفن را قطع می‌کند تا با بانک خود تماس بگیرد، کلاهبردار این کار را نمی‌کند. این باعث می‌شود که خط باز باشد و به کلاهبردار متصل شود. سپس قربانی ممکن است صدای شماره‌گیری جعلی را بشنود و به‌دنبال آن کلاهبردار به تلفن «جواب» می دهد. سپس آنها به‌عنوان یک مقام بانک عمل می‌کنند و از قربانی برای استفاده بعدی یا انتقال وجوه از یک حساب به یک حساب جدید «امن» درخواست می‌کنند.

مطالب مرتبط: تاکتیک فونت صفر (Zero-Font) در کلاهبرداری‌های فیشینگ چیست؟

متأسفانه، ضرر پولی از طریق حملات واشینگ هنوز یک منطقه خاکستری قانونی است، و بانک‌ها استدلال می‌کنند که با وجود تلاش‌های هماهنگ کلاهبرداران، باید برخی از مسئولیت‌ها را متوجه قربانی شود تا فعالانه از منافع خود محافظت کند.

نحوه تشخیص کلاهبرداری‌های فیشینگ، اسمشینگ و ویشینگ

به‌همان اندازه که کلاهبرداران فریبکار و فریبنده هستند، می‌توانید خود را با چند تاکتیک کاهش مسلح کنید. آنها به‌راحتی قابل یادگیری هستند و باعث صرفه‌جویی در وقت، پول و انبوهی از انرژی‌های تلف شده می‌شوند.

1- شماره تماس گیرنده، آدرس ایمیل، یا منبع پیام فوری یا متنی تماس گیرنده را دوباره بررسی کنید. این شماره ممکن است جعل شده باشد تا شبیه یک منبع رسمی باشد.
2- حتی اگر شماره مشروع به‌نظر می‌رسد، همیشه وقتی از شما خواسته می‌شود با شماره‌ای تماس بگیرید، از خط تلفن دیگری استفاده کنید. این از کلاهبرداری‌های «بدون قطع کردن» (no hang-up) جلوگیری می‌کند. از شماره‌ای از صورت حساب بانکی اخیر استفاده کنید یا شماره خدمات مشتری اصلی بانک خود را به‌صورت آنلاین جستجو کنید.
4- هرگز اطلاعات بانکی خود را تلفنی به کسی ندهید، مهم نیست که چقدر اصرار دارند. بانک شما هیچ‌گونه جزئیات شناسایی، به‌خصوص پین، شماره امنیتی پشت کارت، یا حتی تاریخ انقضای شما را از شما نمی‌خواهد.
5- هرگز به‌دستور یک تماس گیرنده تصادفی پول را به حساب دیگری انتقال ندهید. بانک شما هرگز از شما این کار را نخواهد خواست. به‌همین ترتیب، آنها برای دریافت دفترچه چک شما پیکی به خانه شما نمی‌فرستند. هیچ نهاد رسمی این کار را انجام نخواهد داد مگر اینکه به‌دستور IRS دستگیر شده باشید.
6- بسیار مراقب پیامک‌های ناخواسته بانک خود یا نام مورد اعتماد دیگری باشید. مگر اینکه قبلاً با بانک خود توافق کرده باشید که تماس پیامکی مشکلی ندارد، این اتفاق نخواهد افتاد.
7- به‌همین ترتیب مراقب پیوندهای موجود در هر پیامک باشید. پیوندهای کوتاه شده می‌توانند شما را به هر جایی ببرند، و راه کمی برای دانستن اینکه پس از ضربه زدن یا کلیک روی آن پیوند چه اتفاقی می‌افتد وجود دارد.
8- تماس‌های تهدیدآمیز را که خواستار پرداخت فوری هستند قطع کنید. شرکت‌های واقعی تهدیدهای بی‌پایه‌ای را انجام نخواهند داد.
9- هرگز به تماس‌گیرندگان ناآشنا با ابزارهای برگشت‌ناپذیر مانند کارت‌های هدیه، ارزهای دیجیتال یا حواله‌های سیمی پرداخت نکنید. این روش‌های پرداخت هیچ محافظتی در برابر کلاهبرداری به شما ارائه نمی‌دهند.
10- به غرایز خود اعتماد کنید. اگر ایمیل، پیامک یا تماسی مشکوک به‌نظر می‌رسد یا «بیش از حد خوب برای درست بودن» به نظر می‌رسد، فرض کنید این یک تلاش برای کلاهبرداری است.

مهمتر از همه، هوشیار باشید. اگر مطمئن نیستید، به سرعت تلفن را قطع کنید. اگر ایمیل یا متن ناخواسته‌ای آمده است، آن را نادیده بگیرید.