9 نمونه از کلاهبرداری و فیشینگ‌های ایمیلی که باید مراقب آنها باشید

برخلاف تصور رایج، ایمیل‌های اسپم به‌ندرت پیچیده هستند. آن‌ها از تاکتیک‌های اولیه مهندسی اجتماعی مانند لینک‌های فیشینگ، فایل‌های آلوده و صفحات فرود جعلی استفاده می‌کنند. ما چندین سال است که با آنها روبه‌رو هستیم. اما علی‌رغم سادگی، ایمیل‌های کلاهبرداری از طریق نقاط ضعف درحال نفوذ هستند، زیرا بسیاری از اقدامات امنیت سایبری نادیده گرفته می‌شوند.

با میلیاردها ایمیل هرزنامه که در اینترنت در گردش است، همیشه باید هوشیار باشید، فقط یک پیوند فیشینگ می‌تواند تمام اکانت‌های آنلاین شما را به‌خطر بیندازد. قبل از پاسخ دادن، مطمئن شوید که پیام‌ها را کامل چک کرده‌اید. از بلاک کردن هر کسی که لینک‌های مشکوک و هشدارهای ناراحت کننده را برای شما ارسال می‌کند، دریغ نکنید.

در ادامه سلسله مقالات مرتبط با آموزش امنیت سایبری برای همه افراد جامعه، در این نوشتار می‌خواهیم انواع روش‌های کلاهبرداری ایمیلی را معرفی کرده و نحوه مقابله با آنها را آموزش دهیم.

+مطالب مرتبط: بررسی 9 «حمله مهندسی اجتماعی» و راه‌های مقابله

ایمیل کلاهبرداری یا جعلی چیست؟

«شما برنده جایزه از شرکت A شده‌اید! یا بن خرید کالا به شما تعلق گرفته است؟! تنها کاری که باید انجام دهید این است که اینجا کلیک کنید!» آیا این جملات برای شما آشنا به‌نظر نمی‌رسند؟

وب‌سایت استاتیستا می‌گوید حدود 1.35 میلیون سایت فیشینگ فعال در سراسر دنیا وجود دارد و هر کدام احتمالاً هر روز هزاران ایمیل جعلی ارسال می‌کنند. علاوه بر این، Statista گزارشی منتشر کرده است مبنی بر اینکه ایمیل‌های اسپم، 49 درصد از ترافیک ایمیل در سراسر جهان را تشکیل می‌دهند! صندوق ورودی خود را رصد کنید: ده‌ها آگهی، هشدار، خبرنامه و تبلیغات ناخواسته را خواهید دید.

این موضوع احتمالاً نشان‌دهنده اثربخشی حملات فیشینگ پنهان در ایمیل‌های هرزنامه است. کاربران ناآگاه به احتمال زیاد اطلاعات شخصی خود را از طریق پیام‌های به‌ظاهر بی‌ضرر فاش می‌کنند.

گفته می‌شود، ایمیل‌های جعلی اغلب از تلاش‌های فیشینگ آشکار استفاده می‌کنند. شما می‌توانید با نادیده گرفتن بیشتر حملات مهندسی اجتماعی از آنها جلوگیری کنید، به‌همین دلیل مهم است که بدانید ایمیل‌های فیشینگ چگونه هستند و  نحوه عملکرد آنها چیست؟

1. جوایز و تبلیغات جعلی مالی

کلاهبرداران هنرمند، احساسات شما را دستکاری می‌کنند و شما را فریب می‌دهند تا از صفحات فرود جعلی آنها بازدید کنید. رایج‌ترین احساساتی که آنها هدف قرار می‌دهند، حرص، گناه، مهربانی، شهوت و ترس است؛  اولین نوع ایمیل‌های فیشینگ که باید روی آن تمرکز کنیم، حرص و طمع است. تا کنون، اینها رایج‌ترین شکل‌های ایمیل‌های فیشینگ نیز بودند.

معمولاً آنها شامل نوعی ترتیبات مالی هستند که در آن شخصی بدون دلیل مبلغ زیادی پول برای شما ارسال می‌کند. شما فقط باید جزئیات بانکی را ارائه دهید و اطلاعات خود را تأیید کنید، سپس ظاهراً پول دریافت خواهید کرد.

این ایمیل‌ها اغلب کاملا رسمی به‌‌نظر می‌رسند. آن‌ها الگو و قالب شرکت‌های رسمی را جعل و کپی می‌کنند. در یک نگاه، بسیاری از خوانندگان به هیچ چیز غیرعادی مشکوک نخواهند شد.

همچنین توجه داشته باشید که همه این کلاهبرداری‌ها فقط شامل پول نمی‌شود. برخی از کلاهبرداران، با بسته‌ها، تخفیف‌ها یا بن‌های جعلی؛ مشتریان را طعمه افشای اطلاعات شخصی خود می‌کنند. به‌طور سنتی، کلاهبرداران، انسان‌های واقعی را استخدام می‌کردند تا با قربانیان تماس بگیرند و به دام بیاندازند، اما بسیاری، اخیراً با ربات‌های مبتنی بر هوش مصنوعی اقدام می‌کنند. آنها همچنین از synthesizer برای پوشاندن صدای خود استفاده می‌کنند که باعث می‌شود صدای آنها کاملا قانع کننده باشد. اما آنها فقط مجرمانی هستند که امیدوارند کسی به این ایمیل‌ها پاسخ دهد. وقتی این موارد را دیدید، فوراً دکمه حذف را فشار دهید.

+بیشتر بخوانید: نحوه تنظیم کنترل‌ اینترنتی والدین برای کودکان

2. درخواست برای کمک‌های مالی

کلاهبرداران ایمیل قربانیان را فقط با پول و جوایز طعمه نمی‌کنند، بلکه از شگرد همدردی نیز استفاده می‌کنند. کلاهبردار می‌تواند با یک داستان سوزناک ساختگی در مورد اینکه چگونه فردی به کمک مالی نیاز دارد، با شما تماس بگیرد. بسیاری از افراد دلسوز و در عین حال بی‌خبر، ممکن است قربانی شوند.

در بسیاری از موارد، گام بعدی این است که کلاهبردار حساب قربانی را ربوده و یک ایمیل انبوه ارسال می‌کند و فقط موضوع را به همه مخاطبین شما فوروارد می‌کنند. برخی مخاطبین ممکن است متوجه علامت خطر شوند، اما برخی نیز ممکن است در معرض این حمله فیشینگ قرار گیرند.

کلاهبرداران منتظر پاسخ ایمیل می‌مانند، داستان را کمی طولانی‌تر بیان می‌کنند و سپس از همه طعمه می‌خواهند که از طریق کیف پول دیجیتال، برنامه‌های بانکداری تلفن همراه یا پلتفرم‌های پرداخت آنلاین، پول واریز کنند. برخی ممکن است از طریق برنامه‌های پیام‌رسان شخص ثالث به تعامل با شما ادامه دهند.

3. پیشنهادات و جوایز تصادفی

«سرت شلوغه و کلی کار داری؟!  ما نمی‌توانیم همه مواردی را که هفته گذشته به‌صورت آنلاین ثبت نام کرده‌ایم، به یاد بیاوریم، چه برسد به ماه گذشته». متأسفانه، کلاهبرداران از این موضوع، سوء‌استفاده می‌کنند. آنها ایمیل‌های فیشینگ می‌فرستند و برای مسابقه‌ای یا رویدادی که هرگز شرکت نکرده‌اید، جایزه یا تأییدیه را به عنوان طعمه قرار می‌دهند.

ایمیل‌هایی با مضمون «برنامه شما تأیید شده است» را به‌عنوان مثال در نظر بگیرید. کلاهبرداران برای یک کار جعلی که ظاهراً قبلاً برای آن درخواست داده‌اید، یک ایمیل «تأیید» برای شما ارسال می‌کنند. این حمله به‌ویژه برای شکارچیان شغلی پرکار یا مزاحم، کارآمد است. شما به یاد نمی‌آ‌ورید، اما کنجکاوی شما ممکن است بهترین حالت را داشته باشد و از شما بخواهد روی آن پیوند کلیک کنید.

ایمیل‌هایی با عناوینی مانند: “شما یک برنده هستید” یا “وضعیت در خواست شما تائید شد”، هم جزو موارد رایج هستند. همه عاشق برنده شدن جوایز  یا موارد مانند آن هستند، و گاهی اوقات این مبلغ آنقدر هیجان‌انگیز است که مقاومت در برابر پاسخ ندادن به آن ایمیل، بسیار سخت است.

روش کار معمولاً به این صورت است که برای دریافت جوایز، باید اطلاعات بانکی خود را برای “واریز مستقیم” ارائه دهید. چیزی که در نهایت اتفاق می‌افتد، در عوض یک “برداشت مستقیم” است!

اگر به‌خاطر نمی‌آورید که برای چیزی ثبت نام کرده‌اید، احتمال اینکه اصلاً ثبت نام نکرده باشید بسیار بیشتر است. روی آن پیوند کلیک نکنید، به جای آن گزینه «حذف» را بزنید.

4. کلاهبرداری عاشقانه یا احساسی

گسترش اپلیکیشن‌های دوستیابی، ربات‌های هوش مصنوعی و تولیدکننده‌های تصویر، شناسایی این‌گونه از کلاهبرداری را بسیار سخت‌تر می‌کند. آن‌ها به‌راحتی می‌توانند پروفایل‌های فوق‌العاده واقعی ایجاد کنند. آنها حتی از هوش مصنوعی برای تولید خروجی‌های جذاب و طبیعی از تصاویر دزدیده شده استفاده می‌کنند. به احتمال زیاد در عرض چند دقیقه پس از کلیک با یک گربه‌ماهی (Catfish) مواجه خواهید شد.

اگرچه کلاهبرداری عاشقانه (Romance Scams) اغلب در برنامه‌های دوستیابی کمین می‌کنند، آنها همچنین از طریق ایمیل به اهداف خود دسترسی پیدا می‌کنند. آن‌ها یا یک لینک فیشینگ برای شما ارسال می‌کنند یا از طریق برنامه‌های پیام‌رسان شخص ثالث مانند واتس‌اپ یا تلگرام با شما صحبت می‌کنند. برخی حتی کلاهبرداری‌های طولانی مدت مانند (Pig Butchering) را اجرا می‌کنند: به‌جای اینکه از همان ابتدا از شما پول نقد بخواهند، مرتباً با شما در ارتباط هستند و هنگامی که اعتماد شما را به‌دست آوردند، از شما درخواست کمک خواهند کرد.

و حتی بدتر، مواردی وجود دارد که کلاهبردار وانمود می‌کند که در نوعی بحران مالی یا خطر ، قرار دارد. در نهایت، این تاکتیک، قربانیان ناآگاه را متقاعد می‌کند که برای کمک به این فرد به ظاهر بی‌گناه و بی‌دفاع، پول بفرستند.

شما باید این ایمیل‌ها را نادیده بگیرید. متأسفانه، این واقعیت که آن‌ها حتی به حضور خود ادامه می‌دهند به این معنی است که میزان موفقیت آن‌ها باید بالا باشد.

5. بهانه تراشی

بهانه‌تراشی یا (pretexting) یکی دیگر از استراتژی‌های رایج کلاهبرداری ایمیل است. این شامل تاکتیک قدیمی دستکاری قربانیان و ایجاد وحشت با سناریوهای ساختگی و در عین حال اعصاب خردکننده است، به‌عنوان مثال. اکانت‌های هک شده، آلودگی‌های ویروسی و هشدارهای قانونی. کلاهبرداران معمولاً با ظاهر شدن به‌عنوان یک سازمان رسمی، قدرت و اعتبار آن‌ها را جعل می‌کنند.

در بهانه‌تراشی، یک ایمیل هشداردهنده دریافت خواهید کرد که در مورد یک مشکل یا مساله توجه شما را جلب کرده و به‌شما هشدار می‌دهد، که مثلا اشتراک فلان نرم‌افزار منقضی شده است. اگر واقعاً اشتراک آن نرم‌افزار را دارید، که هیچ، در غیراین صورت هوشیار باشید. همچنین، برای مثال، هشدار جعلی مبنی بر آلوده بودن دستگاه شما، ممکن است باعث وحشت شما و اقدام عجولانه شود.

همانطور که همیشه اشاره کرده‌ایم، روی پیوندهای ایمیل‌های مشکوک، کلیک نکنید. اگر واقعا نگران هستید که یک هشدار واقعی وجود دارد، نشانگر را روی لینک نگه دارید و URL را در نوار وضعیت مرورگر خود، بررسی کنید. اگر نمی‌توانید URL را در نوار وضعیت پیدا کنید، روی پیوند راست کلیک کنید، آدرس پیوند را کپی کنید و آن را در برنامه Notepad خود قرار دهید؛ مقصد واقعی هایپرلینک را خواهید دید. احتمالاً به‌جای یک کسب‌وکار یا مؤسسه قانونی، آدرس اینترنتی خطرناک و نامربوطی را نشان میدهد که شما آن را نمی‌شناسید.

6. جعل ایمیل

شاید پیچیده‌ترین روش هک در این لیست، جعل ایمیل (‌Email Spoofing) باشد. زمانی است که کلاهبرداران دامنه یک وب‌سایت معتبر را کپی کرده و آن را به یک آدرس ایمیل جعلی پیوند می‌دهند. در نتیجه هر ایمیلی که ارسال می‌کنند رسمی و معتبر به‌نظر می‌رسد. حتی ارائه‌دهنده خدمات ایمیل شما ممکن است نتواند این پیام‌ها را به‌عنوان هرزنامه دسته‌بندی کند زیرا دامنه «مشروع» دارند.

مثلا ممکن است از آدرس ایمیل رسمی پی‌پال برای شما یک ایمیل بیآید و جیمیل نیز حتی آن را تأیید کند. از آنجایی که پیام، قانونی به‌نظر می‌رسد، اخطارهای جعلی و پیوندهای فیشینگ پیوست شده، بیشتر احتمال دارد قربانیان را فریب دهند.

تنها راه محافظت از خود در برابر این موارد این است که در مواجه با این گونه از ایمیل‌ها هوشیاری و دقت داشته باشید و حواستان جمع باشد؛ همچنین اطلاعات ارائه شده را چند بار بررسی کنید.

7. بازی‌های قمار (شرط‌‌‌‌‌‌‌‌‌‌‌‌بندی) آنلاین

کلاهبرداری‌های معروف به کازینو آنلاین امروزه بسیار گسترده شده است. به غیر از ایجاد بازی‌های تقلبی که برنده شدن در آنها تقریباً غیرممکن است، کلاهبرداران همچنین از این پلتفرم‌ها برای سرقت اطلاعات شخصی (PII) از بازیکنان استفاده می‌کنند. آنها شبیه همان جاسوسی از تراکنش‌های درون پلتفرم هستند. بسیاری حتی چند بار به اهدافشان اجازه می‌دهند تا «برنده» شوند و اعتماد کنند و به‌طور مثال جزئیات بانکی خود را ارائه دهند.

بهتر است از شرطبندی آنلاین (online gambling) به‌طور کلی اجتناب کنید. چندین راه مطمئن برای کسب درآمد از بازی وجود دارد؛ شما مجبور نیستید اطلاعات شخصی خود را برای  مقداری پول، به‌خطر بیندازید.

+مطالب مرتبط: تبلیغات جعلی بازی؛ هر آنچه که باید بدانید

8. پیوندهای فیشینگ

دوباره باید بگوئیم!! ایمیل‌های تقلبی بسیار عجیب هستند. این پیام‌ها گاهی آنقدر ساده بوده که فقط حاوی یک لینک فیشینگ و طعمه‌‌گذاری هستند. اکثر افراد دچار این حمله نمی‌شوند. با این حال، کلاهبرداران می‌توانند همان الگو را هزاران بار مورد استفاده قرار دهند. آن‌ها فقط به یک قربانی برای کسب سود نیاز دارند.

حتما از کلیک روی پیوندها یا دانلود فایل‌هایی که از طرف ناشناسان دریافت کرده‌اید، خودداری کنید. در صورت نیاز به تأیید هر چیزی، شخصا از وب سایت رسمی که در ایمل به آن اشاره شده است، بازدید کنید. همچنین، روی تصاویر یا متون کلیک نکنید زیرا ممکن است حاوی پیوندهای فیشینگ پنهان باشند.

9. صید نهنگ

صید یا شکار نهنگ (Whaling) یک حمله فیشینگ هدفمند است که در آن کلاهبرداران، هویتِ اشخاص عالی‌رتبه، مقامات ارشد و مدیران قربانیان خود را، جعل می‌کنند. این حملات معمولاً از طریق حساب‌های هک شده یا آدرس‌های ایمیل جعلی انجام می‌شود. آن‌ها معمولا، احساس فوریت ایجاد می‌‌کنند (مثلاً موارد اضطراری یا درخواست‌های ساختگی) برای فریب شما، تا جزئیات شخصی و حرفه‌ای خود یا شرکت‌تان را فاش کنید.

برای مبارزه با این حملات، سازمان‌ها باید بر امنیت سایبری و آگاهی امنیتی کارکنان خود تمرکز کنند. حتی رهبران فناوری جهانی و موسسات معتبر نیز از این نوع حملات، در امان نیستند.

گفتار پایانی

اگر یک نکته واحد وجود داشته باشد که باید از این نوشتار به‎‎خاطر بسپارید، این است که دفاع شماره یک در برابر فیشینگ و به‌طور کل امنیت سایبری، یک آموزش است. اگر راه‌هایی برای شناسایی حملات فیشینگ و کلاهبرداری ایمیلی بدانید، می‌توانید از خود محافظت کنید. شما نمی‌توانید کورکورانه به برنامه‌‌های آنتی ویروس برای محافظت از ایمیل خود اعتماد کنید. حتی درصورتی که پیچیده‌ترین نرم‌افزارهای ضد‌بدافزار را داشته باشید، اگر روی پیوند فیشینگ کلیک کنید، یک فایل آلوده را دانلود کنید یا به یک صفحه فرود جعلی وارد شوید، دستگاه شما همچنان ممکن است آلوده شود. ارزیابی مناسب محتوای دریافت شده، (لینک، فایل، عکس، ویدیو و …) اولین خط دفاع شما در برابر حملات سایبری است.

بیشتر ایمیل‌های فیشینگ و کلاهبرداری‌ها، احساسات انسانی را تحت تأثیر قرار می‌دهند؛ اگر همیشه از پیام‌هایی که غیرعادی به‌نظر می‌رسند اجتناب کنید، تا حد زیادی می‌توانید در امان باشید.