آموزش کامپیوتر و اینترنتآموزش وبلاگ نویسیاخبار

مراقب فیک پیج هکر ها باشید – اکثر کاربران از طریق فیک پیج هک می شوند!

اگر شما نیز جزو آن دسته از کاربرانی هستید که هر روز ایمیل خود را چک میکنید یا وارد پنل وبلاگ خود می شوید یا خرید اینترنت انجام می دهید، باید به شدت مراقب باشید که حساب های شما هک نشوند.

یکی از روش های قدیمی که هکر ها برای به دست آوردن پسورد کاربران استفاده می کنند، استفاده از «فیک پیج» می باشد. با وجود قدیمی بودن این روش، هنوز هم خیلی از کاربر ها توسط این روش هک می شوند!

این اواخر تست هایی از کاربران شهرستان کازرون توسط سیدرضا بازیار (دانشجوی رشته فناوری اطلاعات کازرون) صورت گرفت و متاسفانه نتایج نگران کننده ای داشتند. برای تست امنیت کاربران شهرستان، تعدادی از کاربران که همه آنها دارای تحصیلات بودند، با بهانه های مختلف به صفحات تقلبی «فیک پیج» انتقال داده شدند که اکثر آنها متوجه این حمله نشدند و پسورد خود را تقدیم کردند! (این حملات از پیش برنامه ریزی شده و به گونه ای با اجازه خود کاربر ها انجام شدند…)
در این حمله بیش از نیمی از کاربران هک شدند. تعدادی از کاربران متوجه این صفحه تقلبی شدند و از وارد کردن پسورد خود، خودداری کردند و کمتر از ۱۰ درصد از کاربران بعد از تقدیم کردن پسورد خود متوجه صفحه تقلبی شدند و سریعآ اقدام به تغییر پسورد کردند.

مراقب فیک پیچ هکر ها باشید

فیک پیج چیست؟

فیک پیج ها صفحاتی هستند که توسط هکرها و… طراحی میشود و ظاهر یک صفحه عادی ورود را دارند. برای مثال یه صفحه را میسازند که دقیقا مانند صفحه ورود به جیمیل یا ایمیل یاهو یا… می باشد. شما با وارد کردن اطلاعات خود و زدن دکمه ثبت یا ورود، به جای اینکه وارد حساب کاربردی خود شوید، اطلاعات شما برای فرد هکر از طریق آن صفحه ارسال شده و اینگونه شما به راحتی هک شده اید!

فیک پیج ها چگونه کار میکنند؟

اگر به HTML که زبان استاندارد طراحی صفحات وب می‌باشد آشنایی داشته باشید میتوانید به راحتی فرم هایی را طراحی کرد که اطلاعات فرم را به آدرس ایمیل وارد شده بفرستد یا در یک مخل ذخیره نماید. حال اگر فرد هکر یک فرم طراحی کند که اطلاعات ورود به ایمیل را بخواهد و با استفاده از استایل دهی آنرا شبیه صفحه یاهو یا جیمیل کند، فرد بدون هیچ اطلاعی از اینکه بداند آن صفحه ورود به حساب ایمیل است یا صفحه تقلبی، اطلاعات خود را در دستان هکر قرار میدهد.

هکر ها از فیک پیج ها چه استفاده هایی می کنند؟

معمولا هکر ها بیشتر برای هک کردن ایمیل و وبلاگ ها از این روش استفاده می کنند. اما برای هک کردن دیگر حساب ها مانند: حساب بانکی – شبکه های اجتماعی و… هم میتوان از این روش استفاده کرد.

چگونه فیک پیج ها را تشخیص دهیم؟

مقابله و شناسایی فیک پیج ها کار سختی است اما اگر چند چیز مهم و ساده را یاد بگیرید به سادگی آنها را تشخیص میدهید:

1- به سایت های دیگر که از فرم های ورود به ایمیل و… استفاده میکنند اعتماد نکنید و از آنها استفاده نکنید. برای مثال شما در گوگل ایمیل دارید، همیشه در صفحه ورود سایت گوگل وارد شوید و اگر در سایتی فرمی قرار داده بودند که گفته فرم ورود به ایمیل، اصلا استفاده نکنید. به احتمال زیاد فیک پیج می باشد. فراموش نکنید در مواقعی خاص فیک پیج نیستند و به صورت قانونی برای ثبت نام در آن سایت و… استفاده می شود.

2- اگر نگاهی به نوار آدرس مرورگر بیندازید متوجه میشوید که نوار آدرس مغایرت با نوار آدرس سایت اصلی دارد برای مثال:
آدرس سایت گوگل www.google.com می باشد و اگر آدرس به صورت www.gogle.com بود متوجه میشوید که این آدرس سایت با آدرس سایت گوگل تفاوت دارد. پس این صفحه می تواند یک صفحه تقلبی باشد!
البته این نکته را هم فراموش نکنید که سایت های معتبر از پروتکل امن انتقال ابرمتن یا HTTPS بجای HTTP استفاده می کنند و در صورت امکان از پروتکل HTTPS استفاده نمایید.

3- از طریق سورس: اگر یک برنامه نویس باشید، میتوانید فیک پیج ها را با این روش شناسایی کنید. به این صورت که از طریق مرورگر خود سورس کد صفحه را مشاهده نمایید. در سورس کدهای صفحه با استفاده از کلید های Ctrl+F (جست وجو) تگ form را پیدا کنید. در داخل تگ به action نگاه کنید و اگر یک آدرس ایمیل شخصی یا یک فایل txt بود از آن استفاده نکنید. ویا اینکه مقدار action آن صفحه را با صفحه ورود برای مثال یاهو مقایسه کنید، اگر همسان نبودن استفاده نکنید چون گاهی ممکن است هکر به جای ارسال اطلاعات به ایمیل، آن را به یک فایل ارسال کند.

حالا اگر گذرواژه عبور خود را به هکر تحویل دادیم چه کنیم؟

پس از وارد کردن اطلاعات خود و ارسال آن به هکر بهتر است هر چه سریع تر گذرواژه خود را تغییر دهید

چند توصیه مهم:

1- در انتخاب پسورد خود دقت نمایید! پسورد شما باید شامل «اعداد – حروف کوچک و بزرگ انگلیسی – در صورت امکان حروف آلت و سیمبل ها» باشد و هرگز قابل حدث زدن نباشد!

2- در بخش تنظیمات امنیتی حساب های خود حتما بازیابی رمز عبور به وسیله شماره موبایل یا ایمیل دوم را فعال سازی کنید! این امکان در اکثر وب سایت های بزرگ و معتبر وجود دارد.

3- اطلاعات حساب خود را در اختیار دیگران قرار ندهید و بر روی سیستم دیگران و کافی نت ها ذخیره نکنید.

سیدرضا بازیار

من مهندس فناوری اطلاعات و توسعه دهنده Back end هستم. حس کنجکاوی، تمایل به کشف دنیاهای جدید و علاقه زیادی به حل چالش‌های گوناگون در زمینه‌های مختلف داشتم باعث شد وارد حرفه‌ی پرچالش و عمیق برنامه‌نویسی بشوم و هر روز بیشتر در این دنیای بزرگ غرق می‌شوم. در حال حاضر با مهارت هایی نرم مانند کار تیمی، قدرت مذاکره، خوش برخوردی، پرورش ایده و مهارت های سخت مانند PHP, OOP, Clean Code, Design Patterns و ... با علاقه مشغول به فعالیت در جامعه متن‌باز هستم. معتقدم هر روز بیشتر از دیروز، عمده کارهای انسان‌ها توسط ربات‌ها انجام خواهد شد، به همین دلیل سعی میکنم اسکریپت‌های زیادی با PHP ، Shell Scripting و Bash Scripting بنویسم و سعی می‌کنم کارهایی که برای انسان‌ها سخت و زمانبر هستند،‌ با ربات‌ها در سریعترین زمان و کمترین هزینه ممکن انجام بدهم. در این مسیر با زبان‌های برنامه نویسی مانند C++ و پایتون هم کمی کار کرده‌ام و با سیستم های مدیریت محتوای زیادی مانند وردپرس، جوملا، ویبولتین و... هم به صورت حرفه‌ای درگیر بوده‌ام. گهگاهی سعی میکنم ربات‌هایی طراحی کنم که اطلاعات عظیمی را از طریق اسکرپینگ به دیتابیس های مختلف منتقل میکنند و از طریق API در پلتفرم های مختلف پردازش می‌شوند. در 10 سال گذشته سابقه زیادی در طراحی سایت و فروشگاه‌های اینترنتی، سئو و بهینه سازی، تست امنیت وب‌سایت‌ها، دیجیتال مارکتینگ و... داشته‌ام. خوشحال میشم بتونم تجربیات خودم رو از طریق این وبلاگ در اختیار همه شما عزیزان قرار بدهم.

یک نظر

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.