فيشينگ چيست؟ چگونه سايت‌هاي كلاهبرداري را شناسايي كنيم؟

فيشينگ (Phishing) به تلاش براي به‌دست‌آوردن اطلاعاتي مانند نام متخصصي يا گذرواژه يا اطلاعات حساب بانكي ازطريق جعل وب‌سايت و آدرس رايانامه و روش‌هاي متنوع ديگر گفته مي‌شود. به بيان ساده‌تر، هنگامي‌كه شخصي تلاش مي‌كند ديگري را فريب دهد تا اطلاعات شخصي‌اش را دراختيار بگيرد، حمله‌ي فيشينگ رخ مي‌دهد.

تماشا در آپارات | تماشا در يوتيوب | تماشا در IGTV

وحيد مجيد، رئيس پليس فتا، با اعلام اينكه ضريب نفوذ اينترنت در ايران به بيش از ۸۹ درصد (بيش از ۷۳ ميليون نفر) رسيده، بهترين شيوه براي جلوگيري از فيشينگ «عملياتي‌كردن رمزهاي يك‌بارمصرف» است. به‌اعتقاد وي، اجرايي‌شدن اين كار «به مقدورات بانك مركزي بستگي دارد تا نهايي شود».

واژه‌ي فيشينگ كوتاه‌شده‌ي عبارت Password Harvesting Fishing (شكار گذرواژه‌ي متخصص ازطريق طعمه) است و اولين‌بار در سال ۱۹۸۷ تعريف شد. اولين‌باري كه اين واژه براي نام‌گذاري عمليات يادشده استفاده شد، به سال ۱۹۹۵ و استفاده در ابزار AOHell برمي‌گردد كه اپليكيشني ويندوزي براي ساده‌سازي هك امنيتي با استفاده از AOL بود و از عملكردي براي سرقت رمزعبور و اطلاعات مالي متخصصان AOL سود برد.

به‌طور كلي در فرايند فيشينگ، قربانيان به‌صورت مستقيم اطلاعات حساس و محرمانه‌ي خود را در مسيرهاي جعلي وارد مي‌كنند. كلاه‌برداران براي فيشينگ و خالي‌كردن حساب افراد از موضوعات جذابي مانند كارت سوخت، قطع يارانه، سبد حمايتي خانوار و خريد شارژ اينترنت رايگان سوءاستفاده مي‌كنند.

شبكه‌هاي اجتماعي و درگاه‌هاي پرداخت الكترونيك ازجمله اهداف حملات فيشينگ هستند. به‌علاوه، رايانامه‌هايي كه با اين هدف ارسال مي‌شوند و حاوي پيوندي به وب‌سايت هستند، در اكثر مواقع حاوي بدافزار هستند. فيشينگ يا سرقت الكترونيك در عمل به‌صورت كپي دقيق رابط گرافيكي وب‌سايتي معتبر مانند بانك‌هاي الكترونيك ممكن است ابتدا متخصص ازطريق رايانامه يا آگهي‌هاي تبليغاتي وب‌سايت‌ها يا شبكه‌هاي اجتماعي به اين صفحه‌ي قلابي راهنمايي شود و سپس از او درخواست شود اطلاعاتي مهم مانند اطلاعات كارت اعتباري را وارد كند. درصورت گمراه‌شدن متخصص و واردكردن اطلاعات، فيشرها به اطلاعات شخص دست مي‌يابند.

فيشينگ انواع مختلفي دارد و صرفا به حوزه‌ي سايبري و درگاه‌هاي پرداخت الكترونيكي محدود نيست. درادامه، روش‌هاي مختلف فيشينگ را معرفي مي‌كنيم.

• فيشينگ نيزه‌اي يا اسپير (Spear Phishing): نوعي حمله كه روي فرد يا سازماني مشخص متمركز است و فيشر به‌منظور دريافت اطلاعات، آن‌ها را شناسايي و اطلاعاتشان را جمع‌آوري مي‌كند. سپس براساس اين اطلاعات، حمله‌اي طراحي و برنامه‌ريزي مي‌كند كه با كسب اعتماد وي، اطلاعاتش را به‌سرقت ببرد. براي مثال، ممكن است گروهي با هدف تهديد متخصصاني مشخص، به حساب‌هاي آن‌ها براي تأثيرگذاري بر انتخابات حمله كنند.
• فيشينگ والينگ (Whaling): مشابه فيشينگ اسپير است و افراد مهم مانند مديران عامل يا مسئولان دولتي را هدف قرار مي‌دهد.
• فيشينگ فريبنده (Deceptive Phishing): نوعي حمله ازطريق رايانامه است كه در آن، شخص حمله‌كننده (فيشر) با ارسال رايانامهي از آدرسي جعلي شبيه به آدرس اصلي وب‌سايت، سعي مي‌كند متخصص را به كليك روي لينك ترغيب كند. براي مثال، ممكن است از متخصص خواسته شود هرچه‌سريع‌تر مشخصات خود را در وب‌سايت تكميل كند تا از بسته‌شدن آن حساب جلوگيري شود. پس از بازكردن و واردكردن اطلاعات در وب‌سايتي كه به وب‌سايت اصلي بسيار شبيه است، اطلاعات متخصص دراختيار فيشر قرار مي‌گيرد.

درزمينه‌ي فيشينگ ازطريق رايانامه، نوعي حمله با نام كلون (Clone) نيز وجود دارد كه در آن، فيشر با كپي‌كردن محتويات رايانامهي به رايانامه ديگر كه حاوي لينك مخرب است، سعي مي‌كند وانمود كند لينك قبلي منقضي و لينك جديد به‌رورزساني شده است.

سايت اصلي

نمونه سايت جعلي

• رايانامه اسپوفينگ (Email Spoofing): در اين نوع رايانامه‌ها، معمولا ارتباط شركت‌هاي معتبر يا افراد جعل مي‌شود. رايانامه‌ها ممكن است متخصصان ناشناسي را به وب‌سايت‌هاي مخرب بكشانند و در آن‌ها، مهاجمان اطلاعات حساب متخصصان را جمع‌آوري ‌كنند. اين صفحات ممكن است حاوي تروجان و كي لاگر و ساير اسكريپت‌هاي مخربي باشند كه اطلاعات شخصي متخصصان را سرقت مي‌كنند.
• جعل وب‌سايت: در اين روش، فيشر با طراحي متخصصي وب‌سايتي با آدرس جعلي و بسيار شبيه به آدرس وب‌سايت اصلي، اطلاعات متخصصان را جمع‌آوري مي‌كند. اين آدرس ممكن است تنها يك حرف با آدرس اصلي تفاوت يا فقط دامنه‌ي متفاوتي داشته باشد. اين فيشرها از جاوااسكريپت براي تغيير آدرس در نوار آدرس استفاده مي‌كنند تا قرباني به نادرستي آدرس شك نبرد. در سال ۲۰۰۶، از اين روش براي حمله به پي‌پل استفاده شد.
• دورزدن فيلترها (Filter Evasion): فيشرها گاه براي دورزدن فيلترهاي آنتي‌فيشينگ كه معمولا متن موجود در رايانامه‌هاي فيشينگ را شناسايي مي‌كند، از تصوير يا نگاره استفاده مي‌كنند. بدين‌ترتيب سيستم نمي‌تواند فيشينگ را تشخيص دهد و متخصص درمعرض افشاي اطلاعاتش قرار مي‌گيرد.
• فارمينگ (Pharming): نوع بسيار پيشرفته‌اي از حمله‌ي جعل وب‌سايت محسوب مي‌شود كه هدف اصلي‌اش حمله به DNSها است. DNS (سامانه‌ي نام دامنه) وظيفه‌ي تبديل آدرس به IP را دارد. در اين نوع حمله، فيشر IP اشتباه را جاي IP درست به وب‌سايتي تزريق مي‌كند. در اين موقعيت، حتي اگر متخصص آدرس صحيح و اصلي وب‌سايت مدانديشه متخصصينش را تايپ كند، به‌دليل DNS اشتباه به IP ديگري رهنمود مي‌شود و اطلاعاتش را درمعرض سرقت قرار مي‌دهد. همچنين ممكن است اين حمله ازطريق تغيير فايل‌هاي ميزبان در كامپيوتر قرباني انجام شود.

به اين دسته حملات كه براساس سوءاستفاده از تمايل افراد به اعتماد به ديگران شكل مي‌گيرد، حملات مهندسي‌اجتماعي مي‌گويند. سرورهاي DNS كه از لايه‌هاي امنيتي قدرتمندي برخوردار نباشند، مستعد انجام چنين حمله‌اي خواهند بود. براي مقابله با اين نوع سرقت‌ها اقداماتي با عنوان Anti-pharming موردنياز است و نرم‌افزارهاي ضدويروس و حذف‌كننده‌ي جاسوس‌افزارها نمي‌توانند از فارمينگ جلوگيري كنند.

در اين روش، حمله‌كننده ممكن است DNS روتر را تغيير دهد. برخي روترها مي‌توانند سفت‌افزار را جايگزين كنند و جايگزين سفت‌افزار نيز به‌سختي كشف مي‌شود. در عمليات فارمينگ، ممكن است حمله‌كننده سفت‌افزار نادرست نصب كند. روش‌هاي ديگري مانند مرد مياني، شنود، ويشينگ (Vishing، فيشينگ صوتي) و... نيز همين كار را انجام مي‌دهند كه درادامه مهم‌ترين روش را معرفي مي‌كنيم.

• مرد مياني: در حمله‌ي MITM يا Man-in-the-Middle مهاجم تعاملات الكترونيك بين دو طرف را تفسير مي‌كند. در اين حمله، هكرها در هر دو طرف جعل هويت انجام مي‌دهند تا به اطلاعات محرمانه‌اي مثل اطلاعات تراكنش‌ها يا مكالمه­‌ها يا ساير داده‌ها دسترسي پيدا كنند. در MITM از دو روش كلي جعل استفاده مي‌شود: جعل ARP و جعل DNS:

۱. جعل ARP: جعل ARP حمله‌اي است كه در آن مهاجم پيام ARP (پروتكل تفكيك آدرس) جعلي روي شبكه‌ي محلي ارسال مي‌كند. بدين‌ترتيب، مك آدرس مهاجم به IP رايانه يا سرور شبكه ارتباط داده مي‌شود.

۲. جعل DNS: جعل DNS يا مسموم‌كردن كش DNS نوعي هك است كه در آن داده‌هاي DNS آلوده مي‌شوند و اين امر موجب مي‌شود سرور نام (Name Server) نتايج نادرستي توليد كند.

• تروجان و بدافزارها: تروجان روش رايجي براي سرقت اطلاعات متخصصان محسوب مي‌شود. تروجان نوعي در پشتي (Backdoor) ديجيتال براي مهاجمان ايجاد مي‌كند تا بدون اطلاع متخصص به كامپيوتر او رخنه كنند. جعل اپليكيشن يا نرم‌افزار نيز ازجمله راه‌هايي است كه فيشر با استفاده از آن مي‌تواند اطلاعات متخصص را سرقت كند. ممكن است اين اپليكيشن به‌درستي كار نكند و متخصص به‌زودي آن را حذف كند؛ اما تنها يك‌بار واردكردن اطلاعات براي از‌دست‌رفتن آن‌ها كافي است. همچنين، فيشر مي‌تواند متخصص را به وب‌سايتي با آدرس متفاوت رهنمود و سپس با استفاده از آسيب‌پذيري‌هاي وب‌سايت، روي كامپيوتر متخصص بدافزار نصب كند.
• فيشينگ تلفني: در اين نوع حمله نيز، همچون حمله ازطريق رايانامه، فيشر سعي مي‌كند توجه متخصص را به خود جلب كند و اطلاعاتش را به‌سرقت ببرد. در اين روش، فيشر معمولا با شماره‌تلفني ناشناس با متخصص تماس برقرار يا پيامي براي او ارسال مي‌كند و ضمن جلب اعتماد او با بيان اينكه از طرف منبع معتبري مانند بانك تماس مي‌گيرد و به اطلاعاتش نياز دارد، از متخصص درخواست مي‌كند اطلاعاتش را بازگو كند. ممكن است پيش از برقراري تماس تلفني از متخصص خواسته شود شماره‌حساب و رمزخود را وارد كند تا با او تماس گرفته و به كارش رسيدگي شود. ممكن است فيشر از متخصص بخواهد با استفاده از كد دستوري اطلاعات خود را وارد كند. اين نوع فيشينگ شامل پيامي از بانك‌ها يا شركت‌ها يا حتي جوايزي است كه ادعا مي‌كند بايد با شماره‌گيري و تماس با كد ستاره مربع، اشكال بانكي را رفع يا جايزه را دريافت كنيد. تنها يك‌بار واردكردن اطلاعات در وب‌سايت جعلي براي از‌دست‌رفتن آن‌ها كافي است
• فيشينگ درگاه پرداخت: ممكن است فيشر وب‌سايتي راه‌اندازي كند و در آن محصولاتي بفروشد. در اين شرايط، متخصص در مرحله‌ي پرداخت يا با پيام موفقيت پرداخت رو‌به‌رو مي‌شود يا پيغام خطا؛ اما درهرصورت اطلاعاتش به سرقت رفته‌اند.
• دستگاه‌هاي POS و ATM تقلبي: برخي كلاه‌برداران با استفاده از POS و ATM تقلبي كارت‌هاي بانكي افراد را كپي مي‌كنند و به بهانه‌ي فروش محصول و كالا رمزعبور آن‌ها را مي‌پرسند. سپس، به‌راحتي حساب بانكي افراد را خالي مي‌كنند.
• واي‌فاي عمومي: دوقلوي شيطاني (Evil Twin) ازجمله روش‌هاي راحت براي دستيابي فيشرها به اطلاعات است. درحقيقت فيشر با ارائه‌ي شبكه واي‌فاي عمومي و رايگان در مكان‌هاي معتبر مثل كافي‌شاپ، هتل و... مي‌تواند به اطلاعات متخصصي دست پيدا كند كه به اين شبكه‌ي عمومي متصل مي‌شود. همين مسئله باعث شده است مسئولان نظارتي ازجمله پليس فتا درباره‌ي استفاده از واي‌فاي عمومي بدون هويت هشدار دهند؛ چراكه صاحب واي‌فاي عمومي ممكن است اطلاعات حساس ازجمله اطلاعات بانكي فرد را بدزدد.

به‌گفته‌ي ورايزن، متخصصان هدف ۳۰ درصد از پيام‌هاي فيشينگ را بازمي‌كنند و ۱۵ درصد افرادي كه از آن‌ها كلاه‌برداري مي‌شود، دست‌كم يك‌بار ديگر نيز در طول سال نيز با حمله‌ي فيشينگ مواجه مي‌شوند. سرويس‌هاي رايانامه، سرويس‌هاي ابري، مؤسسه‌هاي مالي، فروشگاه‌هاي مجازي و خدمات ارسال و تحويل محموله به‌ترتيب با ۴۲، ۲۵، ۱۳، ۵ و ۳ درصد از بزرگ‌ترين قربانيان فيشينگ‌ها هستند. بنابراين، اطلاع از روش‌هاي مقابله و جلوگيري از حملات فيشينگ جزو دانستني‌هاي الزامي براي هر متخصص محسوب مي‌شود.

در قدم نخست، بايد به روش‌هاي مختلفي آگاه بود كه هكرها و فيشرها با استفاده از آن‌ها از افراد كلاه‌برداري و به اطلاعات محرمانه‌ي آنان دسترسي پيدا مي‌كنند. در فيشينگ، بيش از خطاي نرم‌افزاري يا سخت‌افزاري سيستم، بي‌اطلاعي خود متخصص به قرباني‌شدن منجر مي‌شود. مختار رضايي، متخصص كارشناس ارشد امنيت پليس فتا، دراين‌زمينه مي‌گويد:

سواد رسانه‌اي در مباحثه جرايم اهميت زيادي دارد. متخصص در فضاي مجازي بايد بداند صفحه‌ي اصلي وب‌سايتي مانند بانك چه خصوصيتي دارد كه صفحه‌ي جعلي از آن برخوردار نيست. به‌عنوان مثال، آدرس تمامي سايت‌هاي پرداخت مجاز بايد به عبارت shaparak.ir ختم شود و حتما دامنه‌ي مدانديشه متخصصين ir. است نه com.؛ بنابراين، توجه به آدرس اهميت زيادي دارد.

• دقت در آدرس درگاه: پس از بازكردن هر وب‌سايت يا اپليكيشن يا نرم‌افزاري كه شما را به درگاه پرداختي براي تكميل خريد متصل مي‌كند و پيش از واردكردن اطلاعات، به آدرس آن دقت كنيد و دربرابر هرگونه غلط املايي و حروف مشكوك حساس باشيد. توجه كنيد تمام درگاه‌هاي پرداخت امن از پروتكل https همراهي مي‌كنند كه در قسمت نوار آدرس مرورگر مي‌توان آن را مشاهده كرد؛ البته بايد توجه كرد استفاده از پروتكل https لاخبار تخصصيا به‌معني امن‌بودن سايت نيست. براي مثال، مرورگر گوگل كروم از علامت قفل سبز براي مشخص‌كردن سايت‌هاي امن استفاده مي‌كند و آيكون خطر قرمزرنگ نشان‌دهنده‌ي جعلي‌بودن وب‌سايت است. براي كسب اطلاعات بيشتر درباره‌ي نحوه‌ي نمايش وب‌سايت‌هاي امن و غيرامن در نوار آدرس مرورگر كروم مي‌توانيد به صفحه‌ي رسمي توضيحات گوگل دراين‌باره مراجعه كنيد.ساير مرورگرها نيز از روش‌هاي مشابهي براي مشخص‌كردن وب‌سايت‌هاي امن و ناامن در نوار آدرس خود استفاده مي‌كنند كه عموم متخصصان به‌راحتي مي‌توانند آن را تشخيص دهند.

آدرس درگاه‌هاي پرداخت بانك‌ها را بشناسيد و فقط ازطريق آن‌ها اقدام به خريد كنيد و صرف اينكه وب‌سايتي اولين مورد درنتيجه‌ي جست‌وجوي گوگل باشد، وارد آن نشويد. آدرس تمامي وب‌سايت‌هاي پرداخت مجاز بايد با فرمت https://xxx.shaparak.ir باشد كه در آن، حروف x محل قرارگرفتن نام يكي از درگاه‌هاي پرداخت است. براي مثال، https://asan.shaparak.ir// درگاه پرداخت آپ است. چند درگاه از مطرح‌ترين درگاه‌هاي پرداخت ديگر را در جدول زير مشاهده مي‌كنيد:

• دقت در محتوا و آدرس فرستنده و لينك‌هاي پيوست‌شده در رايانامه‌ها: از بازكردن رايانامه‌هاي اسپم خودداري كنيد. هكرها با كپي دقيق رايانامه‌ها و جلب اعتماد متخصصان، پيوست‌هاي مشكوكي به رايانامه خود اضافه مي‌كنند. پيش از بازكردن لينك، بايد آدرس آن را ازطريق هدايت نشانگر ماوس روي آن مشاهده كنيد و درصورت مشكوك‌بودن، به طريق ديگري از درست‌بودن آدرس مطمئن شويد. در بسياري از مواقع، هكرها براي به‌دام‌انداختن افراد، ازطريق تكنيك‌هاي SEO وب‌سايت جعلي را در رده‌ي نخست جست‌وجوي گوگل قرار مي‌دهند.گاهي در رايانامه از متخصص درخواست مي‌شود اطلاعات خود را وارد كند؛ اما معمولا وب‌سايت‌هاي معتبر براي تكميل اطلاعات يا ارسال موارد مهم از رايانامه استفاده نمي‌كنند و تنها به رايانامه هشداردهنده اكتفا مي‌كنند. اين رايانامه‌ها از متخصص درخواست مي‌كنند به وب‌سايت اصلي وارد شوند و از آن طريق اطلاعات خود را تكميل كنند، نه ازطريق كليك روي لينك. پيشنهاد مي‌كنيم براي سرويس رايانامهتان از آنتي‌­ويروس استفاده كنيد.
• خريدنكردن از محل‌ها و وب‌سايت‌هاي نامعتبر: سايت‌هاي معتبر داخلي نشان «اي‌نماد» دارند كه در پايگاه داده آن‌ها نيز ثبت شده است. وب‌سايت‌هاي طراحي‌شده‌ي هكرها معمولا اجناس را با ارزش‌هاي ارزان‌تر مي‌فروشند؛ پس به‌سادگي به هيچ وب‌سايتي اطمينان نكنيد.
• نصب برنامه و نرم‌افزار به‌صورت امن: برنامه‌ها را تاحدممكن از آدرس و محل‌هاي معتبر دريافت و نصب كنيد.

• اعتمادنكردن به تماس‌هاي مشكوك: هرگز اطلاعات محرمانه‌ي خود را دراختيار كساني قرار ندهيد كه ازطريق پيامك، تماس تلفني و... آن را درخواست كرده‌اند. اگر زماني چنين تماسي با شما گرفته شد، به‌طور قطع و بدون نگراني مي‌توانيد زماني را از تماس‌گيرنده طلب كنيد و خود ازطريق مراجعه به منبع اصلي در سازمان مرتبط و شخصي ديگر از صحت ماجرا مطلع شويد (تأييد هويت ازطريق تلاش‌هاي انساني). حتي براي دريافت جايزه نيز نياز نيست اطلاعات محرمانه‌ي حساب خود را دراختيار ديگري قرار دهيد.
• رمزهاي عبور را با دقت انتخاب كنيد: از رمزهاي عبور يكسان براي حساب‌هاي متعدد استفاده نكنيد؛ چراكه هكر مي‌تواند با دسترسي به رمزعبور شما، حساب‌هاي متعددتان را هك كند. درضمن، به‌طور مرتب و دوره‌اي رمزهاي عبور خود را تغيير دهيد. همچنين، مي‌توانيد از برنامه‌هاي مديريت‌كننده‌ي رمزهاي عبور مانند Bitwarden استفاده كنيد تا امنيت رمزهاي عبور شما تأمين شود.
• استفاده از تأييد دومرحله‌اي: درزمينه‌ي استفاده از رمزهاي يك‌بار مصرف جدي باشيد. بنابر ادعاي مايكروسافت، استفاده از احراز هويت چندعاملي متخصصان را دربرابر ۹۹/۹ حملات مصون مي‌كند. گوگل نيز ادعا مي‌كند با استفاده از تأييد چندمرحله‌اي، مي‌توان از ۹۹ درصد حملات فيشينگ جلوگيري كرد.

• از شبكه‌هاي واي‌فاي در مكان‌هاي عمومي استفاده نكنيد: درصورت استفاده از شبكه‌هاي واي‌فاي در مكان‌هاي عمومي، به حساب‌هاي متخصصي و بانكي خود وارد نشويد. برخي از اين مراكز با استفاده از كي‌لاگر به‌راحتي اطلاعات شما را به‌سرقت مي‌برند.

• نصب افزونه ضدفيشينگ و مسدودكننده پنجره‌­هاي پاپ‌­آپ: با نصب افزونه‌ي (Extension) ضدفيشينگ روي مرورگر، با اتصال به درگاه پرداخت درصورت اصل‌بودن، پيامي بر اين مبني روي نمايشگر نمايش داده مي‌شود و درصورت جعلي‌بودن، پيام هشدار برايتان ارسال مي‌شود.

سرهنگ نيك‌نفس، معاون متخصص پليش فتا ناجا، چند روز پيش افزونه‌ي ضدفيشينگ درگاه‌هاي بانكي را معرفي كرد كه مركز «آپا» دانشگاه سمنان با همكاري مركز ماهر وزارت ارتباطات و فناوري اطلاعات آن را طراحي كرده‌اند. معاون متخصص پليس فتا ناجا به اين موضوع اشاره كرد متخصصان با استفاده از اين افزونه مي‌توانند از فعاليت كلاه‌برداران و افراد سودجو جلوگيري ‌كنند. وي خاطرنشان كرد:

نحوه‌ي كار اين افزونه بدين‌صورت است كه وقتي متخصص وارد صفحه‌ي پرداخت مي‌شود، اگر صفحه‌ي پرداخت اصل باشد، پيامي مبني‌بر اصل‌بودن آن نمايش داده مي‌شود و در‌صورت جعلي‌بودن، پيام هشدار نمايش داده مي‌شود و براي مطالعه بيشتر، متخصص را به صفحه‌ي وب افزونه هدايت مي‌كند.

وي ضمن تقدير از تلاش‌هاي مركز آپا دانشگاه سمنان براي تقويت امنيت سايبري، به دو افزونه‌ي ديگر توليد اين مركز ازجمله افزونه‌ي اصالت‌سنج نماد اعتماد الكترونيكي و افزونه‌ي مسدودكننده‌ي ارزكاو‌ها نيز اشاره كرد كه در آدرس اينترنتي cert.semnan.ac.ir به‌‌رايگان دردسترس قرار دارد. همچنين، مي‌توانيد از افزونه‌ي Shaparak Verifier براي تشخيص درگاه‌هاي پرداخت معتبر استفاده كنيد. اين افزونه براي مرورگرهاي گوگل كروم و فايرفاكس دردسترس است.

بيت‌ديفندر نيز آنتي‌ويروس قدرتمندي محسوب مي‌شود كه آنتي‌فيشينگ و آنتي‌فراد (ضدكلاه‌برداري) است. نسخه‌ي رايگان اين ضدويروس را مي‌توانيد از اين لينك دريافت كنيد.

• به‌روزرساني مرورگر: استفاده از مرورگر به‌­روز مانند لايه‌ي امنيتي اضافه‌اي دربرابر حملات فيشينگ عمل مي‌كند.

آيا تابه‌حال درمعرض حملات فيشينگ قرار گرفته‌ايد؟ تجربيات خود از برخورد با پيام‌هاي جعلي و وب‌سايت‌هاي كلاه‌برداري را با ما و ديگر متخصصان اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران به‌اشتراك بگذاريد.