• تماس با من : 09198377930

انواع هک و شناخت سایت جعلی

تشخیص پرداخت جعلی اینترنتی و جلوگیری از هک شدن

تشخیص پرداخت جعلی اینترنتی و جلوگیری از هک شدن 690 359 سعید دژاپنج

درود بر تمامی دوستان . این روزها ک بازار نفوذ زیاد شده و افرادی ک اطلاعی ندارن و به راحتی فریب میخورن کم نیستن. درباره ی پرداخت های جعلی و خالی کردن حساب اینترنتی و یا به دست اوردن پسورد اکانت های فضای مجازی شما مثل اینستاگرام امروز بحث خواهیم کرد و شما رو با چند روش ساده اشنا خواهیم کرد تا در طعمه ی افراد کلاه بردار نیوفتید.

تشخیص پرداخت جعلی اینترنتی و جلوگیری از هک شدن

قبل از هرچیزی شمارو با چند روش شایع هک کردن در اینترنت اشنا میکنم . و بعد به جلوگیری از این روش ها میپردازیم

انواع روش هک کردن

فیشینگ:

فیشینگ یک تکنیک مهندسی اجتماعی است که به‌ وسیله یک هکر یا حمله‌کننده برای دزدیدن اطلاعات حساس مانند نام کاربری، رمز عبور و رمز کارت‌های اعتباری استفاده می‌شود (در این حالت حمله‌کننده وانمود می‌کند یک شخص یا یک سازمان مورد اعتماد است).

فیشینگ جرمی که رتبه نخست جرایم اینترنتی کشور را به خود اختصاص داده و هر مجرم اینترنتی حتی هکرهای شانزده ساله نیز مرتکب آن می‌شوند. در این روش کلاهبرداران با ساختن صفحات جعلی مشابه درگاه اصلی بانک‌ها یا در قالب خرید اینترنتی دست به سرقت می‌زنند. مجرمانی که از این روش استفاده می‌کنند ابتدا با ساختن صفحه‌ای جعلی مشابه صفحه اصلی بانک‌ها شماره کارت،رمز دوم و کد cvv2 را به دست آورده و در فرصتی مناسب اقدام به برداشت از حساب کاربر می‌کنند. این دسته از مجرمان برای این‌که کاربر به موضوع مشکوک نشود با قراردادن پیغام این‌که سیستم بانک قطع است اعتماد فرد را جلب می‌کنند. گاهی نیز بعد از ثبت مشخصات فرد را وارد سایت اصلی بانک می‌کنند. براساس آمارهای پلیس، ۵۰ درصد جرایم سایبری کشور برداشت‌های غیرمجاز است که بیشتر آنها از طریق فیشینگ انجام می‌شود.

انواع فیشینگ:

فیشینگ فریبنده: در این نوع از روش‌های فیشینگ، یک هکر از ایمیلی فریبنده برای کلاهبرداری از کاربر استفاده می‌کند. او حجم زیادی از این ایمیل‌های به ظاهر جذاب که کاربر را مجاب می‌کند روی لینکی که در ایمیل قرار داده شده است کلیک کند، ارسال می‌کند. سپس هکر از کاربر می‌خواهد اطلاعات حساب خود را در جایی وارد کند و بعد از آن تنها کاری که هکر نیاز است انجام دهد، جمع‌آوری اطلاعاتی است که کاربر در اختیار او قرار داده است.

جعل وب‌سایت‌ها: امروزه این روش، معمول‌ترین راه برای کلاهبرداری از کاربران اینترنتی است. در این روش، هکر، مسیر کاربر را به یک URL (وب‌سایت) جعلی که بسیار شبیه وب‌سایت اصلی است، تغییر می‌دهد. هکر همچنین می‌تواند از آسیب‌پذیری وب‌سایت سوءاستفاده کند و کاربر را به دام بیندازد. آنها می‌توانند یک جاوا اسکریپت را به‌ منظور تغییر نوار آدرس به وب‌سایت تزریق کنند یا از نقاط ضعف XSS (اسکریپت‌نویسی بین سایتی) نهایت استفاده را ببرند.

فیشینگ تلفنی: در این نوع از فیشینگ، یک هکر خود را به‌عنوان شخصی مورد اعتماد و نماینده موسسه یا شرکتی معتبر  معرفی ‌کرده و اطلاعات مهم را از طریق تلفن از شنونده دریافت می‌کند. این روش نه به وب‌سایت نیاز دارد و نه به هیچ‌گونه ایمیل.

قاپیدن تب: این روش جدیدترین روش فیشینگ است. قاپیدن تب، روشی است که وقتی یک کاربر چند تب باز دارد، به‌طور خودکار (و البته کاملا آرام) آن کاربر را به سایت یک حمله‌کننده هدایت می‌کند.


مهندسی اجتماعی (Social Engineering) روشی زیرکانه برای سوء استفاده از تمایل انسان به اعتماد کردن به دیگران است. این بخش از امنیت نه تنها در مباحث امنیت سایبری و اینترنتی مطرح است بلکه در جامعه و دنیای واقعی نیز موارد بسیار زیادی از مهندسی اجتماعی ممکن است به سراغ افراد بیاید.


فیشینگ

فیشینگ

اسکمیر:

اسکمیر یک روش جدید و در حال فراگیر شدن هستش در این روش که اسکمیر نام دارد، مجرمان با قرار دادن مدارهای مغناطیسی در دستگاه‌های کارتخوان فروشگاه‌ها اطلاعات کارت‌های بانکی مشتریان را ذخیره می‌کنند و با تخلیه اطلاعات از جمله رمز دوم، کارت بانکی جعلی ساخته و از حساب مشتری سرقت‌های میلیونی می‌کنند؛ البته براساس آمار پلیس فتا در این روش که در حال فراگیر شدن است، مجرمان ممکن است دستگاه اسکمیر را داخل کارتخوان‌های فروشگاه‌ها قرار داده و بدون اطلاع صاحب مغازه اطلاعات مشتریان آنها را سرقت کنند.

اسکمیر

اسکمیر

کلاه برداری به بهانه ی برنده شدن قرعه کشی:

این روش بسیار قدیمی است ولی باز هم ادم های ساده لوحی هستن ک فریب این نوع کلاه برداری را بخورند

در این روش کلاهبرداران سایت‌های قرعه‌کشی راه‌اندازی کرده و هر فردی را که به این سایت مراجعه کند، به عنوان برنده اعلام می‌کنند. سپس کلاهبرداران در تماس با قربانی خود مدعی می‌شوند او برنده صدها هزار تومان پول نقد در قرعه‌کشی شده و با گرفتن شماره کارت مدعی می‌شوند پول به حساب فرد واریز می‌شود. شیادان اینترنتی پس از چند روز با قربانی تماس گرفته و مدعی می‌شوند پول به حساب آنها واریز شده و در صورتی که پول در حساب نیست طعمه با آنها تماس گرفته تا مشکل رفع شود.

هنگامی که قربانی برای بررسی حساب مراجعه می‌کند، متوجه می‌شود پولی در حسابش نیست و با کلاهبرداران تماس می‌گیرد. در این لحظه متهمان با چرب‌زبانی طعمه خود را پای دستگاه خودپرداز کشانده و به جای واریز پول به حسابشان از حساب آنها برداشت می‌کنند.

سایت های شرط بندی

و این روش ک متاسفانه حتی خیلی از اطرافیان من این کارو انجام میدن در این روش به دلیل این‌که از هر فرد بین ده تا صد هزار تومان کلاهبرداری می‌شود، افراد به خاطر مبلغ پایین و ترس از جرم شرط‌بندی از شکایت صرف‌نظر می‌کنند.

آرزو، جوانی که چندی قبل برای شکایت از یک سایت شرط‌بندی به پلیس فتا مراجعه کرده بود، در گفت‌وگو با تپش جزئیات جدیدی از نحوه فعالیت و کلاهبرداری سایت‌های شرط‌بندی را افشا کرد.

او در مورد این‌که چگونه در دام سایت‌های شرط‌بندی افتاده، گفت: در حال وبگردی بودم که با یک سایت شرط‌بندی فوتبال روبه‌رو شدم. از روی کنجکاوی وارد سایت شدم و با مبلغ ده هزار تومان به عضویت سایت درآمدم. براساس قانون سایت، اگر هر نتیجه‌ای را درست پیش‌بینی می‌کردم، ده هزار تومان به دست آورده و با هر نتیجه نادرست ۲۰۰۰ تومان از دست می‌دادم. ابتدا توانستم ۶۰۰ هزار تومان در حساب کاربری‌ام به دست آورم، که امکان برداشت آن وجود نداشت اما پس از آن ورق برگشت و هر روز می‌باختم. وقتی به خودم آمدم، ۴۰۰ هزار تومان به حساب سایت ریخته بودم. چند ماهی از فعالیت سایت می‌گذشت که به یکباره تعطیل شد و هیچ دسترسی به مدیران آن نداشتم. آنجا بود که فهمیدم در دام کلاهبرداران گرفتار شده‌ام و پول‌هایم را به عده‌ای کلاهبردار داده‌ام.

 سایت جعلی

سایت جعلی با همان فیشنگ یا به قول بعضی ها فیک پیج

سایت جعلی را چگونه بشناسیم

سایت‌های معتبر دارای نماد اعتماد الکترونیکی هستند. نماد الکترونیکی برچسبی است که منحصرا توسط مرکز توسعه تجارت الکترونیکی وزارت صنعت، معدن و تجارت به‌‎کسب و کارهای اینترنتی احراز صلاحیت شده و قانونمند اعطا می‌شود و آرم آن به‌شکل زیر است.
لازم است بعد از دیدن این علامت در سایت بر روی آن کلیک کرده و ابتدا به تاریخ اعتبار و اطلاعات مندرج در آن توجه کنید. اگر اولین باری است که قصد دارید از یک سایت ناشناس دارای نماد الکترونیکی خرید کنید، ابتدا اطلاعات مندرج در سایتی که می‌خواهید از آن خرید کنید یادداشت کرده (روی آرم نماد الکترونیکی در سایت کلیک کنید) و به‌ آدرس سایت احراز هویت نماد الکترونیکی به نشانی enamad.ir/ShopList.aspx رفته و اطلاعات اعلامی در سایت را با اطلاعات ثبت شده در وب‌سایت احراز هویت مقایسه کرده و از نبودن هرگونه مقایرتی اطمینان حاصل کنید.

این کار به شما اطمینان می‌دهد اطلاعات بانکی و شخصی شما در سایت محفوظ مانده و در صورت وجود هرگونه نارضایتی می‌توانید از مراجع ذی‌صلاح خواسته خود را پیگیری کنید.

(لازم به ذکره ک بگم هر سایتی که نماد داره دلیل نمیشه ک ادم های درستی باشن و کار شمارو به درستی انجام بدن و یا هر سایتی ک نماد نداره دلیل نمیشه جعلی و خلاف کار باشه برای مثال نماد رو به بعضی از فروشگاه های اینترنتی ک محصولاتشون دارو و مکمل بدن سازی و یا دارو پرندگان باشد نماد تعلق نمیگیرد. ولی بنده در این زمینه های مشاهده ی داشتن نماد در این صنف بودم . و از نظر من سازمان e namad  بسیار بی کیفیت و عملکرد ضعفی دارد (سایت های متقلب با نماد هم وجود داره سایت هایی ک از شما مبلغ کمی مثل ۵۰۰ تومن و یا هزار تومن دریافت میکنه و این مبلغ به دلیل کم بودن کاربرو سمت شکایات نمیبره. و از نظر من متوجه شدن یک وب سیات خدماتی و یا فروشگاهی رو باید از مطلب ادرس و پشتیبانی صحیح ان متوجه شد که آیا سایت معتبری هست یا خیر))

چک کردن حالت امن درگاه خرید به‌صورت”https”

همواره از مرورگر اینترنتی بروز استفاده کنید. زمانی که علامت “https” در بالای نوار آدرس مرورگر به رنگ قرمز نمایش داده شد به‌معنی عدم ایمنی لازم است و نباید در چنین وضعیتی به پرداخت اینترنتی اقدام کرد.

استفاده از رایانه و موبایل شخصی برای خرید

در صورت امکان از کافی‌نت و دستگاه‌هایی که متعلق به شما نیستند برای خرید آنلاین استفاده نکنید. در صورت ضرورت از کیبرد مجازی سیستم مذکور و در سایت بانک هم از کیبرد مجازی بانک مربوطه استفاده کنید.

آدرس درگاه انتقالی را با آدرس اصلی بانک چک کنید

زمانی که فرایند خرید تکمیل شد، سایت شما را به یکی از درگاه‌های پرداخت الکترونیکی منتقل می‌کند، آنگاه آدرس را کاملا با آدرس اصلی بانک مربوطه مطابقت دهید و توجه کنید که ابتدای آدرس مورد نظر باید دارای رمزگذاری “https” باشد و رنگ آن قرمز نبوده و نباید کوچکترین اختلافی با آدرس اصلی بانک داشته باشد.

سارقان جدید یا همان هکرها یک سایت که از نظر ظاهری کاملا مشابه سایت‌های بانک هست طراحی کرده و ضمن فریب افراد، اطلاعاتشان را سرقت می‌کنند و به طبع آن حساب فریب خوردگان خالی می‌شود.

تشخیص سایت های تقلبی چندان دشوار نیست. کافی است آدرس پرداخت الکترونیک بانک خود را به درستی بشناسید. چراکه هیچ هکری نمی تواند آن را سرقت نماید.

در انتها در هر بازه‌ای به تعویض رموز خرید اینترنتی خود بپردازید و از یک رمز برای حساب‌های مختلف خود استفاده نکنید.

و میرسیم باز هم به بحث اصلی و شایع فیشینگ

روش های مرسوم فیشینگ

کلاهبرداری آنلاین بواسطه روش فیشینگ، از طرق مختلفی قابل انجام است که با توجه به آمار ۲۰۱۰ سایتدیده بان کلاهبرداری بین الملل به صورت زیر است:

دستکاری و تقلب در لینک ها و آدرس ها

یکی از شیوه های متداول و رایج در فیشینگ ارسال لینک ها و آدرس های متعلق به سازمان های غیر واقعی و جعلی از طریق ایمیل می باشد. آدرس هایی که تنها تفاوت آنها با آدرس اصلی یک یا دو حرف است یا از دامین های فرعی گمراه کننده برای ایجاد آنها استفاده گردیده است.

۲- دور زدن فیلتر

فیشرها با استفاده کردن از عکس به جای متن، کار فیلترهای ضد فیشینگ را که برای شناسایی متن هایی که عموماً در ایمیل های حاوی آدرس های جعلی یافت می شوند، را سخت می کنند.

۳- وب سایت جعلی

تنها با ورود و بازدید یک قربانی به سایت جعلی عمل کلاهبرداری صورت نمی پذیرد . در برخی از روش های فیشینگ از دستورات جاوا اسکریپت استفاده می شود تا نوار آدرس را اصلاح کند و تغییر دهد. این کار با قرار دادن تصویر یک آدرس اینترنتی قانونی و موجه در نوار آدرس یا بستن نوار آدرس اصلی و باز کردن یک نوار آدرس جدید که حاوی آدرس اینترنتی قانونی و موجه است، انجام می شود.

یک فیشر(مهاجم) حتی می تواند از نقایص موجود در برنامه جاوا اسکریپت یک سایت معتبر و قانونی علیه قربانیان خوداستفاده نمایند. این نوع حمله ها ( که به کراس سایت اسکریپتینگ معروف هستند) به طور خاص سخت و پیچیده هستند، چون آنها قربانی را به صفحه اینترنتی ثبت نام خدمات بانکی خود ارجاع می دهند. صفحه ای که در آن همه چیز از آدرس سایت گرفته تا گواهی امنیتی، همه درست و صحیح به نظر می رسند. در حقیقت لینک دادن به صفحه اصلی حقه ای برای به ثمر رساندن سرقت و انجام دادن حمله است.
با انجام این کار کشف این حمله برای افرادی که دانش لازم را ندارند، کار بسیار سختی است. در سال ۲۰۰۶ چنین حمله ای علیه سایت Pay Pal انجام شد

در ادامه به تصاویر زیر دقت کنید و فرق بین صفحه ی اصلی پرداخت و صفحه ی فرعی رو متوجه شوید

 

درگاه جعلی بانک ملت

درگاه بانک ملت جعلی

درگاه بانک ملت جعلی

 

 

درگاه اصلی بانک ملت

درگاه اصلی بانک ملت

درگاه اصلی بانک ملت

 

درگاه جعلی بانک پاسارگاد

درگاه جعلی بانک پاسارگاد

درگاه جعلی بانک پاسارگاد

 

درگاه اصلی بانک پاسار گاد

 

درگاه اصلی بانک پاسار گاد

درگاه اصلی بانک پاسار گاد

 

پیام پرداخت درگاه جعلی

پیام پرداخت درگاه جعلی

پیام پرداخت درگاه جعلی

و در آخر با پیامی شبیه یا این پیام مواجعه خواهید شد و بعد از ثبت اطلاعات آقای هکر تمامی اطلاعات وارد شده رو دارد



آدرس صحیح دروازه های پرداخت بانک ها از این قرار است:

آدرس پرداخت اینترنتی بانک سامان: sb24.com
آدرس پرداخت اینترنتی بانک پارسیان: pec24.com
آدرس پرداخت اینترنتی بانک پاسارگاد: BankPasargad.com
آدرس پرداخت اینترنتی بانک ملت: bankmellat.ir
آدرس پرداخت اینترنتی بانک سینا: esinabank.com
آدرس پرداخت اینترنتی بانک ملی: bankmelli-iran.com



همینطور که گفتم صفحه های فیشنگ زیاد هستن و خارج از فیشنگ های بانکی این موضوع برای اینستاکرام و تلگزام هم رایج است و شما را با فیشنگ تلگرام آشنا خواهم کرد.

تلگرام جعلی

تلگرام جعلی

 

 

دلیل جعلی بودن این صفحه واضح هستش اصلا کلمه ی telegram نوشته نشده دقت کنید به نوشته  telgram و بعد از دامنه های اصلی کمپانی های بزرگ مثل com .  org  . net  استفاده نشده!!!!!

و همانظور ک در بالا خواندید پرتوکول ssl نداره و با https آغاز نشده . و حال به عکس زیر دقت کنید

 

تلگرام اصلی

تلگرام اصلی

 

این عکس  نشان دهنده ی تلگرام اصلی است و درارای ssl امنیتی میباشد که با https آغاز شده و سبز رنگ است و عکس پایی نشان دهندهی یک ایمیل گول زننده از یک مهندس اجتماعی هست که فقط داره تظاهر میکنه که از سروی اینستاگرام هستش . گول این ایمل ها رو نخورید

 

ایمیل جعلی اینستا

ایمیل جعلی اینستا

 

تمامی این حرفایی ک زدیم توسط افرادی ک تازه وارد امنیت شدن و دارن سطح علم خودشونو ارتقا میدن ساخته میشود.

و فقط نیاز مند اندکی ذکاوت است .

اما شمارا با چند  روش فوق پیشرفته اشنا میکنم ک کار ساده ای نیست و واقعا هکر تواند مند برای ساخت این ها نیاز است

انواع روش هک پیشرفته

ویروس falme

حملات apt

کی لاگر

ک سانی ک علاقه مند به زمینه ی امنیت هستن میتونن بهتریم کتاب در این زمینه را مطالعه کنند.

کتاب هکر قانون مند CHE

با استفاده از لینک زیر میتوانید کتاب هکر قانون مند رو دانلود کنید

آزمون و مدرک بین المللی CEH مخفف Certified Ethical Hacker متعلق به EC-Council یا International Council of Electronic Commerce Consultants می باشد.تاسیس این سازمان با استناد به این واقعیت صورت گرفته است که دنیای فن آوری اطلاعات به سوی تجارت الکترونیک در حال حرکت می باشد و لذا مدارک و دوره های EC-Council نیز بر اساس ترکیب تجارت و آموزش فنی و ایجاد بستر مناسب جهت دستیابی به یک کسب و کار موفق بنا نهاده شده است. این سازمان، نماینده شرکتهای بزرگی از جملهMicrosoft ، IBM ، Xerox ، SONY ، Motorola ، Quantum ، Cisco و Verizon می باشد. در حقیقت EC-Council در دنیای صنعت صدای جهانی متخصصین تجارت الکترونیک بوده و در این راستا گام بر می دارد.یکی از معروفترین و کاربردی ترین مدارک این سازمان مدرک CEH یا مدرک تخصصی هکرهای قانونمند می باشد. این مدرک، بر روی تکنیک ها و تکنولوژی های هک از دیدگاه دفاعی تکیه می نماید. تکنیک های هکینگ شامل راه ها و روش هایی می باشد که طی آن برنامه ها به نحوی طراحی می گردند که کارهایی فراتر از آنچه از آنها انتظار می رود را در جهت سیاست ها و پروسه های امنیتی، انجام دهند.این دوره افراد را با چک لیست های امنیتی آشنا نموده و توانایی بررسی سیستم امنیتی موجود، ابزار شناسایی نقاط ضعف سیستم و بالاتر از همه کلیه متدلوژی های تعیین وضعیت امنیت یک سازمان توسط تست های نفوذ را به افراد اعطا می نماید. انجام — در آمریکا و اکثر کشورهای جهان جرم محسوب می گردد اما انجام تست های هک که توسط متخصصین و هکرهای قانونمند و طبق درخواست سازمان ها صورت می گیرد کاملا قانونی بوده و جهت تشخیص نقاط ضعف سیستم ها انجام می گیرد.

 

دانلود مستقیم کتاب هکر قانون مند به فارسی (CHE)

 

کتاب هکر قانون مند

کتاب هکر قانون مند

سعید دژاپنج

برنامه نویس وب طراح و توسعه دهنده ی وب سایت و مشاور کسب و کار های اینترنتی متخصص موتور های جستجو, عاشق دنیای متن باز

نوشته شده توسط : سعید دژاپنج
3 دیدگاه

دیدگاهی بگذارید