اکثر کاربران شهرستان کازرون از طریق فیک پیج هک می شوند!

اگر شما نیز جزو آن دسته از کاربرانی هستید که هر روز ایمیل خود را چک می کنید، یا وارد پنل وبلاگ خود می شوید و یا خرید اینترنت انجام می دهید، باید به شدت مراقب باشید که حساب های شما هک نشود.

یکی از روش های قدیمی که هکرها برای به دست آوردن پسورد کاربران استفاده می کنند، استفاده از «فیک پیج» می باشد. با وجود قدیمی بودن این روش، هنوز هم خیلی از کاربرها توسط این روش هک می شوند!

این اواخر تست هایی از کاربران شهرستان کازرون توسط سیدرضا بازیار (دانشجوی رشته فناوری اطلاعات کازرون) صورت گرفت و متاسفانه نتایج نگران کننده ای داشتند. برای تست امنیت کاربران شهرستان، تعدادی از کاربران که همه آنها دارای تحصیلات بودند، با بهانه های مختلف به صفحات تقلبی «فیک پیج» انتقال داده شدند که اکثر آنها متوجه این حمله نشدند و پسورد خود را تقدیم کردند! (این حملات از پیش برنامه ریزی شده و به گونه ای با اجازه خود کاربر ها انجام شدند…)

در این حمله بیش از نیمی از کاربران هک شدند. تعدادی از کاربران متوجه این صفحه تقلبی شدند و از وارد کردن پسورد خود، خودداری کردند و کمتر از ۱۰ درصد از کاربران بعد از تقدیم کردن پسورد خود متوجه صفحه تقلبی شدند و سریعاً اقدام به تغییر پسورد کردند.

فیک پیج چیست؟

فیک پیج ها صفحاتی هستند که توسط هکرها و... طراحی می شود و ظاهر یک صفحه عادی ورود را دارند. برای مثال یه صفحه را می سازند که دقیقا مانند صفحه ورود به جیمیل یا ایمیل یاهو یا… می باشد. شما با وارد کردن اطلاعات خود و زدن دکمه ثبت یا ورود، به جای اینکه وارد حساب کاربردی خود شوید، اطلاعات شما برای فرد هکر از طریق آن صفحه ارسال شده و اینگونه شما به راحتی هک شده اید!

فیک پیج ها چگونه کار میکنند؟

اگر به HTML که زبان استاندارد طراحی صفحات وب می‌باشد آشنایی داشته باشید، می توانید به راحتی فرم هایی را طراحی کرد که اطلاعات فرم را به آدرس ایمیل وارد شده بفرستد یا در یک محل ذخیره نماید. حال اگر فرد هکر یک فرم طراحی کند که اطلاعات ورود به ایمیل را بخواهد و با استفاده از استایل دهی آنرا شبیه صفحه یاهو یا جیمیل کند، فرد بدون هیچ اطلاعی از اینکه بداند آن صفحه ورود به حساب ایمیل است یا صفحه تقلبی، اطلاعات خود را در دستان هکر قرار میدهد.

هکر ها از فیک پیج ها چه استفاده هایی می کنند؟

معمولا هکر ها بیشتر برای هک کردن ایمیل و وبلاگ ها از این روش استفاده می کنند. اما برای هک کردن دیگر حساب ها مانند: حساب بانکی - شبکه های اجتماعی و… هم میتوان از این روش استفاده کرد.

چگونه فیک پیج ها را تشخیص دهیم؟

مقابله و شناسایی فیک پیج ها کار سختی است اما اگر چند چیز مهم و ساده را یاد بگیرید به سادگی انها را تشخیص میدهید:

1- به سایت های دیگر که از فرم های ورود به ایمیل و... استفاده می کنند اعتماد نکنید و از آنها استفاده ننمایید. برای مثال شما در گوگل ایمیل دارید، همیشه در صفحه ورود سایت گوگل وارد شوید و اگر در سایتی فرمی قرار داده بودند که گفته فرم ورود به ایمیل، اصلا استفاده نکنید. به احتمال زیاد فیک پیج می باشد. فراموش نکنید در مواقعی خاص فیک پیج نیستند و به صورت قانونی برای ثبت نام در آن سایت و… استفاده می شود.

2- اگر نگاهی به نوار آدرس مرورگر بیندازید متوجه می شوید که نوار آدرس مغایرت با نوار آدرس سایت اصلی دارد برای مثال:

آدرس سایت گوگل www.google.com می باشد و اگر آدرس به صورت www.gogle.com بود متوجه می شوید که این آدرس سایت با آدرس سایت گوگل تفاوت دارد. پس این صفحه می تواند یک صفحه تقلبی باشد!

البته این نکته را هم فراموش نکنید که سایت های معتبر از پروتکل امن انتقال ابرمتن یا HTTPS بجای HTTP استفاده می کنند و در صورت امکان از پروتکل HTTPS استفاده نمایید.

3- از طریق سورس: اگر یک برنامه نویس باشید، میتوانید فیک پیج ها را با این روش شناسایی کنید. به این صورت که از طریق مرورگر خود سورس کد صفحه را مشاهده نمایید. در سورس کدهای صفحه با استفاده از کلید های Ctrl+F (جست وجو) تگ form را پیدا کنید. در داخل تگ به action نگاه کنید و اگر یک آدرس ایمیل شخصی یا یک فایل txt بود از آن استفاده نکنید؛ و یا اینکه مقدار action آن صفحه را با صفحه ورود برای مثال یاهو مقایسه کنید، اگر همسان نبودن استفاده نکنید چون گاهی ممکن است هکر به جای ارسال اطلاعات به ایمیل، آن را به یک فایل ارسال کند.

حالا اگر گذرواژه عبور خود را به هکر تحویل دادیم چه کنیم؟

پس از وارد کردن اطلاعات خود و ارسال آن به هکر، بهتر است هر چه سریع تر گذرواژه خود را تغییر دهید

چند توصیه مهم:

1- در انتخاب پسورد خود دقت نمایید! پسورد شما باید شامل «اعداد - حروف کوچک و بزرگ انگلیسی - در صورت امکان حروف آلت و سیمبل ها» باشد و هرگز قابل حدث زدن نباشد!

2- در بخش تنظیمات امنیتی حساب های خود، حتما بازیابی رمز عبور به وسیله شماره موبایل یا ایمیل دوم را فعال سازی کنید! این امکان در اکثر وب سایت های بزرگ و معتبر وجود دارد.