مراقب قلاب ماحي‌گيري باشيد

اگر عنوان بالا را براي فردي بخوانيد، متوجه اشتباه املايي موجود در اين تيتر نمي‌شود. «ماحي‌گيري» يا فيشينگ (Phishing) با همان تلفظ عبارت ماهي‌گيري (Fishing) ساخته شده كه بيانگر نوعي دام و طعمه‌گذاري براي شكار اطلاعات محرمانه و حساس اشخاص است. 

فيشينگ نوعي هك با تقلب و جا زدن خود به عنوان يك نهاد يا سايت معتبر براي به دست آوردن اطلاعات حساس مانند نام كاربري، گذرواژه‌ها، جزييات كارت بانكي و مانند آنها براي سوءاستفاده‌هاي بعدي است. 
چيزي كه عموم مردم از مفهوم هك در ذهن دارند برگرفته از فيلم‌ها و داستان‌ها، تلاش يك فرد متخصص براي نفوذ به يك شبكه كامپيوتري با استفاده از دانش مهندسي كامپيوتر و شبكه است. در اين تصوير، هكر يك نابغه است كه از دانش فني خود براي نفوذ به يك سيستم و شبكه الكترونيكي استفاده مي‌كند. اما در عالم واقع در كنار هكرهاي متخصص، تعداد بيشتري هكر وجود دارد كه نه تنها متخصص نيستند بلكه افرادي شياد و متقلب هستند كه چيز زيادي از مسائل فني و تخصصي نمي‌دانند. آنها در واقع به جاي بهره بردن از نقاط ضعف شبكه و سيستم فني از نقطه ضعف‌هاي افراد و كاربران به عنوان يك انسان استفاده مي‌كنند. روش آنها بر پايه همان روش‌هايي است كه يك كلاهبردار معمولي و سنتي با استفاده از القاي نگراني، هيجان، طمع يا اعتماد براي گمراه كردن، تقلب و فريب در پيش مي‌گيرد. در مقابل نفوذ و هك‌هايي كه با دانش فني و تخصص براساس مهندسي نرم‌افزار صورت مي‌گيرند  به اين روش‌هاي غيرفني، هك بر پايه مهندسي اجتماعي گفته مي‌شود. 
در شبكه‌هاي مجازي و دنياي واقعي همواره در معرض سوءاستفاده توسط شبكه‌هاي اجتماعي، اقتصادي يا سياسي قرار داريم. معمولا دام‌ها و فريب‌ها يكي از اين 3 راه اصلي را برمي‌گزينند: ۱- القاي نگراني يا ترس ۲- برانگيختن طمع و ايجاد اعتماد ۳- ارايه همان چيزي كه دوست داريم، دريافت كنيم يا بشنويم. 
1-القاي نگراني يا ترس: چيزي كه ترس و نگراني از امنيت يا سلامت خود و اطرافيان القا مي‌كند  به راحتي مي‌تواند ما را هيجان‌زده كند تا بدون دقت، كاري شتابزده انجام دهيم. مثلا يك پيام كه به ما مي‌گويد، كسي به حساب بانكي‌مان وارد شده، ما را دستپاچه مي‌كند تا سريع حساب را چك كنيم يا رمز حساب خود را عوض كنيم. منطقي است كه خودمان به سايت بانك با آدرسي كه از قبل داريم، وارد شويم و حساب را كنترل كنيم؛ اما حالا كه دستپاچه و نگران هستيم و مي‌خواهيم به سرعت اقدام كنيم احتمالا به جاي آدرسي كه از سايت بانك داريم، روي لينكي كليك مي‌كنيم كه براي ورود به حساب بانكي يا تغيير رمز در همان پيام ساختگي براي ما ارسال شده است، اين لينك ما را به جايي مي‌برد كه شبيه سايت بانك است اما سايت بانك نيست. پس از اينكه اطلاعات و رمز عبور را وارد كرديم، يا به ما مي‌گويد كه همه‌چيز درست است و حساب ما اكنون امن است يا اينكه مي‌گويد، پسورد را اشتباه زده‌ايم و براي بار دوم، ما را به سايت واقعي بانك هدايت مي‌كند تا پس از ورود، اطلاعات درست را مشاهده كنيم و به چيزي مشكوك نشويم.
 2-برانگيختن طمع و ايجاد اعتماد.: ارايه چيزي كه زيادي خوب است مخصوصا در فرصتي اندك. ارايه يك ميانبر براي پولدار شدن، دريافت سود يا دستمزد بيشتر، ارايه سرويس‌هاي امن و ارزان و به‌طور كلي ارايه يك فرصت «اكازيون» و محدود از نظر تعداد و مدت زمان در دسترس بودن كه اگر دير بجنبيم از دست خواهد رفت، ما را هيجان‌زده كرده و فرصت توجه و دقت كافي براي سنجش جوانب كار را از ما مي‌گيرد. ما فريفته پيام دريافت‌شده، مي‌شويم و دست‌كم چند گام اوليه و به ظاهر بي‌خطر برمي‌داريم، مثلا به حساب كاربري خود وارد مي‌شويم. اين تمامِ آن چيزي است كه از ما به عنوان قرباني بالقوه فيشينگ توقع مي‌رود، ممكن است اصلا صحبت كلاهبرداري مالي در ميان نباشد بلكه هدف همان ورود به حساب كاربري و دسترسي به اطلاعات ما باشد. 
3-ارايه همان چيزي كه دوست داريم، دريافت كنيم يا بشنويم. اين روش بر علايق شخصي يا سياسي و اجتماعي ما براي ايجاد اعتماد و القاي حس درستي مطالب براساس پيش‌زمينه ذهني‌مان تكيه دارد. اخبار يا اطلاعاتي كه دوست داريم بشنويم، يك حفره كهن امنيتي براي نفوذ به ذهن آدمي‌ است، سوءاستفاده‌هاي اينترنتي بسياري براي نفرت‌پراكني، دروغ‌پراكني يا دام‌گذاري بر اين اساس شكل گرفته‌اند. خبري كه از تيم‌ها يا گروه‌هاي مورد علاقه خود مي‌شنويم، مطلبي كه در تاييد انديشه خود دريافت مي‌كنيم به راحتي ما را براي همراه شدن چند گام يا چند دقيقه بيشتر متقاعد  مي‌كند. 
گاهي فيشينگ به صورت فله‌اي با پهن كردن يك دام گسترده صورت مي‌گيرد، مثلا ارسال يك پيام يا ايميل جعلي از بانك الف به هزاران نفر به اميد اينكه در ميان اين افراد، تعدادي واقعا مشتري اين بانك باشند و به مطالب اين پيام توجه كنند. گاهي نيز فيشينگ يا ماحي‌گيري به صورت نيزه‌اي و هدف‌گيري شده، صورت مي‌گيرد. در اينجا هدف، جمع‌آوري اطلاعات مرتبط به يك شخص يا گروه خاص است. ممكن است دام به صورت گسترده و فله‌اي براي هزاران نفر پهن شود به اين اميد و هدف كه به دست فرد يا گروهي كه اطلاعات آنها مد نظر است برسد. اين طعمه‌گذاري ممكن است به صورت موردي و فردي با هدف‌گيري دقيق نيز انجام شود، مثلا ارسال يك خبر يا لينك براي يك شخص كه در يك زمينه خاص تحقيق مي‌كند و مدت‌ها به دنبال آن بوده يا دوست دارد كه به نحوي به آن اطلاعات دست يابد. ممكن است ارايه اطلاعات به ظاهر درست و مرتبط با زمينه كاري براي مدير يك سازمان يا شركت براي ترغيب او به كليك كردن روي يك لينك طعمه‌گذاري شده يا نصب يك نرم‌افزار (اپ) مرتبط با حوزه كاري او باشد.
حتي ممكن است گاهي با دنبال كردن لينك، ورود به سايت يا نصب نرم‌افزار، تمام يا بخشي از اطلاعات يا چيزي كه به دنبال آن هستيم را در اختيار ما قرار دهند اما هدف جمع آوري اطلاعات حساس، ورود به حساب كاربري يا رهگيري ما براي استفاده فوري يا سوءاستفاده‌هاي بعدي باشد. دسترسي به اطلاعات شخصي افراد، طعمه‌گذاري براي فيشينگ و جلب اعتماد قرباني را ساده‌تر مي‌كند. اطلاعات شخصي، مكاني يا كاري ما ممكن است بي‌آنكه توجهي به آن داشته باشيم در شبكه‌هاي اجتماعي در دسترس باشد. دانستن اسم دوستان يا همكاران ما، خواندن خاطرات ما، مكان‌هايي كه قبلا بوده‌ايم، سوابق و پروژه‌هاي كاري ما، محل تحصيل و هزاران اطلاعاتي كه به ظاهر بي‌ارزش هستند اما به راحتي براي رهگيري ما يا دست كم جلب اعتماد ما مي‌توانند به كار روند.
نصب نكردن برنامه‌هاي ارسال شده براي ما و كليك نكردن روي هر لينكي كه براي‌مان فرستاده مي‌شود اولين قدم در راه امنيت و حفاظت از ماست. لينك مربوط به خدمات رفاهي جامعه يا الزام بانكي و مواردي از اين دست غالبا از طريق كانال‌ها، پيام‌رسان و شبكه اجتماعي براي ما ارسال نخواهد شد و اگر اين‌گونه نيز باشد، لازم است براي ورود به هر سيستمي از لينكي كه از قبل داريم، استفاده كنيم نه لينكي كه در اين لحظه به ما ارايه شده است.
هميشه قبل از نصب يك برنامه يا كليك روي هر لينك از صحت و اعتبار آن (حتي در پيام يك دوست) اطمينان حاصل كنيم به خصوص اگر همان چيزي است كه به دنبال آن هستيم يا چيزي است كه ما را هيجان‌زده يا دستپاچه مي‌كند.