پرش به محتوای اصلی

چگونه خود را از حملات فیشینگ محافظت کنید

فیشینگ همچنان شماره یک روش‌های سرقت حساب‌ها محسوب می‌شود. بیاموزید که فیشینگ مدرن چگونه کار می‌کند، نشانه‌های خطر را بشناسید و از دفاع‌های عملی که واقعاً حملات را متوقف می‌کنند استفاده کنید.

2026-04-14

TL;DR

  • فیشینگ علت شماره یک تصاحب حساب‌ها است — مهاجمان شما را فریب می‌دهند تا اطلاعات ورود را در یک سایت جعلی وارد کنید.
  • کیت‌های فیشینگ مدرن صفحات ورود را پیکسل به پیکسل کپی می‌کنند و کدهای 2FA شما را در زمان واقعی پروکسی می‌کنند.
  • کلیدهای امنیتی سخت‌افزاری (YubiKey، FIDO2) تنها دفاعی هستند که طراحی‌شان ضد فیشینگ است.
  • مدیران پسورد شما را با امتناع از پر کردن خودکار در دامنه اشتباه محافظت می‌کنند.
  • قبل از تایپ اطلاعات ورود، دامنه دقیق را بررسی کنید و هرگز از طریق لینک ایمیل وارد نشوید.

فیشینگ چیست؟

فیشینگ حمله مهندسی اجتماعی است که در آن مهاجم کپی متقاعدکننده‌ای از وب‌سایت مشروع می‌سازد — اغلب پیکسل به پیکسل کامل — و قربانی را فریب می‌دهد تا اطلاعات ورودش را آنجا وارد کند. لحظه‌ای که قربانی فرم را ارسال می‌کند، مهاجم نام کاربری، پسورد، و هر عامل دوم را ضبط کرده و در عرض چند ثانیه برای تصاحب حساب واقعی استفاده می‌کند.

این کلمه از استعاره «ماهیگیری» برای قربانیان با طعمه (معمولاً ایمیل) می‌آید. املا تغییر کرد تا تأکید کند که مهاجمان اغلب از شماره تلفن (فیشینگ SMS یا «smishing») و زیرساخت حرفه‌ای استفاده می‌کنند.

چرا فیشینگ همچنان تهدید شماره یک است

بیشتر نقض‌های حساب در مقیاس بزرگ امروز شامل هک، شکستن پسورد، یا دور زدن رمزگذاری نمی‌شود. آن‌ها شامل انسانی است که پسوردش را در سایت جعلی تایپ می‌کند. فیشینگ:

  • ارزان است — مهاجم می‌تواند میلیون‌ها ایمیل برای هزینه یک VPS و دامنه جعلی ارسال کند
  • فیلتر کردنش سخت است — کیت‌های مدرن دامنه‌ها را چرخش می‌دهند، از هاستینگ مشروع استفاده کرده و با فیلترها در زمان واقعی تطبیق می‌یابند
  • مؤثر است — حتی کاربران آگاه امنیتی به تلاش‌های هدفمند خوب (نیزه فیشینگ) گرفتار می‌شوند
  • مقیاس‌پذیر است — یک فیش موفق اغلب به دسترسی به ده‌ها سرویس متصل از طریق استفاده مجدد پسورد منجر می‌شود

گزارش تحقیقات نقض داده Verizon 2024 نشان داد که فیشینگ بردار دسترسی اولیه در بیش از ۳۶٪ همه نقض‌ها بود — بیش از هر علت منفرد دیگری.

چگونه فیشینگ مدرن کار می‌کند

فیشینگ فراتر از ایمیل‌های «شاهزاده نیجریه‌ای» دهه ۲۰۰۰ تکامل یافته. حمله فیشینگ مدرن معمولاً شامل:

۱. طعمه متقاعدکننده

معمولاً ایمیل، متن، یا پیام چت که فوریت («حسابتان تعلیق خواهد شد»)، اقتدار («تیم امنیت Microsoft»)، یا کنجکاوی («کسی شما را در عکسی تگ کرده») ایجاد می‌کند. نیزه فیشینگ این کار را با جزئیات شخصی گرفته از LinkedIn، دامپ‌های نقض، یا مکاتبات قبلی بیشتر می‌برد.

۲. سایت جعلی پیکسل به پیکسل کامل

مهاجمان از کیت‌های فیشینگ آماده استفاده می‌کنند که HTML، CSS و JavaScript سایت هدف را کپی می‌کنند. بسیاری از کیت‌ها به عنوان سرویس (فیشینگ به عنوان سرویس) فروخته می‌شوند، با داشبوردهای کاری و پشتیبانی مشتری.

۳. پروکسی زمان واقعی برای 2FA

بخش خطرناک: کیت‌های مدرن فقط پسوردتان را ضبط نمی‌کنند. آن‌ها به عنوان پروکسی میانی عمل می‌کنند که هر چیز تایپ کنید — شامل کد TOTP — را در عرض چند ثانیه به سایت واقعی ارسال می‌کند، و اکثر 2FA را دور می‌زند. این تکنیک خصم در میانه (AiTM) نامیده می‌شود و در ابزارهایی مثل Evilginx2 و Modlishka استفاده می‌شود.

۴. سرقت توکن جلسه

پس از احراز هویت از طریق پروکسی، مهاجم کوکی جلسه شما را ضبط کرده و می‌تواند از آن برای ماندن در سیستم حتی پس از تغییر پسورد استفاده کند. به همین دلیل پاسخ فیشینگ همیشه شامل لغو جلسات فعال است، نه فقط چرخش پسورد.

چه چیزی واقعاً فیشینگ را متوقف می‌کند

کلیدهای امنیتی سخت‌افزاری (FIDO2 / WebAuthn)

این تنها دسته دفاعی است که طراحی‌اش ضد فیشینگ است. وقتی با کلید FIDO2 وارد می‌شوید، کلیدتان دامنه دقیق سایت درخواست‌کننده احراز هویت را رمزنگاری‌شده تأیید می‌کند. سایت جعلی — هر چقدر که بصری کامل باشد — دامنه متفاوتی دارد، پس کلید امتناع می‌کند. مصافحه رمزنگاری‌شده به سادگی کامل نمی‌شود.

Google در سال ۲۰۱۷ YubiKey را برای همه ۸۵۰۰۰+ کارمندش اجباری کرد و صفر حمله فیشینگ موفق روی حساب‌های شرکت در سال‌های بعد گزارش داد.

Passkey ها

Passkey ها تکامل دوستدار مصرف‌کننده FIDO2 هستند. آن‌ها از همان رمزنگاری متصل به دامنه استفاده کرده و در iOS، Android، macOS و Windows ساخته شده‌اند. اگر سایتی که استفاده می‌کنید از passkey پشتیبانی کند، فعال کردن آن حساب را ضد فیشینگ می‌کند.

مدیران پسورد

مدیر پسورد خط دوم دفاع شما است چون فقط روی دامنه دقیق که اطلاعات در آن ذخیره شده، پر می‌کند. اگر به paypaI.com (حرف بزرگ I) به جای paypal.com بروید، مدیرتان بی‌صدا امتناع می‌کند فرم را پر کند. آن امتناع هشدار بلندی است که مشکلی وجود دارد.

فیلتر ایمیل و DNS

ارائه‌دهندگان ایمیل از DMARC، SPF و DKIM برای تشخیص آدرس‌های فرستنده جعلی استفاده می‌کنند. بیشتر ارائه‌دهندگان مدرن تلاش‌های آشکار را می‌گیرند، اما حملات هدفمند همچنان می‌گذرند. دکمه‌های «گزارش فیشینگ» را در کلاینت میلتان فعال کنید تا به بهبود فیلترها کمک کنید.

نشانه‌های خطر برای مراقبت

وقتی پیامی دریافت می‌کنید که از شما می‌خواهد وارد شوید، تأیید کنید، یا فوری عمل کنید:

  • فوریت و تهدید — «حسابتان در ۲۴ ساعت بسته خواهد شد»
  • سلام‌های عمومی — «مشتری عزیز» به جای نام شما
  • دامنه‌های مشابهpaypaI.com، app1e.com، secure-microsoft-login.net
  • ضمیمه‌های غیرمنتظره — خصوصاً فایل‌های .zip، .html یا .pdf که برای دیدن از شما می‌خواهند وارد شوید
  • خطاهای گرامری یا قالب‌بندی — شرکت‌های بزرگ ایمیل‌هایشان را ویرایش می‌کنند
  • عدم تطبیق لینک — روی لینک هاور کنید و ببینید آیا مقصد با متن مطابقت دارد

اگر چیزی عجیب به نظر رسید، ایمیل را ببندید. خود به سایت بروید. اگر مشکل واقعی باشد، وقتی از طریق جریان کار عادی‌تان وارد شوید آن را خواهید دید.

اگر به دامش افتادید چه کنید

سریع عمل کنید — سرعت مهم است چون مهاجمان در عرض دقایق شروع به استفاده از اطلاعات ورود می‌کنند.

۱. فوراً پسورد را تغییر دهید روی دستگاه متفاوت (مثلاً گوشی‌تان، اگر روی لپ‌تاپ به دام افتادید) ۲. همه جلسات فعال را لغو کنید در تنظیمات حساب — این هر کسی که از توکن‌های جلسه سرقتی استفاده می‌کند را بیرون می‌اندازد ۳. 2FA فعال کنید اگر قبلاً فعال نبود، و اگر ممکن است از کلید سخت‌افزاری یا passkey استفاده کنید ۴. فعالیت غیرمجاز را بررسی کنید — ایمیل‌های ارسالی، ورودهای اخیر، تغییرات صورت‌حساب، قوانین ارسال جدید ۵. موسسه آسیب‌دیده را اطلاع دهید اگر حساب مالی یا کاری است ۶. حساب‌های دیگری که همان پسورد را استفاده کردند بررسی کنید — حتی اگر مطمئنید پسورد استفاده مجدد نمی‌کنید، بررسی کنید

نتیجه‌گیری

فیشینگ چون فناوری را دور می‌زند و انسان‌ها را هدف می‌گیرد پیشرفت می‌کند. بهترین دفاع‌ها سه لایه را ترکیب می‌کنند: مدیران پسورد (امتناع از پر کردن خودکار در دامنه‌های اشتباه)، 2FA مقاوم در برابر فیشینگ (کلیدهای سخت‌افزاری یا passkey که به دامنه واقعی متصل می‌شوند)، و شک سالم (هرگز از طریق لینک ایمیل وارد نشوید).

هر سه را ابتدا روی مهم‌ترین حسابتان — ایمیلتان — فعال کنید. از آنجا، بقیه زندگی دیجیتالتان معنادار امن‌تر می‌شود.

چگونه خود را از فیشینگ محافظت کنید

چک‌لیست عملی و مرتب برای محکم کردن حساب‌هایتان در برابر حملات فیشینگ.

  1. از مدیر پسورد استفاده کنید:یک مدیر پسورد معتبر (1Password، Bitwarden، Proton Pass) نصب کنید و به آن اجازه دهید اطلاعات ورود را خودکار پر کند. در دامنه‌های مشابه امتناع خواهد کرد، که تشخیص‌دهنده فیشینگ داخلی می‌دهد.
  2. 2FA مقاوم در برابر فیشینگ فعال کنید:کلید سخت‌افزاری FIDO2 (YubiKey، Google Titan) یا passkey به مهم‌ترین حساب‌هایتان اضافه کنید — ابتدا ایمیل، سپس بانکداری، ذخیره‌سازی ابری، و مدیر پسورد. این‌ها تنها روش‌های 2FA هستند که واقعاً فیشینگ مدرن را متوقف می‌کنند.
  3. هرگز از طریق لینک‌های ایمیل وارد نشوید:وقتی ایمیلی می‌گیرید که از شما می‌خواهد وارد شوید، ایمیل را ببندید و از طریق بوک‌مارک یا تایپ URL به صورت دستی به سایت بروید. لینک در ایمیل ممکن است کپی کاملی باشد؛ بوک‌مارک در مرورگرتان چنین نیست.
  4. قبل از تایپ، دامنه دقیق را بررسی کنید:قبل از وارد کردن هر پسوردی، URL کامل را در نوار آدرس نگاه کنید. https، املای درست، و عدم وجود زیردامنه‌های اضافی مثل paypal.com.secure-login.net را بررسی کنید.
  5. گزارش دهید و ادامه دهید:تلاش فیشینگ را به ارائه‌دهنده ایمیلتان گزارش دهید (بیشترشان دکمه «گزارش فیشینگ» دارند). سپس به روزتان ادامه دهید — فیشینگ فقط زمانی خطرناک است که به دام آن بیفتید، و آگاهی بیشتر نبرد است.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email