Tsallake zuwa babban abun ciki

Yadda Ake Kare Kai Daga Hare-haren Phishing

Phishing shi ne hanyar farko da ake satar asusun mutane. Yadda phishing na zamani ke aiki, alamomin gargadi, da kariya da ke kawar da hare-hare da gaske.

An sabunta shi: 14 Afirilu, 2026

Taƙaitaccen bayani

  • Phishing shi ne sanadin farko na satar asusun — maharan suna yaudare ka don ka ba su bayanan shiga a wani shafi na karya.
  • Kayan aikin phishing na zamani suna kwafi shafukan shiga dalla-dalla kuma suna canja 2FA codes naka a lokaci na gaske.
  • Makullan tsaro na hardware (YubiKey, FIDO2) su ne kawai kariya da ta fi dacewa da hare-haren phishing ta hanyar ƙira.
  • Manajan kalmar sirri yana kare ka ta hanyar ƙi cike bayanan da aka adana a yankin da ba daidai ba.
  • Duba yankin daidai kafin ka rubuta bayanan shiga, kuma kada ka shiga daga hanyar haɗi da ke cikin imel.

Mene ne phishing?

Phishing wani hari ne na ƙirar zamantakewa inda mai kai hari ya ƙirƙiro kwafin shafin intanet na gaskiya wanda ya yi kamanni — galibi dalla-dalla — kuma ya yaudari wanda aka nufa da ya shigar da bayanan shiga a can. Da zarar wanda aka nufa ya tura fom, sai mai kai hari ya kama sunan mai amfani, kalmar sirri, da kowane ɓangare na biyu, sa'an nan ya yi amfani da su don karɓar asusun na gaske cikin daƙiƙoƙi.

Kalmar ta fito ne daga misalin "kamun kifi" don neman waɗanda aka azabtar da cin zarafi (galibi imel). Rubutun ya canza don jaddada cewa maharan galibi suna amfani da lambobin waya (phishing ta SMS, ko "smishing") da ababen more rayuwa masu sifar ƙwararru.

Me yasa phishing ke zama barazanar farko koyaushe

Yawancin kararyewar asusun da ke faruwa a yau ba sa haɗa da hacking, karya kalmomin sirri, ko keta ɓoyayyun bayanan. Suna haɗa da mutum da ke rubuta kalmar sirri a cikin wani shafi na karya. Phishing:

  • Arha ne — mai kai hari zai iya aika miliyoyin imel da farashin VPS da yanki da aka ɓata
  • Yana da wahalar tacewa — kayan aikin zamani suna juyar da yankuna, suna amfani da masaukin gaskiya, kuma suna daidaitawa da tacin ainihin lokaci
  • Yana da tasiri — ko ma masu amfani da ke sane da tsaro suna faɗawa cikin tarkon yunkurin da aka nufa da kyau (spear phishing)
  • Yana da girma — phishing ɗaya da ya yi nasara galibi yana ba da damar shiga dozin na ayyuka da aka haɗa ta sake amfani da kalmar sirri

Rahoton Binciken Laifukan Bayanan Data na Verizon 2024 ya gano cewa phishing shi ne hanyar farko ta shiga a sama da 36% na duk kararyewar — fiye da kowane sanadi guda ɗaya.

Yadda phishing na zamani ke aiki

Phishing ya wuce sosai ga imellan "Yariman Najeriya" na shekarun 2000. Harin phishing na zamani galibi ya haɗa da:

1. Ɗauri mai jan hankali

Galibi imel, saƙo, ko saƙon hira da ke ƙirƙiro gaggawa ("Asusun ka zai dakatar"), iko ("Ƙungiyar tsaro ta Microsoft"), ko sha'awa ("Wani ya nuna ka a hoto"). Spear-phishing yana ƙara wannan da bayanan mutum da aka ɗauko daga LinkedIn, fannonin kararyewa, ko wasiƙun da suka gabata.

2. Shafi na karya dalla-dalla

Maharan suna amfani da kayan aikin phishing na kasuwanci wanda ke kwafin HTML, CSS, da JavaScript na shafin da aka nufa. Kayan aikin da yawa ana sayar da su azaman aiki (phishing-as-a-service), tare da dashborad masu aiki da tallafin abokin ciniki.

3. Wakili na ainihin lokaci don 2FA

Bangaren haɗari: kayan aikin zamani ba sa ɗaukar kalmar sirrinka kawai. Suna aiki azaman wakilin man-in-the-middle wanda ke tura duk abin da ka rubuta — ciki har da lambar TOTP naka — zuwa shafin na gaske cikin daƙiƙoƙi, suna kewayewa 2FA da yawa. Ana kiran wannan dabarar adversary-in-the-middle (AiTM) kuma ana amfani da ita a kayan aiki kamar Evilginx2 da Modlishka.

4. Satar alamar zaman

Da zarar ka tabbatar ta wakili, mai kai hari yana kama cookie zaman naka kuma zai iya amfani da ita don ci gaba da shiga ko bayan ka canza kalmar sirrinka. Wannan shi ne dalilin da ya sa amsawar phishing koyaushe ta haɗa da soke zamanin da ke aiki, ba juyin kalmar sirri kawai ba.

Abin da ke tsayar da phishing da gaske

Makullan tsaro na hardware (FIDO2 / WebAuthn)

Wannan ita ce kawai rukunin kariya da ke da kariya daga phishing ta hanyar ƙira. Lokacin da ka shiga da makullin FIDO2, makullin ka yana tabbatar da yankin daidai na shafin da ke neman tabbatarwa ta hanyar ɓoyayyen lissafi. Wani shafi na karya — ko da ya yi kamanni cikakke ta gani — yana da yankin daban, saboda haka makullin yana ƙi amsa. Musayar ɓoyayyen lissafi kawai ba ta kammala.

Google ta shahara ta tilasta YubiKeys ga duk ma'aikatan 85,000+ a shekara ta 2017 kuma ta ba da rahoton babu nasarar hare-haren phishing a kan asusun kamfanin a shekaru da suka biyo baya.

Passkeys

Passkeys su ne juyin halittar FIDO2 mai amfani ga mabukaci. Suna amfani da ɓoyayyen lissafi ɗin da aka ɗaure da yankin ɗin kuma an gina su a cikin iOS, Android, macOS, da Windows. Idan shafi da ka yi amfani da shi yana goyon bayan passkeys, kunna ɗaya yana sa asusun phishing-proof.

Manajan kalmar sirri

Manajan kalmar sirri shine layin kariyar ka na biyu domin yana cika bayanan shiga atomatik kawai a yankin daidai inda aka adana su. Idan ka sauka a kan paypaI.com (babban I) maimakon paypal.com, manejanka yana ƙi cika fom a hankali. Wannan ƙin yarda babbar gargadi ne cewa wani abu ba daidai ba ne.

Tacin imel da DNS

Masu ba da imel suna amfani da DMARC, SPF, da DKIM don gano adiresoshin mai aika da aka ɓata. Yawancin masu ba da sabis na zamani suna kama yunkurin a bayyane, amma hare-haren da aka nufa har yanzu suna ratsa. Kunna maɓallan "rarraba phishing" a cikin abokin ciniki na imel ɗinka don taimakawa inganta tacin.

Alamomin gargadi da za a lura da su

Lokacin da ka karɓi saƙo da ke roƙon ka da ka shiga, tabbatar, ko aiki da gaggawa:

  • Gaggawa da barazana — "Asusun ka zai rufe cikin awanni 24"
  • Gaisuwar gama-gari — "Abokin ciniki mafi girma" maimakon sunanka
  • Yankuna masu kama da na gaskepaypaI.com, app1e.com, secure-microsoft-login.net
  • Haɗe-haɗen da ba a sa ran su ba — musamman fayilolin .zip, .html, ko .pdf da ke roƙon ka da ka shiga don kallo
  • Kuskuren nahawu ko tsarin — manyan kamfanoni suna duba imellansu kafin aika
  • Rashin daidaiton hanyar haɗi — danna gaban hanyar haɗin kuma duba ko wurin da zai kai ya dace da rubutun

Idan wani abu ba ya dace, rufe imel. Je shafin da hannu. Idan akwai matsala ta gaske, za ka gani lokacin da ka shiga ta hanyar aiki ta atomatik.

Me zan yi idan na faɗa cikin tarkon

Yi aiki da sauri — gudun lokaci yana da mahimmanci domin maharan suna fara amfani da bayanan shiga cikin mintuna.

  1. Canja kalmar sirri nan take a kan wata na'ura daban (wayar hannu, alal misali, idan ka faɗa cikin tarkon a kwamfutarka)
  2. Soke duk zamanin da ke aiki a cikin saitunan asusun — wannan yana fitar da kowa da ke amfani da alamomin zaman da aka saci a halin yanzu
  3. Kunna 2FA idan ba a kunna shi ba tukuna, kuma yi amfani da makullin hardware ko passkey idan zai yiwu
  4. Duba ayyukan da ba a yarda da su ba — imellan da aka aika, shiga na kwanan nan, canje-canje a lissafin kuɗi, sabon ka'idodin turawa
  5. Sanar da cibiyar da ta shafa idan asusun kuɗi ne ko na aiki
  6. Duba sauran asusun da suka yi amfani da kalmar sirri ɗaya — ko da kana tabbatar ba ka sake amfani da kalmomin sirri, duba

Ƙarshe

Phishing yana bunƙasa domin yana kewayawa fasaha kuma yana nufa ɗan adam. Mafi kyawun kariya ta haɗa da yadudduka uku: manajan kalmar sirri (yana ƙi cika a kan yankuna mara daidai), 2FA mai tsayayya da phishing (makullan hardware ko passkeys da ke ɗaurewa da yankin na gaske), da shakku na ƙwarai (kada ka shiga ta hanyar haɗin imel).

Kunna duk ukun a asusun ka mafi muhimmanci — imel ɗinka — da farko. Daga can, sauran rayuwar dijital ɗinka tana zama mai aminci sosai.

Yadda Ake Kare Kai Daga Phishing

Jerin ayyuka masu amfani da tsari don karfafa asusun ka daga hare-haren phishing.

  1. Yi amfani da manajan kalmar sirri:Shigar da manajan kalmar sirri mai inganci (1Password, Bitwarden, Proton Pass) kuma ka bar shi ya cika bayanan shiga ta atomatik. Zai ƙi cika a kan yankuna masu kama da na gaske, yana ba ka na'urar gano phishing da aka gina a ciki.
  2. Kunna 2FA mai tsayayya da phishing:Ƙara makullin hardware na FIDO2 (YubiKey, Google Titan) ko passkey ga asusun ka mafi muhimmanci — imel da farko, sa'an nan banki, ajiyar girgije, da manajan kalmar sirri. Waɗannan su ne kawai hanyoyin 2FA da ke tsayar da phishing na zamani da gaske.
  3. Kada ka shiga ta hanyoyin haɗi na imel:Idan ka karɓi imel da ke roƙon ka da ka shiga, rufe imel kuma ka je shafin da hannu ta yanayin da aka adana ko ta rubuta URL. Hanyar haɗi a cikin imel na iya zama kwafi kamil; yanayin da ke cikin mai binciken ka ba haka ba ne.
  4. Duba yankin daidai kafin rubuta bayanan:Kafin ka shigar da wata kalmar sirri, duba cikakken URL a cikin sanduna na adireshi. Nema https, rubutun daidai, kuma babu ƙarin yankuna ƙarami kamar paypal.com.secure-login.net.
  5. Rarraba kuma ci gaba:Rarraba yunkurin phishing ga mai ba da imel ɗinka (mafi yawa suna da maɓallin "Rarraba phishing"). Sa'an nan ci gaba da ranka — phishing na haɗari ne kawai idan ka faɗa cikinsa, kuma sani shi ne mafi yawan yaƙin.

Tambayoyin Da Ake Yawan Yi

Mene ne phishing da sauƙin fahimta?
Phishing yana faruwa ne lokacin da mai kai hari ya ƙirƙiro wani shafi na karya wanda ya yi kama da na gaske (bankin ka, imel, ko shafin shiga na wurin aiki) kuma ya yaudare ka da ka rubuta kalmar sirrinka a can. Da zarar ka tura, sai ya kama bayanan shaiga naka ya kuma yi amfani da su a shafin na gaske.
Shin 2FA zai tsayar da phishing?
2FA ta hanyar app (TOTP) da lambobin SMS ba sa tsayar da phishing na zamani. Maharan suna amfani da wakilan ainihin lokaci waɗanda ke tura lambar ka zuwa shafin na gaske cikin daƙiƙoƙi. Makullan hardware na FIDO2/WebAuthn da passkeys kawai su ne da kariya daga phishing, domin suna ɗaure ta hanyar ɓoyayyen lissafi da yankin na gaske.
Ta yaya zan gane imel na phishing?
Danna gaban hanyar haɗi kafin ka danna kuma duba wurin da zai kai ka. Kula da gaggawa ("asusun ka zai rufe cikin awanni 24"), gaisuwar gama-gari ("Abokin ciniki mafi girma"), da ƙananan kuskuren rubutun yanki (paypaI.com da babban i, ba ƙaramin L ba). Idan ba ka da tabbas, je shafin da hannu maimakon dannawa hanyar haɗi.
Me zan yi idan na yi imanin na faɗa cikin tarkon phishing?
Canja kalmar sirri a kan asusun da ya shafa nan take daga wata na'ura daban. Soke duk zaman da ke aiki a cikin saitunan asusun. Kunna ko sake kunna 2FA idan ba ka yi haka ba. Bincika asusun don ayyukan da ba a yarda da su ba. Idan asusun kuɗi ne, kira cibiyar kai tsaye.
Shin manajan kalmar sirri amintacce ne don amfani da shi wajen phishing?
I, kuma su ne ɗaya daga cikin mafi kyawun kariya naka. Manajan kalmar sirri yana cika ta atomatik bisa yankin daidai. Idan ka sauka a paypaI.com maimakon paypal.com, manejanka ba zai cika ba — wannan babban alamar gargadi ne cewa wani abu ba daidai ba ne.

Labarai masu alaƙa

Menene 2FA?

Jerin bincike na sirri ta yanar gizo

Menene imel da aka ɓoye?