Hoppa till huvudinnehåll

Yadda Za Ka Kare Kanka Daga Hare-haren Phishing

Phishing ya kasance babban hanyar da ake satar asusun mutane. Ka koyi yadda phishing na zamani yake aiki, alamomin da za ka lura da su, da hanyoyin kariya da za su hana hare-haren.

2026-04-14

TL;DR

  • Phishing shine babban dalilan satar asusun mutane — maharan suna ruɗin ka ka ba da bayanin shiga a shafin karya.
  • Kayan aikin phishing na zamani suna kwafin shafukan shiga daidai pixel da pixel kuma suna aika da lambobin 2FA a lokaci guda.
  • Maɓallan tsaro na hardware (YubiKey, FIDO2) sune kawai kariyar da ta hana phishing ta hanyar ƙira.
  • Masu sarrafa kalmomin sirri suna kare ka ta hanyar ƙin cika bayanai a yankin da bai dace ba.
  • Ka duba ainihin yankin kafin ka shigar da bayanin shiga, kuma kar ka shiga ta hanyar link a imel.

Menene phishing?

Phishing harin injiniya na zamantakewa ne inda mahara ke ƙirƙiro kwafin gidan yanar gizo mai gaskiya — sau da yawa daidai pixel — ya ruɗi wanda aka kai masa hari ya shigar da bayanin shiga a can. Da zarar wanda aka kai masa hari ya mika fom, mahara ya kama sunan mai amfani, kalmar sirri, da kowane abu na biyu, sannan ya yi amfani da su ya kwace ainihin asusu cikin daƙiƙa kaɗan.

Kalmar ta fito ne daga misalin "fishing" don neman wadanda za a kai musu hari da kaya (yawanci imel). An canza rubutun don nuna cewa maharan sau da yawa suna amfani da lambobin wayoyi (SMS phishing, ko "smishing") da kayan aiki masu kama da na sana'a.

Me yasa phishing har yanzu babban barazana ce

Yawancin manyan satar asusun a yau ba sun ƙunshi hacking ba, fasa kalmomin sirri, ko ketare boye-boye. Sun ƙunshi mutum da ke rubuta kalmar sirri a gidan yanar gizon karya. Phishing shine:

  • Arha — mahara na iya aika imel miliyoyin da kudin VPS da yanki na karya
  • Da wahala a tace — kayan aikin zamani suna juyar da yankuna, suna amfani da masaukin halal, kuma suna daidaitawa da tacewa a lokaci guda
  • Mai tasiri — har ma da masu sanin tsaro suna fadawa cikin ƙoƙarine da aka tsara sosai (spear phishing)
  • Mai girma — phishing guda ɗaya da ya yi nasara sau da yawa yana ba da damar shiga ayyuka da yawa masu alaƙa ta hanyar sake amfani da kalmomin sirri

Rahoton 2024 Verizon Data Breach Investigations Report ya gano cewa phishing ya kasance hanyar farko ta shiga a cikin fiye da kashi 36% na duk fashe-fashe — fiye da kowane dalili guda.

Yadda phishing na zamani yake aiki

Phishing ya ci gaba fiye da imel "Nigerian prince" na 2000s. Harin phishing na zamani yawanci ya ƙunshi:

1. Kaya mai ruɗi

Yawanci imel, rubutu, ko saƙon hira da ke haifar da gaggawa ("Za a dakatar da asusun ka"), iko ("Ƙungiyar tsaron Microsoft"), ko sha'awar sani ("Wani ya yiwa ka alama a hoto"). Spear-phishing ya ƙara wannan da cikakkun bayanai na sirri da aka zaro daga LinkedIn, fashe-fashen bayanai, ko wasiƙun da suka gabata.

2. Gidan yanar gizo na karya mai cikakken kama

Maharan suna amfani da kayan aikin phishing da ake sayarwa waɗanda ke kwafin HTML, CSS, da JavaScript na shafin da aka nufa. Yawancin kayan aikin ana sayar da su azaman sabis (phishing-as-a-service), tare da dashboard masu aiki da tallafin abokan ciniki.

3. Proxy na lokaci guda don 2FA

Bangaren mai haɗari: kayan aikin zamani ba kawai suna kama kalmar sirrin ka ba. Suna aiki azaman proxy na man-in-the-middle da ke tura komai da ka rubuta — har da lambar TOTP ka — zuwa ainihin shafin cikin daƙiƙa kaɗan, suna ketare yawancin 2FA. Ana kiran wannan dabarar adversary-in-the-middle (AiTM) kuma ana amfani da ita a cikin kayan aiki kamar Evilginx2 da Modlishka.

4. Satar alamar zama

Da zarar ka tabbatar ta hanyar proxy, mahara ya kama cookie na zama kuma zai iya amfani da shi ya ci gaba da shiga ko da bayan ka canza kalmar sirri. Shi ya sa amsa phishing kullum ta ƙunshi soke ayyukan da ke ci gaba, ba kawai jujjuya kalmar sirri ba.

Abin da ke dakatar da phishing a gaske

Maɓallan tsaro na hardware (FIDO2 / WebAuthn)

Wannan shine kawai nau'in kariya da ke hana phishing ta hanyar ƙira. Lokacin da ka shiga da maɓallin FIDO2, maɓallin ka yana tabbatar da ainihin yankin shafin da ke neman tabbatarwa ta hanyar cryptography. Gidan yanar gizon karya — komai yadda yayi kama a gani — yana da yanki daban, don haka maɓallin ya ƙi ya amsa. Musafahan cryptographic ba ya cika kawai.

Google ya yi shahara da tilasta YubiKeys ga duk ma'aikata 85,000+ a 2017 ya bayar da rahoto babu hare-haren phishing da suka yi nasara akan asusun kamfani a cikin shekarun da suka gabata.

Passkeys

Passkeys sune ci gaban FIDO2 mai sauƙin amfani ga mabukaci. Suna amfani da irin wannan cryptography mai ɗaure da yanki kuma an gina su cikin iOS, Android, macOS, da Windows. Idan shafin da kake amfani da shi ya goyi bayan passkeys, kunna ɗaya ya sa asusun ɗin ya hana phishing.

Masu sarrafa kalmomin sirri

Masu sarrafa kalmomin sirri shine layar kariya ta biyu saboda suna cika bayanin shiga kawai a ainihin yankin inda aka ajiye su. Idan ka sauka a paypaI.com (babban I) maimakon paypal.com, mai sarrafa naka ya ƙi ya cika fom ɗin a nitse. Wannan ƙin babban gargaɗi ne cewa wani abu bai dace ba.

Tacewar imel da DNS

Masu ba da imel suna amfani da DMARC, SPF, da DKIM don gano adireshin aika da aka karya. Yawancin masu ba da ayyuka na zamani suna kamawa waɗanda a bayyane suke, amma hare-haren da aka yi musamman har yanzu suna kutsewa. Kunna maballin "kai rahoto phishing" a cikin abin amfani da imel ɗin ka don ka taimaki tacewa su inganta.

Tutoci masu ja da hankali

Lokacin da ka karɓi saƙo da ke neman ka shiga, ka tabbatar, ko ka yi wani abu da gaggawa:

  • Gaggawa da barazana — "Za a rufe asusun ka cikin awa 24"
  • Gaisuwar gaba ɗaya — "Maabukaci mai girma" maimakon sunan ka
  • Yankuna masu kamapaypaI.com, app1e.com, secure-microsoft-login.net
  • Abubuwa da ba ka zata ba — musamman fayilolin .zip, .html, ko .pdf da ke neman ka shiga don ka duba su
  • Kurakuran nahawu ko tsari — manyan kamfanoni suna nazarin imel ɗin su
  • Rashin daidaituwar link — ka jajjaba kan link ɗin ka duba ko wurin da za ka je yayi daidai da rubutun

Idan wani abu bai ji dadi ba, rufe imel ɗin. Je shafin da kanka. Idan akwai ainihin matsala, za ka gan ta lokacin da ka shiga ta hanyar al'adar ka.

Abin da za ka yi idan ka fadi cikin ɗaya

Ka yi sauri — sauri ya yi muhimmanci saboda maharan suna fara amfani da bayanin shiga cikin mintuna.

  1. Canza kalmar sirri nan da nan a wani na'ura daban (wayar ka, misali, idan ka fadi ciki a laptop ɗin ka)
  2. Soke duk ayyukan da ke ci gaba a cikin saitunan asusu — wannan yana korar duk wanda ke amfani da alamun zama da aka sace a halin yanzu
  3. Kunna 2FA idan ba ta kasance a kunne ba, kuma yi amfani da maɓallin hardware ko passkey idan mai yiwuwa
  4. Duba ayyukan da ba ka yarda da su ba — imel da aka aika, shiga na baya-bayan nan, canje-canjen biyan kuɗi, sabbin ƙa'idodin turawa
  5. Sanar da cibiyar da ta shafa idan asusu na kuɗi ne ko na aiki
  6. Duba sauran asusun da suka yi amfani da irin kalmar sirri — ko da ka tabbata ba ka sake amfani da kalmomin sirri ba, ka duba

Maganar ƙarshe

Phishing yana bunƙasa saboda yana ketare fasaha yana kai wa mutane hari. Mafi kyawun kariya ta haɗa yadudduka uku: masu sarrafa kalmomin sirri (ƙin cika a yankunan da ba daidai ba), 2FA mai hana phishing (maɓallan hardware ko passkeys da ke ɗaure da ainihin yanki), da shakku mai lafiya (kar ka shiga daga link na imel).

Kunna dukkanin ukun a kan muhimmin asusun ka — imel ɗin ka — da farko. Daga can, sauran rayuwar ka ta dijital za ta fi aminci da ma'ana.

Yadda Za Ka Kare Kanka Daga Phishing

Jerin ayyuka mai ma'ana da tsari don ƙarfafa asusun ka akan hare-haren phishing.

  1. Yi amfani da mai sarrafa kalmomin sirri:Shigar da mai sarrafa kalmomin sirri mai kyau (1Password, Bitwarden, Proton Pass) ka bar shi ya cika bayanin shiga. Za ya ƙi ya cika a yankunan da suka yi kama, yana ba ka na'urar gano phishing.
  2. Kunna 2FA mai hana phishing:Ƙara maɓallin hardware na FIDO2 (YubiKey, Google Titan) ko passkey ga muhimman asusun ka — imel da farko, sannan banki, ajiyar cloud, da mai sarrafa kalmomin sirri. Waɗannan sune kawai hanyoyin 2FA da suke dakatar da phishing na zamani.
  3. Kar ka shiga ta hanyar hanyoyin haɗi na imel:Lokacin da ka sami imel da yake neman ka shiga, rufe imel ɗin ka je shafin da kanka ta hanyar bookmark ko ka rubuta URL. Link ɗin da ke cikin imel ɗin na iya zama cikakken kwafi; bookmark ɗin da ke cikin browser ɗin ka ba haka ba.
  4. Duba ainihin yanki kafin ka rubuta:Kafin ka shigar da kowace kalmar sirri, ka duba cikakken URL a mashigin adireshi. Ka lura da https, daidaitaccen rubutu, da babu ƙarin subdomain kamar paypal.com.secure-login.net.
  5. Kai rahoto ka ci gaba:Kai rahoto game da ƙoƙarin phishing ga mai ba da imel ɗin ka (yawancinsu suna da maballin "Kai rahoto phishing"). Sannan ka ci gaba da kwananka — phishing mai haɗari ne kawai idan ka fadi ciki, kuma sanin ya zama mafi yawan yakin.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email