Biçe ser naveroka sereke

Çawa Xwe ji Êrişên Phishing-ê Biparêzin

Phishing hêjî rêya yekem a dizînê hesaban e. Fêr bibin ka phishing-a modern çawa dixebite, nîşaneyên sor ên ku divê li wan miqat bikin, û parastinên pratîk ên ku bi rastî êrişan rawestînin.

2026-04-14

TL;DR

  • Phishing sedemê yekem ê dizînê hesaban e — êrişkar hun dixapînin ku nasnameyan li ser malperek saxte bidin.
  • Kit-ên phishing-ê yên modern rûpelên têketinê pixel-perfect klonin û kodên we yên 2FA li dema rast-demê proxy dikin.
  • Mifteyên ewlehiyê yên hardware-ê (YubiKey, FIDO2) tenê parastina ku bi sêwirî phishing-proof e.
  • Rêvebirên şîfreyan we diparêzin ku li ser domain-ê şaş otomatîk tijî nakin.
  • Berî ku nasnameyan binivîsin domain-ê tam kontrol bikin, û ji girêdanka di email-ê de qet nikevn.

Phishing çi ye?

Phishing êrişeke endezyariya civakî ye ku êrişkar kopiyeke qenaatbar a malperek rewa çêdike — bi gelemperî pixel-perfect — û qurban dixapîne ku nasnameyan li wir binivîse. Dema ku qurban form-ê bişîne, êrişkar navê bikarhêner, şîfre, û her faktoreke duyemîn digire, paşê wan di çend çirkeyan de li ser hesabê rast bi kar tîne da ku kontrolê bigire.

Peyv ji metafora "masî girtin" ê ji bo qurbanan bi xindan (bi gelemperî email) tê. Rastnivîsîn hat guhertin da ku girîngiya wê nîşan bide ku êrişkar bi gelemperî jimareyen telefonê (phishing-a SMS, an "smishing") û pêvajoya ji profesyonalan mîna bi kar tînin.

Çima phishing hêjî tehdîda #1 e

Piraniya pirsgirêkên mezin ên hesaban ên îro ne hackkirin, şikandina şîfreyan, an derbas bûna şîfrekirinê vedihewîne. Ew mirovek ku şîfreyek li malpera saxte dinivîse vedihewîne. Phishing:

  • Erzan e — êrişkar dikare milyon emailan bi nirxa VPS-ek û domain-ek saxte bişîne
  • Dijwar e ku were parzûnkirin — kit-ên modern domainan dizivirandin, hosting-a rewa bi kar tînin, û bi parzûnên li dema rast-demê re dikin
  • Bandordar e — tewra bikarhênerên ku ji ewlehiyê agahdar in jî dikevne hewildanên baş hate amadekirin ên hedefkirî (spear phishing)
  • Scalable e — phishing-ek serketî bi gelemperî bigihîjîna hej deh karûbarên girêdayî bi nûçedana şîfreyan re dide

Raporda Lêkolînên Pirsgirêkên Daneyên Verizon-ê ya 2024-an dît ku phishing di zêdetirî %36 ê hemû pirsgirêkên de wek vektora gihîştina destpêkê bû — ji her sedemeke din a yekane zêdetir.

Phishing-a modern çawa dixebite

Phishing ji emailên "mîrê Nîjeryayê" yên sala 2000-an pir pêşve çû. Êrişeka phishing-a modern bi gelemperî ev in:

1. Xindanek qenaatbar

Bi gelemperî email, nivîs, an peyama chat ku lezgînî ("Hesabê we dê were rawestandin"), desthilat ("Tîma ewlehiya Microsoft-ê"), an merakî ("Kesek we di wêneyek de nîşan kir") afirandibe. Spear-phishing ev bi hûrguliyên kesane yên ji LinkedIn, daneyên pirsgirêkan, an jî têkiliyên berê hatine standin pêştir dibe.

2. Malpera saxte ya pixel-perfect

Êrişkar kit-ên phishing-ê yên shelf-off bi kar tînin ku HTML, CSS, û JavaScript-a malpera hedef klonin. Gelek kit wek karûbar (phishing-as-a-service) têne firotî, bi dashboard-ên xebitî û piştgiriya xerîdaran.

3. Proxy-ya dema-rast ji bo 2FA

Beşa xeternak: kit-ên modern tenê şîfreya we nagirin. Ew wek proxy-ya mirov-di-navber dixebitin ku her tiştî ku hûn dinivîsin — di nav de koda we ya TOTP — di çend çirkeyan de didin malpera rast, piraniya 2FA-yê derbas dike. Ev teknîk dijberê-di-navber (AiTM) tê gotin û di amûrên wek Evilginx2 û Modlishka de tê bikaranîn.

4. Dizîna token-a danişînê

Dema ku hûn di rêya proxy-yê re nasandin, êrişkar cookie-ya danişîna we digire û dikare bikar bîne da ku têketî bimîne tewra piştî ku hûn şîfreya xwe diguherandin. Ji ber vê yekê bersiva phishing-ê her tim revoke kirina danişînên çalak vedihewîne, ne tenê zivirandina şîfreyê.

Çi bi rastî phishing-ê rawestîne

Mifteyên ewlehiya hardware-ê (FIDO2 / WebAuthn)

Ev tenê kategoriya parastinê ye ku bi sêwirî phishing-proof e. Dema ku hûn bi mifteyeke FIDO2 têdikevin, mifteya we bi kryptografîk domain-ê tam ê malpera ku nasandinek dixwaze nas dike. Malpera saxte — ne girîng çiqas ji aliye dîmenê perfect be — domain-ek cûda ye, ji ber vê yekê mifteya bersivê red dike. Dest dirana kryptografîk tenê qediya nake.

Google bi navdar di sala 2017-an de mifteyên YubiKey-ê ji bo hemû 85,000+ karmendên xwe ferman kir û di salên paşî de li ser hesabên pargîdaniyê sifir êrişên phishing-ê yên serketî raport kir.

Passkey-an

Passkey-an pêşketina dijberî-hezkirin a FIDO2-yê ne. Ew heman kryptografiya girêdayî bi domainê bi kar tînin û di iOS, Android, macOS, û Windows-ê de hatine avakirin. Ger malperek ku hûn bi kar tînin passkey-an piştgirî dike, çalakkirina yekî wê hesêbî phishing-proof bike.

Rêvebirên şîfreyan

Rêvebirek şîfreyan xeta we ya duyemîn a parastinê ye ji ber ku ew tenê li ser domain-ê tam ku li wir nasnameyan hatine hilanîn otomatîk tijî dike. Ger hûn li paypaI.com (tîpek mezin I) ketinî li şûna paypal.com, rêvebir bi bêdengî red dike ku formê tijî bike. Wê redkirinê hişyariyeke bilind e ku tiştek şaş e.

Parzûnkirina email û DNS-ê

Peyamdêrên email-ê DMARC, SPF, û DKIM bi kar tînin da ku navnîşanên şandêr ên saxte nas bikin. Piraniya peyamdêrên modern hewildanên eşkere digirin, lê êrişên hedefkirî hêjî diçin. Bişkojkên "phishing-ê raport bike" di xerîdara postayê de çalak bikin da ku hûn alî parzûnên baştir bibin bikin.

Nîşaneyên sor ên ku miqat bikin

Dema ku peyamek dihêt ku ji we tê xwestin têkevn, nas bikin, an jî bi lezgînî tevbigerin:

  • Lezgînî û tehdîd — "Hesabê we di 24 saetn de dê tê girtinî"
  • Silavn giştî — "Xerîdarê birêz" li şûna navê we
  • Domain-ên mîna yekî rastpaypaI.com, app1e.com, secure-microsoft-login.net
  • Pêvekên nexpektkirî — nemaze pelan .zip, .html, an .pdf ku ji we dixwazin têkevn da ku wan bibînin
  • Çewtiyên gramer an format — pargîdaniyên mezin emailên xwe rast dikin
  • Neheviya girêdankê — li ser girêdankê bisekinin û kontrol bikin ka cih bi nivîsê re lihevhatî ye

Ger tiştek şaş hest dike, email-ê bigirin. Bi manual berê malpera derbasî bibin. Ger pirsgirêkek rast hebe, hûn dê dema ku bi rêya xebitandina xwe ya asayî têkevin wê bibînin.

Eger hûn ber xwe dan çi bike

Zû tevbigerîn — lez girîng e ji ber ku êrişkar dest bi bikaranîna nasnameyan di çend hûrdeyan de dikin.

  1. Şîfreyê bi leza li ser cîhazek cuda biguherîne (wek mînak, telefonê we, ger hûn li ser laptopa xwe ber xwe dane)
  2. Hemû danişînên çalak revoke bikin di mîhengên hesêbê de — ev kesê ku niha tokenên danişîna dizî bi kar tîne derdixe
  3. 2FA çalak bikin ger jixwe ne li ser bû, û ger gengaz be mifteyeke hardware-ê an passkey bi kar bînin
  4. Ji bo çalakiyên nepêwist kontrol bikin — emailên şandî, têketinên dawî, guheztinên hesabkirinê, rêbazên nûjen ên beralîkirinê
  5. Saziya bandorkirî agahdar bikin ger hesabek darayî an karî be
  6. Hesabên din ên ku heman şîfre bi kar anîn kontrol bikin — tewra ger hûn bawer in ku hûn şîfreyan dîsa bi kar naxînin, kontrol bikin

Xeta bingehîn

Phishing pêşve dibe ji ber ku ew teknolojiyê derbas dike û mirovên hedef gire. Parastinên çêtirîn sê xetan tevlihev dikin: rêvebirên şîfreyan (li ser domainên şaş otomatîk tijîkirinê red dikin), 2FA-ya li dijî phishing-ê (mifteyên hardware-ê an passkey-ên ku bi domain-ê rast ve girêdayî ne), û gumana saxlem (ji girêdanka email-ê qet nakevn).

Pêşî li ser hesabê we yê herî girîng — email-ê we — her sêkan çalak bikin. Ji wir, paşmayî ya jiyana we ya dijîtal bi wate ewletir dibe.

Çawa Xwe ji Phishing-ê Biparêzin

Lîsteyek pratîk û rêzkirin a ku hesabên we li dijî êrişên phishing-ê hişk bike.

  1. Rêvebirek şîfreyan bi kar bînin:Rêvebirek şîfreyan a navdar (1Password, Bitwarden, Proton Pass) saz bikin û bila nasnameyan otomatîk tijî bike. Ew dê li ser domain-ên mîna yekî rast nebe otomatîk tijî neke, naskereka phishing-ê ya navxweyî dide we.
  2. 2FA-ya li dijî phishing-ê çalak bikin:Bo hesabên we yên girîngtirîn mifteyeke hardware-ê ya FIDO2 (YubiKey, Google Titan) an passkey zêde bikin — email-ê pêşî, paşê bankacî, hilanîna cloud, û rêvebirê şîfreyan. Ev tenê rêbazên 2FA-yê ne ku bi rastî phishing-a modern rawestînin.
  3. Ji girêdanên email-ê qet nekevn:Dema ku email-ek dihêt ku ji we tê xwestin têkevn, email-ê bigirin û bi manual berê malpera derbasî bibin bi bookmark-ek an jî bi nivîsandina URL-ê. Girêdanka di email-ê de dibe klona bêkêmasî be; bookmark-a di geroka we de ne wisa ye.
  4. Berî nivîsandina domain-ê tam kontrol bikin:Berî ku her şîfreyek binivîsin, li URL-ê tam ya di darikê navnîşanê de binêrin. Li https, rastnivîsê rast, û tu sub-domain-ên zêde wek paypal.com.secure-login.net binêrin.
  5. Raport bikin û biçin pêş:Hewildana phishing-ê ji peyamdera email-ê re raport bikin (piranî bişkoka "Phishing-ê raport bike" hene). Paşê bi rojê xwe re biçin — phishing tenê ger hûn ber xwe bidin xeternak e, û hişyarî piraniya şer e.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email