Негізгі мазмұнға өту

Чӣ тавр худро аз ҳамлаҳои фишинг муҳофизат кунед

Фишинг роҳи №1 дуздидани ҳисобҳо боқӣ мемонад. Фаҳмед, ки фишинги муосир чӣ тавр кор мекунад, аломатҳои хатарнокро муайян кунед ва воситаҳои амалии муҳофизавиро ёд гиред.

2026-04-14

TL;DR

  • Фишинг сабабе №1 тасарруфи ҳисобҳост — муҳоҷимон шуморо мефирефтанд, то дар сайти қалбакӣ маълумоти воридшавиро пешниҳод кунед.
  • комплектҳои фишинги муосир саҳифаҳои воридшавиро дақиқан нусхабардорӣ мекунанд ва рамзҳои 2FA-и шуморо дар вақти воқеӣ интиқол медиҳанд.
  • Калидҳои амниятии аппаратӣ (YubiKey, FIDO2) танҳа воситаи муҳофизавӣ мебошанд, ки аз рӯи тарҳ аз фишинг муҳофизат мекунанд.
  • Мудирони паролҳо шуморо ҳифз мекунанд тавассути инкори пуркунии худкор дар домени нодуруст.
  • Пеш аз ворид кардани маълумоти воридшавӣ домени дақиқро санҷед ва ҳеҷ гоҳ аз пайванд дар электронӣ почта ворид нашавед.

Фишинг чист?

Фишинг ҳамлаи инҷиниринги иҷтимоӣ аст, ки дар он муҳоҷим нусхаи боэътимоди сайти қонунӣ — аксар вақт аз рӯи пиксел комил — месозад ва қурбониро мефирибад, то дар он ҷо маълумоти воридшавиро ворид кунад. Дар ҳамон лаҳзае ки қурбонӣ формро пешниҳод мекунад, муҳоҷим номи корбар, парол ва ягон омили дуюмро гирифта, онҳоро дар давоми чанд сония дар ҳисоби воқеӣ барои тасарруф истифода мебарад.

Ин калима аз истеораи "моҳигирӣ" барои қурбониҳо бо тӯҳма (одатан почтаи электронӣ) гирифта шудааст. Имло тағйир ёфт, то таъкид кунад, ки муҳоҷимон аксар вақт рақамҳои телефонӣ (фишинги SMS ё "smishing") ва инфрасохтори касбиро истифода мебаранд.

Чаро фишинг ҳанӯз таҳдиди №1 аст

Аксари вайронкуниҳои ҳисобҳои миқёси бузург дар имрӯз ҳакингӣ, шикастани паролҳо ё дур кардани рамзкушоиро дар бар намегиранд. Онҳо инсонеро дар бар мегиранд, ки паролро дар сайти қалбакӣ менависад. Фишинг:

  • Арзон — муҳоҷим метавонад миллионҳо почтаро бо арзиши VPS ва домени қалбакӣ фиристад
  • Филтр кардан мушкил — китҳои муосир доменҳоро мегарданд, хостинги қонуниро истифода мебаранд ва дар вақти воқеӣ ба филтрҳо мутобиқ мешаванд
  • Самарабахш — ҳатто корбарони огоҳи амниятӣ низ ба кӯшишҳои ҳадафманди хуб тайёршуда мубтало мешаванд (найзафишӣ)
  • Миқёсшаванда — як фишинги муваффақ аксар вақт ба дастрасӣ ба дастаҳо хидмоти пайвастшуда тавассути такрори парол мерасад

Гузориши Тадқиқоти вайронкунии додаҳои Verizon дар соли 2024 муайян кард, ки фишинг вектори дастрасии ибтидоӣ дар зиёда аз 36% ҳамаи вайронкуниҳо буд — зиёда аз ҳар сабаби ягонаи дигар.

Фишинги муосир чӣ тавр кор мекунад

Фишинг хеле берун аз почтаи электронии "шоҳзодаи Ниҷерия"-и солҳои 2000-ум такомул ёфтааст. Ҳамлаи фишинги муосир одатан инҳоро дар бар мегирад:

1. Тӯҳмаи боэътимод

Одатан почтаи электронӣ, матн ё пайёми чат, ки фавриятнокӣ ("Ҳисобатон таваққуф дода мешавад"), ваколат ("Даставаи амниятии Microsoft") ё кунҷковӣ ("Касе шуморо дар сурат нишон дод") эҷод мекунад. Найзафишӣ инро бо тафсилоти шахсӣ, ки аз LinkedIn, дампҳои вайронкунӣ ё мукотабаи қаблӣ гирифта шуда, пешрафт мебарад.

2. Сайти қалбакии пикселӣ комил

Муҳоҷимон китҳои фишинги тайёрро истифода мебаранд, ки HTML, CSS ва JavaScript-и сайти ҳадафро нусхабардорӣ мекунанд. Бисёр китҳо ҳамчун хидмат фурӯхта мешаванд (фишинг-ҳамчун-хидмат) бо панелҳои корӣ ва дастгирии муштариён.

3. Прокси вақти воқеӣ барои 2FA

Қисми хатарнок: китҳои муосир на танҳо паролатонро мегиранд. Онҳо ҳамчун прокси миёнаи марди амал мекунанд, ки ҳама чизеро, ки шумо менависед — аз ҷумла рамзи TOTP-атон — дар давоми чанд сония ба сайти воқеӣ интиқол медиҳад ва аксари 2FA-ро дур мезанад. Ин усул душмани дар миёна (AiTM) номида мешавад ва дар воситаҳо монанди Evilginx2 ва Modlishka истифода мешавад.

4. Дуздии нишони ҷаласа

Вақте ки шумо тавассути прокси тасдиқ мешавед, муҳоҷим кукии ҷаласа-и шуморо мегирад ва метавонад онро барои қолмондан дар ҳисоб ҳатто пас аз тағйир додани парол истифода барад. Ин сабаб аст, ки ҷавоби фишинг ҳамеша бекор кардани ҷаласаҳои фаъолро, на танҳо гардиши паролро дар бар мегирад.

Чӣ воқеан фишингро қатъ мекунад

Калидҳои амниятии аппаратӣ (FIDO2 / WebAuthn)

Ин танҳа категорияи ҳимоя аст, ки аз рӯи тарҳ аз фишинг муҳофизат мекунад. Ҳангоме ки шумо бо калиди FIDO2 ворид мешавед, калиди шумо домени дақиқи сайтеро, ки тасдиқ дархост мекунад, криптографӣ тасдиқ мекунад. Сайти қалбакӣ — новобаста аз ҳар қадар бинунокӣ комил — домени дигар дорад, ҳамин тариқ калид посух додан инкор мекунад. Мусофаҳаи криптографӣ ба таври содда анҷом намеёбад.

Google дар соли 2017 машҳур равишан барои ҳамаи зиёда аз 85,000 кормандон YubiKey-ҳоро ҳатмӣ кард ва дар солҳои минбаъд ҳеҷ ҳамлаи муваффақи фишинг ба ҳисобҳои ширкат нестода гузориш дод.

Калидҳои убур

Калидҳои убур такомули барои истеъмолкунандагон дӯстонаи FIDO2 мебошанд. Онҳо ҳамон криптографии баста ба доменро истифода мебаранд ва дар iOS, Android, macOS ва Windows сохта шудаанд. Агар сайте, ки шумо истифода мебаред, калидҳои убурро дастгирӣ кунад, фаъол кардани он ин ҳисобро аз фишинг муҳофизат мекунад.

Мудирони паролҳо

Мудири паролҳо хатти дуюми ҳимояи шумо аст, зеро он танҳо дар домени дақиқе, ки дар он нигоҳ дошта шуда, маълумоти воридшавиро худкор пур мекунад. Агар шумо дар paypaI.com (I-и калон) ба ҷойи paypal.com фуд ояд, мудири шумо сукут бо формро пур карданро рад мекунад. Ин инкор огоҳиест, ки чизе нодуруст аст.

Филтри почтаи электронӣ ва DNS

Провайдерони почтаи электронӣ DMARC, SPF ва DKIM-ро барои муайян кардани нишониҳои қалбакии фиристанда истифода мебаранд. Аксари провайдерони муосир кӯшишҳои возеҳро мегиранд, аммо ҳамлаҳои ҳадафманд то ҳол мегузаранд. Тугмачаҳои "гузориши фишинг"-ро дар маҳаллии почтаи худ фаъол кунед, то ба филтрҳо барои беҳтар кардан кӯмак кунед.

Аломатҳои хатар барои пайгирӣ

Ҳангоме ки пайёме мегиред, ки аз шумо мехоҳад ворид шавед, тасдиқ кунед ё фавран амал кунед:

  • Фавриятнокӣ ва таҳдидҳо — "Ҳисобатон дар 24 соат пӯшида мешавад"
  • Саломи умумӣ — "Муштариёни азиз" ба ҷойи номи шумо
  • Доменҳои шабеҳpaypaI.com, app1e.com, secure-microsoft-login.net
  • Замимаҳои ғайриинтизор — хусусан файлҳои .zip, .html ё .pdf, ки аз шумо мехоҳанд барои дидан ворид шавед
  • Хатогиҳои грамматикӣ ё форматӣ — ширкатҳои калон почтаҳои худро ислоҳ мекунанд
  • Номувофиқии пайванд — пайвандро ҳаракат диҳед ва санҷед, ки оё мақсад ба матн мувофиқат мекунад

Агар чизе беҷо ҳис кунед, почтаро пӯшед. Худатон ба сайт равед. Агар мушкилии воқеӣ бошад, ҳангоме ки тавассути ҷараёни муқаррарии худ ворид мешавед, онро мебинед.

Агар фиреб хӯрдед, чӣ кор кардан лозим

Зуд амал кунед — суръат муҳим аст, зеро муҳоҷимон дар давоми дақиқаҳо истифода бурдани маълумоти воридшавиро шурӯъ мекунанд.

  1. Паролро фавран тағйир диҳед дар дастгоҳи дигар (масалан, телефони шумо, агар дар ноутбук фиреб хӯрдед)
  2. Ҳамаи ҷаласаҳои фаълолро бекор кунед дар танзимоти ҳисоб — ин ҳар касеро, ки айни ҳол нишониҳои дуздидашударо истифода мебарад, берун мекунад
  3. 2FA-ро фаъол кунед агар пештар фаъол набуд ва агар имкон дошта бошед, калиди аппаратӣ ё калидҳои убурро истифода баред
  4. Барои фаъолияти ғайриқонунӣ санҷед — почтаҳои фиристодашуда, воридшавиҳои охир, тағйироти ҳисоббаробарӣ, қоидаҳои нави интиқол
  5. Муассисаи таъсирёфтаро огоҳ кунед агар ҳисоби молиявӣ ё кории бошад
  6. Ҳисобҳои дигареро, ки ҳамон паролро истифода мебурданд, санҷед — ҳатто агар мутмаин бошед, ки паролҳоро такрор намебаред, санҷед

Хулоса

Фишинг равнақ меёбад, зеро технологияро дур мезанад ва инсонҳоро ҳадаф қарор медиҳад. Беҳтарин воситаҳои муҳофизавӣ се қабатро меомезанд: мудирони паролҳо (дар доменҳои нодуруст пуркунии худкорро рад мекунанд), 2FA-и муқовим ба фишинг (калидҳои аппаратӣ ё калидҳои убур, ки ба домени воқеӣ мебанданд) ва шакгироии солим (ҳеҷ гоҳ аз пайванди почтаи электронӣ ворид нашавед).

Ҳар сетонро дар муҳимтарин ҳисобатон — почтаи электроникатон — аввал фаъол кунед. Аз он ҷо боқимондаи ҳаёти рақамии шумо ба таври маънодор бехатартар мегардад.

Чӣ тавр худро аз фишинг муҳофизат кунед

Рӯйхати амалии мураттабшуда барои мустаҳкам кардани ҳисобҳои шумо аз ҳамлаҳои фишинг.

  1. Мудири паролро истифода баред:Мудири паролӣ бо нуфуз (1Password, Bitwarden, Proton Pass) насб кунед ва ба он иҷоза диҳед, ки маълумоти воридшавиро худкор пур кунад. Он дар доменҳои шабеҳ пуркуниро рад мекунад ва ба шумо детектори дохилии фишинг медиҳад.
  2. 2FA-и муқовим ба фишингро фаъол кунед:Калидҳои аппаратии FIDO2 (YubiKey, Google Titan) ё калидҳои убурро ба муҳимтарин ҳисобҳои худ — аввал почтаи электронӣ, сипас банкдорӣ, нигаҳдории абрӣ ва мудири паролҳо илова кунед. Инҳо танҳа усулҳои 2FA мебошанд, ки воқеан фишинги муосирро қатъ мекунанд.
  3. Ҳеҷ гоҳ аз пайвандҳои почтаи электронӣ ворид нашавед:Ҳангоме ки почтаи электронӣ мегиред, ки аз шумо мехоҳад ворид шавед, почтаро пӯшед ва тавассути хатбарак ё навиштани URL худатон ба сайт равед. Пайванд дар почтаи электронӣ метавонад нусхаи комил бошад; хатбарак дар браузери шумо не.
  4. Пеш аз навиштан домени дақиқро санҷед:Пеш аз ворид кардани ягон парол ба URL-и пурра дар навори нишонӣ нигоҳ кунед. HTTPS, имлои дуруст ва субдоменҳои иловагӣ монанди paypal.com.secure-login.net-ро ҷустуҷӯ кунед.
  5. Гузориш диҳед ва идома диҳед:Кӯшиши фишингро ба провайдери почтаи электронии худ гузориш диҳед (аксарият тугмачаи "Гузориши фишинг" доранд). Сипас бо рӯзи худ идома диҳед — фишинг танҳо дар сурате хатарнок аст, ки шумо фиреб хӯред ва огоҳӣ бештар қисми муҳими ҷанг мебошад.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email