پدیده سافت
منوی فروشگاه
خانهپشتیبانی
راهنمای بانکی ایران، نه توصیه‌های کلی اینترنت

فیشینگ بانکی در ایران؛ قبل از وارد کردن رمز پویا، این چند نشانه را بخوانید

در ایران، فیشینگ بیشتر وقت‌ها با یک جمله ساده شروع می‌شود: «برای مشاهده ابلاغیه کلیک کنید»، «یارانه شما قطع می‌شود»، «بسته پستی شما برگشت خورد» یا «پرداخت جریمه فقط تا امشب». مقصد همه این پیام‌ها معمولا یک چیز است: صفحه‌ای شبیه درگاه پرداخت یا بانک که می‌خواهد شماره کارت، CVV2، تاریخ انقضا و رمز پویا را بگیرد. این راهنما با زبان روشن و کاربردی توضیح می‌دهد دقیقاً کجا باید مکث کنید.

فیشینگ بانکیفیشینگ در ایراندرگاه پرداخت جعلیتشخیص درگاه شاپرکسرقت رمز پویاپیامک جعلی بانکسایت جعلی بانکی
یک تفاوت کوچک، یک برداشت واقعیCheck the main domain before entering card data
نمونه قابل بررسیhttps://example.shaparak.ir/...
نمونه مشکوکhttps://shaparak-pay-login.example/...
نمونه مشکوکhttps://shaaparak.example/verify-card
هدف حملهکارت بانکی، رمز پویا، اطلاعات ورود
کانال رایجپیامک، لینک شبکه اجتماعی، تبلیغ و QR
نقطه تصمیمقبل از وارد کردن شماره کارت یا رمز

فیشینگ بانکی چیست و چرا در ایران خطرناک‌تر از یک «لینک بد» است؟

فیشینگ بانکی یعنی مهاجم مسیر اعتماد شما را جعل می‌کند: ظاهر بانک، درگاه پرداخت، پیامک سازمانی، صفحه پیگیری مرسوله یا پنل احراز هویت. قربانی فکر می‌کند در حال پرداخت مبلغی کوچک یا ورود به یک سامانه رسمی است، اما اطلاعات کارت و رمز پویا را در صفحه‌ای وارد می‌کند که متعلق به کلاهبردار است.

نکته مهم اینجاست: در فیشینگ بانکی ایران، موضوع فقط «رمز ثابت» نیست. حتی با وجود رمز پویا، اگر کاربر همان رمز را در صفحه جعلی وارد کند، مهاجم می‌تواند در همان زمان کوتاه تراکنش را روی مقصد واقعی انجام دهد. پس نقطه امن، قبل از وارد کردن اطلاعات است؛ نه بعد از ارسال فرم.

لحن درست برخورد با فیشینگ ترساندن کاربر نیست؛ باید دقیق، آرام و عملی باشد. کاربر باید بداند در لحظه پرداخت کدام نشانه را ببیند، چه کاری نکند و از چه مسیر مطمئن‌تری وارد شود.

تشخیص درگاه پرداخت جعلی؛ اول دامنه، بعد ظاهر صفحه

بسیاری از صفحات فیشینگ ظاهر درگاه پرداخت را بسیار خوب تقلید می‌کنند. ممکن است لوگو، رنگ، فیلدهای کارت و حتی پیام خطا شبیه نمونه واقعی باشد. اما دامنه را نمی‌توان با ظاهر گرافیکی پنهان کرد. هنگام پرداخت اینترنتی، دامنه اصلی صفحه را کامل بخوانید و به شبیه‌سازی‌هایی مثل خط تیره، حروف اضافه، غلط املایی یا دامنه‌های طولانی اعتماد نکنید.

  • آدرس صفحه پرداخت باید دامنه اصلی درست داشته باشد؛ shaparak.ir با shaparak-pay.ir یا shaaparak.ir یکی نیست.
  • اگر پیام می‌گوید «فقط چند دقیقه فرصت دارید»، اول شک کنید. فوریت ساختگی ابزار اصلی کلاهبردار است.
  • درگاه جعلی ممکن است ظاهر بسیار تمیز، HTTPS و لوگوی بانک داشته باشد؛ ظاهر زیبا اعتبار امنیتی نیست.
  • رمز پویا اگر در همان لحظه وارد صفحه جعلی شود، می‌تواند سریع برای تراکنش واقعی سوءاستفاده شود.
  • بانک، پلیس، پست، یارانه، سهام عدالت یا سامانه قضایی برای رفع مشکل فوری از شما اطلاعات کامل کارت نمی‌خواهند.

سناریوهای رایج فیشینگ بانکی در ایران

درگاه پرداخت جعلی شاپرک

دام: صفحه‌ای شبیه پرداخت بانکی با دامنه‌ای شبیه shaparak یا نام بانک ساخته می‌شود.

کار درست: دامنه اصلی را حرف‌به‌حرف بخوانید. هنگام پرداخت کارتی، به زیردامنه معتبر shaparak.ir و مسیر منطقی پرداخت توجه کنید.

پیامک جریمه، ابلاغیه یا بسته پستی

دام: مبلغ کم و تهدید فوری باعث می‌شود کاربر بدون دقت وارد صفحه پرداخت شود.

کار درست: از لینک پیامک وارد نشوید؛ نشانی سرویس رسمی را خودتان تایپ کنید یا از اپلیکیشن معتبر همان سازمان استفاده کنید.

یارانه، سهام عدالت و کالابرگ

دام: کاربر با وعده دریافت پول یا جلوگیری از قطع سهمیه به فرم بانکی جعلی هدایت می‌شود.

کار درست: برای دریافت وجه، هیچ صفحه‌ای نباید شماره کارت، CVV2، تاریخ انقضا و رمز پویا را همزمان از شما بگیرد.

پشتیبانی جعلی بانک یا فروشگاه

دام: فردی در پیام‌رسان یا تماس تلفنی خودش را پشتیبان معرفی می‌کند و لینک پرداخت یا احراز هویت می‌فرستد.

کار درست: پشتیبان واقعی نباید رمز پویا، کد پیامکی، رمز اینترنت بانک یا دسترسی ریموت از شما بخواهد.

تبلیغ تخفیف و فروش فوری

دام: لینک تبلیغ به فروشگاه شبیه‌سازی‌شده می‌رسد و پرداخت در صفحه جعلی انجام می‌شود.

کار درست: قبل از پرداخت، نشانی فروشگاه، نماد اعتماد، اطلاعات تماس و مقصد نهایی درگاه را جداگانه بررسی کنید.

چک‌لیست ۳۰ ثانیه‌ای قبل از ورود اطلاعات کارت

دامنه را آرام بخوانید

در موبایل نوار آدرس کوتاه دیده می‌شود. روی آن بزنید و دامنه کامل را ببینید.

به «مبلغ کم» اعتماد نکنید

بسیاری از فیشینگ‌های بانکی با مبلغ‌های کوچک مثل عوارض، جریمه یا هزینه پستی شروع می‌شوند.

رمز پویا را در صفحه مشکوک نزنید

رمز یک‌بارمصرف اگر در صفحه جعلی وارد شود، همان لحظه می‌تواند مصرف شود.

از لینک پیامک وارد بانک نشوید

برای اینترنت بانک، همراه بانک و پرداخت‌های حساس، آدرس را دستی تایپ کنید یا از بوکمارک استفاده کنید.

افزونه و مرورگر را به‌روز نگه دارید

مرورگر و افزونه ضد فیشینگ یک لایه هشدار اضافه می‌کنند، اما جای دقت شما را نمی‌گیرند.

بعد از خطا، دوباره اطلاعات نزنید

صفحات جعلی گاهی پیام خطا می‌دهند تا چند بار اطلاعات کارت و رمز را دریافت کنند.

درگاه واقعی و درگاه جعلی؛ تفاوت‌هایی که باید ببینید

موضوعنشانه امن‌ترنشانه مشکوک
دامنهدامنه اصلی واضح و قابل تطبیق با سرویس پرداختدامنه شبیه‌سازی‌شده، طولانی، خط‌تیره‌دار یا دارای غلط املایی
مسیر ورودورود از سایت فروشگاه معتبر یا اپ رسمیورود از پیامک ناشناس، کانال تلگرام، تبلیغ فوری یا لینک کوتاه
رفتار صفحهفرایند پرداخت منطقی و بدون درخواست اضافهخطای تکراری، درخواست چندباره رمز پویا یا انتقال به صفحه‌های نامرتبط
متن پیاماطلاع‌رسانی روشن، بدون تهدید و بدون درخواست اطلاعات حساستهدید فوری، وعده پول، جریمه، ابلاغیه یا قطع خدمات

اشتباه‌هایی که باعث سرقت از کارت بانکی می‌شود

  • فقط دیدن قفل کنار آدرس را نشانه امن بودن دانستن.
  • اعتماد به صفحه‌ای که لوگوی بانک یا شاپرک را کپی کرده است.
  • وارد کردن چندباره رمز پویا بعد از خطای ساختگی.
  • باز کردن لینک پرداخت از پیام‌رسان، کانال ناشناس یا تبلیغ فوری.
  • نصب افزونه یا اپلیکیشن بانکی از لینک غیررسمی.

اگر اطلاعات کارت را در صفحه مشکوک وارد کردم چه کنم؟

زمان را از دست ندهید. رمز دوم و رمز اینترنت بانک را تغییر دهید، کارت را از مسیر بانک مسدود یا محدود کنید، تراکنش‌های اخیر را بررسی کنید و اگر برداشت انجام شده، موضوع را از بانک و پلیس فتا پیگیری کنید. در این مرحله مهم‌ترین کار، جلوگیری از تراکنش بعدی است.

جای افزونه پدیدبان در این فرایند کجاست؟

بهترین دفاع در برابر فیشینگ، عادت درست است؛ اما همه ما گاهی خسته‌ایم، عجله داریم یا پیام را روی موبایل می‌خوانیم. پدیدبان قرار نیست وعده امنیت صددرصدی بدهد. نقش آن این است که کنار دقت شما، یک لایه کمکی برای مواجهه با لینک‌های مشکوک ایجاد کند و قبل از تصمیم‌های حساس، مکث بیشتری به شما بدهد.

افزونه را فقط از صفحه رسمی Chrome Web Store نصب کنید.

نام «پدیدبان - Padideban» و شناسه صفحه افزونه را بررسی کنید.

بعد از نصب، همچنان دامنه درگاه، مسیر ورود و متن پیام را بررسی کنید.

پرسش‌های پرتکرار درباره فیشینگ بانکی

فیشینگ بانکی یعنی چه؟

فیشینگ بانکی یعنی ساخت پیام، لینک یا صفحه‌ای شبیه بانک، درگاه پرداخت یا سرویس رسمی برای گرفتن اطلاعات کارت، رمز پویا، کد پیامکی یا اطلاعات ورود کاربر.

آیا رمز پویا جلوی فیشینگ را کامل می‌گیرد؟

خیر. رمز پویا زمان سوءاستفاده را محدود می‌کند، اما اگر همان رمز را در صفحه جعلی وارد کنید، مهاجم می‌تواند در همان بازه کوتاه از آن استفاده کند.

از کجا بفهمم درگاه پرداخت جعلی است؟

دامنه اصلی را دقیق بخوانید، به شکل‌های مشابه و خط‌تیره‌دار اعتماد نکنید، مسیر پرداخت را بررسی کنید و اگر از لینک پیامک یا کانال ناشناس آمده‌اید، پرداخت را متوقف کنید.

افزونه پدیدبان چه نقشی دارد؟

پدیدبان یک لایه کمکی روی مرورگر است تا هنگام مواجهه با لینک‌های مشکوک با دقت بیشتری تصمیم بگیرید. این ابزار جایگزین دقت کاربر نیست، اما برای کاهش خطا در لحظه‌های عجله مفید است.

منابع و لینک‌های دقیق برای بررسی بیشتر

برای لینک‌سازی، به جای منابع پراکنده، فقط مسیرهای رسمی و مرتبط آورده شده‌اند تا کاربر بتواند موضوع پرداخت و امنیت بانکی را از مبداهای قابل اتکا دنبال کند.

شرکت شبکه الکترونیکی پرداخت کارت، شاپرک

مرجع مرتبط با شبکه پرداخت کارتی و درگاه‌های پرداخت اینترنتی در ایران.

پلیس فتا

مرجع پیگیری جرایم سایبری و هشدارهای عمومی درباره کلاهبرداری اینترنتی.

Chrome Web Store: پدیدبان - Padideban

لینک رسمی نصب افزونه پدیدبان برای مرورگر کروم.