20 مهر 1401 - 09:16
هزارتوی کلاهبرداری اینترنتی فیشینگ (۳)

سازوکار، علائم و آموزش‌های ضدفیشینگ

سازوکار، علائم و آموزش‌های ضدفیشینگ
فیشینگ را باید هنر مهندسی ذهن در روش‌های فریب کاری اینترنتی دانست؛ مجموعه‌ای از تکنیک‌هایی که کلاهبرداران برای دستکاری روانشناسی در ذهن انسان استفاده می‌کنند.
کد خبر : ۱۴۱۹۳۲

به گزارش خبرنگار ایبِنا، تکنیک‌های مهندسی اجتماعی شامل جعل، هدایت نادرست و دروغگویی که همه این‌ها می‌توانند در حملات فیشینگ نقش داشته باشند. بسیاری از بزرگ‌ترین نقض حریم امنیتی حساب‌ها و کاربری‌های جهان با یک ایمیل فیشینگ شروع می‌شوند. با استفاده از یک ایمیل به ظاهر قابل اعتماد، مجرمان سایبری می‌توانند جای پای کوچکی پیدا کنند و سرقت‌های بزرگ خود را بر روی آن بنا سازند. در بخش سوم از مجموعه مقالات "هزارتوی کلاهبرداری اینترنتی (فیشینگ) " به سراغ بررسی سازوکار فیشینگ می‌رویم و تبیین می‌کنیم که این حملات بر چه مبنایی صورت می‌پذیرد. سپس با محل‌های وقوع فیشینگ آشنا می‌شویم و در ادامه، علائم حملات فیشینگ و آموزش‌های ضد فیشینگ را تشریح می‌کنیم.

 


سازوکار فیشینگ بر چه مبنایی است؟


سازوکار فیشینگ، الگو و مبنایی سهل و ممتنع دارد؛ یعنی در عین حال که دارای روندی به ظاهر ساده و خطی است و ادوات، علائم، روش‌ها و محل‌های رخ دادن آن مشخص هست، اما برای جلوگیری از وقوع یا پیگیری پس از وقوع با پیچیدگی‌هایی همراه است.
عنصر اصلی حمله فیشینگ، پیامی است که از طریق ایمیل، تلفن‌های هوشمند، رسانه‌های اجتماعی یا سایر وسایل الکترونیکی ارتباط جمعی ارسال می‌شود.


اصولا یک فیشر یا حمله کننده از منابع عمومی، به ویژه شبکه‌های اجتماعی و پلتفرم‌های ارتباطی افراد، برای جمع آوری اطلاعات درباره مشخصات شخصی و کاری قربانی خود استفاده می‌کند. این منابع می‌توانند اطلاعاتی مانند نام و نام خانوادگی احتمالی قربانی، محل کار، عنوان شغلی، آدرس ایمیل، شماره تلفن‌های شخصی و کاری و همچنین علایق و فعالیت‌های عمومی که قربانی انجام می‌دهد را در اختیار حمله کننده قرار دهند. سپس حمله کننده می‌تواند از این اطلاعات برای ایجاد یک پیام جعلی قابل اعتماد استفاده کند.


به طور معمول، پیام‌هایی که کاربران دریافت می‌کنند از یک مخاطب یا سازمان شناخته شده و قابل اعتماد است. حملات از طریق همکاری قربانیان با فیشر‌ها و هکر‌ها صورت می‌پذیرد؛ بطوریکه با ایجاد قید فوریت یا اضطرار برای قربانی، کلیک بر روی لینک‌ها و پیوند‌های آلوده یا پیوست‌های مخرب موجود در پیام‌ها صورت می‌پذیرد و منجر به ورود کاربران به وب سایت‌های جعلی می‌شود.

 

مهاجمان وب‌سایت‌های جعلی را طوری طراحی می‌کنند که به سختی قابل تشخیص نسبت به سایت اصلی متعلق به یک نهاد قابل اعتماد مانند بانک، محل کار یا دانشگاه شخص قربانی باشد. از طریق این وب سایت ها، مهاجمان سعی می‌کنند مشخصات کاربردی قربانی مانند نام کاربری و رمز عبور یا اطلاعات پرداخت مربوط به کارت‌ها و حساب‌های بانکی را سرقت کنند.


البته برخی از ایمیل‌های فیشینگ به دلیل کپی‌نویسی ضعیف و استفاده نادرست از فونت‌ها، آرم‌ها و طرح‌بندی‌ها قابل شناسایی هستند. با این حال، بسیاری از مجرمان سایبری در ایجاد پیام‌هایی با ظاهری معتبر پیچیده‌تر عمل می‌کنند و از تکنیک‌های بازاریابی حرفه‌ای برای بهبود اثربخشی ایمیل‌های خود استفاده می‌کنند.

 


کلاه برداری فیشینگ کجا‌ها رخ می‌دهد؟

 

اصولا حملات فیشینگ در دو محل و دو سطح "شخصی" و "سازمانی و کاری" به وقوع می‌پیوندد و هر سطح و محل وقوع، پیامد‌هایی را به دنبال دارد:


• حوزه شخصی
-سرقت پول از حساب‌های بانکیِ شخصی
-ایجاد هزینه‌های غیرواقعی بر روی حساب‌ها و کارت‌های اعتباری شخصی
-تنظیم اظهارنامه مالیاتی به نام شخص
-اخذ وام‌های عمومی بویژه وام‌های مسکن به نام شخص
-از دست دادن دسترسی به عکس ها، فیلم ها، فایل‌ها و سایر اسناد مهم در گوشی‌های هوشمند یا رایانه‌های شخصی
-ایجاد پست‌های جعلی در شبکه‌های اجتماعی یک شخص مانند اینستاگرام و توئیتر

 

• حوزه سازمانی و کاری
- سرقت پول از حساب‌های بانکی سازمان و از دست رفتن وجوه شرکت
-افشا اطلاعات شخصی و کاربری مشتریان و کارکنان سازمان
-دسترسی افراد خارج از سازمان به ارتباطات، فایل‌ها و سیستم‌های محرمانه سازمانی
-ایجاد اظهارنامه‌های مالیاتی جعلی برای سازمان یا شرکت
-قفل شدن و غیر قابل دسترس شدن فایل‌های سازمانی
-لطمه زدن به شهرت مدیران ارشد سازمان و اعتبار یک شرکت با حملات فیشینگ صید (شکار) نهنگ
-ایجاد جریمه‌های مالی ناخواسته برای سازمان ناشی از نقض انطباقات قانونی دستکاری شده
-کاهش ارزش برند یک سازمان یا شرکت سهامی
-کاهش اعتماد سرمایه گذاران به سازمان یا شرکت مذکور
-وقفه در بهره وری سازمان یا شرکت که بر درآمدزایی کمپانی مذکور تأثیر می‌گذارد

 

علائم حملات فیشینگ چیست؟

 

-ایجاد حس فوریت یا اضطرار در پیام
حمله کنندگان معمولا در اکثر پیام‌های ارسالی خود، حس فوریت، اقدام سریع یا اضطرار را به قربانی منتقل می‌کنند؛ لذا با پیام‌هایی که چنین فضایی را تداعی می‌کنند باید همیشه با شک و تردید برخورد کرد. فیشر‌ها و هکر‌ها امیدوارند که با خواندن با عجله‌ی پیام، قربانیان محتوا را به طور کامل بررسی نکرده و تناقضات را کشف نکنند.


-سبک پیام
یکی از نشانه‌های پیام‌های فیشینگ این است که یک پیام با زبان یا لحن نامناسب و ناشیانه نوشته شده باشد. به عنوان مثال، اینکه یک پیام سازمانی از طرف یک مدیر، بیش از حد معمولی و صمیمانه به نظر برسد یا در پیام یک دوست صمیمی از زبان رسمی استفاده شده باشد، می‌بایست موجب سوء ظن شما شود؛ لذا گیرندگان پیام باید هر چیز را که نشان دهنده سبک و لحن غیرعادی پیام باشد، به عنوان پیام فیشینگ بررسی کنند.


-درخواست‌های غیر معمول
اگر یک پیام از شما بخواهد اقدامات غیر استاندارد و غیر معمول انجام دهید، می‌تواند نشان دهنده مخرب بودن آن پیام و لینک‌های موجود در آن باشد. به عنوان مثال، اگر یک ایمیل شخصی و غیر سازمانی ادعا می‌کند که از طرف یک فرد فعال در حوزه فناوری اطلاعات است و درخواست می‌کند که از طریق لینک یا پیوند موجود در پیام، وارد محیط وب شوید و نرم افزار خاص یک سازمان یا بلنک مرتبط با شما را نصب کنید، این ایمیل احتمالا آلوده و نوعی از حملات فیشینگ هست؛ زیرا فعالیت تیم‌های فناوری اطلاعات سازمان‌ها به صورت متمرکز و سازمانی انجام می‌شود نه شخصی.


-خطا‌های املایی و نگارشی
غلط املایی و استفاده نادرست گرامری یکی دیگر از نشانه‌های پیام‌های فیشینگ است. اکثر شرکت‌ها و سازمان ها، چک کردن املای پیام‌های خود را به صورت اتوماتیک در بستر‌های خروجی تنظیم کرده‌اند. بنابراین، پیام‌هایی که دارای اشتباهات املایی یا گرامری هستند، مشکوک به حمله فیشینگ هستند، زیرا ممکن است از منبع ادعا شده نشأت نگیرند.


-ناهماهنگی در آدرس‌های وب
یکی دیگر از راه‌های آسان برای شناسایی حملات احتمالی فیشینگ، جستجوی آدرس‌های ایمیل، پیوند‌ها و نام‌های دامنه ناهمخوان است. برای مثال، شما می‌توانید ارتباط قبلی را که با آدرس ایمیل فرستنده مطابقت دارد بررسی کنید.


گیرندگان پیام همیشه باید قبل از کلیک کردن روی پیوند یا لینک در ایمیل یا پیام نوشتاری، نشانگر را روی آن قرار دهند تا مقصد پیوند واقعی را ببینند. به طور مثال اگر ادعا می‌شود که ایمیل توسط بانک ملت ارسال شده است، اما دامنه آدرس ایمیل حاوی " https://bankmellat.ir" نیست، این نشانه یک ایمیل فیشینگ است.


-درخواست اطلاعات پرداخت یا سایر جزئیات شخصی
در بسیاری از حملات فیشینگ، مهاجمان صفحات ورودی وب جعلی را به لینک‌ها و پیوند‌های داخل پیام‌ها متصل می‌کنند که واقعی و رسمی به نظر می‌رسند. صفحه ورودی وب جعلی معمولا دارای یک جعبه ورود یا درخواست اطلاعات حساب مالی است. اگر پیام مشکوک باشد، گیرنده نباید نام کاربری و رمز عبور ورود به سیستم را وارد کند یا روی پیوند کلیک کند. بنابر احتیاط، شما باید مستقیماً به وب سایتی که فکر می‌کنید منبع پیام است، مراجعه کنید.

 



آموزش‌های ضد فیشینگ

 

تحقیقات نشان می‌دهد که آموزش افراد و کارکنان سازمان‌ها و شرکت‌ها برای شناسایی و مقابله با حملات فیشینگ جزء مهمی در آگاهی بخشیِ آموزش‌های ضد فیشینگ است. این آموزش‌ها باعث می‌شود تا اطمینان حاصل کنید که شما یا سازمان شما قربانی بعدی نخواهید بود.


شبیه سازی محیط حملات فیشینگ برای افراد و کارکنان سازمان ها، موثرین رویکرد آموزش‌های ضد فیشینگ است. قرار گرفتن در معرض فضای عملی یک حمله فیشینگ، موجب افزایش مهارت کارمندان در نحوه شناسایی و مقابله با این حملات می‌شود. بیشتر شبیه‌سازی‌هایی که در این فضا صورت می‌پذیرد، شامل تکنیک‌های مهندسی ذهن و مهندسی اجتماعی است، زیرا مهاجمان اغلب این دو را برای یک حمله مؤثرتر ترکیب می‌کنند. شبیه‌سازی‌ها به همان روشی که یک سناریوی فیشینگ در دنیای واقعی انجام می‌شود، اجرا می‌گردد و کنش‌های کارکنان نظارت، ردیابی و ثبت می‌شود.


گزارش‌دهی و تجزیه و تحلیل رفتار کارکنان در این فضای شبیه سازی شده و ارائه نتایج آن، به مدیران یک سازمان نشان می‌دهد که سازمان از کدام ناحیه دچار چالش در برابر حملات فیشینگ است. از نتایج حاصل از این تجربه‌های عملی می‌توان برای پیکربندی فیلتر‌های هرزنامه و تقویت آموزش‌های ضد فیشینگ در سراسر سازمان استفاده کرد.


به عنوان مثال، بین سال‌های ۲۰۱۹ تا ۲۰۲۱، مشتریان و کارکنان شرکت نرم افزاری آمریکایی" پروفپوینت/Proofpoint" با استفاده از مجموعه آموزش‌های عملی ضد فیشینگ و رویکرد‌های آموزشی مستمر برای کاهش حملات فیشینگ و آلودگی‌های بدافزاری، تا ۹۰% در کاهش و خنثی کردن حملات فیشینگ، موفق عمل کرده اند. این رویکرد منحصر به فرد چهار مرحله‌ای شامل ارزیابی، آموزش، تقویت و اندازه گیری می‌تواند پایه و اساس برنامه آموزشی آگاهی بخشی در آموزش‌های ضد فیشینگ در هر سازمانی باشد.

ادامه دارد...


منابع
۱. Aburrous M. , et al. (۲۰۲۲) , ”Predicting Phishing Websites Using Classification Mining Techniques with Experimental Case Studies,” in Seventh International Conference on Information Technology, IEEE Conf ,Las Vegas, Nevada, USA, pp. ۱۷۶-۱۸۱.
۲. Alkhalil, Zainab & Hewage, Chaminda & Nawaf, Liqaa & Khan, Imtiaz (۲۰۲۱) ,” Phishing Attacks: A Recent Comprehensive Study and a New Anatomy”, Frontiers in Computer Science ,Vol.۳. No.۱, pp:۱۲-۲۶.
۳. Chen ,J. & Guo ,C. (۲۰۲۰) , “Online detection and prevention of phishing attacks”, in in Proc. Fifth Mexican International Conference in Computer Science, IEEE Conf, pp. ۱-۷،
۴. Downs ,J. S. , et al (۲۰۲۱) , “Behavioural response to phishing risk”, presented at the Proc. anti-phishing working groups ۲nd annual eCrime researchers summit, ACM Conf, Pittsburgh, Pennsylvania, pp. ۳۷-۴۴.
۵. Gunter Ollmann, (۲۰۲۰) , “The Phishing Guide - Understanding & Preventing Phishing Attacks,” Press in IBM Internet Security Systems.
۶. James, Vaishnavi & Kadlak, Aditya & Sharma, Shabnam (۲۰۱۸) ,” Study on Phishing Attacks”, International Journal of Computer Applications, Volume ۱۸۲ , No. ۳۳, pp:۲۳-۳۱.
۷. Khonji ,Mahmoud & Iraqi ,Youssef & Andrew, Jones (۲۰۲۰) , “Phishing Detection: A Literature Survey”, in IEEE Communications Surveys & Tutorials, Vol.۱۵, Issue ۴, PP. ۲۰۹۱ – ۲۱۲۱.
۸. Parmar, B. (۲۰۲۰) ,” Protecting against spear-phishing”,Computer Fraud SecurityVol.۴,N۰.۳۲, pp: ۸–۱۱.
۹. Phish Labs (۲۰۱۹) ,” ۲۰۱۹ phishing trends and intelligence report the growing social engineering threat”, Available at: https://info.phishlabs.com/hubfs/۲۰۱۹ PTI Report/۲۰۱۹ Phishing Trends and Intelligence Report.pdf.
۱۰. Ramanathan ,Venkatesh, & Wechsler, Harry, (۲۰۲۲) ,” phishGILLNET - phishing detection methodology using probabilistic latent semantic analysis”, EURASIP Journal on Information Security, a Springer Open Journal, Vol.۱, PP.۱-۲۲،
۱۱. Ramzan, Z. (۲۰۱۹) , “Phishing attacks and countermeasures,” in Handbook of Information and communication security (Berlin, Heidelberg: Springer Berlin Heidelberg) , ۴۳۳–۴۴۸. doi:۱۰.۱۰۰۷/۹۷۸-۳-۶۴۲-۰۴۱۱۷-۴_۲۳،
۱۲. Shankar, Akarshita & Shetty, Ramesh & Nath K, Badari, (۲۰۱۹) ,” A Review on Phishing Attacks”, International Journal of Applied Engineering Research, Volume ۱۴, Number ۹ , pp: ۲۱۷۱-۲۱۷۵.
۱۳. Sheng, S. , Magnien, B. , Kumaraguru, P. , Acquisti, A. , Cranor, L. F. , Hong, J. and Nunge, E. (۲۰۱۹) ,” Anti-Phishing Phil: the design and evaluation of a game that teaches people not to fall for phish, Proceedings of the ۳rd symposium on Usable privacy and security, Pittsburgh, Pennsylvania, July ۲۰۱۹.
۱۴. Teh-Chung ,Chen & Scott ,Dick & James ,Miller (۲۰۱۹) , “Detecting visually similar web pages: application to phishing detection,” ACM Transactions on Internet Technology (TOIT) , Vol. ۱۰ (۲) , pp:۱۴-۳۱.
۱۵. Yeboah-Boateng, E. O. , and Amanor, P. M. (۲۰۱۸) ,” Phishing , SMiShing & vishing: an assessment of threats against mobile devices”, J. Emerg. Trends Comput. Inf. Sci. ۵ (۴). Pp: ۲۹۷–۳۰۷.

نویسنده: سیدمهدی میرحسینی
ارسال‌ نظر