به گزارش خبرنگار ایبِنا، تکنیکهای مهندسی اجتماعی شامل جعل، هدایت نادرست و دروغگویی که همه اینها میتوانند در حملات فیشینگ نقش داشته باشند. بسیاری از بزرگترین نقض حریم امنیتی حسابها و کاربریهای جهان با یک ایمیل فیشینگ شروع میشوند. با استفاده از یک ایمیل به ظاهر قابل اعتماد، مجرمان سایبری میتوانند جای پای کوچکی پیدا کنند و سرقتهای بزرگ خود را بر روی آن بنا سازند. در بخش سوم از مجموعه مقالات "هزارتوی کلاهبرداری اینترنتی (فیشینگ) " به سراغ بررسی سازوکار فیشینگ میرویم و تبیین میکنیم که این حملات بر چه مبنایی صورت میپذیرد. سپس با محلهای وقوع فیشینگ آشنا میشویم و در ادامه، علائم حملات فیشینگ و آموزشهای ضد فیشینگ را تشریح میکنیم.
سازوکار فیشینگ، الگو و مبنایی سهل و ممتنع دارد؛ یعنی در عین حال که دارای روندی به ظاهر ساده و خطی است و ادوات، علائم، روشها و محلهای رخ دادن آن مشخص هست، اما برای جلوگیری از وقوع یا پیگیری پس از وقوع با پیچیدگیهایی همراه است.
عنصر اصلی حمله فیشینگ، پیامی است که از طریق ایمیل، تلفنهای هوشمند، رسانههای اجتماعی یا سایر وسایل الکترونیکی ارتباط جمعی ارسال میشود.
اصولا یک فیشر یا حمله کننده از منابع عمومی، به ویژه شبکههای اجتماعی و پلتفرمهای ارتباطی افراد، برای جمع آوری اطلاعات درباره مشخصات شخصی و کاری قربانی خود استفاده میکند. این منابع میتوانند اطلاعاتی مانند نام و نام خانوادگی احتمالی قربانی، محل کار، عنوان شغلی، آدرس ایمیل، شماره تلفنهای شخصی و کاری و همچنین علایق و فعالیتهای عمومی که قربانی انجام میدهد را در اختیار حمله کننده قرار دهند. سپس حمله کننده میتواند از این اطلاعات برای ایجاد یک پیام جعلی قابل اعتماد استفاده کند.
به طور معمول، پیامهایی که کاربران دریافت میکنند از یک مخاطب یا سازمان شناخته شده و قابل اعتماد است. حملات از طریق همکاری قربانیان با فیشرها و هکرها صورت میپذیرد؛ بطوریکه با ایجاد قید فوریت یا اضطرار برای قربانی، کلیک بر روی لینکها و پیوندهای آلوده یا پیوستهای مخرب موجود در پیامها صورت میپذیرد و منجر به ورود کاربران به وب سایتهای جعلی میشود.
مهاجمان وبسایتهای جعلی را طوری طراحی میکنند که به سختی قابل تشخیص نسبت به سایت اصلی متعلق به یک نهاد قابل اعتماد مانند بانک، محل کار یا دانشگاه شخص قربانی باشد. از طریق این وب سایت ها، مهاجمان سعی میکنند مشخصات کاربردی قربانی مانند نام کاربری و رمز عبور یا اطلاعات پرداخت مربوط به کارتها و حسابهای بانکی را سرقت کنند.
البته برخی از ایمیلهای فیشینگ به دلیل کپینویسی ضعیف و استفاده نادرست از فونتها، آرمها و طرحبندیها قابل شناسایی هستند. با این حال، بسیاری از مجرمان سایبری در ایجاد پیامهایی با ظاهری معتبر پیچیدهتر عمل میکنند و از تکنیکهای بازاریابی حرفهای برای بهبود اثربخشی ایمیلهای خود استفاده میکنند.
اصولا حملات فیشینگ در دو محل و دو سطح "شخصی" و "سازمانی و کاری" به وقوع میپیوندد و هر سطح و محل وقوع، پیامدهایی را به دنبال دارد:
• حوزه شخصی
-سرقت پول از حسابهای بانکیِ شخصی
-ایجاد هزینههای غیرواقعی بر روی حسابها و کارتهای اعتباری شخصی
-تنظیم اظهارنامه مالیاتی به نام شخص
-اخذ وامهای عمومی بویژه وامهای مسکن به نام شخص
-از دست دادن دسترسی به عکس ها، فیلم ها، فایلها و سایر اسناد مهم در گوشیهای هوشمند یا رایانههای شخصی
-ایجاد پستهای جعلی در شبکههای اجتماعی یک شخص مانند اینستاگرام و توئیتر
• حوزه سازمانی و کاری
- سرقت پول از حسابهای بانکی سازمان و از دست رفتن وجوه شرکت
-افشا اطلاعات شخصی و کاربری مشتریان و کارکنان سازمان
-دسترسی افراد خارج از سازمان به ارتباطات، فایلها و سیستمهای محرمانه سازمانی
-ایجاد اظهارنامههای مالیاتی جعلی برای سازمان یا شرکت
-قفل شدن و غیر قابل دسترس شدن فایلهای سازمانی
-لطمه زدن به شهرت مدیران ارشد سازمان و اعتبار یک شرکت با حملات فیشینگ صید (شکار) نهنگ
-ایجاد جریمههای مالی ناخواسته برای سازمان ناشی از نقض انطباقات قانونی دستکاری شده
-کاهش ارزش برند یک سازمان یا شرکت سهامی
-کاهش اعتماد سرمایه گذاران به سازمان یا شرکت مذکور
-وقفه در بهره وری سازمان یا شرکت که بر درآمدزایی کمپانی مذکور تأثیر میگذارد
-ایجاد حس فوریت یا اضطرار در پیام
حمله کنندگان معمولا در اکثر پیامهای ارسالی خود، حس فوریت، اقدام سریع یا اضطرار را به قربانی منتقل میکنند؛ لذا با پیامهایی که چنین فضایی را تداعی میکنند باید همیشه با شک و تردید برخورد کرد. فیشرها و هکرها امیدوارند که با خواندن با عجلهی پیام، قربانیان محتوا را به طور کامل بررسی نکرده و تناقضات را کشف نکنند.
-سبک پیام
یکی از نشانههای پیامهای فیشینگ این است که یک پیام با زبان یا لحن نامناسب و ناشیانه نوشته شده باشد. به عنوان مثال، اینکه یک پیام سازمانی از طرف یک مدیر، بیش از حد معمولی و صمیمانه به نظر برسد یا در پیام یک دوست صمیمی از زبان رسمی استفاده شده باشد، میبایست موجب سوء ظن شما شود؛ لذا گیرندگان پیام باید هر چیز را که نشان دهنده سبک و لحن غیرعادی پیام باشد، به عنوان پیام فیشینگ بررسی کنند.
-درخواستهای غیر معمول
اگر یک پیام از شما بخواهد اقدامات غیر استاندارد و غیر معمول انجام دهید، میتواند نشان دهنده مخرب بودن آن پیام و لینکهای موجود در آن باشد. به عنوان مثال، اگر یک ایمیل شخصی و غیر سازمانی ادعا میکند که از طرف یک فرد فعال در حوزه فناوری اطلاعات است و درخواست میکند که از طریق لینک یا پیوند موجود در پیام، وارد محیط وب شوید و نرم افزار خاص یک سازمان یا بلنک مرتبط با شما را نصب کنید، این ایمیل احتمالا آلوده و نوعی از حملات فیشینگ هست؛ زیرا فعالیت تیمهای فناوری اطلاعات سازمانها به صورت متمرکز و سازمانی انجام میشود نه شخصی.
-خطاهای املایی و نگارشی
غلط املایی و استفاده نادرست گرامری یکی دیگر از نشانههای پیامهای فیشینگ است. اکثر شرکتها و سازمان ها، چک کردن املای پیامهای خود را به صورت اتوماتیک در بسترهای خروجی تنظیم کردهاند. بنابراین، پیامهایی که دارای اشتباهات املایی یا گرامری هستند، مشکوک به حمله فیشینگ هستند، زیرا ممکن است از منبع ادعا شده نشأت نگیرند.
-ناهماهنگی در آدرسهای وب
یکی دیگر از راههای آسان برای شناسایی حملات احتمالی فیشینگ، جستجوی آدرسهای ایمیل، پیوندها و نامهای دامنه ناهمخوان است. برای مثال، شما میتوانید ارتباط قبلی را که با آدرس ایمیل فرستنده مطابقت دارد بررسی کنید.
گیرندگان پیام همیشه باید قبل از کلیک کردن روی پیوند یا لینک در ایمیل یا پیام نوشتاری، نشانگر را روی آن قرار دهند تا مقصد پیوند واقعی را ببینند. به طور مثال اگر ادعا میشود که ایمیل توسط بانک ملت ارسال شده است، اما دامنه آدرس ایمیل حاوی " https://bankmellat.ir" نیست، این نشانه یک ایمیل فیشینگ است.
-درخواست اطلاعات پرداخت یا سایر جزئیات شخصی
در بسیاری از حملات فیشینگ، مهاجمان صفحات ورودی وب جعلی را به لینکها و پیوندهای داخل پیامها متصل میکنند که واقعی و رسمی به نظر میرسند. صفحه ورودی وب جعلی معمولا دارای یک جعبه ورود یا درخواست اطلاعات حساب مالی است. اگر پیام مشکوک باشد، گیرنده نباید نام کاربری و رمز عبور ورود به سیستم را وارد کند یا روی پیوند کلیک کند. بنابر احتیاط، شما باید مستقیماً به وب سایتی که فکر میکنید منبع پیام است، مراجعه کنید.
تحقیقات نشان میدهد که آموزش افراد و کارکنان سازمانها و شرکتها برای شناسایی و مقابله با حملات فیشینگ جزء مهمی در آگاهی بخشیِ آموزشهای ضد فیشینگ است. این آموزشها باعث میشود تا اطمینان حاصل کنید که شما یا سازمان شما قربانی بعدی نخواهید بود.
شبیه سازی محیط حملات فیشینگ برای افراد و کارکنان سازمان ها، موثرین رویکرد آموزشهای ضد فیشینگ است. قرار گرفتن در معرض فضای عملی یک حمله فیشینگ، موجب افزایش مهارت کارمندان در نحوه شناسایی و مقابله با این حملات میشود. بیشتر شبیهسازیهایی که در این فضا صورت میپذیرد، شامل تکنیکهای مهندسی ذهن و مهندسی اجتماعی است، زیرا مهاجمان اغلب این دو را برای یک حمله مؤثرتر ترکیب میکنند. شبیهسازیها به همان روشی که یک سناریوی فیشینگ در دنیای واقعی انجام میشود، اجرا میگردد و کنشهای کارکنان نظارت، ردیابی و ثبت میشود.
گزارشدهی و تجزیه و تحلیل رفتار کارکنان در این فضای شبیه سازی شده و ارائه نتایج آن، به مدیران یک سازمان نشان میدهد که سازمان از کدام ناحیه دچار چالش در برابر حملات فیشینگ است. از نتایج حاصل از این تجربههای عملی میتوان برای پیکربندی فیلترهای هرزنامه و تقویت آموزشهای ضد فیشینگ در سراسر سازمان استفاده کرد.
به عنوان مثال، بین سالهای ۲۰۱۹ تا ۲۰۲۱، مشتریان و کارکنان شرکت نرم افزاری آمریکایی" پروفپوینت/Proofpoint" با استفاده از مجموعه آموزشهای عملی ضد فیشینگ و رویکردهای آموزشی مستمر برای کاهش حملات فیشینگ و آلودگیهای بدافزاری، تا ۹۰% در کاهش و خنثی کردن حملات فیشینگ، موفق عمل کرده اند. این رویکرد منحصر به فرد چهار مرحلهای شامل ارزیابی، آموزش، تقویت و اندازه گیری میتواند پایه و اساس برنامه آموزشی آگاهی بخشی در آموزشهای ضد فیشینگ در هر سازمانی باشد.
ادامه دارد...
منابع
۱. Aburrous M. , et al. (۲۰۲۲) , ”Predicting Phishing Websites Using Classification Mining Techniques with Experimental Case Studies,” in Seventh International Conference on Information Technology, IEEE Conf ,Las Vegas, Nevada, USA, pp. ۱۷۶-۱۸۱.
۲. Alkhalil, Zainab & Hewage, Chaminda & Nawaf, Liqaa & Khan, Imtiaz (۲۰۲۱) ,” Phishing Attacks: A Recent Comprehensive Study and a New Anatomy”, Frontiers in Computer Science ,Vol.۳. No.۱, pp:۱۲-۲۶.
۳. Chen ,J. & Guo ,C. (۲۰۲۰) , “Online detection and prevention of phishing attacks”, in in Proc. Fifth Mexican International Conference in Computer Science, IEEE Conf, pp. ۱-۷،
۴. Downs ,J. S. , et al (۲۰۲۱) , “Behavioural response to phishing risk”, presented at the Proc. anti-phishing working groups ۲nd annual eCrime researchers summit, ACM Conf, Pittsburgh, Pennsylvania, pp. ۳۷-۴۴.
۵. Gunter Ollmann, (۲۰۲۰) , “The Phishing Guide - Understanding & Preventing Phishing Attacks,” Press in IBM Internet Security Systems.
۶. James, Vaishnavi & Kadlak, Aditya & Sharma, Shabnam (۲۰۱۸) ,” Study on Phishing Attacks”, International Journal of Computer Applications, Volume ۱۸۲ , No. ۳۳, pp:۲۳-۳۱.
۷. Khonji ,Mahmoud & Iraqi ,Youssef & Andrew, Jones (۲۰۲۰) , “Phishing Detection: A Literature Survey”, in IEEE Communications Surveys & Tutorials, Vol.۱۵, Issue ۴, PP. ۲۰۹۱ – ۲۱۲۱.
۸. Parmar, B. (۲۰۲۰) ,” Protecting against spear-phishing”,Computer Fraud SecurityVol.۴,N۰.۳۲, pp: ۸–۱۱.
۹. Phish Labs (۲۰۱۹) ,” ۲۰۱۹ phishing trends and intelligence report the growing social engineering threat”, Available at: https://info.phishlabs.com/hubfs/۲۰۱۹ PTI Report/۲۰۱۹ Phishing Trends and Intelligence Report.pdf.
۱۰. Ramanathan ,Venkatesh, & Wechsler, Harry, (۲۰۲۲) ,” phishGILLNET - phishing detection methodology using probabilistic latent semantic analysis”, EURASIP Journal on Information Security, a Springer Open Journal, Vol.۱, PP.۱-۲۲،
۱۱. Ramzan, Z. (۲۰۱۹) , “Phishing attacks and countermeasures,” in Handbook of Information and communication security (Berlin, Heidelberg: Springer Berlin Heidelberg) , ۴۳۳–۴۴۸. doi:۱۰.۱۰۰۷/۹۷۸-۳-۶۴۲-۰۴۱۱۷-۴_۲۳،
۱۲. Shankar, Akarshita & Shetty, Ramesh & Nath K, Badari, (۲۰۱۹) ,” A Review on Phishing Attacks”, International Journal of Applied Engineering Research, Volume ۱۴, Number ۹ , pp: ۲۱۷۱-۲۱۷۵.
۱۳. Sheng, S. , Magnien, B. , Kumaraguru, P. , Acquisti, A. , Cranor, L. F. , Hong, J. and Nunge, E. (۲۰۱۹) ,” Anti-Phishing Phil: the design and evaluation of a game that teaches people not to fall for phish, Proceedings of the ۳rd symposium on Usable privacy and security, Pittsburgh, Pennsylvania, July ۲۰۱۹.
۱۴. Teh-Chung ,Chen & Scott ,Dick & James ,Miller (۲۰۱۹) , “Detecting visually similar web pages: application to phishing detection,” ACM Transactions on Internet Technology (TOIT) , Vol. ۱۰ (۲) , pp:۱۴-۳۱.
۱۵. Yeboah-Boateng, E. O. , and Amanor, P. M. (۲۰۱۸) ,” Phishing , SMiShing & vishing: an assessment of threats against mobile devices”, J. Emerg. Trends Comput. Inf. Sci. ۵ (۴). Pp: ۲۹۷–۳۰۷.