به گزارش خبرنگار ایبِنا، وقتی یک سازمان یا کمپانی در برابر چنین حملاتی تسلیم میشود، معمولاً علاوه بر کاهش سهم بازار و کاهش شهرت و اعتماد در مقابل مصرف کننده و مشتریان، زیانهای مالی شدیدی را نیز متحمل میشود. بسته به دامنه حمله، یک تلاش فیشینگ ممکن است به یک حادثه امنیتی برای یک سازمان تبدیل شود که بازگشت کمپانی یا سازمان به حالت اولیه خود را دچار مشکلات و دشواریهای فراوان بکند؛ لذا شناخت سازوکارهای مقابله با حملات فیشینگ در فرآیندهای سازمانی از اهمیت بالایی برخوردار است. در این بخش از مجموعه مقالات " هزارتوی کلاهبرداری اینترنتی (فیشینگ) "، به تبیین رویکردهای ضد فیشینگ برای در امان ماندن از حملات هکری در سازمانها میپردازیم.
چشم انداز امنیت سایبری به ویژه در دنیای فیشینگ به طور مداوم در حال تحول است. برای سازمانها و شرکتها بسیار مهم است که همیشه با کارکنان خود، ارتباطات موثر و مستمر در حوزه آگاهی بخشی حملات فیشینگ داشته باشند و آنها را نسبت به آخرین تکنیکهای حملات سایبری و مباحث مهندسی اجتماعی و مهندسی ذهن آموزش دهند. به روز نگه داشتن اطلاعات کارمندان در باب آخرین تهدیدات اینترنتی، باعث کاهش ریسک و ایجاد فرهنگ امنیت سایبری در سازمان میشود.
معمولاً سازمانها دارای کمیتههای ضد فیشینگ در کارگروههای فناوری اطلاعات خود هستند که آموزشهای عملی ضد فیشینگ را تحت مدیریت و نظارت متخصصین خبره این حوزه طراحی و اجرا میکنند. به طور مثال، ایمیلهای فیشینگ شبیهسازی شده را برای کارکنان ارسال کرده و ردیابی میکنند که کدام یک از آنها ایمیل را باز میکنند و روی پیوندهای آلوده کلیک میکنند. این کارمندان را میتوان بیشتر آموزش داد تا در حملات بعدی دچار اشتباه نشوند.
اتخاذ ۸ اصل ضد فیشینگ زیر میتواند به کاهش چشمگیر قرار گرفتن سازمان در معرض چنین حملاتی کمک کند:
۱. آموزش و آگاهی بخشی به کارکنان در مورد تهدیدات فیشینگ
آموزش و آگاهی بخشی به کارکنان در ارتباط با درک صحیح استراتژیهای فیشینگ، نحوه انجام یک حمله فیشینگ، شناسایی نشانهها و علائم حملات فیشینگ و گزارش حوادث مشکوک به تیم امنیت سایبری سازمان، از ملزومات حیاتی یک سازمان به حساب میآید.
ایجاد محیطها و بسترهای عملی شبیه سازی شده برای آزمودن عملکرد کارکنان در موقع حملات فیشینگ، میتواند کارایی سازمانی آنها را ارتقا دهد؛ یعنی هر چند وقت یکبار، تحت نظارت کمیته امنیت سایبری هر سازمان، کارمندان بخشهای مختلف در چالش حملات فیشینگ ایمیلی یا پیامی قرار گیرند و در یک محیط تحت کنترل، نحوه رویارویی و واکنش آنها در مقابل چنین وضعیتی رصد و ارزیابی شود. سپس اشکالات فنی و حفرههایی که در رفتار سازمانی آنها در قبال این حملات وجود دارد یادداشت شده و به آنها تذکر داده شود. بدین صورت مشخص میگردد که چه جایگاههای شغلی و چه افرادی در مقابل این حملات دچار چالش شده و در صورت نیاز، آموزشهای مستمر و چندین باره برای آنها برگزار گردد؛ بنابراین آزمایش حملات فیشینگ شبیه سازی شده میتواند به تیمهای امنیتی کمک کند تا اثربخشی برنامههای آموزشی و آگاهی بخشی خود را ارزیابی کنند و به کاربران سازمانی در درک بهتر حملات کمک کنند.
همچنین سازمانها باید کارکنان خود را تشویق کنند تا قبل استفاده و ورود به یک وبسایت، به دنبال نشانها یا برچسبهای اعتماد امنیت سایبری (مانند نماد اعتماد الکترونیک) باشند. وجود چنین نمادهایی نشان میدهد که وب سایت مذکور دارای استانداردهای امنیت سایبری است و احتمالاً جعلی یا مخرب نیست.
مسئله بعدی این است که کارکنان میبایست هرگونه فعل و انفعال مشکوک به حمله فیشینگ را در اسرع وقت به تیم امنیت سایبری سازمان گزارش دهند. اگر تیم فناوری اطلاعات و امنیت سازمان به موقع از حمله مطلع شود، میتواند قبل از هر اقدام مشکل آفرینی، ایمیلهای مخرب و بدافزارهای آلوده را خنثی کرده و از کار بیاندازد.
توجه به این نکته حائز اهمیت است که استراتژیهای فیشینگ و رویکردهای مجرمان سایبری مرتباً در حال تغییر است؛ لذا تیم امنیت سایبری سازمان میبایست نسبت به آگاهی بخشی و آموزش مستمر کارکنان در ارتباط با روندهای فعلی فیشینگ آماده باشد و شبیهسازی حملات سایبری نیز باید تکامل یابند تا احتمال شناسایی و پاسخ مناسب به حملات فیشینگ در سازمان افزایش یابد.
۲. بارگذاری "فیلترهای هوشمند امنیت ایمیل" در سازمان
راهاندازی، اجرا و بارگذاری فیلترهای هوشمند امنیت ایمیل میتواند سازمان را در مقابل بدافزارها، لینک و پیوندهای آلوده و سایر محمولههای مخرب موجود در پیامهای ایمیل محافظت کند. این فیلترهای هوشمند میتوانند ایمیلهایی که حاوی لینکهای مخرب، پیوستهای آلوده، محتوای هرزنامه و زبانهای برنامه نویسی مشکوک به فیشینگ که میتواند نشان دهنده حمله سایبری باشد را شناسایی کنند. فیلترهای هوشمند امنیت ایمیل به طور خودکار ایمیلهای مشکوک را مسدود و قرنطینه میکنند و از فناوری sandboxing برای "خنثی سازی" ایمیلها استفاده کرده تا بفهمند که آیا آنها حاوی کدهای مخرب هستند یا خیر.
۳. محدود کردن دسترسی عمومی به برخی از سیستمها و دادههای با ارزش سازمانی
بیشتر رویکردها در حملات فیشینگ برای فریب دادن اپراتورهای انسانی طراحی شدهاند و برخی کاربران سازمانیِ دارای حسابهای کاربری حساس و حیاتی، اهداف جذابی برای مجرمان سایبری خواهند بود. محدود کردن دسترسی عمومی کارکنان به سیستمها و دادههای مهم سازمانی میتواند به محافظت از اطلاعات با ارزش و طبقه بندی شده سازمانی در برابر نشت کمک کند. برای اجرای این فرآیند، شما میتوانید از اصل امتیازبندی استفاده کنید و فقط به کاربرانی که برای پیشبرد اهداف سازمانی به این سیستمها و دادههای با ارزش قطعا نیاز دارند، دسترسی بدهید.
۴. الزام اجرای فرآیند احراز هویت دو مرحلهای در سازمان
یکی از موثرترین روشهای مقابله با حملات فیشینگ در سازمانها، الزام اجرای فرآیند احراز هویت دو مرحلهای است، زیرا هنگام ورود به سیستم ها، پوشهها و برنامههای طبقه بندی شده و حساس سازمان، یک مرحله تأیید مضاعف را با خود به همراه دارد. بدین صورت هم دسترسیهای اضافی و غیر ضرور به محتواهای با ارزش سازمانی کاهش مییابد و هم در هنگام مواجه با حملات فیشینگ، احراز هویت مرحله دوم از ادامه مسیر حمله جلوگیری کرده و زنجیرهی فیشینگ را قطع میکند.
۵. اجرای بسترهای ضد فیشینگ بر روی دستگاههای تلفن همراه سازمانی
دستگاههای تلفن همراه سازمانی، یک هدف رایج برای فیشرها در حملات سایبری هستند. موبایلهای سازمانی به چند دلیل جذابیت برای عملیات فیشینگ دارند:
--کانالهای ارتباطی چندگانه: تلفنهای همراه دارای برنامههایی برای ارسال ایمیل، پلتفرمهای ارتباطی سازمان، پیامرسانی SMS و رسانههای اجتماعی سازمان هستند. همه اینها میتوانند محتوا و لینکهای مخرب را حمل کنند و گزینههای مختلفی را برای حملههای فیشینگ در اختیار مهاجمان قرار دهند.
--اتصال "همیشه روشن": اکثر کارکنان در ساعات کاری، دائماً موبایل سازمان را همراه خود دارند و اغلب پیامها را در چند لحظه پس از دریافت آنها بررسی میکنند. همین امر این احتمال را افزایش میدهد که یک مهاجم با حداقل زمان انتظار، یک حمله موفق فیشینگ داشته باشد.
--کوتاه شدن آدرس وبسایت در موبایل: صفحه نمایش کوچک موبایل باعث میشود تنها بخشی از نشانی یک وبسایت (URL) در نوار آدرس نشان داده شود. این امر پنهان کردن لینکهای فیشینگ در نشانی وب را آسانتر میکند.
همه این عوامل به این معنی است که کاربران تلفن همراه سازمان به شدت در برابر حملات فیشینگ آسیب پذیر هستند؛ لذا تدابیر تیم ضد فیشینگ سازمان باید پشتیبانی و محافظت ویژه را برای جلوگیری از حملات فیشینگ مبتنی بر تلفن همراه در نظر داشته باشد.
۶. الزام کارکنان به استفاده از رمز عبورهای متفاوت، پیچیده و متغیر برای پنلهای شرکتی و عدم اشتراکگذاری آن
متاسفانه اکثر کارکنان سازمانها معمولاً از یک رمز عبور یکسان برای چندین حساب آنلاین استفاده میکنند و یک رمز عبور منفرد میتواند به مهاجم سایبری اجازه دسترسی به بیش از یک حساب از حسابهای کاربری آنلاین کارکنان را بدهد. همچنین بیشتر این رمز عبورها، الگویی ساده و غیر پیچیده دارند که در هنگام حمله فیشینگ، آسیب پذیری بالایی خواهند داشت؛ لذا کارمندان یک سازمان میبایست ملزم به استفاده از رمزهای عبور منحصر به فرد، با کاراکترهای متفاوت و پیچیده برای همه حسابهایشان، عدم به اشتراکگذاری رمزهای عبور خود برای دیگران (مخصوصاً از طریق ایمیل) و عدم تایپ و ثبت رمز عبور در صفحهای که توسط لینکی از یک ایمیل مشکوک ارسال شده است، شوند.
همچنین سازمانها باید سیاستهای مدیریت رمز عبور سختگیرانهای را اعمال کنند و کارمندان را ملزم کنند که هر چند وقت یکبار رمز عبور خود را تغییر دهند و اجازه استفاده مجدد از یک رمز عبور تکراری را برای چندین برنامه نداشته باشند.
۷. استفاده از هوش مصنوعی برای مقابله با حملات فیشینگ در سازمان
حتی بهترین حالت آگاهی بخشی و آموزش امنیت سایبری به کارکنان یک سازمان، لزوما محافظت کاملی در برابر حملات فیشینگ ایجاد نمیکند. به حداقل رساندن خطر حملات فیشینگ در یک سازمان، مستلزم استفاده و استقرار نرم افزارهای ضد فیشینگ مبتنی بر هوش مصنوعی است که قادر به شناسایی و مسدود کردن محتوای فیشینگ در تمام سرویسهای ارتباطی سازمان باشد.
۸. اجرای رویکردهای ضد فیشینگ برای برنامهها و پلتفرمهای کاربردی در سازمان
برنامههای کاربردی مانند نرم افزارهای آفیس مایکروسافت (ورد، پاورپوینت، اکسل، اکسس، پابلیشر، آوت لوک، ویر چوال پی سی، وان نوت، وان درایو، مایکروسافت پروژکت و ...)، نرم افزارهای گوگل (موتور جستجوگر گوگل، گوگل درایو، گوگل مپ، گوگل کروم، گوگل میت، جی میل و...)، نرم افزارهای یاهو (ایمیل، یاهو مسنجر، و...)، اسکای روم و سایر برنامهها و پلتفرمهای کاربردی همه قادر به آسیب پذیری از طریق دریافت و به اشتراک گذاری لینک ها، پیوستها و فایلهای آلوده هستند؛ لذا اهتمام به اجرای رویکردهای ضد فیشینگ در مورد آنها ضرورت دارد.
ادامه دارد...
منابع
۱. Aburrous M. , et al. (۲۰۲۲) , ”Predicting Phishing Websites Using Classification Mining Techniques with Experimental Case Studies,” in Seventh International Conference on Information Technology, IEEE Conf ,Las Vegas, Nevada, USA, pp. ۱۷۶-۱۸۱.
۲. Alkhalil, Zainab & Hewage, Chaminda & Nawaf, Liqaa & Khan, Imtiaz (۲۰۲۱) ,” Phishing Attacks: A Recent Comprehensive Study and a New Anatomy”, Frontiers in Computer Science ,Vol.۳. No.۱, pp:۱۲-۲۶.
۳. Chen ,J. & Guo ,C. (۲۰۲۰) , “Online detection and prevention of phishing attacks”, in in Proc. Fifth Mexican International Conference in Computer Science, IEEE Conf, pp. ۱-۷،
۴. Downs ,J. S. , et al (۲۰۲۱) , “Behavioural response to phishing risk”, presented at the Proc. anti-phishing working groups ۲nd annual eCrime researchers summit, ACM Conf, Pittsburgh, Pennsylvania, pp. ۳۷-۴۴.
۵. Gunter Ollmann, (۲۰۲۰) , “The Phishing Guide - Understanding & Preventing Phishing Attacks,” Press in IBM Internet Security Systems.
۶. James, Vaishnavi & Kadlak, Aditya & Sharma, Shabnam (۲۰۱۸) ,” Study on Phishing Attacks”, International Journal of Computer Applications, Volume ۱۸۲ , No. ۳۳, pp:۲۳-۳۱.
۷. Khonji ,Mahmoud & Iraqi ,Youssef & Andrew, Jones (۲۰۲۰) , “Phishing Detection: A Literature Survey”, in IEEE Communications Surveys & Tutorials, Vol.۱۵, Issue ۴, PP. ۲۰۹۱ – ۲۱۲۱.
۸. Parmar, B. (۲۰۲۰) ,” Protecting against spear-phishing”,Computer Fraud SecurityVol.۴,N۰.۳۲, pp: ۸–۱۱.
۹. Phish Labs (۲۰۱۹) ,” ۲۰۱۹ phishing trends and intelligence report the growing social engineering threat”, Available at: https://info.phishlabs.com/hubfs/۲۰۱۹ PTI Report/۲۰۱۹ Phishing Trends and Intelligence Report.pdf.
۱۰. Ramanathan ,Venkatesh, & Wechsler, Harry, (۲۰۲۲) ,” phishGILLNET - phishing detection methodology using probabilistic latent semantic analysis”, EURASIP Journal on Information Security, a Springer Open Journal, Vol.۱, PP.۱-۲۲،
۱۱. Ramzan, Z. (۲۰۱۹) , “Phishing attacks and countermeasures,” in Handbook of Information and communication security (Berlin, Heidelberg: Springer Berlin Heidelberg) , ۴۳۳–۴۴۸. doi:۱۰.۱۰۰۷/۹۷۸-۳-۶۴۲-۰۴۱۱۷-۴_۲۳،
۱۲. Shankar, Akarshita & Shetty, Ramesh & Nath K, Badari, (۲۰۱۹) ,” A Review on Phishing Attacks”, International Journal of Applied Engineering Research, Volume ۱۴, Number ۹ , pp: ۲۱۷۱-۲۱۷۵.
۱۳. Sheng, S. , Magnien, B. , Kumaraguru, P. , Acquisti, A. , Cranor, L. F. , Hong, J. and Nunge, E. (۲۰۱۹) ,” Anti-Phishing Phil: the design and evaluation of a game that teaches people not to fall for phish, Proceedings of the ۳rd symposium on Usable privacy and security, Pittsburgh, Pennsylvania, July ۲۰۱۹.
۱۴. Teh-Chung ,Chen & Scott ,Dick & James ,Miller (۲۰۱۹) , “Detecting visually similar web pages: application to phishing detection,” ACM Transactions on Internet Technology (TOIT) , Vol. ۱۰ (۲) , pp:۱۴-۳۱.
۱۵. Yeboah-Boateng, E. O. , and Amanor, P. M. (۲۰۱۸) ,” Phishing , SMiShing & vishing: an assessment of threats against mobile devices”, J. Emerg. Trends Comput. Inf. Sci. ۵ (۴). Pp: ۲۹۷–۳۰۷.