برند‌های معروف و صنایع بزرگ؛ بهشت حملات فیشینگ

به گزارش خبرنگار ایبِنا، حملات فیشینگ فقط شامل اشخاص حقیقی و سازمان‌های دولتی نمی‌شود. فیشینگ یک اقدام محبوب برای آن دسته از مجرمان سایبری است که علاقه وافری به نفود به صنایع و برند‌های برتر دنیا دارند؛ لذا سال‌های متمادی است که هکر‌های حرفه‌ای و کلاه برداران اینترنتی از تکنیک‌ها و استراتژی‌های مختلفی برای تسخیر کمپانی‌های بزرگ دنیا مانند گوگل، مایکروسافت، آمازون، اپل، ولز فارگو، بانک آمریکا، لینکدین، فدرال اکسپرس، DHL و... و حمله به صنایع مهمی نظیر بانک‌ها و موسسات مالی و اعتباری، سیستم‌های پرداخت، فروشگاه‌های آنلاین، شرکت‌های صدور کارت بازرگانی، شرکت‌های فناوری اطلاعات، شرکت‌های مخابراتی، شرکت‌های خدمات کالایی و. استفاده کرده و می‌کنند. این حملات با طراحی‌های پیجیده‌ مهندسی ذهن و با هدف قرار دادن کارکنان برند‌های بزرگ و ایجاد شرایط هیجان، اضطرار و فوریت برای آنان، به این کمپانی‌ها نفوذ کرده و با انواع حملاتی نظیر ایمیل فیشینگ، فیشینگ نیزه‌ای، اسمیشینگ، ویشینگ، فیشینگ صید (شکار) و کلاهبرداریِ مدیرعامل (CEO fraud) و با ارسال لینک‌های مخرب و آلوده، به اهداف خود که دسترسی به اطلاعات حساس و حیاتی این برند‌ها و صنایع و سرقت داده‌های حساب‌های بانکی آنهاست، دست می‌یابند؛ لذا شناخت صنایع هدف و کمپانی‌های در معرض خطر و شبیه سازی آن با کسب و کار‌ها و فعالیت‌های مشابه در کشور‌های دیگر، می‌تواند آمادگی تیم امنیت سایبری سازمان‌های همتا در داخل کشور را ارتقا داده و آن‌ها را به هوشیاری بیشتر وادار کند. در این بخش از مجموعه مقالات " هزارتوی کلاهبرداری اینترنتی (فیشینگ) " به بررسی مهم‌ترین صنایع مورد هدف فیشینگ، مهم‌ترین برند‌های مورد هدف فیشینگ، آمار‌هایی از حملات فیشینگ به برند‌ها در سال ۲۰۲۲ و ۵ حمله فیشینگ پرهزینه در تاریخ جهان می‌پردازیم.

مهم‌ترین صنایع مورد هدف فیشینگ

هدف اکثریت حملات فیشینگ به صنایع، دستیابی به سود مالی از طریق دستبرد به اطلاعات و داده‌های حساب‌های بانکی آن‌ها است؛ بنابراین مهاجمان عمدتاً صنایع خاصی را مورد هدف قرار می‌دهند تا بتوانند سودآوری بالاتری را در مدت زمان کوتاه‌تر و با سختی کمتری به دست آورند. جامعه هدف حملات سایبری به صنایع، می‌تواند کل سازمان یک صنعت (شامل ساختارها، سیستم ها، مدیران ارشد و کارکنان) یا تک تک کاربران آن (شامل مشترکین، مشتریان و مصرف کنندگان) باشند. صنایع مهم مورد هدف مجرمان فیشینگ عبارتند از:

-فروشگاه‌های آنلاین (تجارت الکترونیک)
-صنعت پلتفرم‌ها و رسانه‌های اجتماعی
-بانک‌ها و موسسات مالی اعتباری
-صنعت نظام‌های پرداخت
-شرکت‌های صدور کارت بازرگانی در جهان
-شرکت‌های فناوری اطلاعات
-شرکت‌های مخابراتی
- شرکت‌های خدمات کالایی

مهم‌ترین برند‌های مورد هدف فیشینگ

برند‌ها به دلیل ویژگی مشتری مداری و احترام به خواست مصرف کنندگان، یکی از بهترین موقعیت‌ها برای حملات سایبری به شمار می‌روند. سرعت بالای انتقال اطلاعات برای دستیابی به اهداف رضایتمندی مشتریان، میزان خطا‌های انسانی را افزایش داده و حفره‌های بسیاری را برای فیشر‌ها و مجرمان اینترنتی ایجاد می‌کند. همین موضوع باعث شده است شانس موفقیت آمیز بودن حملات سایبری افزایش یابد. هیچ برند رایج و مشهوری نیست که مورد حملات فیشینگ قرار نگرفته باشد، اما برخی از معروف‌ترین آنها، با وجود استقرار تیم امنیت سایبری منسجم و قدرتمند در سازمان نیز از این وقایع در امان نمانده اند. معروف‌ترین این برند‌ها عبارتند از:

-گوگل
-مایکروسافت
-آمازون
-اپل
-پست دی اچ ال (DHL)
-لینکدین
-فدرال اکسپرس
-ولز فارگو
-بانک آمریکا
-چیس بانک

آمار‌هایی از حملات فیشینگ به برند‌ها در سال ۲۰۲۲

موسسه چک پوینت ریسرچ (سازمان فعال در حوزه آموزش‌های ضد فیشینگ) اخیراً گزارش حملات فیشینگ به برند‌ها را برای سه ماهه دوم ۲۰۲۲ منتشر کرده است.

براساس این گزارش، در بازه زمانی مذکور، ایمیل فیشینگ رتبه اول حملات سایبری به برند‌ها را به خود اختصاص داده که سهم آن در کل حملات فیشینگ به برندها، عدد قابل توجه ۴۴ درصد بوده است. فیشینگ کلاهبرداریِ مدیرعامل (CEO fraud) در رتبه دوم و فیشینگ نیزه‌ای و فیشینگ صید (شکار) نهنگ در رتبه‌های سوم و چهارم این حملات قرار دارد.

۴ برندی که به میزان بیشتری در سه ماهه دوم سال ۲۰۲۲ توسط مهاجمان مورد حملات فیشینگ قرار گرفتند، مایکروسافت، آمازون، DHL و اپل بودند.

در اینجا دو نمونه از حملات مهم فیشینگ به برند‌ها در سال ۲۰۲۲ را ملاحظه می‌فرمایید:

--تلاش برای سرقت اطلاعات حساب‌های کاربریِ سازمانیِ مایکروسافت
در آگوست ۲۰۲۲، مهاجمان با ارسال ایمیل‌های فیشینگ سعی در سرقت اطلاعات سازمانی حساب‌های کاربری مایکروسافت داشتند. این پیام‌ها قصد داشتند با ایجاد فوریت و اضطرار، کارکنان مایکروسافت را برای کلیک بر روی پیوند مخربی که به صفحه وب جعلی مایکروسافت هدایت می‌شد، ترغیب کنند. به دلیل اقدام به موقع تیم امنیت سایبری مایکروسافت، این حمله در اوایل وقوع، کشف و خنثی شد.

--حمله ایمیل فیشینگ به آمازون برای سرقت اطلاعات کارت‌های اعتباری
در اوایل سپتامبر ۲۰۲۲، مهاجمان سایبری یک ایمیل فیشینگ را برای مشتریان و کاربران آمازون ارسال کردند که به نظر می‌رسید از مبدا آمازون باشد. این حمله فیشینگ سعی در سرقت اطلاعات کارت اعتباری کاربران آمازون داشت. این ایمیل ادعا می‌کرد که حساب کاربر به دلیل عدم موفقیت در ورود به سیستم، غیرفعال شده است و به وب‌سایت جعلی مرکز صورت‌حساب آمازون پیوند داده می‌شد که به کاربر دستور می‌داد اطلاعات کارت اعتباری پرداخت خود را دوباره وارد کند. پس از موفقیت فیشر‌ها در چند مورد و گزارش هک شدن حساب‌های کاربری برخی مشتریان آمازون، تیم امنیت سایبری این کمپانی موفق به خنثی سازی این حمله شد.

۵ حمله فیشینگ پرهزینه در تاریخ جهان

پنج حمله‌ای که در اینجا شرح داده می‌شود مهاجمان سایبری را قادر ساخت که ده‌ها میلیون دلار از منافع مالی برند‌ها و صنایع بزرگ را به سرقت ببرند:

۱. فیس بوک و گوگل
بین سال‌های ۲۰۱۳ تا ۲۰۱۵، فیس‌بوک و گوگل با قرار گرفتن در معرض یک کمپین فیشینگ طولانی، ۱۰۰ میلیون دلار ضرر را متحمل شدند. کلاه برداران و هکر‌های اینترنتی متوجه شدند که شرکت کوآنتا (Quanta) که در کشور تایوان مستقر است، به عنوان فروشنده اصلی هر دو برند در آسیا فعالیت می‌کند. مهاجمان از این نام سو استفاده کرده و یک سری فاکتور هزینه‌های جعلی را با جعل هویت شرکت کوآنتا، برای پرداخت به فیسبوک و گوگل ارسال کردند.

در نهایت پس از ۲ سال این کلاهبرداری کشف شد و فیس بوک و گوگل از طریق سیستم حقوقی ایالات متحده برای درخواست غرامت وارد عمل شدند. مهاجمان که هکر‌ها و فیشر‌هایی مستقر در کشور لیتوانی بودند دستگیر و برای دادرسی به آمریکا مسترد شدند. با طی مراحل قانونی، فیسبوک و گوگل توانستند ۴۹.۷ میلیون دلار از ۱۰۰ میلیون دلار سرقت شده را از آن‌ها را پس بگیرند.

۲. بانک کرلان بلژیک
بانک کرلان (Crelan Bank)، یکی از بزرگترین بانک‌های بلژیکی فعال در حوزه کشاورزی، در سال ۲۰۱۷، مورد حمله فیشینگ "کلاهبرداریِ مدیر عامل (CEO fraud) " قرار گرفت که تقریباً ۷۵.۸ میلیون دلار در اثر این حمله به بانک کرلان خسارت وارد شد. در این حمله، فیشر مهاجم، حساب کاربری یک مدیر سطح بالای بانک کرلان را جعل کرد و با پیام اتوماسیون، به کارمندان مالی دستور می‌داد که فورا مبلغی را از حساب بانک به یک حساب مقصد که توسط هکر کنترل می‌شد، منتقل کنند. حمله فیشینگ بانک کرلان در طی یک حسابرسی داخلی کشف شد و بانک توانست چرخه فیشینگ را قطع کرده و از ضرر رسانی بیشتر جلوگیری کند.

۳. کمپانی فَک اتریش
کمپانی فَک (FACC)، سازنده اتریشی قطعات هوافضا، مبلغ قابل توجهی را به دلیل فیشینگ "کلاهبرداریِ مدیر عامل (CEO fraud) " از دست داد. در سال ۲۰۱۶، این شرکت اعلام کرد که مورد حمله فیشینگ قرار گرفته و فاش کرد یک فیشر که خود را به عنوان مدیر عامل شرکت معرفی می‌کرده و حساب کاربری او را جعل کرده بود، به یکی از کارمندان بخش حسابداری دستور داد تا مبلغ ۶۱ میلیون دلار را به یک حساب بانکی تحت کنترل هکر ارسال کند. این مسئله به دلیل عدم رعایت کد‌های امنیت سایبری توسط مدیر عامل و مدیر مالی کمپانی اتفاق افتاد. این دو مقام سازمان، ماه‌ها قبل از وقوع این حمله، به دلیل ورود به یک نشانی وب جعلی از طریق یک لینک آلوده‌ ارسالی در یک ایمیل مشکوک، اطلاعات حساب کاربری شان در اختیار حمله کنندگان قرار گرفته بود.

پس از این اتفاق، کمپانی فَک، تصمیم به اخراج و اقدام قانونی علیه مدیر عامل و مدیر مالی خود گرفت. این شرکت به دلیل عدم اجرای صحیح کنترل‌های امنیتی و نظارت داخلی که می‌توانست از حمله جلوگیری کند، این دو مدیر را به پرداخت ۱۱ میلیون دلار خسارت محکوم کرد.

۴. شرکت داروسازی آپشر اسمیت
در سال ۲۰۱۴، شرکت داروسازی آپشر-اسمیت، مورد حمله فیشینگ "کلاهبرداریِ مدیر عامل (CEO fraud) " قرار گرفت که منجر به خسارت بیش از ۳۹ میلیون دلاری به این شرکت شد. فیشر، هویت مدیر عامل یکی از آزمایشگاه‌های مهم آپشر اسمیت را جعل کرده و ایمیل فیشینگ‌هایی را به هماهنگ کننده حساب‌های پرداختی شرکت داروسازی ارسال کرده و در آن، دستور انجام ۹ حواله پرداخت به یک حساب جعلی تحت نظر فیشر را داده است. این حمله در اواسط وقوع کشف شد و شرکت داروسازی را قادر ساخت ۵ حواله از ۹ حواله پرداخت را ابطال کند. همین مسئله باعث شد خسارات وارده به شرکت از ۵۰ میلیون دلار به ۳۹ میلیون دلار کاهش یابد. شرکت آپشر اسمیت از بانک عامل خود به دلیل انجام این نقل و انتقالات و به دلیل بی توجهی به کد‌های امنیت سایبری شکایت کرد.

۵. شرکت اوبیکوتی نت ورک
در سال ۲۰۱۵، شرکت اوبیکوتی نت ورک (Ubiquiti Networks)، یک شرکت نرم افزاری مستقر در ایالات متحده، قربانی یک حمله فیشینگ "کلاهبرداریِ مدیر عامل (CEO fraud) " شد که برای شرکت ۴۶.۷ میلیون دلار هزینه در بر داشت (معادل ۱۰ درصد از سرمایه نقدی شرکت). مهاجم با جعل هویت مدیر عامل و وکیل شرکت، به مدیر ارشد حسابداری شرکت دستور داد تا یک سری نقل و انتقالات را برای پرداخت یک خرید محرمانه انجام دهد. در طول ۱۷ روز، این شرکت ۱۴ حواله به حساب‌های هک شده در روسیه، مجارستان، چین و لهستان فرستاد.

شرکت زمانی متوجه این مسئله شد که FBI در بررسی‌های خود در یک پرونده‌ی دیگر، متوجه ردپای حملات فیشینگ حساب بانکی اوبیکوتی نت ورک در هنگ کنگ شد. این مسئله شرکت را قادر ساخت تا هرگونه نقل و انتقالات آتی را متوقف کرده، زنجیره فیشینگ را قطع و تلاش کند تا حد ممکن، ۴۶.۷ میلیون دلار سرقت شده را بازیابی کند.

منابع

۱. Aburrous M. , et al. (۲۰۲۲) , ”Predicting Phishing Websites Using Classification Mining Techniques with Experimental Case Studies,” in Seventh International Conference on Information Technology, IEEE Conf ,Las Vegas, Nevada, USA, pp. ۱۷۶-۱۸۱.
۲. Alkhalil, Zainab & Hewage, Chaminda & Nawaf, Liqaa & Khan, Imtiaz (۲۰۲۱) ,” Phishing Attacks: A Recent Comprehensive Study and a New Anatomy”, Frontiers in Computer Science ,Vol.۳. No.۱, pp:۱۲-۲۶.
۳. Chen ,J. & Guo ,C. (۲۰۲۰) , “Online detection and prevention of phishing attacks”, in in Proc. Fifth Mexican International Conference in Computer Science, IEEE Conf, pp. ۱-۷،
۴. Downs ,J. S. , et al (۲۰۲۱) , “Behavioural response to phishing risk”, presented at the Proc. anti-phishing working groups ۲nd annual eCrime researchers summit, ACM Conf, Pittsburgh, Pennsylvania, pp. ۳۷-۴۴.
۵. Gunter Ollmann, (۲۰۲۰) , “The Phishing Guide - Understanding & Preventing Phishing Attacks,” Press in IBM Internet Security Systems.
۶. James, Vaishnavi & Kadlak, Aditya & Sharma, Shabnam (۲۰۱۸) ,” Study on Phishing Attacks”, International Journal of Computer Applications, Volume ۱۸۲ , No. ۳۳, pp:۲۳-۳۱.
۷. Khonji ,Mahmoud & Iraqi ,Youssef & Andrew, Jones (۲۰۲۰) , “Phishing Detection: A Literature Survey”, in IEEE Communications Surveys & Tutorials, Vol.۱۵, Issue ۴, PP. ۲۰۹۱ – ۲۱۲۱.
۸. Parmar, B. (۲۰۲۰) ,” Protecting against spear-phishing”,Computer Fraud SecurityVol.۴,N۰.۳۲, pp: ۸–۱۱.
۹. Phish Labs (۲۰۱۹) ,” ۲۰۱۹ phishing trends and intelligence report the growing social engineering threat”, Available at: https://info.phishlabs.com/hubfs/۲۰۱۹ PTI Report/۲۰۱۹ Phishing Trends and Intelligence Report.pdf.
۱۰. Ramanathan ,Venkatesh, & Wechsler, Harry, (۲۰۲۲) ,” phishGILLNET - phishing detection methodology using probabilistic latent semantic analysis”, EURASIP Journal on Information Security, a Springer Open Journal, Vol.۱, PP.۱-۲۲،
۱۱. Ramzan, Z. (۲۰۱۹) , “Phishing attacks and countermeasures,” in Handbook of Information and communication security (Berlin, Heidelberg: Springer Berlin Heidelberg) , ۴۳۳–۴۴۸. doi:۱۰.۱۰۰۷/۹۷۸-۳-۶۴۲-۰۴۱۱۷-۴_۲۳،
۱۲. Shankar, Akarshita & Shetty, Ramesh & Nath K, Badari, (۲۰۱۹) ,” A Review on Phishing Attacks”, International Journal of Applied Engineering Research, Volume ۱۴, Number ۹ , pp: ۲۱۷۱-۲۱۷۵.
۱۳. Sheng, S. , Magnien, B. , Kumaraguru, P. , Acquisti, A. , Cranor, L. F. , Hong, J. and Nunge, E. (۲۰۱۹) ,” Anti-Phishing Phil: the design and evaluation of a game that teaches people not to fall for phish, Proceedings of the ۳rd symposium on Usable privacy and security, Pittsburgh, Pennsylvania, July ۲۰۱۹.
۱۴. Teh-Chung ,Chen & Scott ,Dick & James ,Miller (۲۰۱۹) , “Detecting visually similar web pages: application to phishing detection,” ACM Transactions on Internet Technology (TOIT) , Vol. ۱۰ (۲) , pp:۱۴-۳۱.
۱۵. Yeboah-Boateng, E. O. , and Amanor, P. M. (۲۰۱۸) ,” Phishing , SMiShing & vishing: an assessment of threats against mobile devices”, J. Emerg. Trends Comput. Inf. Sci. ۵ (۴). Pp: ۲۹۷–۳۰۷.