به گزارش خبرنگار ایبِنا، حملات فیشینگ فقط شامل اشخاص حقیقی و سازمانهای دولتی نمیشود. فیشینگ یک اقدام محبوب برای آن دسته از مجرمان سایبری است که علاقه وافری به نفود به صنایع و برندهای برتر دنیا دارند؛ لذا سالهای متمادی است که هکرهای حرفهای و کلاه برداران اینترنتی از تکنیکها و استراتژیهای مختلفی برای تسخیر کمپانیهای بزرگ دنیا مانند گوگل، مایکروسافت، آمازون، اپل، ولز فارگو، بانک آمریکا، لینکدین، فدرال اکسپرس، DHL و... و حمله به صنایع مهمی نظیر بانکها و موسسات مالی و اعتباری، سیستمهای پرداخت، فروشگاههای آنلاین، شرکتهای صدور کارت بازرگانی، شرکتهای فناوری اطلاعات، شرکتهای مخابراتی، شرکتهای خدمات کالایی و. استفاده کرده و میکنند. این حملات با طراحیهای پیجیده مهندسی ذهن و با هدف قرار دادن کارکنان برندهای بزرگ و ایجاد شرایط هیجان، اضطرار و فوریت برای آنان، به این کمپانیها نفوذ کرده و با انواع حملاتی نظیر ایمیل فیشینگ، فیشینگ نیزهای، اسمیشینگ، ویشینگ، فیشینگ صید (شکار) و کلاهبرداریِ مدیرعامل (CEO fraud) و با ارسال لینکهای مخرب و آلوده، به اهداف خود که دسترسی به اطلاعات حساس و حیاتی این برندها و صنایع و سرقت دادههای حسابهای بانکی آنهاست، دست مییابند؛ لذا شناخت صنایع هدف و کمپانیهای در معرض خطر و شبیه سازی آن با کسب و کارها و فعالیتهای مشابه در کشورهای دیگر، میتواند آمادگی تیم امنیت سایبری سازمانهای همتا در داخل کشور را ارتقا داده و آنها را به هوشیاری بیشتر وادار کند. در این بخش از مجموعه مقالات " هزارتوی کلاهبرداری اینترنتی (فیشینگ) " به بررسی مهمترین صنایع مورد هدف فیشینگ، مهمترین برندهای مورد هدف فیشینگ، آمارهایی از حملات فیشینگ به برندها در سال ۲۰۲۲ و ۵ حمله فیشینگ پرهزینه در تاریخ جهان میپردازیم.
هدف اکثریت حملات فیشینگ به صنایع، دستیابی به سود مالی از طریق دستبرد به اطلاعات و دادههای حسابهای بانکی آنها است؛ بنابراین مهاجمان عمدتاً صنایع خاصی را مورد هدف قرار میدهند تا بتوانند سودآوری بالاتری را در مدت زمان کوتاهتر و با سختی کمتری به دست آورند. جامعه هدف حملات سایبری به صنایع، میتواند کل سازمان یک صنعت (شامل ساختارها، سیستم ها، مدیران ارشد و کارکنان) یا تک تک کاربران آن (شامل مشترکین، مشتریان و مصرف کنندگان) باشند. صنایع مهم مورد هدف مجرمان فیشینگ عبارتند از:
-فروشگاههای آنلاین (تجارت الکترونیک)
-صنعت پلتفرمها و رسانههای اجتماعی
-بانکها و موسسات مالی اعتباری
-صنعت نظامهای پرداخت
-شرکتهای صدور کارت بازرگانی در جهان
-شرکتهای فناوری اطلاعات
-شرکتهای مخابراتی
- شرکتهای خدمات کالایی
برندها به دلیل ویژگی مشتری مداری و احترام به خواست مصرف کنندگان، یکی از بهترین موقعیتها برای حملات سایبری به شمار میروند. سرعت بالای انتقال اطلاعات برای دستیابی به اهداف رضایتمندی مشتریان، میزان خطاهای انسانی را افزایش داده و حفرههای بسیاری را برای فیشرها و مجرمان اینترنتی ایجاد میکند. همین موضوع باعث شده است شانس موفقیت آمیز بودن حملات سایبری افزایش یابد. هیچ برند رایج و مشهوری نیست که مورد حملات فیشینگ قرار نگرفته باشد، اما برخی از معروفترین آنها، با وجود استقرار تیم امنیت سایبری منسجم و قدرتمند در سازمان نیز از این وقایع در امان نمانده اند. معروفترین این برندها عبارتند از:
-گوگل
-مایکروسافت
-آمازون
-اپل
-پست دی اچ ال (DHL)
-لینکدین
-فدرال اکسپرس
-ولز فارگو
-بانک آمریکا
-چیس بانک
موسسه چک پوینت ریسرچ (سازمان فعال در حوزه آموزشهای ضد فیشینگ) اخیراً گزارش حملات فیشینگ به برندها را برای سه ماهه دوم ۲۰۲۲ منتشر کرده است.
براساس این گزارش، در بازه زمانی مذکور، ایمیل فیشینگ رتبه اول حملات سایبری به برندها را به خود اختصاص داده که سهم آن در کل حملات فیشینگ به برندها، عدد قابل توجه ۴۴ درصد بوده است. فیشینگ کلاهبرداریِ مدیرعامل (CEO fraud) در رتبه دوم و فیشینگ نیزهای و فیشینگ صید (شکار) نهنگ در رتبههای سوم و چهارم این حملات قرار دارد.
۴ برندی که به میزان بیشتری در سه ماهه دوم سال ۲۰۲۲ توسط مهاجمان مورد حملات فیشینگ قرار گرفتند، مایکروسافت، آمازون، DHL و اپل بودند.
در اینجا دو نمونه از حملات مهم فیشینگ به برندها در سال ۲۰۲۲ را ملاحظه میفرمایید:
--تلاش برای سرقت اطلاعات حسابهای کاربریِ سازمانیِ مایکروسافت
در آگوست ۲۰۲۲، مهاجمان با ارسال ایمیلهای فیشینگ سعی در سرقت اطلاعات سازمانی حسابهای کاربری مایکروسافت داشتند. این پیامها قصد داشتند با ایجاد فوریت و اضطرار، کارکنان مایکروسافت را برای کلیک بر روی پیوند مخربی که به صفحه وب جعلی مایکروسافت هدایت میشد، ترغیب کنند. به دلیل اقدام به موقع تیم امنیت سایبری مایکروسافت، این حمله در اوایل وقوع، کشف و خنثی شد.
--حمله ایمیل فیشینگ به آمازون برای سرقت اطلاعات کارتهای اعتباری
در اوایل سپتامبر ۲۰۲۲، مهاجمان سایبری یک ایمیل فیشینگ را برای مشتریان و کاربران آمازون ارسال کردند که به نظر میرسید از مبدا آمازون باشد. این حمله فیشینگ سعی در سرقت اطلاعات کارت اعتباری کاربران آمازون داشت. این ایمیل ادعا میکرد که حساب کاربر به دلیل عدم موفقیت در ورود به سیستم، غیرفعال شده است و به وبسایت جعلی مرکز صورتحساب آمازون پیوند داده میشد که به کاربر دستور میداد اطلاعات کارت اعتباری پرداخت خود را دوباره وارد کند. پس از موفقیت فیشرها در چند مورد و گزارش هک شدن حسابهای کاربری برخی مشتریان آمازون، تیم امنیت سایبری این کمپانی موفق به خنثی سازی این حمله شد.
پنج حملهای که در اینجا شرح داده میشود مهاجمان سایبری را قادر ساخت که دهها میلیون دلار از منافع مالی برندها و صنایع بزرگ را به سرقت ببرند:
۱. فیس بوک و گوگل
بین سالهای ۲۰۱۳ تا ۲۰۱۵، فیسبوک و گوگل با قرار گرفتن در معرض یک کمپین فیشینگ طولانی، ۱۰۰ میلیون دلار ضرر را متحمل شدند. کلاه برداران و هکرهای اینترنتی متوجه شدند که شرکت کوآنتا (Quanta) که در کشور تایوان مستقر است، به عنوان فروشنده اصلی هر دو برند در آسیا فعالیت میکند. مهاجمان از این نام سو استفاده کرده و یک سری فاکتور هزینههای جعلی را با جعل هویت شرکت کوآنتا، برای پرداخت به فیسبوک و گوگل ارسال کردند.
در نهایت پس از ۲ سال این کلاهبرداری کشف شد و فیس بوک و گوگل از طریق سیستم حقوقی ایالات متحده برای درخواست غرامت وارد عمل شدند. مهاجمان که هکرها و فیشرهایی مستقر در کشور لیتوانی بودند دستگیر و برای دادرسی به آمریکا مسترد شدند. با طی مراحل قانونی، فیسبوک و گوگل توانستند ۴۹.۷ میلیون دلار از ۱۰۰ میلیون دلار سرقت شده را از آنها را پس بگیرند.
۲. بانک کرلان بلژیک
بانک کرلان (Crelan Bank)، یکی از بزرگترین بانکهای بلژیکی فعال در حوزه کشاورزی، در سال ۲۰۱۷، مورد حمله فیشینگ "کلاهبرداریِ مدیر عامل (CEO fraud) " قرار گرفت که تقریباً ۷۵.۸ میلیون دلار در اثر این حمله به بانک کرلان خسارت وارد شد. در این حمله، فیشر مهاجم، حساب کاربری یک مدیر سطح بالای بانک کرلان را جعل کرد و با پیام اتوماسیون، به کارمندان مالی دستور میداد که فورا مبلغی را از حساب بانک به یک حساب مقصد که توسط هکر کنترل میشد، منتقل کنند. حمله فیشینگ بانک کرلان در طی یک حسابرسی داخلی کشف شد و بانک توانست چرخه فیشینگ را قطع کرده و از ضرر رسانی بیشتر جلوگیری کند.
۳. کمپانی فَک اتریش
کمپانی فَک (FACC)، سازنده اتریشی قطعات هوافضا، مبلغ قابل توجهی را به دلیل فیشینگ "کلاهبرداریِ مدیر عامل (CEO fraud) " از دست داد. در سال ۲۰۱۶، این شرکت اعلام کرد که مورد حمله فیشینگ قرار گرفته و فاش کرد یک فیشر که خود را به عنوان مدیر عامل شرکت معرفی میکرده و حساب کاربری او را جعل کرده بود، به یکی از کارمندان بخش حسابداری دستور داد تا مبلغ ۶۱ میلیون دلار را به یک حساب بانکی تحت کنترل هکر ارسال کند. این مسئله به دلیل عدم رعایت کدهای امنیت سایبری توسط مدیر عامل و مدیر مالی کمپانی اتفاق افتاد. این دو مقام سازمان، ماهها قبل از وقوع این حمله، به دلیل ورود به یک نشانی وب جعلی از طریق یک لینک آلوده ارسالی در یک ایمیل مشکوک، اطلاعات حساب کاربری شان در اختیار حمله کنندگان قرار گرفته بود.
پس از این اتفاق، کمپانی فَک، تصمیم به اخراج و اقدام قانونی علیه مدیر عامل و مدیر مالی خود گرفت. این شرکت به دلیل عدم اجرای صحیح کنترلهای امنیتی و نظارت داخلی که میتوانست از حمله جلوگیری کند، این دو مدیر را به پرداخت ۱۱ میلیون دلار خسارت محکوم کرد.
۴. شرکت داروسازی آپشر اسمیت
در سال ۲۰۱۴، شرکت داروسازی آپشر-اسمیت، مورد حمله فیشینگ "کلاهبرداریِ مدیر عامل (CEO fraud) " قرار گرفت که منجر به خسارت بیش از ۳۹ میلیون دلاری به این شرکت شد. فیشر، هویت مدیر عامل یکی از آزمایشگاههای مهم آپشر اسمیت را جعل کرده و ایمیل فیشینگهایی را به هماهنگ کننده حسابهای پرداختی شرکت داروسازی ارسال کرده و در آن، دستور انجام ۹ حواله پرداخت به یک حساب جعلی تحت نظر فیشر را داده است. این حمله در اواسط وقوع کشف شد و شرکت داروسازی را قادر ساخت ۵ حواله از ۹ حواله پرداخت را ابطال کند. همین مسئله باعث شد خسارات وارده به شرکت از ۵۰ میلیون دلار به ۳۹ میلیون دلار کاهش یابد. شرکت آپشر اسمیت از بانک عامل خود به دلیل انجام این نقل و انتقالات و به دلیل بی توجهی به کدهای امنیت سایبری شکایت کرد.
۵. شرکت اوبیکوتی نت ورک
در سال ۲۰۱۵، شرکت اوبیکوتی نت ورک (Ubiquiti Networks)، یک شرکت نرم افزاری مستقر در ایالات متحده، قربانی یک حمله فیشینگ "کلاهبرداریِ مدیر عامل (CEO fraud) " شد که برای شرکت ۴۶.۷ میلیون دلار هزینه در بر داشت (معادل ۱۰ درصد از سرمایه نقدی شرکت). مهاجم با جعل هویت مدیر عامل و وکیل شرکت، به مدیر ارشد حسابداری شرکت دستور داد تا یک سری نقل و انتقالات را برای پرداخت یک خرید محرمانه انجام دهد. در طول ۱۷ روز، این شرکت ۱۴ حواله به حسابهای هک شده در روسیه، مجارستان، چین و لهستان فرستاد.
شرکت زمانی متوجه این مسئله شد که FBI در بررسیهای خود در یک پروندهی دیگر، متوجه ردپای حملات فیشینگ حساب بانکی اوبیکوتی نت ورک در هنگ کنگ شد. این مسئله شرکت را قادر ساخت تا هرگونه نقل و انتقالات آتی را متوقف کرده، زنجیره فیشینگ را قطع و تلاش کند تا حد ممکن، ۴۶.۷ میلیون دلار سرقت شده را بازیابی کند.
منابع
۱. Aburrous M. , et al. (۲۰۲۲) , ”Predicting Phishing Websites Using Classification Mining Techniques with Experimental Case Studies,” in Seventh International Conference on Information Technology, IEEE Conf ,Las Vegas, Nevada, USA, pp. ۱۷۶-۱۸۱.
۲. Alkhalil, Zainab & Hewage, Chaminda & Nawaf, Liqaa & Khan, Imtiaz (۲۰۲۱) ,” Phishing Attacks: A Recent Comprehensive Study and a New Anatomy”, Frontiers in Computer Science ,Vol.۳. No.۱, pp:۱۲-۲۶.
۳. Chen ,J. & Guo ,C. (۲۰۲۰) , “Online detection and prevention of phishing attacks”, in in Proc. Fifth Mexican International Conference in Computer Science, IEEE Conf, pp. ۱-۷،
۴. Downs ,J. S. , et al (۲۰۲۱) , “Behavioural response to phishing risk”, presented at the Proc. anti-phishing working groups ۲nd annual eCrime researchers summit, ACM Conf, Pittsburgh, Pennsylvania, pp. ۳۷-۴۴.
۵. Gunter Ollmann, (۲۰۲۰) , “The Phishing Guide - Understanding & Preventing Phishing Attacks,” Press in IBM Internet Security Systems.
۶. James, Vaishnavi & Kadlak, Aditya & Sharma, Shabnam (۲۰۱۸) ,” Study on Phishing Attacks”, International Journal of Computer Applications, Volume ۱۸۲ , No. ۳۳, pp:۲۳-۳۱.
۷. Khonji ,Mahmoud & Iraqi ,Youssef & Andrew, Jones (۲۰۲۰) , “Phishing Detection: A Literature Survey”, in IEEE Communications Surveys & Tutorials, Vol.۱۵, Issue ۴, PP. ۲۰۹۱ – ۲۱۲۱.
۸. Parmar, B. (۲۰۲۰) ,” Protecting against spear-phishing”,Computer Fraud SecurityVol.۴,N۰.۳۲, pp: ۸–۱۱.
۹. Phish Labs (۲۰۱۹) ,” ۲۰۱۹ phishing trends and intelligence report the growing social engineering threat”, Available at: https://info.phishlabs.com/hubfs/۲۰۱۹ PTI Report/۲۰۱۹ Phishing Trends and Intelligence Report.pdf.
۱۰. Ramanathan ,Venkatesh, & Wechsler, Harry, (۲۰۲۲) ,” phishGILLNET - phishing detection methodology using probabilistic latent semantic analysis”, EURASIP Journal on Information Security, a Springer Open Journal, Vol.۱, PP.۱-۲۲،
۱۱. Ramzan, Z. (۲۰۱۹) , “Phishing attacks and countermeasures,” in Handbook of Information and communication security (Berlin, Heidelberg: Springer Berlin Heidelberg) , ۴۳۳–۴۴۸. doi:۱۰.۱۰۰۷/۹۷۸-۳-۶۴۲-۰۴۱۱۷-۴_۲۳،
۱۲. Shankar, Akarshita & Shetty, Ramesh & Nath K, Badari, (۲۰۱۹) ,” A Review on Phishing Attacks”, International Journal of Applied Engineering Research, Volume ۱۴, Number ۹ , pp: ۲۱۷۱-۲۱۷۵.
۱۳. Sheng, S. , Magnien, B. , Kumaraguru, P. , Acquisti, A. , Cranor, L. F. , Hong, J. and Nunge, E. (۲۰۱۹) ,” Anti-Phishing Phil: the design and evaluation of a game that teaches people not to fall for phish, Proceedings of the ۳rd symposium on Usable privacy and security, Pittsburgh, Pennsylvania, July ۲۰۱۹.
۱۴. Teh-Chung ,Chen & Scott ,Dick & James ,Miller (۲۰۱۹) , “Detecting visually similar web pages: application to phishing detection,” ACM Transactions on Internet Technology (TOIT) , Vol. ۱۰ (۲) , pp:۱۴-۳۱.
۱۵. Yeboah-Boateng, E. O. , and Amanor, P. M. (۲۰۱۸) ,” Phishing , SMiShing & vishing: an assessment of threats against mobile devices”, J. Emerg. Trends Comput. Inf. Sci. ۵ (۴). Pp: ۲۹۷–۳۰۷.