به گزارش خبرنگار ایبِنا، ایمیلهای جعلی به گونهای طراحی شده اند که فریبنده باشند، به این معنی که کارکنان سازمانها و اشخاص حقیقی برای فهم و شناسایی حملات فیشینگ دچار تردید و مشکل شوند. تنها یک کلیک بر روی یک پیوند مخرب یا باز کردن یک پیوست مملو از بدافزار موجود در یک ایمیل، میتواند آسیب قابل توجهی به سازمانها و اشخاص وارد کند. به همین دلیل، آشنایی با ایمیل فیشینگ و موارد پیرامون آن و آموزش امنیت سایبری شخصی و سازمانی برای مقابله با حملات ایمیلی، حائز اهمیت است. در این مقاله و مقاله بعدی، هر آنچه که از ایمیل فیشینگ باید بدانید را به شما خواهیم گفت.
به عبارت ساده، ایمیلهای فیشینگ، پیامهای الکترونیکی هستند با ظاهری اعتماد آفرین و فریبنده و دارای لینک ها، پیوندها و پیوستهای آلوده که به اشخاص حقیقی و کارکنان سازمان ها، برندها و صنایع ارسال میشوند و با ایجاد حالت هیجان، فوریت و اضطرار شما را به سمت کلیک بر روی لینکها و پیوستها و ورود به نشانیهای وب جعلی که شباهت بالایی با سایت اصلی دارند، اما تحت کنترل و نظارت حمله کننده هست، هدایت میکند. ورود به چنین وبسایتها و وارد کردن اطلاعات کاربری و رمز عبور، میتواند منجر به دستیابی به دادههای حساس اشخاص و سازمانها و دستبرد به حسابهای بانکی و کاربری آنها شود.
یک ایمیل فیشینگ، با یک پیام حاوی اتمسفر اضطرار و فوریت به شما حمله میکند. مهاجمان فیشینگ از تکنیکهای مهندسی ذهن برای افزایش موفقیت حملات خود استفاده میکنند. آنها کاربران را طعمه ترس ناشی از وقوع یک اتفاق ناگوار برای حسابهای کاربری در صورت عدم رعایت دستورالعملهای موجود در ایمیل میکنند و دقیقا از همین طریق، حمله هکری خود را شروع میکنند. فیشرها معمولا کاربران را متقاعد میکنند که اگر به ایمیل ارسالی پاسخ ندهد، حساب کاربری آنها محدود شده یا به حالت تعلیق در خواهد آمد. ترس باعث میشود کاربران مورد هدف، علائم هشدار دهنده رایج را نادیده بگیرند و آموزش فیشینگ خود را فراموش کنند. حتی مدیران و کارشناسان امنیتی گهگاه گرفتار این فضای هیجانی ناشی از فیشینگ میشوند.
وقتی کاربر یک ایمیل فیشینگ را باز میکند و تمایل به پاسخگویی به ایمیل و عمل به دستورات موجود در آن را پیدا میکند، مقدمات حمله برای فیشر فراهم میگردد. محتوای ایمیل از شما میخواهد از طریق یک پیوست، لینک یا پیوند آلودهی جانمایی شده در ایمیل، به یک سایت به ظاهر امن و مطمئن ورود کنید.
لینک و پیوست یک ایمیل میتواند یک صفحه وب، یک پوسته اسکریپت (به عنوان مثال، PowerShell) یا یک فایل مایکروسافت آفیس (ورد، پی دی اف، اکسل، پاورپوینت ...) مخرب باشد. از فایلهای مایکروسافت و اسکریپتها میتوان برای دانلود بدافزار یا فریب کاربران برای افشای اعتبار حساب کاربری در ایمیل استفاده کرد.
شما با کلیک بر روی لینک یا پیوست آلوده، وارد یک وبسایت با دامنهای جعلی و شبیه به دامنه رسمی میشوید و با پیروی از دستورات سایت که احتمالا شما را به وارد کردن نام کاربری و رمز عبور خود تشویق میکند، اطلاعات کاربری تان به سرقت میرود.
نمونهی زیر، یک ایمیل فیشینگ است. در این ایمیل نام کاربر ذکر نشده است و احساس فوریت به معنای استفاده از ترس در تلاش برای فریب کاربران برای باز کردن پیوست است.
ایمیلهای جعلی بخشی از کمپینهای فیشینگ هستند که در جهت فریب کاربران طراحی میشوند تا به اهداف خود برسند. اگر ایمیلی دارای یک پیوند جاسازی شده برای کلیک کردن، یک پیوست، یک فایل ناشناس یا درخواست دارای اتمسفر اضطرار، فوریت و ترس باشد، مشکوک به حمله فیشینگ است و عاقلانه هست که جعلی بودن آن بررسی شود. برای تشخیص جعلی بودن یک ایمیل، توجه به ۲ مورد زیر الزامی است:
۱. مهاجم ممکن است از یک آدرس واقعی و با شباهت ظاهری بسیار بالا با نشانی وبسایت اصلی استفاده کرده و شما را فریب دهند. مثل جایگزینی cornpany.com به جای company.com.
این مسئله معمولاً با نگاهی دقیق به آدرس ایمیل فرستنده قابل تشخیص است
۲. هدر (Header) بخش FROM یک ایمیل ممکن است با یک آدرس قانونی که تحت کنترل مهاجم هکری است جایگزین شود. البته اکثر سرورهای گیرنده از امنیت ایمیل استفاده کنند، هدر ایمیل جعلی را شناسایی میکنند، اما در غیر این صورت، این مسئله نیاز به حفاری و کنکاش بیشتری دارد. آدرسهای جعلی FROM را میتوان بر اساس موارد زیر شناسایی کرد:
--متن ایمیل: متن ایمیلهای فیشینگ طوری طراحی میشوند که مشروع به نظر برسند، اما ممکن است همیشه در این امر موفق نباشند. اگر کلام و لحن ایمیل غیرعادی بود یعنی از سمت یک مقام رسمی، متنی محاورهای دارای غلطهای املایی و نگارشی دریافت کردید یا از سمت یک شخص نزدیک، متنی رسمی دریافت کردید، به ایمیل مشکوک شوید.
--بخش Reply-To: یک آدرس Reply-To پاسخ به ایمیلی را از یک آدرس به آدرس دیگری مشخص میکند. در حالی که این کار کاربردهای قانونی دارد (مانند کمپینهای ایمیل انبوه)، غیرعادی است و باید دلیلی برای سوء ظن ایمیلهایی باشد که از یک حساب شخصی ارسال میشوند.
--بخش Received: هِدِر Received در یک ایمیل نشان دهنده آدرس IP و نام دامنه رایانهها و سرورهای ایمیل در مسیری است که ایمیل طی کرده است. بخش "از" و "به" یک ایمیل، میبایست حاوی آدرسهای ایمیل همان شرکت باشد و فقط باید از طریق سرور ایمیل همان سازمان ارسال شود. در صورت مغایرت با این مدل، حتما مشکوک شوید.
مجرمان سایبری از سه مکانیزم اصلی و پرکاربرد در ایمیلهای فیشینگ برای سرقت اطلاعات استفاده میکنند:
-لینکهای وب مخرب
- پیوستهای مخرب
- فرمهای ورود دادههای جعلی
*لینکهای وب مخرب
لینکهای وب مخرب که به عنوان URL نیز شناخته میشوند، پرکاربردترین مکانیزم حمله در ایمیلهای فیشینگ هستند. پیوندهای مخرب موجود در این ایمیل ها، کاربران را به سمت وب سایتهای جعلی و آلوده به نرم افزارهای مخرب هدایت کرده و در انتها، موجب سرقت اطلاعات کاربری اشخاص و سازمانها میشوند. لینکهای وب مخرب را میتوان به گونهای پنهان کرد که شبیه لینکهای امن و قابل اعتماد به نظر برسد و در لوگوها و سایر تصاویر در یک ایمیل جاسازی شود.
در اینجا نمونهای از یک ایمیل فیشینگ دریافت شده توسط کاربران در دانشگاه کورنل، قابل مشاهده است. این ایمیل، یک پیام ساده است که "Help Desk" را به عنوان نام فرستنده نشان میدهد؛ درحالیکه این ایمیل از" Help Desk" ارسال نشده و بلکه از دامنه
@connect.ust.hk
ارسال شده است. طبق گفته تیم امنیت سایبری دانشگاه کورنل، لینکهای وب مخرب تعبیه شده در این ایمیل، کلیک کنندگان را به صفحهای میبرده است که شبیه صفحه ورود به سیستم Office ۳۶۵ دانشگاه بوده است. این ایمیل سعی در سرقت اطلاعات کاربری کارکنان و اساتید دانشگاه کورنل را داشته که با هوشمندی تیم امنیت سایبری دانشگاه، خنثی شده است.
*پیوستهای مخرب
دومین مکانیزم پرکاربرد در حمله ایمیل فیشینگ، پیوستهای مخرب هستند. این پیوستها کاملا شبیه پیوستهای قانونی و رسمی هستند، اما در واقع آلوده به بدافزارها و باج افزارها شدهاند که میتواند رایانهها و اطلاعات موجود در هر کامیپوتری را در معرض خطر قرار دهد. باج افزارهای موجود در این پیوست ها، میتواند همه فایلهای رایانه شخصی شما را قفل کرده و از دسترس خارج کند. کدهای نوشته شده برای این پیوستهای مخرب به گونهای است که وقتی بر روی آنها کلیک کرده و آن فایل پیوست دانلود میشود، میتواند ردیابی همه چیزهایی که کاربر تایپ میکند، از جمله نامهای کاربری و رمزهای عبور را مخفیانه انجام داده و به طور اتوماتیک برای یک سرور تحت کنترل هکر ارسال کند. همچنین مهم است که بدانیم آلودگیهای باجافزارها و بدافزارها میتواند از یک کامپیوتر به سایر دستگاههای تحت شبکه، مانند هارد دیسکهای خارجی، سرورها و حتی سیستمهای ابری سرایت کند.
در اینجا نمونهای از یک ایمیل فیشینگ با یک پیوست مخرب و آلوده قابل مشاهده است. این ایمیل به ظاهر مربوط به کمپانی خدمات حمل و نقل پست بین المللی فدرال اکسپرس (FedEx) است. این ایمیل، گیرندگان آن را تشویق میکند تا پیوست موجود در ایمیل را دانلود کرده و یک کپی از رسید پستی پیوست شده را پرینت بگیرند و آن را به یکی از شعب فدرال اکسپرس ببرند تا بستهای را تحویل بگیرند. در واقعیت، هیچ بستهی قابل تحویلی وجود ندارد و متاسفانه پیوست این ایمیل، حاوی ویروسی بود که کامپیوتر گیرندگان ایمیل را آلوده میکرد و اطلاعات کاربری آنها را به سرقت میبرد. انواع این نوع کلاهبرداریهای حوزه خدمات پستی و حمل و نقل به ویژه در طول فصل خرید کریسمس رایج است.
*فرمهای ورود دادههای جعلی
سومین مکانیزم پرکاربرد، ایمیل فیشینگ " فرمهای ورود دادههای جعلی" است. این ایمیلها از کاربران میخواهند اطلاعات حساسی مانند نامهای کاربری، شناسههای شخصی، رمزهای عبور، دادههای کارت اعتباری و اطلاعات حساب بانکی را در یک فرم ورود داده جعلی وارد کنند. هنگامی که کاربران هر کدام از این اطلاعات را تایپ و ارسال میکنند، مجرمان سایبری میتوانند از این اطلاعات برای سرقت حسابهای کاربری و بانکی افراد و سازمانها استفاده کنند.
در اینجا نمونهای از یک صفحه ورود دادههای جعلی به اشتراک گذاشته شده در وب سایت gov.uk قابل مشاهده است. سازوکار به این صورت بوده است که کاربران یک ایمیل فیشینگ دریافت کرده اند و پس از کلیک بر روی پیوند یا لینک مخرب موجود در این ایمیل، به این صفحه جعلی فرم ورود داده هدایت شده اند. این صفحه وانمود میکند که مربوط به آژانس جمع آوری مالیات HMRC هست و به کاربران گفته میشود که واجد شرایط و مشمول بازپرداخت و عودت بخش زیادی از مالیات خود شده اند و برای این امر، باید فرم، زیرا را تکمیل کنند و اطلاعات خواسته شده در این صفحه را به طور کامل تایپ و ثبت کنند.
متاسفانه در این حمله ایمیل فیشینگ، اطلاعات کاربری و بانکی بیش از ۳۵۰۰ کاربر به سرقت رفت.
ادامه دارد...
منابع
۱. Aburrous M. , et al. (۲۰۲۲) , ”Predicting Phishing Websites Using Classification Mining Techniques with Experimental Case Studies,” in Seventh International Conference on Information Technology, IEEE Conf ,Las Vegas, Nevada, USA, pp. ۱۷۶-۱۸۱.
۲. Alkhalil, Zainab & Hewage, Chaminda & Nawaf, Liqaa & Khan, Imtiaz (۲۰۲۱) ,” Phishing Attacks: A Recent Comprehensive Study and a New Anatomy”, Frontiers in Computer Science ,Vol.۳. No.۱, pp:۱۲-۲۶.
۳. Chen ,J. & Guo ,C. (۲۰۲۰) , “Online detection and prevention of phishing attacks”, in in Proc. Fifth Mexican International Conference in Computer Science, IEEE Conf, pp. ۱-۷،
۴. Downs ,J. S. , et al (۲۰۲۱) , “Behavioural response to phishing risk”, presented at the Proc. anti-phishing working groups ۲nd annual eCrime researchers summit, ACM Conf, Pittsburgh, Pennsylvania, pp. ۳۷-۴۴.
۵. Gunter Ollmann, (۲۰۲۰) , “The Phishing Guide - Understanding & Preventing Phishing Attacks,” Press in IBM Internet Security Systems.
۶. James, Vaishnavi & Kadlak, Aditya & Sharma, Shabnam (۲۰۱۸) ,” Study on Phishing Attacks”, International Journal of Computer Applications, Volume ۱۸۲ , No. ۳۳, pp:۲۳-۳۱.
۷. Khonji ,Mahmoud & Iraqi ,Youssef & Andrew, Jones (۲۰۲۰) , “Phishing Detection: A Literature Survey”, in IEEE Communications Surveys & Tutorials, Vol.۱۵, Issue ۴, PP. ۲۰۹۱ – ۲۱۲۱.
۸. Parmar, B. (۲۰۲۰) ,” Protecting against spear-phishing”,Computer Fraud SecurityVol.۴,N۰.۳۲, pp: ۸–۱۱.
۹. Phish Labs (۲۰۱۹) ,” ۲۰۱۹ phishing trends and intelligence report the growing social engineering threat”, Available at: https://info.phishlabs.com/hubfs/۲۰۱۹ PTI Report/۲۰۱۹ Phishing Trends and Intelligence Report.pdf.
۱۰. Ramanathan ,Venkatesh, & Wechsler, Harry, (۲۰۲۲) ,” phishGILLNET - phishing detection methodology using probabilistic latent semantic analysis”, EURASIP Journal on Information Security, a Springer Open Journal, Vol.۱, PP.۱-۲۲،
۱۱. Ramzan, Z. (۲۰۱۹) , “Phishing attacks and countermeasures,” in Handbook of Information and communication security (Berlin, Heidelberg: Springer Berlin Heidelberg) , ۴۳۳–۴۴۸. doi:۱۰.۱۰۰۷/۹۷۸-۳-۶۴۲-۰۴۱۱۷-۴_۲۳،
۱۲. Shankar, Akarshita & Shetty, Ramesh & Nath K, Badari, (۲۰۱۹) ,” A Review on Phishing Attacks”, International Journal of Applied Engineering Research, Volume ۱۴, Number ۹ , pp: ۲۱۷۱-۲۱۷۵.
۱۳. Sheng, S. , Magnien, B. , Kumaraguru, P. , Acquisti, A. , Cranor, L. F. , Hong, J. and Nunge, E. (۲۰۱۹) ,” Anti-Phishing Phil: the design and evaluation of a game that teaches people not to fall for phish, Proceedings of the ۳rd symposium on Usable privacy and security, Pittsburgh, Pennsylvania, July ۲۰۱۹.
۱۴. Teh-Chung ,Chen & Scott ,Dick & James ,Miller (۲۰۱۹) , “Detecting visually similar web pages: application to phishing detection,” ACM Transactions on Internet Technology (TOIT) , Vol. ۱۰ (۲) , pp:۱۴-۳۱.
۱۵. Yeboah-Boateng, E. O. , and Amanor, P. M. (۲۰۱۸) ,” Phishing , SMiShing & vishing: an assessment of threats against mobile devices”, J. Emerg. Trends Comput. Inf. Sci. ۵ (۴). Pp: ۲۹۷–۳۰۷.