ایمیل فیشینگ چیست و چگونه با آن مقابله کنیم؟

به گزارش خبرنگار ایبِنا،  ایمیل‌های جعلی به گونه‌ای طراحی شده اند که فریبنده باشند، به این معنی که کارکنان سازمان‌ها و اشخاص حقیقی برای فهم و شناسایی حملات فیشینگ دچار تردید و مشکل شوند. تنها یک کلیک بر روی یک پیوند مخرب یا باز کردن یک پیوست مملو از بدافزار موجود در یک ایمیل، می‌تواند آسیب قابل توجهی به سازمان‌ها و اشخاص وارد کند. به همین دلیل، آشنایی با ایمیل فیشینگ و موارد پیرامون آن و آموزش امنیت سایبری شخصی و سازمانی برای مقابله با حملات ایمیلی، حائز اهمیت است. در این مقاله و مقاله بعدی، هر آنچه که از ایمیل فیشینگ باید بدانید را به شما خواهیم گفت.

ایمیل فیشینگ چیست؟

به عبارت ساده، ایمیل‌های فیشینگ، پیام‌های الکترونیکی هستند با ظاهری اعتماد آفرین و فریبنده و دارای لینک ها، پیوند‌ها و پیوست‌های آلوده که به اشخاص حقیقی و کارکنان سازمان ها، برند‌ها و صنایع ارسال می‌شوند و با ایجاد حالت هیجان، فوریت و اضطرار شما را به سمت کلیک بر روی لینک‌ها و پیوست‌ها و ورود به نشانی‌های وب جعلی که شباهت بالایی با سایت اصلی دارند، اما تحت کنترل و نظارت حمله کننده هست، هدایت می‌کند. ورود به چنین وبسایت‌ها و وارد کردن اطلاعات کاربری و رمز عبور، می‌تواند منجر به دستیابی به داده‌های حساس اشخاص و سازمان‌ها و دستبرد به حساب‌های بانکی و کاربری آن‌ها شود.

سازوکار ایمیل فیشینگ چگونه و بر چه مبنایی است؟

یک ایمیل فیشینگ، با یک پیام حاوی اتمسفر اضطرار و فوریت به شما حمله می‌کند. مهاجمان فیشینگ از تکنیک‌های مهندسی ذهن برای افزایش موفقیت حملات خود استفاده می‌کنند. آن‌ها کاربران را طعمه ترس ناشی از وقوع یک اتفاق ناگوار برای حساب‌های کاربری در صورت عدم رعایت دستورالعمل‌های موجود در ایمیل می‌کنند و دقیقا از همین طریق، حمله هکری خود را شروع می‌کنند. فیشر‌ها معمولا کاربران را متقاعد می‌کنند که اگر به ایمیل ارسالی پاسخ ندهد، حساب کاربری آن‌ها محدود شده یا به حالت تعلیق در خواهد آمد. ترس باعث می‌شود کاربران مورد هدف، علائم هشدار دهنده رایج را نادیده بگیرند و آموزش فیشینگ خود را فراموش کنند. حتی مدیران و کارشناسان امنیتی گهگاه گرفتار این فضای هیجانی ناشی از فیشینگ می‌شوند.

وقتی کاربر یک ایمیل فیشینگ را باز می‌کند و تمایل به پاسخگویی به ایمیل و عمل به دستورات موجود در آن را پیدا می‌کند، مقدمات حمله برای فیشر فراهم می‌گردد. محتوای ایمیل از شما می‌خواهد از طریق یک پیوست، لینک یا پیوند آلوده‌ی جانمایی شده در ایمیل، به یک سایت به ظاهر امن و مطمئن ورود کنید.

لینک و پیوست یک ایمیل می‌تواند یک صفحه وب، یک پوسته اسکریپت (به عنوان مثال، PowerShell) یا یک فایل مایکروسافت آفیس (ورد، پی دی اف، اکسل، پاورپوینت ...) مخرب باشد. از فایل‌های مایکروسافت و اسکریپت‌ها می‌توان برای دانلود بدافزار یا فریب کاربران برای افشای اعتبار حساب کاربری در ایمیل استفاده کرد.

شما با کلیک بر روی لینک یا پیوست آلوده، وارد یک وبسایت با دامنه‌ای جعلی و شبیه به دامنه رسمی می‌شوید و با پیروی از دستورات سایت که احتمالا شما را به وارد کردن نام کاربری و رمز عبور خود تشویق می‌کند، اطلاعات کاربری تان به سرقت می‌رود.
نمونه‌ی زیر، یک ایمیل فیشینگ است. در این ایمیل نام کاربر ذکر نشده است و احساس فوریت به معنای استفاده از ترس در تلاش برای فریب کاربران برای باز کردن پیوست است.

چگونه یک ایمیل جعلی را شناسایی کنیم

ایمیل‌های جعلی بخشی از کمپین‌های فیشینگ هستند که در جهت فریب کاربران طراحی می‌شوند تا به اهداف خود برسند. اگر ایمیلی دارای یک پیوند جاسازی شده برای کلیک کردن، یک پیوست، یک فایل ناشناس یا درخواست دارای اتمسفر اضطرار، فوریت و ترس باشد، مشکوک به حمله فیشینگ است و عاقلانه هست که جعلی بودن آن بررسی شود. برای تشخیص جعلی بودن یک ایمیل، توجه به ۲ مورد زیر الزامی است:

۱. مهاجم ممکن است از یک آدرس واقعی و با شباهت ظاهری بسیار بالا با نشانی وبسایت اصلی استفاده کرده و شما را فریب دهند. مثل جایگزینی cornpany.com به جای company.com.
این مسئله معمولاً با نگاهی دقیق به آدرس ایمیل فرستنده قابل تشخیص است

۲. هدر (Header) بخش FROM یک ایمیل ممکن است با یک آدرس قانونی که تحت کنترل مهاجم هکری است جایگزین شود. البته اکثر سرور‌های گیرنده از امنیت ایمیل استفاده کنند، هدر ایمیل جعلی را شناسایی می‌کنند، اما در غیر این صورت، این مسئله نیاز به حفاری و کنکاش بیشتری دارد. آدرس‌های جعلی FROM را می‌توان بر اساس موارد زیر شناسایی کرد:

--متن ایمیل: متن ایمیل‌های فیشینگ طوری طراحی می‌شوند که مشروع به نظر برسند، اما ممکن است همیشه در این امر موفق نباشند. اگر کلام و لحن ایمیل غیرعادی بود یعنی از سمت یک مقام رسمی، متنی محاوره‌ای دارای غلط‌های املایی و نگارشی دریافت کردید یا از سمت یک شخص نزدیک، متنی رسمی دریافت کردید، به ایمیل مشکوک شوید.

--بخش Reply-To: یک آدرس Reply-To پاسخ به ایمیلی را از یک آدرس به آدرس دیگری مشخص می‌کند. در حالی که این کار کاربرد‌های قانونی دارد (مانند کمپین‌های ایمیل انبوه)، غیرعادی است و باید دلیلی برای سوء ظن ایمیل‌هایی باشد که از یک حساب شخصی ارسال می‌شوند.

--بخش Received: هِدِر Received در یک ایمیل نشان دهنده آدرس IP و نام دامنه رایانه‌ها و سرور‌های ایمیل در مسیری است که ایمیل طی کرده است. بخش "از" و "به" یک ایمیل، می‌بایست حاوی آدرس‌های ایمیل همان شرکت باشد و فقط باید از طریق سرور ایمیل همان سازمان ارسال شود. در صورت مغایرت با این مدل، حتما مشکوک شوید.

مکانیزم‌های اولیه مورد استفاده در حملات ایمیل فیشینگ

مجرمان سایبری از سه مکانیزم اصلی و پرکاربرد در ایمیل‌های فیشینگ برای سرقت اطلاعات استفاده می‌کنند:
-لینک‌های وب مخرب
- پیوست‌های مخرب
- فرم‌های ورود داده‌های جعلی

*لینک‌های وب مخرب

لینک‌های وب مخرب که به عنوان URL نیز شناخته می‌شوند، پرکاربردترین مکانیزم حمله در ایمیل‌های فیشینگ هستند. پیوند‌های مخرب موجود در این ایمیل ها، کاربران را به سمت وب سایت‌های جعلی و آلوده به نرم افزار‌های مخرب هدایت کرده و در انتها، موجب سرقت اطلاعات کاربری اشخاص و سازمان‌ها می‌شوند. لینک‌های وب مخرب را می‌توان به گونه‌ای پنهان کرد که شبیه لینک‌های امن و قابل اعتماد به نظر برسد و در لوگو‌ها و سایر تصاویر در یک ایمیل جاسازی شود.
در اینجا نمونه‌ای از یک ایمیل فیشینگ دریافت شده توسط کاربران در دانشگاه کورنل، قابل مشاهده است. این ایمیل، یک پیام ساده است که "Help Desk" را به عنوان نام فرستنده نشان می‌دهد؛ درحالیکه این ایمیل از" Help Desk" ارسال نشده و بلکه از دامنه
@connect.ust.hk
ارسال شده است. طبق گفته تیم امنیت سایبری دانشگاه کورنل، لینک‌های وب مخرب تعبیه شده در این ایمیل، کلیک کنندگان را به صفحه‌ای می‌برده است که شبیه صفحه ورود به سیستم Office ۳۶۵ دانشگاه بوده است. این ایمیل سعی در سرقت اطلاعات کاربری کارکنان و اساتید دانشگاه کورنل را داشته که با هوشمندی تیم امنیت سایبری دانشگاه، خنثی شده است.


*پیوست‌های مخرب

دومین مکانیزم پرکاربرد در حمله ایمیل فیشینگ، پیوست‌های مخرب هستند. این پیوست‌ها کاملا شبیه پیوست‌های قانونی و رسمی هستند، اما در واقع آلوده به بدافزار‌ها و باج افزار‌ها شده‌اند که می‌تواند رایانه‌ها و اطلاعات موجود در هر کامیپوتری را در معرض خطر قرار دهد. باج افزار‌های موجود در این پیوست ها، می‌تواند همه فایل‌های رایانه شخصی شما را قفل کرده و از دسترس خارج کند. کد‌های نوشته شده برای این پیوست‌های مخرب به گونه‌ای است که وقتی بر روی آن‌ها کلیک کرده و آن فایل پیوست دانلود می‌شود، می‌تواند ردیابی همه چیز‌هایی که کاربر تایپ می‌کند، از جمله نام‌های کاربری و رمز‌های عبور را مخفیانه انجام داده و به طور اتوماتیک برای یک سرور تحت کنترل هکر ارسال کند. همچنین مهم است که بدانیم آلودگی‌های باج‌افزار‌ها و بدافزار‌ها می‌تواند از یک کامپیوتر به سایر دستگاه‌های تحت شبکه، مانند هارد دیسک‌های خارجی، سرور‌ها و حتی سیستم‌های ابری سرایت کند.
در اینجا نمونه‌ای از یک ایمیل فیشینگ با یک پیوست مخرب و آلوده قابل مشاهده است. این ایمیل به ظاهر مربوط به کمپانی خدمات حمل و نقل پست بین المللی فدرال اکسپرس (FedEx) است. این ایمیل، گیرندگان آن را تشویق می‌کند تا پیوست موجود در ایمیل را دانلود کرده و یک کپی از رسید پستی پیوست شده را پرینت بگیرند و آن را به یکی از شعب فدرال اکسپرس ببرند تا بسته‌ای را تحویل بگیرند. در واقعیت، هیچ بسته‌ی قابل تحویلی وجود ندارد و متاسفانه پیوست این ایمیل، حاوی ویروسی بود که کامپیوتر گیرندگان ایمیل را آلوده می‌کرد و اطلاعات کاربری آن‌ها را به سرقت می‌برد. انواع این نوع کلاهبرداری‌های حوزه خدمات پستی و حمل و نقل به ویژه در طول فصل خرید کریسمس رایج است.

*فرم‌های ورود داده‌های جعلی

سومین مکانیزم پرکاربرد، ایمیل فیشینگ " فرم‌های ورود داده‌های جعلی" است. این ایمیل‌ها از کاربران می‌خواهند اطلاعات حساسی مانند نام‌های کاربری، شناسه‌های شخصی، رمز‌های عبور، داده‌های کارت اعتباری و اطلاعات حساب بانکی را در یک فرم ورود داده جعلی وارد کنند. هنگامی که کاربران هر کدام از این اطلاعات را تایپ و ارسال می‌کنند، مجرمان سایبری می‌توانند از این اطلاعات برای سرقت حساب‌های کاربری و بانکی افراد و سازمان‌ها استفاده کنند.

در اینجا نمونه‌ای از یک صفحه ورود داده‌های جعلی به اشتراک گذاشته شده در وب سایت gov.uk قابل مشاهده است. سازوکار به این صورت بوده است که کاربران یک ایمیل فیشینگ دریافت کرده اند و پس از کلیک بر روی پیوند یا لینک مخرب موجود در این ایمیل، به این صفحه جعلی فرم ورود داده هدایت شده اند. این صفحه وانمود می‌کند که مربوط به آژانس جمع آوری مالیات HMRC هست و به کاربران گفته می‌شود که واجد شرایط و مشمول بازپرداخت و عودت بخش زیادی از مالیات خود شده اند و برای این امر، باید فرم، زیرا را تکمیل کنند و اطلاعات خواسته شده در این صفحه را به طور کامل تایپ و ثبت کنند.


متاسفانه در این حمله ایمیل فیشینگ، اطلاعات کاربری و بانکی بیش از ۳۵۰۰ کاربر به سرقت رفت.

ادامه دارد...

منابع
۱. Aburrous M. , et al. (۲۰۲۲) , ”Predicting Phishing Websites Using Classification Mining Techniques with Experimental Case Studies,” in Seventh International Conference on Information Technology, IEEE Conf ,Las Vegas, Nevada, USA, pp. ۱۷۶-۱۸۱.
۲. Alkhalil, Zainab & Hewage, Chaminda & Nawaf, Liqaa & Khan, Imtiaz (۲۰۲۱) ,” Phishing Attacks: A Recent Comprehensive Study and a New Anatomy”, Frontiers in Computer Science ,Vol.۳. No.۱, pp:۱۲-۲۶.
۳. Chen ,J. & Guo ,C. (۲۰۲۰) , “Online detection and prevention of phishing attacks”, in in Proc. Fifth Mexican International Conference in Computer Science, IEEE Conf, pp. ۱-۷،
۴. Downs ,J. S. , et al (۲۰۲۱) , “Behavioural response to phishing risk”, presented at the Proc. anti-phishing working groups ۲nd annual eCrime researchers summit, ACM Conf, Pittsburgh, Pennsylvania, pp. ۳۷-۴۴.
۵. Gunter Ollmann, (۲۰۲۰) , “The Phishing Guide - Understanding & Preventing Phishing Attacks,” Press in IBM Internet Security Systems.
۶. James, Vaishnavi & Kadlak, Aditya & Sharma, Shabnam (۲۰۱۸) ,” Study on Phishing Attacks”, International Journal of Computer Applications, Volume ۱۸۲ , No. ۳۳, pp:۲۳-۳۱.
۷. Khonji ,Mahmoud & Iraqi ,Youssef & Andrew, Jones (۲۰۲۰) , “Phishing Detection: A Literature Survey”, in IEEE Communications Surveys & Tutorials, Vol.۱۵, Issue ۴, PP. ۲۰۹۱ – ۲۱۲۱.
۸. Parmar, B. (۲۰۲۰) ,” Protecting against spear-phishing”,Computer Fraud SecurityVol.۴,N۰.۳۲, pp: ۸–۱۱.
۹. Phish Labs (۲۰۱۹) ,” ۲۰۱۹ phishing trends and intelligence report the growing social engineering threat”, Available at: https://info.phishlabs.com/hubfs/۲۰۱۹ PTI Report/۲۰۱۹ Phishing Trends and Intelligence Report.pdf.
۱۰. Ramanathan ,Venkatesh, & Wechsler, Harry, (۲۰۲۲) ,” phishGILLNET - phishing detection methodology using probabilistic latent semantic analysis”, EURASIP Journal on Information Security, a Springer Open Journal, Vol.۱, PP.۱-۲۲،
۱۱. Ramzan, Z. (۲۰۱۹) , “Phishing attacks and countermeasures,” in Handbook of Information and communication security (Berlin, Heidelberg: Springer Berlin Heidelberg) , ۴۳۳–۴۴۸. doi:۱۰.۱۰۰۷/۹۷۸-۳-۶۴۲-۰۴۱۱۷-۴_۲۳،
۱۲. Shankar, Akarshita & Shetty, Ramesh & Nath K, Badari, (۲۰۱۹) ,” A Review on Phishing Attacks”, International Journal of Applied Engineering Research, Volume ۱۴, Number ۹ , pp: ۲۱۷۱-۲۱۷۵.
۱۳. Sheng, S. , Magnien, B. , Kumaraguru, P. , Acquisti, A. , Cranor, L. F. , Hong, J. and Nunge, E. (۲۰۱۹) ,” Anti-Phishing Phil: the design and evaluation of a game that teaches people not to fall for phish, Proceedings of the ۳rd symposium on Usable privacy and security, Pittsburgh, Pennsylvania, July ۲۰۱۹.
۱۴. Teh-Chung ,Chen & Scott ,Dick & James ,Miller (۲۰۱۹) , “Detecting visually similar web pages: application to phishing detection,” ACM Transactions on Internet Technology (TOIT) , Vol. ۱۰ (۲) , pp:۱۴-۳۱.
۱۵. Yeboah-Boateng, E. O. , and Amanor, P. M. (۲۰۱۸) ,” Phishing , SMiShing & vishing: an assessment of threats against mobile devices”, J. Emerg. Trends Comput. Inf. Sci. ۵ (۴). Pp: ۲۹۷–۳۰۷.