28 مهر 1401 - 09:39
هزارتوی کلاهبرداری اینترنتی فیشینگ (۱۰)

با حملات ویشینگ و اسمیشینگ آشنا شوید

با حملات ویشینگ و اسمیشینگ آشنا شوید
حملات ویشینگ و اسمیشینگ دو نوع از حملات هدفمند فیشینگ هستند.
کد خبر : ۱۴۲۱۴۷

به گزارش خبرنگار ایبِنا، در بخش پایانی مجموعه مقالات "هزار توی کلاهبرداری اینترنتی (فیشینگ) " به بررسی و تبیین دو حمله هدفمند فیشینگ یعنی حملات ویشینگ (Vishing) و حملات اسمیشینگ (smishing) می‌پردازیم.

 

 

هر آنچه که باید از حملات ویشینگ بدانید


حمله ویشینگ چیست؟


حمله ویشینگ (Vishing= Voice + phishing)، نوعی یورش سایبری و کلاه برداری اینترنتی مبتنی بر مهندسی اجتماعی و مهندسی ذهن است که از طریق تماس صوتی تلفنی انجام می‌شود.

 


سازوکار حملات ویشینگ چگونه است؟

 

سازوکار حملات ویشینگ، برقراری تماس تلفنی با قربانی، استفاده از قوه قهریه، ایجاد فضای ترس از خطر قریب الوقوع و اتمسفر اضطراب است تا قربانی به هر آنچه که مهاجم می‌گوید عمل کند و مورد فیشینگ قرار گیرد.


نقطه قوت ویشر‌ها (Vishers) در حملات ویشینگ، استفاده از تاکتیک‌های روانشناسی و مهندسی ذهن برای فریب قربانیان در جهت ارائه اطلاعات حساس یا انجام اقدامات مورد نظر ویشر است. یکی از این تاکتیک‌های رایج، استفاده از قدرت و ایجاد فضای ترس است. به عنوان مثال، مهاجم با کسب اطلاعات شخصی در مورد شرایط قربانی، محل کار و مسائل مرتبط به شرایط پیرامون کاربر، با وی تماس تلفنی برقرار کرده و وانمود می‌کند که به طور مثال از سازمان امور مالیاتی یا اداره بیمه یا یکی از مراکز خدمات عمومی، درمانی و... برای پیگیری دریافت مالیات پرداخت نشده یا حق بیمه پرداخت نشده یا پرداخت بخشی از هزینه پزشکی بستگان بستری در بیمارستان و. تماس می‌گیرد. ترس از جریمه شدن، مسدود شدن حساب بانکی یا حساب کاربری، ترس از انجام دیرهنگام هر عملی که منجر به خطر افتادن وضعیت عمومی و سلامتی خود و بستگانش شود می‌تواند باعث شود قربانیان آنچه را که ویشر به آن‌ها می‌گوید انجام دهند.

 

 

تفاوت بین ویشینگ و فیشینگ عمومی چیست؟


در حالی که ویشینگ و فیشینگ هر دو نوعی از حملات سایبری مبتنی بر مهندسی اجتماعی هستند و از بسیاری از تاکتیک‌های مشابه استفاده می‌کنند، اما تفاوت اصلی آنها، در رسانه مورد استفاده برای انجام حملات است.


همانطور که در بالا ذکر شد، حملات ویشینگ از تماس تلفنی برای انجام یک حمله استفاده می‌کند. مهاجم با قربانی تماس می‌گیرد و با مکالمه صوتی تلفنی سعی می‌کند او را فریب دهد تا وی را مجبور به انجام عملی کند. اما در حملات فیشینگ عمومی، فیشر‌ها از اشکال ارتباط الکترونیکی مختلفی مانند ایمیل، پیام‌های متنی در سامانه‌ی SMS، برنامه‌های ارتباطی شرکتی (Slack، Microsoft Teams و ...)، برنامه‌های پیام رسانی (Telegram، Signal، WhatsApp و ...) یا رسانه‌های اجتماعی (فیس بوک، اینستاگرام و ...) برای حملات خود استفاده می‌کنند.

 


انواع حملات ویشینگ


حملات ویشینگ می‌توانند به اندازه انواع حملات فیشینگ عمومی متنوع باشند. برخی از رایج‌ترین اشکال مورد استفاده در حملات ویشینگ عبارتند از:


*تماس تلفنی برای رفع مشکلات حساب بانکی، حساب اعتباری یا حساب کاربری
ویشر وانمود می‌کند که از یک بانک یا سایر مراکز ارائه خدمات بخش خصوصی تماس می‌گیرد و ادعا می‌کند که مشکلی در حساب مشتری وجود دارد. سپس اطلاعات شخصی را برای "تأیید هویت مشتری" درخواست می‌کند.


*تماس تلفنی از سمت دولت یا یک سازمان دولتی
ویشر خود را به عنوان نماینده دولت یا یک سازمان دولتی، مانند اداره مالیات، اداره بیمه تامین اجتماعی یا سایر مراکز ارائه خدمات بخش عمومی معرفی می‌کند. این حملات معمولاً برای سرقت اطلاعات شخصی یا فریب قربانی برای ارسال پول به حساب تحت نظر مهاجم طراحی شده اند.


*تماس تلفنی از سمت مرکز پشتیبانی فنی
ویشر ممکن است خود را نماینده‌ای از مرکز پشتیبانی فنی شرکت‌های بزرگ حوزه فناوری‌های مبتنی بر وب مانند دیجی کالا، اسنپ، تپسی و... معرفی کند و وانمود کند که به منظور رفع مشکل در رایانه یا مرورگر یا حساب کاربری قربانی می‌خواهد به او کمک کند.

 

 

چگونه از حملات ویشینگ جلوگیری کنیم؟


مانند سایر حملات فیشینگ، آگاهی کاربر از سازوکار‌های حملات سایبری و کلاه برداری‌های اینترنتی برای پیشگیری و محافظت از حملات ویشینگ ضروری است. برخی از نکات مهمی که باید در آموزش آگاهی از امنیت سایبری حوزه ویشینگ لحاظ شود عبارتند از:

 

*هرگز داده‌های شخصی خود را ارائه ندهید
حملات ویشینگ معمولاً برای فریب دادن قربانی جهت به دست آوردن اطلاعات حساب‌های کاربری و شخصی طراحی شده اند؛ لذا هرگز رمز عبور، کد احراز هویت چند عاملی (MFA)، داده‌های مالی یا اطلاعات مشابه را از طریق تماس تلفنی به کسی ارائه ندهید.


*همیشه از صحت شماره تلفن‌ها اطمینان حاصل کنید
ویشر‌ها همیشه وانمود می‌کنند که از یک سازمان قانونی دولتی یا خصوصی تماس می‌گیرند. قبل از دادن هر گونه اطلاعات شخصی یا انجام هر کاری که مهاجم می‌گوید، نام تماس گیرنده را دریافت کرده و با استفاده از شماره تلفن موجود در وب سایت رسمی آن سازمان با او تماس بگیرید. اگر تماس گیرنده سعی به منصرف کردن شما از انجام این کار داشته باشد، احتمالاً در معرض یک کلاهبرداری اینترنتی قرار دارید.


*هرگز اجازه دسترسی به رایانه از طریق نرم افزار‌های ریموت دسکتاپ را فراهم نکنید
ویشر‌ها ممکن است به بهانه‌ی رفع مشکلات نرم افزازی یک کامپیوتر، اما در واقع برای نصب بدافزار یا دسترسی به اطلاعات رایانه شما، درخواست ورود از راه دور از طریق نرم افزار‌های ریموت دسکتاپ یا کنترل از راه دور کامپیوتر (نظیر AnyDesk، TeamViewer، RemotePC و...) کنند. هرگز اجازه دسترسی به رایانه خود را به هیچکس به جز اعضای تأیید شده بخش فناوری اطلاعات سازمان ندهید.


*گزارش وقایع و اقدامات مشکوک به مقامات ذیصلاح
هرگونه حمله مشکوک به ویشینگ را به بخش فناوری اطلاعات یا مرکز امنیت سایبری سازمان یا مقامات ذیصلاح گزارش دهید تا بتوانند برای محافظت از دیگران در برابر آن اقدام کنند.

 


هر آنچه که باید از حملات اسمیشینگ بدانید

 


حمله اسمیشینگ چیست؟


حملات اسمیشینگ (smishing) نوعی حمله فیشینگ است که از طریق پیامک به دستگاه‌های تلفن همراه، کاربر را هدف قرار می‌دهد. در این حمله به جای ارسال محتوای فیشینگ از طریق ایمیل، اسمیشر‌ها (smishers) از پیام‌های متنی SMS یا MMS برای حملات خود استفاده می‌کنند.

 


سازوکار حملات اسمیشینگ چگونه است؟


سازوکار حملات اسمیشینگ بر ارسال پیام‌های متنی از طریق SMS یا MMS به دستگاه‌های تلفن همراه سازمانی و شخصی استوار است. از آنجایی استفاده از دستگاه‌های تلفن همراه در حوزه‌های تجاری و سازمانی رایج هست، رسانه‌ای پرکاربرد در حملات اسمیشینگ محسوب می‌شود.


استفاده از دستگاه‌های تلفن همراه برای اقدامات کسب و کاری به ویژه در زمان کرونا و پس از آن به سرعت رشد کرده است. موبایل اغلب کاربران همیشه روشن است و نسبت به پیام‌های تلفن همراه، واکنش سریع نشان می‌دهند. این مسئله برای اسمیشر‌ها بسیار ارزشمند است؛ زیرا دستگاه‌های تلفن همراه به چندین کانال ارتباطی (ایمیل، رسانه‌های اجتماعی و غیره) دسترسی دارد و همین موضوع باعث می‌شود پیام‌های متنی مزایای متعددی برای مهاجمان در پی داشته باشد.

 

در حمله اسمیشینگ، مهاجم یک پیام متنی دارای اتمسفر فوریت، هیجان، ترس یا اضطراب را برای قربانی ارسال می‌کند و از وی می‌خواهد بر روی لینک موجود در پیام و یا پیوست موجود در MMS، به یک وبسایت جعلی تحت کنترل اسمیشر وصل شده و اطلاعات کاربری یا هویتی شخصی یا سازمانی خود را برای دریافت یک منفعت جذاب یا برای جلوگیری از وقوع یک حادثه برای حساب کاربری یا بانکی خود ارائه دهد.


یکی از مسائل خطرناک و چالش برانگیز در حوزه‌ حملات اسمیشینگ این است که در یک پیامک، استفاده از لینک کوتاه یک امر عادی است و این مسئله، دیدن هدف یک لینک را از قبل دشوار می‌کند.


علاوه بر این، تلفن‌های همراه به کاربران اجازه نمی‌دهند که ماوس را روی یک لینک برای مشاهده مقصد آن نگه دارند. هر دوی این عوامل فیشینگ از طریق پیامک را برای مهاجمان آسان‌تر و موثرتر می‌کند.

 


انواع حملات اسمیشینگ


مانند حملات فیشینگ مبتنی بر ایمیل، حملات اسمیشینگ نیز از تاکتیک‌های مختلفی برای فریب کاربران استفاده می‌کنند. برخی از نمونه‌های رایج آن عبارتند از:


*پیامک رفع مشکل حساب کاربری
برند‌ها به طور فزاینده‌ای از پیامک برای اطلاع رسانی و ارائه خدمات به مشتریان استفاده می‌کنند و کاربران نسبت به دریافت پیامک در مورد مسائل مختلف یا اعلان‌های مربوط به حساب‌های کاربری خود عادت دارند. اسمیشر‌ها از همین عادت سوء استفاده کرده و پیامکی ارسال می‌کنند و وجود مشکل در حساب کاربری شما را اعلام می‌کنند و از شما می‌خواهند با کلیک بر روی پیوند جعلی موجود در پیامک و انجام دستورالعمل‌های گفته شده در آن، مشکل حساب کاربری خود را برطرف کنید؛ در حالیکه این پیام می‌تواند یک حمله‌ی اسمیشینگ بوده و در پی سرقت اطلاعات کاربری شما در پلتفرم‌های مختلف باشد.


*ارائه خدمات غیرحضوری مربوط به کرونا:
همه گیری کرونا فرصت‌های متعددی را برای مجرمان سایبری فراهم کرده است. اسمیشر‌ها ممکن است در قالب یک پیامک، اطلاعات شخصی شما را برای ارائه خدمات جعلی درمانی یا پیشگیری رایگان کرونا درخواست کنند.


*پیامک رفع مشکل حساب بانکی و خدمات مالی
اسمیشر ممکن است یک پیامک جعلی از طرف یک بانک یا موسسه اعتباری که شما در آن حساب دارید ارسال کند و از شما بخواهد با کلیک بر روی لینک موجود در پیامک و پس از آن، انجام برخی اقدامات، به رفع مشکل حساب بانکی خود کمک کنید. در این حالت، اسمیشر در بخشی از فرآیند تأیید سعی می‌کند اعتبار ورود به سیستم یا سایر اطلاعات شخصی شما را به سرقت ببرد.


*پیامک کد‌های احراز هویت چند عاملی
از آنجایی که پیامک یکی از متداول‌ترین روش‌هایی است که برای احراز هویت چند عاملی (MFA) استفاده می‌شود، برخی از حملات اسمیشینگ برای سرقت این کد‌ها طراحی شده اند. اسمیشر ممکن است به کاربر بگوید که باید هویت خود را با گفتن کد MFA ارسال شده به وی، تأیید کند. مهاجم پس از دریافت کد از شما، به عنوان کاربر فعال به حساب کاربری شما دسترسی پیدا می‌کند.


*پیامک تأیید سفارش
پیامک‌های اسمیشینگ ممکن است حاوی تأییدیه یک سفارش جعلی و همچنین لینکی برای تغییر یا لغو آن سفارش باشد. هنگامی که کاربر بر روی پیوند کلیک می‌کند به یک وبسایت جعلی هدایت شده و اطلاعات اعتباری ورود به سیستم آن‌ها سرقت می‌شود.

 


چگونه از حملات اسمیشینگ جلوگیری کنیم


*از کلیک روی پیوند‌های مشکوک موجود در پیامک اجتناب کنید.
*هرگز اطلاعات شخصی خود را در جواب یک پیامک مشکوک، ارسال نکنید.
*هیچ اپلیکیشنی را با کلیک بر روی لینک‌های موجود در پیامک‌ها دانلود نکنید. برنامه‌های کاربردی را از فروشگاه‌های اینترنتی معتبر نصب کنید.
*هرگز کد‌های احراز هویت چند عاملی را به اشتراک نگذارید.

 

 

فیشینگ، کرونا و دور کاری در سازمان‌ها


همه گیری کرونا، رویکرد کاری اکثر سازمان‌ها را تغییر داد. دورکاری به استاندارد جهانی تبدیل شد و سازمان‌های دولتی و خصوصی به سمت این رویکرد با سرعت بالا قدم برداشتند. مدیران مجبور شدند دسترسی‌های دورکاری سازمانی را به سرعت راه‌اندازی کنند، بنابراین امنیت سایبری محیط نادیده گرفته شده تا امکان پیشبرد اهداف سازمانی فراهم شود. این فوریت اجباری، بستر مناسبی برای حملات موفقیت آمیز فیشینگ و به خطر انداختن امنیت سایبری در سطح جهان ایجاد کرد.


امنیت پیام‌های الکترونیک کمتر شد و به مهاجمان شانس بیشتری برای یک کمپین فیشینگ موفق داد. جعل هویت مدیران عامل، مدیران اجرایی رده بالا و فروشندگان مورد اعتماد سازمان‌ها پس از همه گیری کرونا افزایش یافت و خطا‌های انسانی کارکنان به شدت بالا رفت. از آنجایی که کارکنان هنوز نیاز به دسترسی به سیستم‌های سازمانی از راه دور دارند، فیشر‌ها می‌توانند هر کارمندی را در خانه هدف قرار داده تا از راه دور به محیط کاربری سازمان دسترسی پیدا کنند. ترکیب امنیت سایبری ضعیف و افزایش خطای انسانی کارکنان سازمان ها، مزایای زیادی برای حملات فیشینگ در سراسر جهان ایجاد می‌کند و به مرور زمان با افزایش استفاده از دستگاه‌های الکترونیکی نظیر رایانه و تلفن همراه به دلیل افزایش نظام‌های دورکاری تجاری و سازمانی، این حملات رایج‌تر و پیچیده‌تر خواهند شد؛ بنابراین ارائه آموزش‌های لازم و ضروری ضد فیشینگ برای کارکنان سازمان‌ها در این دوره‌ی جدید از اهمیت بالایی برخوردار است.

ارسال‌ نظر