به گزارش خبرنگار ایبِنا، در بخش پایانی مجموعه مقالات "هزار توی کلاهبرداری اینترنتی (فیشینگ) " به بررسی و تبیین دو حمله هدفمند فیشینگ یعنی حملات ویشینگ (Vishing) و حملات اسمیشینگ (smishing) میپردازیم.
حمله ویشینگ (Vishing= Voice + phishing)، نوعی یورش سایبری و کلاه برداری اینترنتی مبتنی بر مهندسی اجتماعی و مهندسی ذهن است که از طریق تماس صوتی تلفنی انجام میشود.
سازوکار حملات ویشینگ، برقراری تماس تلفنی با قربانی، استفاده از قوه قهریه، ایجاد فضای ترس از خطر قریب الوقوع و اتمسفر اضطراب است تا قربانی به هر آنچه که مهاجم میگوید عمل کند و مورد فیشینگ قرار گیرد.
نقطه قوت ویشرها (Vishers) در حملات ویشینگ، استفاده از تاکتیکهای روانشناسی و مهندسی ذهن برای فریب قربانیان در جهت ارائه اطلاعات حساس یا انجام اقدامات مورد نظر ویشر است. یکی از این تاکتیکهای رایج، استفاده از قدرت و ایجاد فضای ترس است. به عنوان مثال، مهاجم با کسب اطلاعات شخصی در مورد شرایط قربانی، محل کار و مسائل مرتبط به شرایط پیرامون کاربر، با وی تماس تلفنی برقرار کرده و وانمود میکند که به طور مثال از سازمان امور مالیاتی یا اداره بیمه یا یکی از مراکز خدمات عمومی، درمانی و... برای پیگیری دریافت مالیات پرداخت نشده یا حق بیمه پرداخت نشده یا پرداخت بخشی از هزینه پزشکی بستگان بستری در بیمارستان و. تماس میگیرد. ترس از جریمه شدن، مسدود شدن حساب بانکی یا حساب کاربری، ترس از انجام دیرهنگام هر عملی که منجر به خطر افتادن وضعیت عمومی و سلامتی خود و بستگانش شود میتواند باعث شود قربانیان آنچه را که ویشر به آنها میگوید انجام دهند.
در حالی که ویشینگ و فیشینگ هر دو نوعی از حملات سایبری مبتنی بر مهندسی اجتماعی هستند و از بسیاری از تاکتیکهای مشابه استفاده میکنند، اما تفاوت اصلی آنها، در رسانه مورد استفاده برای انجام حملات است.
همانطور که در بالا ذکر شد، حملات ویشینگ از تماس تلفنی برای انجام یک حمله استفاده میکند. مهاجم با قربانی تماس میگیرد و با مکالمه صوتی تلفنی سعی میکند او را فریب دهد تا وی را مجبور به انجام عملی کند. اما در حملات فیشینگ عمومی، فیشرها از اشکال ارتباط الکترونیکی مختلفی مانند ایمیل، پیامهای متنی در سامانهی SMS، برنامههای ارتباطی شرکتی (Slack، Microsoft Teams و ...)، برنامههای پیام رسانی (Telegram، Signal، WhatsApp و ...) یا رسانههای اجتماعی (فیس بوک، اینستاگرام و ...) برای حملات خود استفاده میکنند.
حملات ویشینگ میتوانند به اندازه انواع حملات فیشینگ عمومی متنوع باشند. برخی از رایجترین اشکال مورد استفاده در حملات ویشینگ عبارتند از:
*تماس تلفنی برای رفع مشکلات حساب بانکی، حساب اعتباری یا حساب کاربری
ویشر وانمود میکند که از یک بانک یا سایر مراکز ارائه خدمات بخش خصوصی تماس میگیرد و ادعا میکند که مشکلی در حساب مشتری وجود دارد. سپس اطلاعات شخصی را برای "تأیید هویت مشتری" درخواست میکند.
*تماس تلفنی از سمت دولت یا یک سازمان دولتی
ویشر خود را به عنوان نماینده دولت یا یک سازمان دولتی، مانند اداره مالیات، اداره بیمه تامین اجتماعی یا سایر مراکز ارائه خدمات بخش عمومی معرفی میکند. این حملات معمولاً برای سرقت اطلاعات شخصی یا فریب قربانی برای ارسال پول به حساب تحت نظر مهاجم طراحی شده اند.
*تماس تلفنی از سمت مرکز پشتیبانی فنی
ویشر ممکن است خود را نمایندهای از مرکز پشتیبانی فنی شرکتهای بزرگ حوزه فناوریهای مبتنی بر وب مانند دیجی کالا، اسنپ، تپسی و... معرفی کند و وانمود کند که به منظور رفع مشکل در رایانه یا مرورگر یا حساب کاربری قربانی میخواهد به او کمک کند.
مانند سایر حملات فیشینگ، آگاهی کاربر از سازوکارهای حملات سایبری و کلاه برداریهای اینترنتی برای پیشگیری و محافظت از حملات ویشینگ ضروری است. برخی از نکات مهمی که باید در آموزش آگاهی از امنیت سایبری حوزه ویشینگ لحاظ شود عبارتند از:
*هرگز دادههای شخصی خود را ارائه ندهید
حملات ویشینگ معمولاً برای فریب دادن قربانی جهت به دست آوردن اطلاعات حسابهای کاربری و شخصی طراحی شده اند؛ لذا هرگز رمز عبور، کد احراز هویت چند عاملی (MFA)، دادههای مالی یا اطلاعات مشابه را از طریق تماس تلفنی به کسی ارائه ندهید.
*همیشه از صحت شماره تلفنها اطمینان حاصل کنید
ویشرها همیشه وانمود میکنند که از یک سازمان قانونی دولتی یا خصوصی تماس میگیرند. قبل از دادن هر گونه اطلاعات شخصی یا انجام هر کاری که مهاجم میگوید، نام تماس گیرنده را دریافت کرده و با استفاده از شماره تلفن موجود در وب سایت رسمی آن سازمان با او تماس بگیرید. اگر تماس گیرنده سعی به منصرف کردن شما از انجام این کار داشته باشد، احتمالاً در معرض یک کلاهبرداری اینترنتی قرار دارید.
*هرگز اجازه دسترسی به رایانه از طریق نرم افزارهای ریموت دسکتاپ را فراهم نکنید
ویشرها ممکن است به بهانهی رفع مشکلات نرم افزازی یک کامپیوتر، اما در واقع برای نصب بدافزار یا دسترسی به اطلاعات رایانه شما، درخواست ورود از راه دور از طریق نرم افزارهای ریموت دسکتاپ یا کنترل از راه دور کامپیوتر (نظیر AnyDesk، TeamViewer، RemotePC و...) کنند. هرگز اجازه دسترسی به رایانه خود را به هیچکس به جز اعضای تأیید شده بخش فناوری اطلاعات سازمان ندهید.
*گزارش وقایع و اقدامات مشکوک به مقامات ذیصلاح
هرگونه حمله مشکوک به ویشینگ را به بخش فناوری اطلاعات یا مرکز امنیت سایبری سازمان یا مقامات ذیصلاح گزارش دهید تا بتوانند برای محافظت از دیگران در برابر آن اقدام کنند.
حملات اسمیشینگ (smishing) نوعی حمله فیشینگ است که از طریق پیامک به دستگاههای تلفن همراه، کاربر را هدف قرار میدهد. در این حمله به جای ارسال محتوای فیشینگ از طریق ایمیل، اسمیشرها (smishers) از پیامهای متنی SMS یا MMS برای حملات خود استفاده میکنند.
سازوکار حملات اسمیشینگ بر ارسال پیامهای متنی از طریق SMS یا MMS به دستگاههای تلفن همراه سازمانی و شخصی استوار است. از آنجایی استفاده از دستگاههای تلفن همراه در حوزههای تجاری و سازمانی رایج هست، رسانهای پرکاربرد در حملات اسمیشینگ محسوب میشود.
استفاده از دستگاههای تلفن همراه برای اقدامات کسب و کاری به ویژه در زمان کرونا و پس از آن به سرعت رشد کرده است. موبایل اغلب کاربران همیشه روشن است و نسبت به پیامهای تلفن همراه، واکنش سریع نشان میدهند. این مسئله برای اسمیشرها بسیار ارزشمند است؛ زیرا دستگاههای تلفن همراه به چندین کانال ارتباطی (ایمیل، رسانههای اجتماعی و غیره) دسترسی دارد و همین موضوع باعث میشود پیامهای متنی مزایای متعددی برای مهاجمان در پی داشته باشد.
در حمله اسمیشینگ، مهاجم یک پیام متنی دارای اتمسفر فوریت، هیجان، ترس یا اضطراب را برای قربانی ارسال میکند و از وی میخواهد بر روی لینک موجود در پیام و یا پیوست موجود در MMS، به یک وبسایت جعلی تحت کنترل اسمیشر وصل شده و اطلاعات کاربری یا هویتی شخصی یا سازمانی خود را برای دریافت یک منفعت جذاب یا برای جلوگیری از وقوع یک حادثه برای حساب کاربری یا بانکی خود ارائه دهد.
یکی از مسائل خطرناک و چالش برانگیز در حوزه حملات اسمیشینگ این است که در یک پیامک، استفاده از لینک کوتاه یک امر عادی است و این مسئله، دیدن هدف یک لینک را از قبل دشوار میکند.
علاوه بر این، تلفنهای همراه به کاربران اجازه نمیدهند که ماوس را روی یک لینک برای مشاهده مقصد آن نگه دارند. هر دوی این عوامل فیشینگ از طریق پیامک را برای مهاجمان آسانتر و موثرتر میکند.
مانند حملات فیشینگ مبتنی بر ایمیل، حملات اسمیشینگ نیز از تاکتیکهای مختلفی برای فریب کاربران استفاده میکنند. برخی از نمونههای رایج آن عبارتند از:
*پیامک رفع مشکل حساب کاربری
برندها به طور فزایندهای از پیامک برای اطلاع رسانی و ارائه خدمات به مشتریان استفاده میکنند و کاربران نسبت به دریافت پیامک در مورد مسائل مختلف یا اعلانهای مربوط به حسابهای کاربری خود عادت دارند. اسمیشرها از همین عادت سوء استفاده کرده و پیامکی ارسال میکنند و وجود مشکل در حساب کاربری شما را اعلام میکنند و از شما میخواهند با کلیک بر روی پیوند جعلی موجود در پیامک و انجام دستورالعملهای گفته شده در آن، مشکل حساب کاربری خود را برطرف کنید؛ در حالیکه این پیام میتواند یک حملهی اسمیشینگ بوده و در پی سرقت اطلاعات کاربری شما در پلتفرمهای مختلف باشد.
*ارائه خدمات غیرحضوری مربوط به کرونا:
همه گیری کرونا فرصتهای متعددی را برای مجرمان سایبری فراهم کرده است. اسمیشرها ممکن است در قالب یک پیامک، اطلاعات شخصی شما را برای ارائه خدمات جعلی درمانی یا پیشگیری رایگان کرونا درخواست کنند.
*پیامک رفع مشکل حساب بانکی و خدمات مالی
اسمیشر ممکن است یک پیامک جعلی از طرف یک بانک یا موسسه اعتباری که شما در آن حساب دارید ارسال کند و از شما بخواهد با کلیک بر روی لینک موجود در پیامک و پس از آن، انجام برخی اقدامات، به رفع مشکل حساب بانکی خود کمک کنید. در این حالت، اسمیشر در بخشی از فرآیند تأیید سعی میکند اعتبار ورود به سیستم یا سایر اطلاعات شخصی شما را به سرقت ببرد.
*پیامک کدهای احراز هویت چند عاملی
از آنجایی که پیامک یکی از متداولترین روشهایی است که برای احراز هویت چند عاملی (MFA) استفاده میشود، برخی از حملات اسمیشینگ برای سرقت این کدها طراحی شده اند. اسمیشر ممکن است به کاربر بگوید که باید هویت خود را با گفتن کد MFA ارسال شده به وی، تأیید کند. مهاجم پس از دریافت کد از شما، به عنوان کاربر فعال به حساب کاربری شما دسترسی پیدا میکند.
*پیامک تأیید سفارش
پیامکهای اسمیشینگ ممکن است حاوی تأییدیه یک سفارش جعلی و همچنین لینکی برای تغییر یا لغو آن سفارش باشد. هنگامی که کاربر بر روی پیوند کلیک میکند به یک وبسایت جعلی هدایت شده و اطلاعات اعتباری ورود به سیستم آنها سرقت میشود.
*از کلیک روی پیوندهای مشکوک موجود در پیامک اجتناب کنید.
*هرگز اطلاعات شخصی خود را در جواب یک پیامک مشکوک، ارسال نکنید.
*هیچ اپلیکیشنی را با کلیک بر روی لینکهای موجود در پیامکها دانلود نکنید. برنامههای کاربردی را از فروشگاههای اینترنتی معتبر نصب کنید.
*هرگز کدهای احراز هویت چند عاملی را به اشتراک نگذارید.
همه گیری کرونا، رویکرد کاری اکثر سازمانها را تغییر داد. دورکاری به استاندارد جهانی تبدیل شد و سازمانهای دولتی و خصوصی به سمت این رویکرد با سرعت بالا قدم برداشتند. مدیران مجبور شدند دسترسیهای دورکاری سازمانی را به سرعت راهاندازی کنند، بنابراین امنیت سایبری محیط نادیده گرفته شده تا امکان پیشبرد اهداف سازمانی فراهم شود. این فوریت اجباری، بستر مناسبی برای حملات موفقیت آمیز فیشینگ و به خطر انداختن امنیت سایبری در سطح جهان ایجاد کرد.
امنیت پیامهای الکترونیک کمتر شد و به مهاجمان شانس بیشتری برای یک کمپین فیشینگ موفق داد. جعل هویت مدیران عامل، مدیران اجرایی رده بالا و فروشندگان مورد اعتماد سازمانها پس از همه گیری کرونا افزایش یافت و خطاهای انسانی کارکنان به شدت بالا رفت. از آنجایی که کارکنان هنوز نیاز به دسترسی به سیستمهای سازمانی از راه دور دارند، فیشرها میتوانند هر کارمندی را در خانه هدف قرار داده تا از راه دور به محیط کاربری سازمان دسترسی پیدا کنند. ترکیب امنیت سایبری ضعیف و افزایش خطای انسانی کارکنان سازمان ها، مزایای زیادی برای حملات فیشینگ در سراسر جهان ایجاد میکند و به مرور زمان با افزایش استفاده از دستگاههای الکترونیکی نظیر رایانه و تلفن همراه به دلیل افزایش نظامهای دورکاری تجاری و سازمانی، این حملات رایجتر و پیچیدهتر خواهند شد؛ بنابراین ارائه آموزشهای لازم و ضروری ضد فیشینگ برای کارکنان سازمانها در این دورهی جدید از اهمیت بالایی برخوردار است.