بسیاری از افراد تمایل دارند تا با تکیه بر خدمات ارائه شده توسط وب سایت های مختلف مانند خرید آنلاین، تراکنش های مالی و بسیاری دیگر، به امید صرفه جویی در زمان و انرژی، کارهای روزمره خود را انجام دهند. با این حال، مشکل این سرویسها افشای اطلاعات شخصی کاربر، شماره حسابها و رمزهای عبور مختلف است که محیطی را تشکیل میدهد که مجرمان سایبری را جذب میکند که در ابداع روشهای کلاهبرداری و فیشینگ مهارت دارند تا بدون اطلاع کاربر به آنچه میخواهند برسند.
به طور کلی فیشینگ نوعی مهندسی اجتماعی است که مجرمان از آن برای سرقت داده ها، آلوده کردن رایانه ها و نفوذ به شبکه های شرکت استفاده می کنند.
تعریف فیشینگ
فیشینگ اصطلاحی است که برای اشاره به شخص یا گروهی از افراد استفاده میشود که با ارسال ایمیل یا ایجاد صفحاتی که برای جمعآوری اطلاعات مربوط به حسابهای بانکی، کارتهای اعتباری و هر گونه اطلاعات شخصی کاربران طراحی شدهاند، کاربران اینترنت را فریب میدهند، و چون این صفحات و به نظر می رسد ایمیل متعلق به شرکت های قانونی است، کاربران ممکن است به آنها اعتماد کرده و اطلاعات شخصی و حساس خود را وارد کنند.
در واقع فیشینگ نوعی حمله سایبری است که در آن مهاجم یک نهاد یا شرکت معتبر را تشکیل می دهد تا افراد را فریب دهد و اطلاعات حساس آنها مانند مشخصات کارت اعتباری، نام کاربری، رمز عبور و غیره را جمع آوری کند. از آنجایی که فیشینگ شامل دستکاری روانی است و به جای سخت افزار یا نرم افزار به شکست انسانی متکی است، نوعی حمله مهندسی اجتماعی در نظر گرفته می شود.
تاریخچه فیشینگ
تاریخچه اصطلاح فیشینگ کاملاً روشن نیست.
یکی از توضیحات رایج برای این اصطلاح این است که حملات فیشینگ درست مانند ماهیگیری است. و به این دلیل نامگذاری شده است که کلاهبرداری های فیشینگ از فریب برای گرفتن قربانیان یا ماهی های ناآگاه استفاده می کنند.
توضیح دیگری برای منشا فیشینگ از یک رشته -- <>< -- می آید که اغلب در گزارش های چت AOL یافت می شود. این کاراکترها یک تگ رایج HTML می باشد که در رونوشتهای چت یافت میشد. از آنجایی که اغلب در آن گزارشها اتفاق میافتد، مدیران AOL نمیتوانستند آن را بهعنوان نشانگر فعالیت بالقوه نامناسب جستجو کنند. سپس هکرهای کلاه سیاه هر گونه اشاره به فعالیت غیرقانونی - از جمله سرقت اعتبار کارت اعتباری یا حساب کاربری - را با این رشته جایگزین می کنند. همه آنها در نهایت می توانستند نام آن را به این فعالیت بدهند، زیرا به نظر می رسد شخصیت ها نمونه ساده ای از یک ماهی هستند.
در اوایل دهه 1990، گروهی از افراد به نام Warez Group الگوریتمی ایجاد کردند که شماره کارت اعتباری را تولید می کرد. اعداد به صورت تصادفی در تلاش برای ایجاد حساب های جعلی AOL ایجاد شده اند. حساب جعلی سپس سایر حساب های AOL را اسپم می کند. برخی از افراد سعی می کنند نام صفحه نمایش AOL خود را تغییر دهند تا به عنوان سرپرست AOL ظاهر شوند. آنها با استفاده از این نامهای صفحهنمایش، افراد را از طریق AOL Messenger برای اطلاعات آنها «فیش» میکردند.
در اوایل دهه 2000، فیشینگ شاهد تغییرات بیشتری در پیاده سازی بود. "عشق 2000" نمونه ای از این موارد است. به قربانیان احتمالی ایمیلی با پیامی با مضمون "ILOVEYOU" ارسال شد که به نامه پیوست اشاره داشت. در آن پیوست کرمی وجود داشت که فایلها را روی رایانه قربانی بازنویسی میکرد و خود را در لیست مخاطبین کاربر کپی میکرد.
همچنین، در اوایل دهه 2000، فیشرهای مختلف شروع به ثبت وب سایت های فیشینگ کردند. وب سایت فیشینگ دامنه ای است که از نظر نام و ظاهر شبیه به یک وب سایت رسمی است. آنها برای این ساخته شده اند که کسی را فریب دهند تا باور کند این کار قانونی است.
امروزه، طرحهای فیشینگ متنوعتر شدهاند و به طور بالقوه خطرناکتر از قبل هستند. با ادغام رسانههای اجتماعی و روشهای ورود به سیستم مانند «ورود با فیسبوک»، یک مهاجم به طور بالقوه میتواند چندین نقض داده را با استفاده از یک رمز عبور فیش شده روی یک فرد مرتکب شود و آنها را در برابر حملات باجافزار در این فرآیند آسیبپذیر کند. در حال حاضر از فناوری های مدرن تر نیز استفاده می شود. به عنوان مثال، مدیر عامل یک شرکت انرژی در بریتانیا فکر می کرد که با رئیس خود تلفنی صحبت می کنند. به آنها گفته شد که وجوه خود را به یک تامین کننده خاص بفرستند، در حالی که این واقعاً یک طرح فیشینگ بود که از هوش مصنوعی برای تقلید صدای مدیر اجرایی مدیر عامل شرکت مادرشان استفاده می کرد. مشخص نیست که آیا مهاجمان از ربات ها برای واکنش به سوالات قربانی استفاده کرده اند یا خیر. اگر فیشر از یک ربات برای خودکار کردن حمله استفاده کند، بررسی آن برای مجریان قانون دشوارتر میشود.
نحوه عملکرد فیشینگ
حملات فیشینگ معمولاً بر تکنیکهای شبکههای اجتماعی اعمال شده برای ایمیل یا سایر روشهای ارتباط الکترونیکی متکی هستند. برخی از روش ها عبارتند از پیام های مستقیم ارسال شده از طریق شبکه های اجتماعی و پیام های متنی SMS.
فیشرها می توانند از منابع عمومی اطلاعات برای جمع آوری اطلاعات پس زمینه در مورد سابقه شخصی و کاری، علایق و فعالیت های قربانی استفاده کنند. به طور معمول از طریق شبکه های اجتماعی مانند لینکدین، فیس بوک و توییتر. این منابع معمولاً برای کشف اطلاعاتی مانند نام، عنوان شغل و آدرس ایمیل قربانیان احتمالی استفاده می شود. سپس می توان از این اطلاعات برای ایجاد یک ایمیل باورپذیر استفاده کرد.
مثال: ایمیل فیشینگ
در این روش به طور معمول، قربانی پیامی را دریافت می کند که به نظر می رسد توسط یک مخاطب یا سازمان شناخته شده ارسال شده است. سپس حمله یا از طریق پیوست فایل مخرب یا از طریق پیوندهای متصل به وب سایت های مخرب انجام می شود. در هر صورت، هدف نصب بدافزار بر روی دستگاه کاربر یا هدایت قربانی به یک وب سایت جعلی است. وبسایتهای جعلی برای فریب قربانیان برای افشای اطلاعات شخصی و مالی مانند رمز عبور، شناسه حساب یا جزئیات کارت اعتباری راهاندازی میشوند.
اگرچه بسیاری از ایمیلهای فیشینگ ضعیف نوشته شدهاند و به وضوح جعلی هستند، گروههای مجرم سایبری به طور فزایندهای از تکنیکهایی استفاده میکنند که بازاریابان حرفهای برای شناسایی مؤثرترین انواع پیامها استفاده میکنند.
تشخیص پیام های فیشینگ موفق از پیام های واقعی دشوار است. معمولاً آنها خود را به عنوان بخشی از یک شرکت شناخته شده نشان داده می شوند، حتی از جمله لوگوهای شرکت و سایر داده های شناسایی جمع آوری شده.
با این حال، چندین سرنخ وجود دارد که می تواند نشان دهد پیام دریافتی تلاشی برای فیشینگ است. که شامل موارد زیر می شود:
- این پیام از زیردامنهها، نشانیهای اینترنتی با املای اشتباه یا آدرسهای اینترنتی مشکوک استفاده میکند.
- گیرنده به جای آدرس ایمیل شرکتی از Gmail یا سایر آدرس های ایمیل عمومی استفاده می کند.
- پیام برای القای ترس یا احساس فوریت نوشته شده است.
- این پیام شامل درخواستی برای تأیید اطلاعات شخصی، مانند جزئیات مالی یا رمز عبور است.
- پیام بد نوشته شده و دارای اشتباهات املایی و گرامری است.
اما در هر صورت لازم به ذکر است که مجرمان سایبری به تقویت مهارت های خود در انجام حملات فیشینگ موجود و ایجاد انواع جدیدی از کلاهبرداری های فیشینگ ادامه می دهند؛ بنابراین باید همواره هوشیار باشید.
تکنیک های فیشینگ
حملات فیشینگ به چیزی بیشتر از ارسال ایمیل به قربانیان و امیدواری به کلیک روی پیوند مخرب یا باز کردن یک پیوست مخرب بستگی دارد. مهاجمان از چندین تکنیک برای به دام انداختن قربانیان خود استفاده می کنند:
- از جاوا اسکریپت می توان برای قرار دادن تصویری از یک URL قانونی روی نوار آدرس مرورگر استفاده کرد. URL با نگه داشتن ماوس روی یک پیوند تعبیه شده آشکار می شود و همچنین می توان با استفاده از جاوا اسکریپت آن را تغییر داد.
- دستکاری لینک، که اغلب به عنوان پنهان کردن URL شناخته می شود، در بسیاری از انواع رایج فیشینگ وجود دارد و به روش های مختلف استفاده می شود. ساده ترین روش ایجاد یک URL مخرب است که به گونه ای نمایش داده می شود که گویی به یک سایت یا صفحه وب قانونی پیوند می دهد، اما پیوند واقعی به یک منبع وب مخرب اشاره می کند.
- ممکن است از خدمات کوتاه کردن لینک مانند Bitly برای پنهان کردن مقصد پیوند استفاده شود. قربانیان راهی ندارند که بدانند آیا URL های کوتاه شده به منابع وب قانونی اشاره می کنند یا به منابع مخرب.
- جعل هوموگراف به URL هایی بستگی دارد که با استفاده از کاراکترهای مختلف ایجاد شده اند تا دقیقاً مانند یک دامنه قابل اعتماد خوانده شوند. به عنوان مثال، مهاجمان ممکن است دامنه هایی را ثبت کنند که از مجموعه کاراکترهای کمی متفاوت استفاده می کنند که به اندازه کافی به دامنه های شناخته شده نزدیک هستند.
- ارائه تمام یا بخشی از یک پیام به عنوان یک تصویر گرافیکی، گاهی اوقات مهاجمان را قادر می سازد تا از دفاع فیشینگ عبور کنند. برخی از نرم افزارهای امنیتی ایمیل ها را برای عبارات یا اصطلاحات خاص در ایمیل های فیشینگ اسکن می کنند. رندر کردن پیام به صورت تصویر باعث دور زدن این پیام می شود.
- یکی دیگر از تاکتیک های فیشینگ متکی به تغییر مسیر مخفی است، جایی که یک آسیب پذیری تغییر مسیر باز نمی تواند بررسی کند که آیا URL هدایت شده به منبع قابل اعتمادی اشاره می کند یا خیر. در این حالت، URL تغییر مسیر داده شده، یک صفحه میانی و مخرب است که اطلاعات احراز هویت را از قربانی درخواست می کند. این قبل از ارسال مرورگر قربانی به سایت قانونی اتفاق می افتد.
انواع حملات فیشینگ
انواع مختلفی از فیشینگ وجود دارد و معمولاً بر اساس قدرت هدف و حمله دسته بندی می شوند. در اینجا چند نمونه رایج را ذکر می کنیم.
Clone Phishing: مهاجم از ایمیلی که قبلا ارسال شده استفاده می کند و محتوای آن را در محتوای مشابهی کپی می کند که حاوی پیوند به یک سایت مخرب است. سپس مهاجم ممکن است ادعا کند که این یک پیوند به روز شده یا جدید است و ممکن است نشان دهد که پیوند قدیمی منقضی شده است.
Spear Phishing: این نوع حمله یک فرد یا سازمان را هدف قرار می دهد. حمله Spear پیچیدهتر از سایر انواع فیشینگ است، زیرا حاوی اطلاعات شخصی قربانیان است. به این معنی که مهاجم ابتدا اطلاعات قربانی مانند نام دوستان یا اعضای خانواده را جمعآوری میکند و سپس بر روی این دادهها پیامی میسازد که اصلیترین آن است. وظیفه متقاعد کردن قربانی برای بازدید از یک وب سایت مخرب یا دانلود فایل مخرب است.
Pharming: مهاجم سوابق DNS را جعل می کند که در عمل بازدیدکنندگان وب سایت قانونی را به یک سایت جعلی که قبلاً مهاجم ساخته است هدایت می کند. این خطرناک ترین حمله در نظر گرفته می شود زیرا سوابق DNS توسط کاربر کنترل نمی شود.
Q Whaling: نوعی از Spear Phishing که افراد ثروتمند و مهم مانند مدیران عامل و مقامات دولتی را هدف قرار می دهد.
جعل ایمیل: ایمیل های فیشینگ معمولاً جعل ارتباط بین شرکت ها یا افراد قانونی هستند. پیامهای فیشینگ ممکن است پیوندهای وبسایتهای مخرب را در معرض قربانیان ناشناخته (تصادفی) قرار دهند زیرا مهاجمان اعتبار ورود و اطلاعات شناسایی شخصی را با استفاده از صفحات ورود به سیستم بسیار پنهان جمعآوری میکنند. این صفحات ممکن است حاوی کیلاگرها، تروجان ها یا انواع دیگری از اسکریپت های مخرب باشد که اطلاعات شخصی را به سرقت می برند.
Typosquatting: ترافیک کاربران را به سمت سایت های جعلی با غلط املایی رایج یا تفاوت های ظریف در آدرس سایت هدایت می کند. مهاجمان از دامنه ها برای تقلید از رابط های وب سایت قانونی استفاده می کنند و در عین حال از کاربرانی که URL ها را اشتباه تایپ می کنند یا می خوانند سوء استفاده می کنند.
The Watering Hole: در حملات Watering Hole، مهاجمان کاربران را دسته بندی می کنند و سایت های پربازدید را شناسایی می کنند. سپس این سایتها را برای یافتن خطاها یا آسیبپذیریها اسکن میکنند و در صورت امکان، اسکریپتهای مخربی را وارد میکنند که دفعه بعد کاربران را هدف قرار میدهند.
جعل هویت و هدایا: جعل هویت اینفلوئنسر رسانه های اجتماعی یکی دیگر از تاکتیک های مورد استفاده در طرح های فیشینگ است. مهاجمان ممکن است خود را به عنوان رهبران کلیدی شرکت ها جعل کنند و همراه با مخاطبانی که نیاز دارند، هدایا یا سایر تاکتیک های فریبنده را تبلیغ کنند. قربانیان این کلاهبرداری ممکن است به صورت فردی از طریق عملیات مهندسی اجتماعی با هدف یافتن کاربران ساده لوح مورد هدف قرار گیرند. مهاجمان ممکن است حسابهای احراز هویت شده را هک کنند و نام آنها را برای جعل هویت یک شخص عمومی واقعی تغییر دهند و در عین حال علامت احراز هویت (✓) را حفظ کنند. قربانیان احتمالاً با ارائه دادههای خود به چهرههای به ظاهر تأثیرگذار تعامل دارند و فرصتی را برای فیشرها ایجاد میکنند تا از اطلاعات آنها سوء استفاده کنند.
اخیراً، مهاجمان برنامه هایی مانند تلگرام، اسلک و دیسکورد را به شدت هدف قرار داده اند.
تبلیغات: از تبلیغات پولی به عنوان یکی دیگر از تاکتیک های فیشینگ استفاده می شود. این تبلیغات از وب سایت های جعلی ایجاد شده توسط مهاجمان استفاده می کنند تا آنها را به نتایج جستجو هدایت کنند. این سایتها ممکن است در جستجوی شرکتها یا خدمات قانونی مانند Binance در بالای نتیجه جستجو ظاهر شوند. این سایت ها اغلب به عنوان ابزاری برای فیشینگ اطلاعات حساس استفاده می شوند که ممکن است شامل جزئیات ورود به حساب های تجاری شما باشد.
برنامه های مخرب: مهاجمان همچنین ممکن است از برنامه های مخرب به عنوان ابزاری برای معرفی بدافزار استفاده کنند که بر رفتار شما نظارت می کند یا اطلاعات حساس شما را می دزدد. برنامهها ممکن است بهعنوان ردیاب قیمت، کیف پولهای ارزهای دیجیتال و سایر ابزارهای مرتبط با رمزنگاری ارائه شوند که پایگاه کاربری دارند و آنها را برای تجارت و نگهداری سکهها آماده میکند.
فیشینگ متنی و صوتی: اس ام اس فیشینگ و ویشینگ یا صدا/تلفن معادل آن ابزار دیگری هستند که مهاجمان سعی می کنند اطلاعات شخصی را به دست آورند.
چگونه از فیشینگ جلوگیری کنیم؟
1. به کارمندان خود در مورد فیشینگ آموزش دهید. از ابزارهای شبیه سازی فیشینگ برای آموزش و شناسایی خطرات فیشینگ استفاده کنید.
2. از آموزش آگاهی امنیتی اثبات شده و پلتفرمهای شبیهسازی فیشینگ استفاده کنید تا خطرات فیشینگ و مهندسی اجتماعی را برای کارمندان در اولویت قرار دهید. متخصصان امنیت سایبری داخلی ایجاد کنید که متعهد به حفظ امنیت سایبری سازمان شما هستند.
3. به رهبران امنیتی و متخصصان امنیت سایبری خود یادآوری کنید که با ابزارهای شبیه سازی فیشینگ به طور منظم بر آگاهی فیشینگ کارمندان نظارت کنند. برای آموزش و تغییر رفتار از ماژولهای ریز یادگیری فیشینگ استفاده کنید.
4. ارتباطات و کمپین های مداوم در مورد امنیت سایبری و فیشینگ ارائه دهید. این شامل ایجاد سیاست های رمز عبور قوی و یادآوری خطراتی است که می تواند در قالب پیوست ها، ایمیل ها و URL ها به کارمندان وارد شود.
5. قوانین دسترسی به شبکه را ایجاد کنید که استفاده از دستگاه های شخصی و اشتراک گذاری اطلاعات خارج از شبکه شرکتی شما را محدود می کند.
6. اطمینان حاصل کنید که همه برنامه ها، سیستم عامل ها، ابزارهای شبکه و نرم افزارهای داخلی به روز و ایمن هستند. نرم افزار محافظت از بدافزار و ضد هرزنامه را نصب کنید.
7. کمپین های آگاهی، آموزش، پشتیبانی امنیت سایبری را در فرهنگ شرکت خود بگنجانید.
شبیه سازی فیشینگ چیست؟
شبیه سازی فیشینگ بهترین راه برای افزایش آگاهی از خطرات فیشینگ و شناسایی کارکنانی است که در معرض خطر فیشینگ هستند.
شبیه سازی فیشینگ به شما این امکان را می دهد که آگاهی از امنیت سایبری را در قالبی تعاملی و آموزنده در سازمان خود بگنجانید.
شبیه سازی فیشینگ بلادرنگ روشی سریع و موثر برای آموزش افراد و افزایش سطح هوشیاری در برابر حملات فیشینگ است. مردم به طور مستقیم می بینند که چگونه از کلاهبرداری مدیر عامل، ایمیل ها، وب سایت های جعلی، بدافزارها و نیزه فیشینگ برای سرقت اطلاعات شخصی و شرکتی استفاده می شود.
ثبت نظرات