حملات فیشینگ نوعی از تهدیدات سایبری مستقیم هستند که کاربران را به صورت مستقیم از طریق ایمیل یا پیام متنی یا حتی صوتی هدف قرار میدهد. در طول این حمله مهاجم در نقش یک مخاطب مورد اعتماد ظاهر می شود تا اطلاعاتی نظیر حسابهای کاربری، شماره حسابها و اطلاعات کارت اعتباری را به سرقت ببرد. فیشینگ از دسته حملات مهندسی اجتماعی است که مهاجم با ایجاد اعتماد سعی می کنند تا اطلاعات حساسی را به دست آورد.
برای مثال سناریویی که معمولا رخ میدهد:
- فردی ایمیلی از بانک خود دریافت می کند.
- ایمیل در ظاهر از سمت بانک با لوگو و مشخصات آن ارسال شده است.
- در ایمیل توضیح داده شده است که مشکلی اضطراری در اکانت آن فرد پیش آمده و او را وادار به کلیک روی لینک موجود در ایمیل میکند.
- زمانی که کاربر روی لینک کلیک می کند، با صفحه وبسایتی مشابه با بانک مواجه می شود.
- فرد به صورت ناآگاهانه اطلاعات اکانت خود را در سایت مذکور وارد می کند.
در این حالت، مهاجم اطلاعات بانکی فرد را جمع آوری می کند. به علاوه در حین مشاهده وبسایت جعلی ممکن است کاربر ناخودآگاه بدافزاری را دانلود کند که سایر داده های او را جمع آوری کرده و برای مهاجم ارسال می کند.
طبق تحقیقات صورت گرفته در سال 2020 معمولا هدف از چنین حملاتی، مسائل مالی بوده است و از 3950 حمله و سرقت 86درصد از آنها با انگیزه مالی صورت گرفته است.
در سطح سازمانی، حملات فیشینگ می تواند عواقب بیشتری داشته باشد. با ورود تنها یک مهاجم به شبکه سازمان، یک نقض داده ای رخ داده و سازمان را در معرض آسیب و سرقت داده ای قرار می دهد.
با توجه به اینکه ایمیل حیاتی ترین ابزار ارتباطی برای سازمان هاست، متاسفانه به همین دلیل یکی از نقاط مهم تهدید نیز محسوب می شود.
فیشینگ چگونه عمل می کند؟
در یک حمله معمول، مهاجم اطلاعات تماس یک یا بیشتر از اهداف خود را به دست آورده سپس پیغام های فیشینگ را از طریق ایمیل یا پیام متنی ارسال می کند. در بیشتر کمپین های فیشینگ، مهاجم در پیامهای خود احساس اضطرار القا کرده تا مهاجم نسبت به کلیک بر روی لینک یا پاسخ به ایمیل تحریک شود. اگر قربانی روی لینک کلیک کند، به یک وبسایت جعلی با طراحی خاص هدایت می شود و مهاجم از این طریق می تواند اطلاعات مورد نظر خود را به دست آورد. مهاجم سایبری ممکن است از ترکیبی از فاکتورهای مختلف برای رسیدن به اهداف خود استفاده کند.
در این تکنیک های فیشینگ، قربانی اطلاعات حساب کاربری خود را وارد کرده و مهاجم آنها را جمع آوری می کند. مهاجم سپس از این اطلاعات استفاده کرده یا آنها را به دیگران میفروشد. به همین دلیل باید نسبت به ایمیل های مشکوک حساسیت بیشتری به خرج داده و آنها را به تیم IT گزارش داد.
انواع حملات فیشینگ
تکنیک های فیشینگ میتوانند متنوع باشند، زیرا مهاجمان سایبری هر روز از تکنیک های پیچیده و خلاقانه تری استفاده می کنند. آنچه این حملات را متحد می کند، هدف مشترک آنهاست: سرقت هویت یا انتقال بدافزار. در تصویر زیر انواع این حملات مشخص شده است.
1- Spear Phishing
حملات ایمیلی وسیع، از تاکتیک های اسپم مانند برای بمباران کردن هزاران نفر در یک زمان استفاده می کنند، حملات Spear Phishing افراد خاصی را در یک سازمان هدف قرار میدهند. در این نوع حمله هکرها ایمیل های خود را با نام هدف، عنوان، شماره حساب کاری و سایر اطلاعات سفارشی سازی می کند تا دریافت کننده باور کنند که فرستنده ایمیل آشناست. Spear Phishing برای سازمان هایی است که منابع لازم برای تحقق و اجرای این شکل پیچیده تر از حمله را دارند.
2- Whaling
این نوع حمله شکلی از Spear بوده که مدیرعامل یا مدیران اجرایی را هدف قرار میدهد. از آنجایی که چنین افرادی معمولا سطح دسترسی بیشتری داشته و به اطلاعات حساس دسترسی دارند، ریسک بالاتری نیز دارند. Whaling برای سازمانهای پیشرفته ای است که هدف حملات برنامه ریزی شده قرار می گیرند.
3- BEC (Business Email Compromise)
این نوع حمله طراحی شده تا هویت مدیران اجرایی ارشد را جعل کرده و کارمند، مشتری یا سازنده را نسبت به پرداخت برای کالا یا خدماتی تحریک کرده و اطلاعات بانکی خود را وارد کند. بر طبق گزارش سال 2019 FBI این نوع حمله بیشترین آسیب و اثر را در بین جرایم سایبری سال 2019 داشته اند.
4- Clone Phishing
در این نوع حمله، مهاجم یک کپی تقریباً یکسان از یک ایمیل معتبر می سازد، مانند ایمیل هشداری که از بانک دریافت می شود، تا قربانی نسبت به اشتراک اطلاعات حساس خود اقدام کنند. مهاجم آنچه را که به نظر می رسد یک لینک یا پیوست معتبر در ایمیل اصلی است با یک لینک مخرب تعویض می کند. ایمیل اغلب از آدرسی ارسال می شود که بسیار شبیه آدرس فرستنده اصلی است و تشخیص آن را دشوارتر می کند.
5- Vishing
این نوع حمله Voice Phishing هم نامیده می شود و در آن مهاجم به صورت متقلبانه ای یک شماره تلفن واقعی و آشنا از سازمانی معتبر مثل بانک و … را روی کالر ID قربانی نمایش میدهد تا حتما به تماس پاسخ داده شود. سپس خود را به عنوان مدیر اجرایی یا رسمی معرفی کرده و از مهندسی اجتماعی یا تاکتیک های ایجاد ترس استفاده کرده تا به درخواست پرداخت پول آنها پاسخ داده شود. این نوع حمله همچنین می تواند به صورت پیغام صوتی باشد که از قربانی می خواهد تا با یک شماره تماس بگیرد، زمانی که این کار انجام شود، قربانی تحریک می شود تا اطلاعات شخصی خود یا جزییات حساب خود را وارد کند.
6- Snowshoeing
در این نوع حمله، مهاجم تلاش می کند تا فیلترهای اسپم ایمیل سنتی را دور بزند. آنها این کار را با ارسال پیامها از طریق چندین دامنه و آدرسهای IP و در حجم کم انجام میدهند که فناوری های فیلتر اسپم مبتنی بر اعتبار یا حجم نتوانند پیامهای مخرب را فوراً شناسایی و مسدود کنند. برخی از پیامها قبل از فلیتر شدن، به صندوق ورودی ایمیل می رسند.
هفت نکته برای تشخیص حملات فیشینگ
1- هر ایمیلی را یک حمله فیشینگ بالقوه در نظر بگیرید
ممکن است اینکار کمی سخت گیرانه بنظر برسد ولی مهم است که کاربران نسبت به ایمیل و احراز هویت آن سختگیرانه عمل کنند. کاربران نباید تنها به فلیترهای اسپم سازمانی متکی باشند، ابزارهای سنتی امنیتی ایمیل به اندازه کافی برای دفاع در برابر انواع مختلف حملات مناسب نیستند.
2- بررسی و تایید آدرس ایمیل ها
یکی از بهترین راههای پیشگیری از حملات فیشینگ چک کردن و تایید آدرس ایمیل فرستنده می باشد. این کار برای هر ایمیلی که از سمت بانک، سرویس های پرداخت و فروشنده ها یا حتی سازمانی و دولتی انجام شود مخصوصا برای ایمیلهایی که به طور معمول در گذشته چنین پیامهایی دریافت نمیکرده است.
3- خواندن ایمیل
ایمیل را بخوانید. کاربران باید بتوانند تشخیص دهند که آیا فاکتورهای خاصی نادیده گرفته شده اند یا خیر:
- ایمیل بنظر اضطراری می رسد؟
- ایمیل به شما پیشنهادی می دهد که بنظر بسیار خوب یا درست است؟
- هیچ حساب کاربری ای در شرکت فرستنده ایمیل دارید یا نه؟
اگر چیزی بنظرتان عجیب می آید ابدا کار دیگری انجام ندهید.
4- چک کردن گرامر و املا
اغلب گرامر، املا و حتی فرمت می تواند یک پرچم قرمز(خطر) در نظر گرفته شود. ایمیل های رسمی از بانک، شرکتهای کارت اعتباری یا سرویس های پرداخت و … غلط املایی ندارند و همیشه از ادبیات رسمی و مناسب استفاده می کنند. اگر به انتخاب کلمات و لحن اینگونه ایمیل های رسمی عادت داشته و آن ها را بدانید، در صورتیکه چیزی به نظر غیرعادی بیاید متوجه خواهید شد و آن را یک حمله فیشینگ در نظر بگیرید.
5- به دنبال اسم خود باشید
علاوه بر گرامر و املا، به دنبال شاخص های دیگری مرتبط با نام خود یا چگونگی خطاب خود باشید. سازمانهای رسمی و قانونی مخصوصا آنهایی که اکانتی از شما دارند شما را به طور عمومی خطاب قرار نمیدهند.
6- بررسی درخواستها
زمانی که ایمیل را بازبینی می کنید، هر درخواست عجیب یا خاصی را بررسی کنید. بیشتر ایمیل های جعلی از گیرنده درخواست پاسخ به ایمیل، کلیک روی لینک و … دارند. هرچیز عجیب و غریب یا اضطرار غیر ضروری با احتمال زیاد شکلی از فیشینگ می باشند.
7- جستجوی لینک و فایل های ضمیمه
هدف مهاجم، وادار کردن قربانی برای کلیک روی لینک یا دانلود فایل ضمیمه است. انجام این کار منجر به دانلود خودکار بدافزارهایی می شود که رایانه شخصی قربانی را آلوده می کند. به منظور تشخیص اعتبار و صحت لینک، کاربر باید موس خود را روی آن نگه دارد، اگر لینک نمایش داده شده طولانی و با دامنه ناشناس بوده روی آن نباید کلیک کنید. به طور مشابه فایل ضمیمه حتی اگر با نامی بدون ضرر مثل گزارش ماهیانه و با فرمت های شناخته شده ای مثل PDF باشد هم می تواند بدافزار بوده و نباید روی آن کلیک کرد و آن را دانلود نمود.
چطور از خود در برابر حملات فیشینگ محافظت کنیم؟
1- استفاده از ابزارهای فیلتر اسپم
این اولین و ساده ترین راهکار دفاعی سازمانها به شمار می رود. بیشتر برنامه های ایمیل مثل اوت لوک شامل فیلترهای اسپم بوده که می تواند به صورت خودکار اسپم ها را شناسایی نماید.
2- به روز رسانی و آپدیت منظم نرم افزارها
سازمانها باید مطمئن شوند که وصله های امنیتی را دریافت کرده و نرم افزارهای آنها به روز می شوند. این کار می تواند بدافزارها یا ویروسهایی که ممکن است به صورت تصادفی وارد سیستم کارمندان شده اند را شناسایی و حذف کند. به علاوه پالیسی های امنیتی باید به روز شده و برای پسوردها تاریخ انقضا و پیچیدگی در نظر گرفته شود.
3- استفاده از MFA
راهکارهای احراز هویت چندعاملی برای دسترسی و ورود هر شخص نیازمند اطلاعات مختلف می باشند. این موضوع مهم است چرا که وقتی مهاجمی اطلاعات برخی از کارمندان را دزدیده باشد با استفاده از MFA مخصوصا اگر شامل احراز هویت بیومتریک هم باشد، مهاجمان بلاک می شوند.
4- از اطلاعات خود بکاپ بگیرید.
تمامی داده ها باید رمزنگاری شده و از آنها بکاپ گیری شود و اینکار در صورت وقوع نقض حیاتی است.
5- روی لینک ها و فایل های ضمیمه کلیک نکنید.
همانطور که توضیح داده شد، لازم است به کاربران و کارمندان سازمان آموزش داده شود که چطور با لینک یا فایل های ضمیمه سوال برانگیز برخورد کنند و از کلیک یا دانلود هرچیزی از منابع غیرقابل اعتماد خوداری کنند.
6- وبسایت های غیرقابل اعتماد را بلاک کنید.
با استفاده از تکنولوژی های فیلتر وب، دسترسی به وبسایت های مخرب را برای مواقعی که کاربر به طور اتفاقی روی لینک مخربی کلیک می کند، مسدود نمایید.
طی همین چند روز اخیر Reddit ، یک حمله فیشینگ پیچیده با لینکی از صفحه جعلی سایت اینترانت خود را با هدف حمله به کارکنان این شرکت کشف کرد. این حمله با دقت طراحی شده بود تا کارکنان را فریب دهد که اطلاعات حساسی مانند توکنهای احراز هویت دو مرحلهای و اعتبارنامههای ورود را فاش کنند. بلافاصله تیم امنیتی این شرکت وارد عمل شده و مانع از دسترسی مهاجم به سیستم ها شده و آسیب ها را به حداقل رساندند.
این شرایط روزانه برای تعداد زیادی از شرکتها تکرار می شوند و گاهی زمانی متوجه می شوند که تخریب 100% انجام شده است!
منبع: https://www.fortinet.com
