فیشینگ، اسمیشینگ و ویشینگ: بررسی مخاطرات امنیتی برای دستگاههای تلفن همراه
مخاطرات سایبری و نقش کاربران گوشیهای تلفن همراه
ویشینگ تلفن همراه، فیشینگ و اسمیشینگ همگی حملاتی هستند که در آنها، فرد مورد حمله قرار گرفته و قربانی می گردد، به توضیحات زیر دقت کنید:
فیشینگ، حملهای مبتنی بر مهندسی اجتماعی است که هدف آن جذب کاربران ناآگاه به نسخه جعلی وبسایتهای آشنا و مورد استفاده آنها است. این وبسایتها طوری طراحی میشوند که به نظر برسد متعلق به یک سازمان یا منبع معتبر و مجاز هستند و کاربر را فریب میدهند تا اطلاعات لاگین و دسترسی را در اختیار آنها قرار دهند.
حملات اسمیشینگ هم زمانی روی میدهند که یک پیام متنی به کاربر ارسال میشود و در آن از وی درخواست میشود بر روی لینک موجود در متن پیام کلیک کند و به این ترتیب کاربر به یک وبسایت جعلی هدایت شده یا مهاجم به لیست مخاطبین یا سایر اطلاعات محرمانه کاربر دسترسی پیدا میکند.
ویشینگ یک حمله فیشینگ صوتی است که در آن یک تماس صوتی از مهاجم به قربانی مورد نظر گرفته میشود تا به نوعی وی را متقاعد به ارایه اطلاعات شخصی کند تا از این اطلاعات جهت آسیب رساندن به قربانی استفاده شود. در حال حاضر با فراگیر شدن گوشیهای هوشمند، تبلت و هاتاسپات تعداد حملات مهندسی اجتماعی از طریق دستگاههای تلفن همراه هم افزایش یافته است.
در این بررسی 20 کاربر تحت نظر قرار گرفته و به صورت راهبردی با آنها مصاحبه شد تا دانش، ادراکات و رفتار آنها هنگام رویارویی با حملات فیشینگ ارزیابی شود. نتایج نشان میدهد که مردان در فضای سایبری حس راحتی و اعتماد بیشتری دارند و نسبت به زنان در برابر مهندسی اجتماعی آسیب پذیرتر هستند. همچنین، این نتایج نشان میدهد که بیشتر کاربران، یا اطلاعات کمی درباره خطرات فیشینگ، اسمیشینگ و ویشینگ روی دستگاههای تلفن همراه دارند یا کاملاً از آن بیاطلاع هستند.
جالب توجه است که 55 درصد کاربران گاهی اوقات پیامهایی که حس میکنند مخاطرهآمیز هستند را بررسی میکنند و 35 درصد هیچ وقت یا تقریباً هیچ وقت، هیچ پیامی را بررسی و موشکافی نمیکنند. همچنین کلمات فریبنده و وسوسهآمیزی که در حملات فیشینگ مورد استفاده قرار میگیرند، به عنوان معیاری جهت محافظت از کاربران نهایی در برابر حملات فیشینگ ارایه شدهاند. مشخص شد که بین سیستم عاملهای پرکاربرد، سیستم عامل آیاواس به حملات فیشینگ مستعدتر است.
مقدمه
ابتکارات و نوآوریهای فناوریهای ارتباطی و اطلاعاتی (ICT) به زندگی کاری، شخصی و تفریحات ما نفوذ کردهاند. ما برای تصمیمگیری در زمینه سرمایه گذاری و انجام کارهای شخصی، مالی و کاری به اینترنت متکی هستیم اما در کنار این پیشرفتها هزاران مخاطره امنیتی وجود دارد که از آسیبپذیریهای اینترنت و فناوریهای وابسته به آن سوءاستفاده میکنند.
این مخاطرات به شکل و فرمهای مختلفی نمایان میشوند، مثل فروش اجناس فریبنده در سایت ایبِی با هدف فریب کاربران ناآگاه یا وعده سود هنگفت به قربانیان در صورت کمک به انجام یک تراکنش بانکی خارجی از طریق حساب بانکی خودشان و غیره.
فیشینگ سابقه بسیار طولانی دارد. فیشینگ، یکی از روشهای متقاعد کردن کاربران به ارایه اطلاعات حساس خودشان مثل رمز عبور، حسابهای بانکی، اطلاعات شخصی یا سایر دادههای مالی حساس به یک مهاجم آنلاین است. یکی دیگر از حملاتی که به فیشینگ شباهت دارد، اسمیشینگ است. این حملات به جای ایمیل از طریق پیام متنی یا سرویسهای پیام کوتاه (SMS) انجام میشوند.
اصطلاح ویشینگ از ترکیب کلمات فیشینگ (Phishing) و صدا (Voice) تشکیل شده است. در این حمله، یک تماس تلفنی دریافت میشود که در آن مهاجم مخاطب را فریب میدهد تا اطلاعات شخصی خود را افشا کند تا از این طریق آسیب و زیانی به وی وارد کند. به عنوان مثال، مشتری تماسی را در آخر هفته یا ساعات تعطیلی بانک دریافت میکند که وانمود میشود از طرف مرکز تماس بانکی است که در آن حساب دارد.
اطلاعات جمعآوری شده توسط مهاجم برای انجام اقدامهای مجرمانهای همچون کلاهبرداری یا سرقت هویت قابل استفاده است. عموماً مشتریان یا کاربران که از این به بعد به آنها قربانیان هدف گفته میشود، فریب داده میشوند که این اطلاعات را از طریق یک فرم یا با دانلود و نصب نرم افزاری مخرب ارایه کنند.
دستگاه تلفن همراه (یا رایانه تعبیه شده در گوشی یا صرفاً گوشی) یک دستگاه پردازشگر کوچک است که اغلب مواقع یک صفحه خروجی کوچک هم دارد و ممکن است ورودی لمسی یا صفحه کلیدی کوچک داشته باشد. این دستگاه، اعمال مقدماتی یک رایانه مثل کنترل، پردازش دادهها، جابهجایی دادهها و ذخیره دادهها را انجام میدهد. پالم و هر نوع دستیار دیجیتال شخصی (PDA)، تبلت رایانهای و گوشی هوشمند همگی نمونههایی از دستگاههای تلفن همراه هستند.
امروزه با فراگیر شدن فناوری، میزان استفاده از دستگاههای تلفن همراه برای دسترسی و مرور اینترنت و برنامههای کاربردی مختلف جهت انجام کارهای شخصی و شغلی بسیار متداول شده است. یکی از دلایل عمده افزایش استفاده از دستگاههای تلفن همراه، قابلیت حمل آنها و حفظ شارژ باتری برای مدتی طولانی است.
استفاده از دستگاههای تلفن همراه در کنار برنامههای کاربردی مختلف، به دلیل کاربرد زیاد و حجم زیاد اتصالات آنها منجر به ایجاد هزاران چالش امنیتی میشود. موضوع این مقاله تحقیقاتی، مخاطراتی است که این فناوریهای پردازشی را تهدید میکنند. به خصوص ما قصد داریم حجم فوقالعاده زیاد مخاطرات تهدید کننده دستگاههای تلفن همراه را مشخص کرده و درباره فیشینگ، اسمیشینگ، ویشینگ و تأثیرات آنها اطلاع رسانی کنیم.
تدوین مسأله
طبق آنچه در نوشته شده، حملات فیشینگ، اسمیشینگ و ویشینگ بر ضد دستگاههای تلفن همراه شدت گرفته و هیچ نشانهای از کاهش این حملات مشاهده نمیشود. برای دو سال متوالی، تعداد موارد گزارش داده شده از این حملات در هر ماه بیش از 160 برابر افزایش یافته است در حالی که تعداد وبسایتهای فیشینگ گزارش داده شده منحصر به فرد، حدود 16 برابر افزایش یافته و بیش از 100 برند شناخته شده مورد حمله قرار گرفتهاند.
این حملات به صورت ایمیلهای واقعی انجام میشوند و طوری طراحی میشوند که به نظر برسد توسط فرستندهای که هویت وی جعل شده ارسال شدهاند. ممکن است در این ایمیلها از گیرنده درخواست شود یکسری اطلاعات کاربری حساس یا اطلاعات شخصی خودش را افشا کرده یا برای انجام اقدامهای بعدی بر روی یک لینک کلیک کند.
برای مثال ممکن است در ایمیلی که وانمود میشود از طرف مدیر سیستمها ارسال شده، از شما درخواست شود که اطلاعات شخصی از جمله رمز عبور خودتان را تا یک مهلت مشخص به این مدیر جعلی ارسال کنید در غیر این صورت حساب شما مسدود میشود. وقتی کاربر با اطلاعات درخواستی به چنین پیامی پاسخ میدهد، مهاجم میتواند از فرصت جهت آسیب رساندن به سیستمها یا سوءاستفاده از هویت به سرقت رفته استفاده کند. تا مدتی پیش، دستگاههای تلفن همراه فقط در برابر ویروسها و کرمها آسیب پذیر بودند اما حالا نشانههایی از حملات فیشینگ، اسمیشینگ و ویشینگ بر روی این دستگاهها مشاهده میشود.
مطالعاتی که درباره دستگاههای تلفن همراه صورت گرفته نشان میدهد که بسیاری از کاربران در هنگام بازدید از وب سایتها یا اجرای تراکنشهای آنلاین، ملاحظههای امنیتی را نادیده میگیرند. این مطالعه به دنبال بررسی و ارزیابی رفتار کاربران تلفن همراه و تعیین محدوده حملات و اثرات آنها است. ملاحظات مهم در این زمینه عبارتند از:
- محدوده حملات فیشینگ بر ضد کاربران دستگاههای تلفن همراه چقدر است؟
- ویژگیهای حملات فیشینگ، اسمیشینگ و ویشینگی که بر روی دستگاههای تلفن همراه صورت میگیرند، چیست؟
- کاربران تلفن همراه چگونه تطمیع شده یا قربانی حملات فیشینگ میشوند؟
هدف کلی این مطالعه، ارزیابی سطح آگاهی کاربران دستگاههای تلفن همراه در رابطه با حملات فیشینگ است. ما به دنبال تعیین ساختار کلی و طبقهبندی حملات فیشینگ، اسمیشینگ و ویشینگی هستیم که معمولاً کاربران تلفن همراه با آنها روبرو میشوند. همچنین تأثیرات حملات فیشینگ، اسمیشینگ و ویشینگ را از نظر سرقت هویت، اطلاعات کاربر و دسترسی به حسابهای کاربران بررسی میکنیم.
در این مطالعه، برخی از ویژگیهای کلیدی فیشینگ، اسمیشینگ و ویشینگ مثل استفاده از عبارتهای «اینجا کلیک کنید»، «دانلود کنید»، «اسناد»، «مشاهده»، «رمز عبور»، «حساب»، «تراکنش» و غیره بررسی میشود. همچنین در این مطالعه مشخص شده که عموماً مردان بیشتر از زنان از اینترنت استفاده کرده و نسبت به زنان نیز بیشتر مستعد قربانی شدن در برابر حملات فیشینگ، اسمیشینگ و ویشینگ هستند.
سازماندهی این مقاله به این صورت است که در این بخش مقدماتی، پیشزمینه به همراه کارهای مرتبط و سپس مطالعات روز درباره این مخاطرات مورد بررسی قرار میگیرد. پس از آن، روش مورد استفاده بیان شده و سپس نتایج و یافتهها تشریح میشوند و در بخش نتیجهگیری تحلیل نتایج انجام میشود.
مرور ادبیات
در این بخش، کارهای جدید و مرتبط با فیشینگ، اسمیشینگ و ویشینگ و همچنین تهدیدهای موجود بر ضد دستگاههای تلفن همراه و میزان آگاهی و پیامدهای این حملات بر روی کاربران نهایی با توجه به این که این مخاطرات از آسیبپذیریهای انسان محور سوءاستفاده میکنند، مورد بررسی و تحلیل قرار میگیرد.
آسیبپذیریهایی در دستگاههای تلفن همراه و همچنین در کاربران وجود دارد که از طریق ایمیل، پیام متنی یا پیامک، مرورگر وب و گوش کردن به ایمیلهای صوتی آشکار میشوند که از آنها به عنوان ابزاری برای سوءاستفاده از آسیبپذیریهای کاربران و کلاهبرداری استفاده میشود.
در اینجا مهندسی اجتماعی را به عنوان تهدید اصلی یا روشی که بیشتر حملات فیشینگ، اسمیشینگ و ویشینگ با استفاده از آن بر ضد دستگاههای تلفن همراه صورت میگیرند، در نظر میگیریم.
مهندسی اجتماعی
مهندسی اجتماعی، به توانایی فریب دادن یا تشویق فردی به افشای اطلاعات حساس یا امنیتی خودش گفته میشود. این تعریف قابلیت یا ابزارهای ورود به محیطها، شبکهها یا پایگاههای داده از طریق سوءاستفاده از ذهن افراد به جای استفاده از روشهای هک تخصصی را دربرمیگیرد.
حملات مهندسی اجتماعی معمولاً با تلاش برای متقاعد کردن قربانی به انجام اقدامهایی صورت میگیرد که قصد انجام آن را نداشته و ممکن است به زیان وی باشد. معمولاً از مهندسی اجتماعی برای توصیف اغفال و فریب به منظور جمعآوری اطلاعات، کلاهبرداری یا دسترسی به سیستمهای رایانهای گفته میشود. در کتاب «هنر فریب: کنترل بر عنصر انسانی امنیت»، مهندسی اجتماعی به صورت زیر تعریف شده است:
«استفاده از نفوذ و متقاعد کردن جهت فریب دادن افراد با متقاعد کردن آنها به این که مهاجم، فرد دیگری است یا با شستشوی مغزی. در نتیجه، مهندس اجتماعی میتواند از افراد برای به دست آوردن اطلاعات یا متقاعد کردن آنها به انجام یک اقدام، (با یا بدون فناوری) استفاده کند».
بنابراین، مهندس اجتماعی از ویژگیهای قربانی یا فریب، نفوذ و متقاعد کردن برای جمعآوری اطلاعات شخصی یا کاری استفاده میکند. انگیزه اصلی در اینجا به دست آوردن اطلاعات مفیدی است که ممکن است امکان دسترسی غیرمجاز به یک سیستم ارزشمند و اطلاعات درون آن را برای مهاجم فراهم کند. در مطالعات، تعاریف مختلفی درباره مهندسی اجتماعی ارایه شده است، به عنوان مثال تعریفهای خاصی از مهندسی اجتماعی و روشهای آن ارایه شده است. همچنین طبقهبندی خوبی از مهندسی اجتماعی انجام گرفته که به شرح زیر است:
- مهندسی اجتماعی از طریق تلفن (یعنی از طریق ارتباطات تلفنی) که در مطالعه ما ویژگی اسمیشینگ و ویشینگ محسوب میشود.
- حمله شیرجه در زبالهها (یعنی زبالههای اداری یا الکترونیک)
- مهندسی اجتماعی آنلاین (یعنی در وب و از طریق وبگردی) که در این مطالعه ویژگی فیشینگ محسوب میشود.
- متقاعد کردن (ارتباطات رو در رو)
- مهندسی اجتماعی معکوس.
این طبقهبندی صرفاً بر اساس روشهای مورد استفاده انجام گرفته و نه ماهیت حملات. در این مطالعه، مهندسی اجتماعی به عنوان عمل اغوا کردن یا بازی با ذهن افراد جهت افشای اطلاعات کاربری رایانهشان یا هر اطلاعات ارزشمندی که ممکن است برای کاربر، سیستمها و دادههای وی مخرب باشند، تعریف میشود.
هدف فعالیت مهندسی اجتماعی، فریب کاربر یا به دست آوردن دسترسی به سیستمهای وی است. لازم به ذکر است که در این مطالعه طبقهبندی به این صورت انجام گرفته است: مهندسی اجتماعی تلفنی (که از این به بعد به آن اسمیشینگ و ویشینگ گفته میشود)، مهندسی اجتماعی آنلاین و مهندسی اجتماعی معکوس که جزو انواع فیشینگ محسوب میشوند.
معمولاً مهندسی اجتماعی برای تمام کاربران رایانهای یک تهدید محسوب میشود. از این حمله در کنار سایر مسیرهای حمله استفاده میشود و عمدتاً از غفلت و بیتوجهی انسانها سوءاستفاده میکند. این حمله پتانسیل وارد کردن آسیبهای جدی به شبکهها و سیستمهای رایانهای را دارد. ممکن است اطلاعات محرمانه زیادی از طریق مهندسی اجتماعی افشا شوند.
تعداد حملات امنیتی بر ضد دستگاههای تلفن همراه از سال 2006 افزایش یافته است. بیشتر این حملات امنیتی به دلیل نقص و ضعف در مرورگرهای وب رخ میدهند. همچنین، دنیای وب پر از کدهای مخرب است که به آسانی میتوان آنها را دانلود کرده و به عنوان هرزنامه یا حمله فیشینگ جهت ترغیب کاربران به افشای اطلاعات حساس و همچنین اطلاعات سازمانی حساس استفاده کرد. افزایش دستگاهها و برنامههای کاربردی تلفن همراه هم شرایط را برای اجرای حملات فیشینگ، اسمیشینگ و ویشینگ بر ضد کاربران تلفن همراه بدتر کرده است.
فیشینگ، اسمیشینگ و ویشینگ
در این بخش، تعریفها و روشهای فیشینگ، اسمیشینگ و ویشینگ را بررسی میکنیم. فیشینگ، اسمیشینگ و ویشینگ همچنان به دلایل زیر در بین مجرمان سایبری و در اقتصاد زیرزمینی بدافزارها جزو حملات مهم و برجسته محسوب میشوند:
- هزینه پیاده سازی و اجرای یک حمله به طرز خیره کنندهای کم است و این امر منجر به کاهش موانع برای اجرای حمله توسط مجرمهای جدید میشود.
- برای اجرای یک حمله، به کمترین سطح تخصص نیاز است. فرایند اجرای حمله کاملاً خودکارسازی شده و میتوان با چند کلیک یک حمله فیشینگ را انجام داد.
- هر چند مهندسی اجتماعی با فیشینگ، اسمیشینگ و ویشینگ جزو روشهای قدیمی است اما همچنان پرتکرار و کارآمد محسوب میشود، به خصوص برای کاربران و دستگاههای تلفن همراه. روشهای مورد استفاده توسط مهاجمین متنوع هستند، کاربران متقاعد میشوند که اطلاعات حساس و کلیدی را از طریق تلفن و اینترنت افشا کنند.
فیشینگ
وقتی یک کاربر آنلاین فریب داده میشود تا اطلاعات محرمانه خودش مثل رمز عبور یا پین (شماره شناسایی شخصی) یا شماره حسابش را افشا کند، به این عمل فیشینگ گفته میشود. زمانی که یک صفحه لاگین جعلی از وبسایت یک شبکه اجتماعی مثل فیسبوک، یاهو، Faces.com، فتلایف، فیسپارتی، وب سایتهای حراجی و سایتهای پردازش پرداختهای آنلاین به صورت ایمیل یا از طریق صفحه وب توسط یک مهاجم به یک فرد نامطلع ارسال میشود تا وی به این درخواست پاسخ دهد، یک حمله آغاز شده است.
این وب سایتها یا پیامها طوری ساخته میشوند که شبیه سایتهای واقعی باشند و همین امر موجب میشود تشخیص این موضوع توسط کاربر غیرممکن شود. ممکن است اینطور وانمود شود که ایمیل از طرف مدیر سیستم یا بخش خدمات فناوری اطلاعات ارسال شده و در آن از کاربر درخواست شود اقدامهای خاصی را انجام دهد، به عنوان مثال، «میزان مصرف شما در حال نزدیک شدن به بیشترین ظرفیت مجاز است، برای فعال ماندن حساب کاربریتان در این قسمت کلیک کنید».
همین که کاربر، کلیک کرده یا اطلاعات خواسته شده را ارایه میکند، هکر مجرم (یا کرک کننده) از این اطلاعات برای نفوذ به سیستمها یا حساب قربانی استفاده میکند. همچنین یک نوع فیشینگ هم وجود دارد که از طریق حمله مرد میانی (MITM) انجام میشود. در این حالت، قربانی از یک وب سایت درست و بدون مشکل بازدید کرده و سپس اطلاعاتش را وارد فرمی در صفحه لاگین جعلی میکند که جایگزین صفحه لاگین اصلی شده است. این کار بلافاصله منجر به هدایت کاربر به صفحه تحت کنترل مجرمین و افشای اطلاعات وی میشود.
این مطالعه تأیید میکند که فیشینگ، یک روش مهندسی اجتماعی است که در آن کاربران ناآگاه فریب داده میشوند تا اطلاعات حساس و شخصی را از طریق ایمیل، پیام فوری (IM)، چت آنلاین و چت سایر شبکههای اجتماعی آنلاین افشا کنند.
اسمیشینگ
در اینجا نگاهی به اسمیشینگ خواهیم داشت. اسمیشینگ یک نوع فیشینگ است که در آن از سرویسهای پیام کوتاه یا پیام متنی بر روی گوشی تلفن همراه و گوشی هوشمند استفاده میشود. نام اسمیشینگ از فناوری پیامرسانی اساماس استخراج شده است. کلاهبرداری از طریق اسمیشینگ دو فرایند عمده دارد: یکی از این فرایندها دریافت یک پیام متنی است که وانمود میشود از طرف یک منبع معتبر و شناخته شده مثل مدیر سیستم یا کارمند بانکی که در آن حساب دارید، ارسال شده است.
دومی شامل دریافت یک پیام متنی درباره به سرقت رفتن هویت یا بلوکه شدن شماره حساب شماست. سپس یک وب سایت یا شماره تلفن به شما داده میشود تا از این طریق اطلاعات حسابتان را تأیید کنید. سارقان پس از دریافت اطلاعات، به سراغ برداشت پول از حساب یا باز کردن یک حساب جدید به نام قربانی حرکت میکنند.
در یک مورد مشابه، یک پیام متنی توسط قربانی از طرف یک منبع مورد اعتماد یا شناخته شده دریافت میشود که ممکن است همراه با یک پیوست باشد. این پیوست منجر به دانلود یک ویروس یا بدافزار بر روی دستگاه قربانی میشود که به نوبه خود باعث نصب یک روتکیت یا در پشتی جهت دسترسی به همه اطلاعات گوشی هوشمند (لیست تماس، پیامهای ورودی، برنامههای کاربردی روی گوشی و غیره) و گاهی حتی کنترل بر آن استفاده میشود.
ویشینگ
ویشینگ، به استفاده از فناوریهای پیامرسانی صوتی مبتنی بر آیپی (بیشتر صوت روی پروتکل اینترنت یا VoIP[1]) برای مهندسی اجتماعی قربانی مورد نظر جهت ارایه اطلاعات شخصی، مالی یا سایر اطلاعات محرمانه با هدف دستیابی به منافع اقتصادی گفته میشود. اصطلاح «ویشینگ» از ترکیب «صدا» (Voice) و «فیشینگ» (Phishing) ایجاد شده است.
ویشینگ از اعتماد یک شخص به سرویس تلفن سوءاستفاده میکند زیرا معمولاً هدف مورد نظر از قابلیتهای مجرمین برای استفاده از روشهایی مثل جعل شناسه تماس گیرنده و وجود سیستمهای خودکار پیشرفته برای تأیید این نوع کلاهبرداری اطلاع ندارند اما با کاهش بازده حملات فیشینگ سنتی، مجرمان به سمت ویشینگ روی آوردهاند تا اطلاعات حسابهای مالی کاربر، رمزهای عبور و سایر دادههای شخصی را به دست آورند.
سالها پیش، کودکان میتوانستند از طریق شمارههای ثابت ناشناس مزاحم دیگران شده و با آنها شوخی کنند اما حتی در صورت تعویض مدار و استفاده از فناوریهای دیجیتال یا الکترومکانیکی، باز هم امکان ردیابی شماره تماس گیرنده و گزارش دادن آن به مرکز مخابرات وجود داشت. با پیشرفتهای اخیر سیستم تلفن آیپی، این امکان وجود دارد که یک تماس تلفنی از یک رایانه در هر جای دنیا برقرار شده یا به آن منتهی شود. علاوه بر این، مبلغ پرداختی هم ناچیز است و این موجب شده امکان انجام حملات ویشینگ افزایش پیدا کند.
دستگاههای تلفن همراه
دستگاههای تلفن همراه، شامل دستگاههای پردازشگر دستی هستند که اغلب از آنها جهت برقراری تماس تلفنی و پیامرسانی و همچنین اجرای برنامههای کاربردی و سرویسهای مختلف استفاده میشود.
با توجه به اهداف و مقاصد این مطالعه، دستگاههای تلفن همراه شامل دستیار دیجیتال شخصی، گوشیهای هوشمند، رایانههای قابل حمل مثل لپتاپ، نوتبوک، آیپد، تبلت و غیره میشود. این دستگاهها میتوانند هر سیستم عاملی را داشته باشند به خصوص اندروید و آیاواس. به غیر از وزن و ابعاد فیزیکی، بیشتر دستگاههای تلفن همراه امروزی بر اساس قابلیتهای پردازشی از جمله قدرت پردازش و ظرفیت ذخیره اطلاعات ارزیابی میشوند. یکی دیگر از ویژگیهای مهم دستگاههای تلفن همراه قابلیت آنها در زمینه ارتباط از هر جایی و هر زمانی از طریق سرویسهای هاتاسپات است. امروزه دانش آموزان یک کلاس معمولی همه نوع دستگاه رایانهای از لپتاپ و نوتبوک گرفته تا آیپد را دارند.
در این مطالعه لپتاپ، به دلیل قابلیت حمل و جابهجایی به مکانهای مختلف مثل کافی شاپ، کافه، کنار دریا و استخر، کمپ دانشگاه، هواپیما، اتوبوس و غیره یک دستگاه تلفن همراه در نظر گرفته میشود. رابط کاربری دستگاههای تلفن همراه کوچک بوده و فاقد شاخصهای شناسایی برنامه کاربردی موجود در مرورگرها و سیستم عامل دسکتاپ هستند زیرا در هر لحظه تنها یک برنامه کاربردی تلفن همراه قادر به کنترل صفحه است.
از این جهت خطمشیهای امنیتی درباره استفاده و محافظت از لپتاپ و دستگاههای تلفن همراه (سنتی) در برخی مطالعات بسیار زیاد و متفاوت هستند. تعریف مورد استفاده ما برای دستگاههای تلفن همراه با تعریف مورد استفاده در کارهای تحقیقاتی مشابه در حوزه امنیت اطلاعات یکسان است. به عنوان مثال، دستگاه تلفن همراه را شامل PDA، گوشی تلفن همراه، لپتاپ و گوشی هوشمند در نظر میگیرند که در صورت عدم محافظت درست و مناسب میتوانند منجر به تهدید داراییهای سازمانی شوند.
عوامل تهدید کننده دستگاههای تلفن همراه
مشکل فیشینگ، اسمیشینگ و ویشینگ بسیار گستردهتر از آن است که در بخش مالی یا پروژههایی که در آن بحث پول دخیل است، مورد بحث قرار میگیرد. بسیار مهم و لازم است که یک سازوکار احراز هویت دوطرفه جهت حل مشکلات موجود در زمینه مدیریت هویت مورد استفاده قرار گیرد. با توجه به روند فعلی، ممکن است حملات فیشینگ فراتر از به دست آوردن شناسه شخصی و جمعآوری اطلاعات لاگین برای دستیابی به سایر اطلاعات در فضای سایبری شوند.
چالشهای امنیتی مختلفی هستند که در نتیجه آنلاین بودن کاربران رخ میدهند. این چالشها ممکن است به دلیل استفاده از عمل تغییر مسیر HTTP ایجاد شوند. مخاطراتی هم در زمینه کنترل یک شناسه باز (یا Open ID) وجود دارد. شناسه باز، یک استاندارد باز است که به کاربران امکان میدهد هویت دیجیتال داشته باشند که این هویت توسط سرویسهای شخص سوم یا نهادهایی تحت عنوان طرف مورد اطمینان (Relying Party یا به اختصار PR) تصدیق میشود. پروتکل شناسه باز در برابر حملات فیشینگ آسیب پذیر است زیرا یک طرف مورد اطمینان بدخواه میتواند کاربر را تغییر مسیر دهد تا از یک وب سایت جعلی بازدید کند و از این طریق اطلاعات لاگین کاربر (Open ID) جمعآوری شود. هکر که وب سایت جعلی را تحت کنترل دارد میتواند از این اطلاعات برای ورود به هر سرویس تحت وبی استفاده کند.
مرجع [20] پیشنهاد میدهد که به منظور کاهش این آسیبپذیری «برای احراز هویت متقابل موفق نباید کاربر ملزم باشد که همیشه از یک رایانه استفاده کند یا یک نرم افزار خاص نصب کند». مشخص است که روشهای مختلفی برای به خطر انداختن دستگاههای تلفن همراه وجود دارد. ما در این مقاله به دنبال تأکید بر مخاطرات کلیدی هستیم که از آسیبپذیریهای دستگاههای تلفن همراه سوءاستفاده میکنند، چه برای دادههای آنلاین و مرور وب یا ارتباطات دستگاهها. در این بخش، بیشتر به دنبال بحث در رابطه با مخاطرات ناشی از فیشینگ، اسمیشینگ و ویشینگ هستیم.
عوامل ایجاد کننده آسیب پذیری
محققین، نظرهای مختلفی درباره دلیل فریب خوردن افراد از کلاهبرداران رایانهای دارند. مدتها است که موضوعهای فیشینگ، اسمیشینگ و ویشینگ همراه ما بودهاند، به خصوص فیشینگ که میتوان گفت سالها با ما بوده است. یکی از دلایل این موضوع، علاقه و اعتماد روز افزون مردم به وب سایتها بر اساس ظاهر آنها و نه بر اساس ماهیت کلی وب سایت است.
معمولاً کلاهبرداران و هکرها به آسانی از این نقطه ضعف سوءاستفاده میکنند. فقدان دانش درباره ویژگیهای امنیتی مختلف وب سایتها، کارتهای اعتباری و خودپردازها هم یکی دیگر از دلایل آسیبپذیری است. این امر منجر به ایجاد یک حس ترس، عدم اطمینان و شک (FUD[2]) میشود. همچنین، افزایش تعداد کاربران گوشیهای هوشمند که دادههای بسیاری را ذخیره میکنند هم میتواند یکی دیگر از دلایل آسیبپذیری باشد. وقتی یک گوشی هوشمند، هک شده یا به نوعی در کنترل مجرمین قرار میگیرد، امکان سرقت دادهها، اجرای حمله، نصب بدافزار بر روی سرور و اقدامهای متعدد دیگری توسط مهاجمین وجود دارد.
کاربران در زمینه مسایل امنیتی انعطافپذیر نیستند و عده زیادی از آنها در موضوع امنیت به روشهای سنتی و قدیمی پایبند هستند. بیشتر کاربران به ندرت راهکارهای امنیتی مورد استفادهشان در فضای سایبری را تغییر داده یا از راهکارهای جدید استفاده میکنند. این افراد به تصورات و گفتههایی پایبند هستند که خلاف واقعیت هستند. به عنوان مثال این که سازوکار محافظت آنلاین آنها به اندازه کافی قوی است. برخی از آنها پنجرههای پاپآپ را مشکل آفرین نمیدانند و از نظر آنها مطالعه و درک دفترچههای راهنمای کاربر، پیچیده و سخت است.
علاوه بر این، بعضی از کاربران نسبت به امنیت یا واقعی بودن یک وب سایت بیتوجه هستند و این در حالی است که بسیاری از وب سایتها جعلی هستند. مطالعات نشان دادهاند که هر چند کاربران با اصطلاحهایی همچون ویروس، کرم، کلاهبرداری آنلاین و جعل رایانهای آشنایی دارند اما نسبت به فیشینگ، اسمیشینگ و ویشینگ بیتوجه هستند. با این وجود آنهایی که اطلاعاتی در این زمینه دارند گاهی بر این باور هستند که مخاطرات بزرگ و مهم فقط نهادهای شرکتی مثل بانکها و شرکتهای مخابراتی را تهدید میکنند نه دادههای کاربران را.
در ادامه برخی آسیب پذیریها و نظریههای مربوط به قربانی سایبری را بررسی میکنیم که در آنها دستگاههای تلفن همراه آسیب پذیر در برابر فیشینگ، اسمیشینگ و ویشینگ مورد بررسی قرار گرفتهاند. با توجه به افزایش تعداد کاربرانی که با گوشی تلفن همراه به اینترنت متصل میشوند، حوزه حملات تلفن همراهی گسترش و پیچیدگی بیشتری پیدا کرده است.
همانطور که در [29] ذکر شده، آشنایی با عواملی که موجب شده کاربران، قربانی حملات سایبری شوند میتواند به طراحی راهکارهای مناسب جهت کاهش مخاطرات و همچنین به ایجاد آگاهیهای لازم کمک کند. در [29] الگوهای رفتاری قربانیان از نظر دانش قبلی و درک آنها و همچنین رفتار آنها در محیط وب نسبت به URLها، امکانات و آیکونهای امنیتی مورد بررسی قرار گرفته است.
همچنین تجربیات قبلی آنها در زمینه حملات سایبری هم مورد ملاحظه قرار گرفته است. مشخص شد افرادی که دانش یا تجربیاتی داشتهاند نسبت به آنهایی که هیچ دانش قبلی نداشتند، کمتر آسیب پذیر بودند. همچنین این مطالعه نشان میدهد که آموزش کاربران (از طریق ایجاد آگاهی) به جای ارایه پیامهای هشدار که از طریق ایمیل یا پیامک ارسال میشوند، تأثیرات مثبتی بر کاهش سطح آسیب پذیری آنها داشته است.
برای توضیح دلایل اصلی آسیب پذیر شدن کاربران در برابر حملات سایبری، از نظریههای مختلفی استفاده میشود. به عنوان مثال، نظریه انتخاب منطقی توضیح میدهد که کاربران «هدفگرا» هستند و بر اساس مجموعه انتخابها یا گزینههای در دسترس تصمیمگیری میکنند با این هدف که سطح سودمندی را به حداکثر برسانند. با در نظر گرفتن این موضوع برای کاربرانی که در برابر فیشینگ، اسمیشینگ و ویشینگ آسیب پذیر هستند میتوان گفت که این کاربران در هنگام دریافت یک ایمیل، پیام متنی یا پیام صوتی سعی دارند به گونهای تصمیمگیری کنند که منطقی بوده و سودمندی را به حداکثر برسانند.
به طور مشابه در مدل پذیرش فناوری گفته میشود که کاربران تحت تأثیر سودمندی یا راحتی استفاده (متصور شده از) یک راهکار امنیتی خاص قرار میگیرند، تا حدی که ممکن است بر اساس تصوراتی که (مثلاً) درباره سیستمهای ضدفیشینگ دارند، قربانی جرایم سایبری شوند. نظریه ترکیبی پذیرش و استفاده از فناوری به عنوان یک نسخه ارتقا یافته از نظریه مدل پذیرش فناوری بر این باور است که ممکن است یک کاربر بر اساس انتظارات، مقاصد و شرایطی که برای توانمندسازی و کمک به وی طراحی شدهاند، قربانی سایبری شود. این نظریه توضیح میدهد که احتمال توجه یک کاربر به راهکارهای کاهش مخاطرات سایبری که آنها را راحت و آسان تلقی نمیکند، کمتر است.
طبق نظریه کاربر تنبل، کاربران به راهکارهای کاهش مخاطره توجه نمیکنند و هیچ اقدام امنیتی را انجام نمیدهند مگر این که تجربه یا حادثهای در این زمینه برای آنها رخ داده باشد.
پیشرفتهای فناورانه در اقتصاد زیرزمینی بدافزارها عبارتند از مبهمسازی URL، دانلود و نصب کدهای مخرب از وب سایتها، استفاده از طرحهای انکدینگ متناوب، آسیب پذیریهای جعل مرورگر وب، حملات DNS، تزریق اسکریپت و غیره. از این نظر ممکن است شناسایی پیامهای جعلی برای کاربران معمولی سخت باشد. مسلماً آموزش امنیتی وسیع، تعلیم و آگاهیبخشی یک راه مطمئن برای مقابله با خطرات فیشینگ، اسمیشینگ و ویشینگ است. هنوز هم ضعیفترین حلقه در زنجیره امنیت دستگاههای تلفن همراه، کاربران نهایی هستند.
داده کاوی متنی
داده کاوی متنی به فرایند بررسی دادهها از زاویههای مختلف و تبدیل آن به اطلاعات مفید و مختصر گفته میشود. در اینجا دادهها شامل حقایق، عددها، عکسها، متن و صوت هستند. داده کاوی متنی، زیرمجموعهای از داده کاوی است که در آن از مدلهای آماری پیچیده و روشهای یادگیری ماشینی جهت تحلیل دادههای غیرساخت یافته موجود در متنهای زبان طبیعی استفاده میشود با این هدف که از آنها دانشی استخراج شود که به تصمیمگیریهای کسب و کاری کمک کند.
در یک تحلیل معمولی با استفاده از داده کاوی متنی، ساختارهای چند متغیرهای که جهت بررسی تأثیر آموزشهای ضدفیشینگ ارایه شده در شرکتهای فناوری مختلف انجام شده بود، نشان داد که پس از جلسات آموزشی امکان قربانی شدن کاربران در برابر حملات سایبری کمتر شده و احتمال تشخیص وب سایتهای جعلی توسط آنها افزایش مییابد. جالب توجه است که این مطالعه نشان داد که کاربران در تفسیر URLهای طولانی دچار مشکل میشوند.
یک مطالعه دیگر نشان داد که دیدگاه کارشناسان امنیت سایبری درباره اثربخشی آموزشهای امنیتی مورد استفاده جهت مبارزه با کلاهبرداریهای فیشینگ متفاوت است. همچنین در این مطالعه توصیه شد که نیاز است برنامههای آموزشی سرگرم کنندهتر شده و جهت پیشبرد اهداف امنیتی از شبکههای اجتماعی استفاده شود.
روش مورد استفاده
در این بخش، روش تحقیق و رویکرد مورد استفاده در این مطالعه بیان میشود. این بخش شامل تحقیق درباره انواع حملاتی است که بر روی دستگاههای تلفن همراه صورت میگیرد. نمونهها به صورت هدفمند از بین دوستان و خانواده، همکاران اداری و برخی از دانشجویان محوطه یک دانشگاه انتخاب شدند. مجموعه دادهها تحلیل شده و توسط شرکت Telcos که در کشور غنا کار میکند طبقهبندی شدند اما تحلیل نتایج به صورت ناشناس صورت گرفت. سیستم عامل دستگاههای تلفن همراه انتخابی محدود به سیستم عاملهای پرکاربرد یعنی ویندوز، اندروید و آیاواس بود.
با جستجوی کتابخانههای الکترونیک مختلف، پایگاههای داده آنلاین، اسناد و مجلهها بررسی کاملی از نوشتهها و تحقیقات گذشته صورت گرفت. بر اساس این اقدامها، فرایند جمعآوری دادهها انجام شد که به بهبود فرضیات و سؤالات تحقیق ما کمک کرد.
پیش از نظرسنجی، جلسهای با کاربران انتخابی (نمونهها) برگزار شد تا به آنها درباره اهداف تحقیق اطلاعرسانی شده، مفاهیم کلیدی برایشان تشریح شده و درباره حفظ محرمانگی پاسخها به آنها اطمینان داده شود. برای جمعآوری مجموعه دادههای مورد تحلیل، مصاحبههای راهبردی با آنها انجام گرفت. این مصاحبهها جهت جمعآوری دیدگاه کاربران درباره تهدیدهای فیشینگ، اسمیشینگ و ویشینگ در گوشیهای تلفن همراه انجام گرفت و منجر به دستیابی به اداراکات و اطلاعاتی درباره مسایل مربوط به قربانیان جرایم سایبری و دیدگاههای آنها شد.
نمونههای هدف استخراج شده 20 نفر بودند و پیش زمینههای مختلفی در زمینه مدیریت پایگاه داده، سرمایهگذاری، مدیریت کسب و کار، ارتباطات راه دور یا تخصص فناوری داشتند. نمونههای انتخاب شده (کاربران نهایی) در جریان اقدامهای مورد انتظار قرار گرفته و از آنها خواسته شد حوادث سایبری خاصی را از وب سایتها، ایمیلها، پیامهای متنی، پیامرسانها، ایمیلهای صوتی و تماسهای صوتی دریافت شده در دوره مطالعه گزارش دهند. مثل مطالعات مشابه، در این مطالعه نیز مخاطرات به دو گروه حملات فیشینگ سنتی و معاصر تقسیمبندی شدند.
نوع سنتی شامل ایمیلها و تقاضای مطرح شده در وب سایتها (و پاپآپها) با هدف ترغیب کاربران به ارایه اطلاعات کاربری میشود. نوع معاصر شامل پیامهای متنی، چت فیسبوک، پیامهای واتسآپ، پیامرسانهای فوری (از طریق اسکایپ، توییتر، پیامرسان مایکروسافت، یاهو مسنجر و غیره)، ایمیل صوتی و تماس تلفنی میشود.
از شرکت کنندگان تقاضا شد که هر اتفاق یا پیام مشکوکی را برای اعتبارسنجی به محققین گزارش دهند. سپس آنها ملزم به ثبت گزارش با یادداشتهای مختصری درباره حمله جهت تحلیلهای بیشتر شدند. لازم به ذکر است که حملات ویشینگ اعتبارسنجی نشدند زیرا ممکن است امکان بررسی تماسها وجود نداشته باشد.
چند مورد از ویژگیهای کلیدی اقدامات و حوادثی که شرکت کنندگان باید به دنبال آنها باشند، عبارتند از:
خصوصیات کلی
- برای مشاهده آنلاین حساب (یا فایل) اینجا کلیک کنید.
- همین حالا امتحان کنید.
- در صورت فراموشی رمز عبور اینجا کلیک کنید.
- شما یک پیام امن دریافت کردید.
- برای بهروزرسانی و تغییر رمز عبور حساب شبکه اجتماعی خود اینجا کلیک کنید.
خصوصیات فیشینگ
- مستندات شما تکمیل شدند. جهت مشاهده، دانلود یا چاپ این مستندات اینجا کلیک کنید. این پیام توسط مدیر به شما ارسال شده است.
- شما یک پیام از ……. دریافت کردید، جهت رمزگشایی پیام رمز عبورتان را وارد کنید.
- جهت خواندن پیام رمزگشایی شده، فرم را پر کرده، روی پیوست کلیک کنید تا فایل بر روی رایانه شما دانلود شود.
- مشاهده فعالیتهای اخیر
- …….. میخواهد در فیسبوک با شما دوست شود.
خصوصیات اسمیشینگ
- من پروفایل فیسبوک شما را مشاهده کردم و دوست دارم با شما چت کنم.
- اطلاعیه انتقال وجه (جزئیات تراکنش ضمیمه شده است).
- جهت مشاهده جزئیات کامل، از این وب سایت بازدید کنید.
- جهت تسهیل انتقال وجه به حساب شما، تقاضا داریم این اطلاعات را به کارمند (بانک) ارسال کنید.
- من چیزی (اطلاعات یا فایلی) دارم که باید ببینی.
یافتهها
در این بخش، نتایج و یافتههای مطالعه به روشی باقاعده ارایه میشود. متنها، جدولها و شکلها به صورتی سازماندهی شدهاند که درک و تفسیر یافتهها آسانتر شود.
یافتههای این نظرسنجی در ابتدا پیش پردازش شدند تا یک مجموعه داده یکپارچه ایجاد شود. همچنین از مصاحبهها یادداشتبرداری و سپس پیش پردازش شد. مجموعه دادهها متشکل از 60 درصد مرد و 40 درصد زن بودند.
شاخصهای کلیدی بررسی شده عبارتند از دانش کاربر درباره استفاده کلی از فضای مجازی، رفتار کاربر در فضای مجازی و درک کاربران از خطرات فیشینگ بر روی گوشیهای تلفن همراه.
دانش کاربر درباره تسهیلات آنلاین
ما در این بخش سطح دانش کاربران درباره سرویسهای آنلاین ابتدایی مثل مرور وب، پاسخ به پاپآپها و پر کردن فرمهای آنلاین را بررسی کردیم. محدوده اطلاعات فنی یا آگاهی فناورانه کاربران در زمینه مرور وب، پاپآپها، استفاده از تسهیلات آنلاین و راحتی کاربران در استفاده از سرویسهای آنلاین به صورت نمودار در شکل 1-4 مشخص شده است.
این یافتهها تأیید میکنند که مردها نسبت به زنان اطلاعات بیشتری در زمینه فناوری داشته و احتمال استفاده آنها از فناوریهای جدید نسبت به زنان بیشتر است.
رفتار آنلاین کاربر
در این قسمت، ما رفتار کاربر در هنگام رویارویی با پیامهایی که خوب درک نشدهاند، باز کردن پیوستهای ایمیل (حتی پیوستهای ارسال شده توسط منابع ناشناس)، واکنش به مخاطرات و درخواستهای آنلاین (با کلیک بر روی لینکها) را بررسی کردیم. طبق نظریه تغییر فضا (STT) این احتمال وجود دارد که کاربران در فضای آنلاین نسبت به فضای غیرآنلاین رفتار متفاوتی از خود نشان دهند.
این نظریه اعلام میکند که ممکن است افرادی با موقعیت یا جایگاه اجتماعی خوب، رفتارهای مجرمانهشان را در دنیای واقعی سرکوب کنند اما احتمال زیادی وجود دارد که این افراد در فضای سایبری مرتکب جرم شوند. در واقع نگرانیهای فرد نسبت به جایگاه و موقعیتش در فضای فیزیکی به فضای سایبری منتقل نمیشود که دلیل این موضوع ناشناس ماندن در فضای سایبری است که به کاربران (به خصوص قربانیان) امکان میدهد نسبت به بیان مسایل شخصی خودشان در برابر غریبهها احساس راحتی بیشتری داشته باشند.
ما هم در این قسمت به دنبال کسب اطلاعات درباره چگونگی گرفتار شدن افراد در برابر حملات فیشینگ یا کلاهبرداری آنلاین هستیم. شکل 2-4 نشان میدهد که کاربران در برابر اقدام نسبت به پیامهای ناشناس و باز کردن فایلهای پیوست و کلیک بر روی لینکهای ارسال شده به همراه درخواست کلیک روی این لینکها، چقدر حس راحتی و اعتماد دارند. در مجموع، 65 درصد کاربران نسبت به ارایه اطلاعات لاگین خودشان اقدام کرده و احتمال فریب خوردن آنها با ارایه پیشنهاد ویژه و تخفیف درباره اقلام مورد نظرشان وجود داشت.
همچنین مشخص شد که این افراد به بانکها جهت محافظت از خودشان در برابر کلاهبرداران اعتماد داشته و بانک را مسئول ناآگاهی خود میدانند. 10 درصد از کاربران نسبت به ارایه اطلاعاتشان در فضای آنلاین محتاط بودند و 25 درصد نسبت به خصوصیات فضای مجازی بیاطلاع و بیتوجه بودند. این افراد تصور میکنند که هیچ کس قصد آسیب رساندن به آنها را ندارد.
درک کاربران از مخاطرات و تهدیدهای آنلاین
در این بخش میزان درک کاربران از حملات فیشینگ، اسمیشینگ و ویشینگ روی گوشیهای تلفن همراه را بررسی میکنیم. برخی معیارهای مهمی که در این زمینه مورد بررسی قرار گرفتند، عبارتند از سطح آگاهی نسبت به این مخاطرات و آسیبهای ناشی از آن، میزان بررسی و موشکافی پیامهای دریافت شده قبل از اقدام نسبت به آنها و احتمال تبدیل شدن به یک قربانی سایبری.
نتایج نشان میدهد که بیشتر کاربران یا اطلاعات کمی درباره تهدیدهای فیشینگ، اسمیشینگ و ویشینگ برای دستگاههای تلفن همراه دارند یا کاملاً از آن بیاطلاع هستند. 35 درصد از کاربران در حد متوسط یا زیاد نسبت به این تهدیدها آگاهی دارند. از نظر بررسی و موشکافی پیامها یا درخواستهای دریافتی، 55 درصد گاهی اوقات پیامهایی که مخاطرهآمیز تلقی میشوند را بررسی میکنند اما 35 درصد هرگز یا تقریباً هرگز هیچ پیامی را بررسی و موشکافی نمیکنند.
شکل 4-4 سطح نگرانی مشاهده شده درباره تهدیدات فیشینگ و اسمیشینگ برای دستگاههای تلفن همراه را نشان میدهد. جالب توجه است که نگرانی نسبت به خطرات اسمیشینگ و ویشینگ برای دستگاههای تلفن همراه متوسط تا فوقالعاده کم است. حدود 15 درصد از کاربران، قربانی حملات اسمیشینگ میشوند و 5 درصد قربانی حملات ویشینگ میشوند.
شکل 5-4 با استفاده از روشهای داده کاوی متنی برای Wordle.net، طبقهبندی کلمات کلیدی و عبارتی که کاربران جهت مقابله با فیشینگ، اسمیشینگ و ویشینگ باید مراقب آنها باشند را نشان میدهد، به عنوان مثال {پیام؛ کلیک؛ رمز عبور؛ سند؛ دانلود؛ لینک؛ حساب؛ مشاهده؛ غیره.}
برای بررسی میزان گستردگی حملات فیشینگ بر روی دستگاههای تلفن همراه مشاهده کردیم که مجموعه دادههای زیر بر اساس نوع سرویس مورد استفاده جهت اجرای حملات فیشینگ طبقهبندی شدهاند. شکل 6-4 نشان میدهد که احتمال استفاده از ایمیل برای فیشینگ بیشتر است، در حالی که احتمال استفاده از اسکایپ بسیار کم است.
در زمینه توزیع حملات، شکل 7-4 نشان میدهد که حملات فیشینگ بر روی دستگاههای تلفن همراه متداولتر بوده و میزان حملات ویشینگ روی این دستگاهها کمتر است.
لازم به ذکر است که کاربران مورد بررسی از سرویسهای ارتباطی تلفن همراه 4 اپراتور (بین 6 اپراتور) استفاده میکردند. از شکل 8-4 مشخص است که Telco D هیچ حمله اسمیشینگ و ویشینگی نداشته است. ممکن است دلیل این امر راهکارهای قوی جهت فیلتر کردن پیامهای مشتریان یا استفاده کمتر از سرویسهای این شرکت باشد. در مقابل Telco B بیشترین آسیبپذیری را دارد که شاید دلیل آن استفاده بیشتر از سرویسهای این اپراتور یا فیلترهای امنیتی ناکافی یا مسأله تشخیص منفی کاذب در سیستم تشخیص نفوذ باشد که باعث میشود پیامهای مشکوک فیلتر نشوند.
در نهایت، شکل 9-4 میزان مستعد بودن سیستم عاملهای تلفن همراه به این حملات را نشان میدهد. همانطور که پیش از این مشخص شد، تنها سیستم عاملهای محبوب مورد بررسی قرار گرفتند. نتایج نشان میدهند که سیستم عامل آیاواس آسیب پذیرترین سیستم عامل است و سیستم عامل ویندوز کمترین آسیبپذیری را دارد. شاید دلیل این موضوع استفاده بیشتر نمونههای این مطالعه از دستگاههای مبتنی بر سیستم عامل آیاواس بوده است. برای بررسی میزان آسیب پذیری واقعی این سیستم عاملها نیاز به مطالعات بیشتری وجود دارد.
نتیجهگیری
در این بخش یافتههای کلیدی این مطالعه به صورت خلاصه بررسی شده، محدودیتهای مطالعه مورد بحث قرار میگیرد و نتایج مطالعه برای کارهای آتی ارایه میشود.
هدف این مطالعه شناسایی مخاطرات و تهدیدهای موجود برای دستگاههای تلفن همراه و رفتار و درک کاربران نسبت به این خطرات بود. ما سعی کردیم میزان تأثیرات حملات فیشینگ برای دستگاههای تلفن همراه را بررسی کنیم. در مجموع مشخص شد که دانش فنی مردها در رابطه با عملکرد سرویسها و تسهیلات اینترنتی در حد مناسب قرار دارد. همچنین مشخص شد که آنها در فضای سایبری احساس راحتی و اعتماد بیشتری دارند و در نتیجه نسبت به زنان در برابر حملات تلفن همراه آسیب پذیرتر هستند.
ما رفتار کاربران در هنگام استفاده از خدمات تلفن همراه آنلاین را بررسی کردیم. نظریه تغییر فضا در این زمینه معتبر و درست به نظر میرسد از جمله تغییر ماهیت رفتاری مجرمین سایبری در فضای آنلاین نسبت به دنیای واقعی. همچنین مشخص شد که کاربران نسبت به وفور حملات فیشینگ برای دستگاههای تلفن همراه ناآگاه یا بیتوجه هستند و بیشتر کاربران نسبت به حملات سایبری نگرانی کمی داشتند یا به هیچ وجه نگران نبودند.
همچنین طبقهبندی کلمات فریبنده و اغوا کننده مورد استفاده در حملات فیشینگ میتواند به عنوان معیاری جهت محافظت از کاربران در برابر حملات سایبری مفید باشد. هر چند یافتههای این مطالعه به صورت تجربی مورد استنباط قرار گرفتند اما این امکان برای ما وجود نداشت که تعداد نمونهها را افزایش دهیم تا بتوانیم یافتهها را تعمیم دهیم. مسلماً بهتر است در مطالعات بعدی ارتباط بین آسیبپذیریها و سیستم عاملهای تلفن همراه مشخص شده و تعیین شود که آیا ارتباطی بین اپراتورهای شبکه تلفن همراه و وسعت آسیبپذیریهای مرتبط با فیشینگ وجود دارد یا خیر.