مقالاتموبایل

فیشینگ، اسمیشینگ و ویشینگ: بررسی مخاطرات امنیتی برای دستگاه‌های تلفن همراه

مخاطرات سایبری و نقش کاربران گوشی‌های تلفن همراه

این مقاله، یک برآورد اکتشافی از حملات فیشینگ، اسمیشینگ و ویشینگ است، که برای نفوذ به دستگاه‌های تلفن همراه صورت می‌گیرند. همچنین نقش کاربران در کاهش مخاطرات مربوط به استفاده از دستگاه‌های تلفن همراه برای بهره‌گیری از خدمات و تسهیلات آنلاین را بررسی می‌کنیم.

فیشینگ، حمله‌ای مبتنی بر مهندسی اجتماعی است که هدف آن جذب کاربران ناآگاه به نسخه جعلی وب‌سایت‌های آشنا و مورد استفاده آنها است. این وب‌سایت‌ها طوری طراحی می‌شوند که به نظر برسد متعلق به یک سازمان یا منبع معتبر و مجاز هستند و کاربر را فریب می‌دهند تا اطلاعات لاگین و دسترسی را در اختیار آنها قرار دهند. حملات اسمیشینگ هم زمانی روی می‌دهند که یک پیام متنی به کاربر ارسال می‌شود و در آن از وی درخواست می‌شود بر روی لینک موجود در متن پیام کلیک کند و به این ترتیب کاربر به یک وب‌سایت جعلی هدایت شده یا مهاجم به لیست مخاطبین یا سایر اطلاعات محرمانه کاربر دسترسی پیدا می‌کند.

ویشینگ، یک حمله فیشینگ صوتی است که در آن یک تماس صوتی از مهاجم به قربانی مورد نظر گرفته می‌شود تا به نوعی وی را متقاعد به ارایه اطلاعات شخصی کند تا از این اطلاعات جهت آسیب رساندن به قربانی استفاده شود. در حال حاضر با فراگیر شدن گوشی‌های هوشمند، تبلت و هات­اسپات تعداد حملات مهندسی اجتماعی از طریق دستگاه‌های تلفن همراه هم افزایش یافته است.

در این بررسی ۲۰ کاربر تحت نظر قرار گرفته و به صورت راهبردی با آنها مصاحبه شد تا دانش، ادراکات و رفتار آنها هنگام رویارویی با حملات فیشینگ ارزیابی شود. نتایج نشان می‌دهد که مردان در فضای سایبری حس راحتی و اعتماد بیشتری دارند و نسبت به زنان در برابر مهندسی اجتماعی آسیب پذیرتر هستند. همچنین، این نتایج نشان می‌دهد که بیشتر کاربران، یا اطلاعات کمی درباره خطرات فیشینگ، اسمیشینگ و ویشینگ روی دستگاه‌های تلفن همراه دارند یا کاملاً از آن بی‌­اطلاع هستند.

جالب توجه است که ۵۵ درصد کاربران گاهی اوقات پیام‌هایی که حس می‌کنند مخاطره‌­آمیز هستند را بررسی می‌کنند و ۳۵ درصد هیچ وقت یا تقریباً هیچ وقت، هیچ پیامی را بررسی و موشکافی نمی‌کنند. همچنین کلمات فریبنده و وسوسه­‌آمیزی که در حملات فیشینگ مورد استفاده قرار می‌گیرند، به عنوان معیاری جهت محافظت از کاربران نهایی در برابر حملات فیشینگ ارایه شده‌اند. مشخص شد که بین سیستم عامل‌های پرکاربرد، سیستم عامل آی‌او‌اس به حملات فیشینگ مستعدتر است.

مقدمه

ابتکارات و نوآوری‌های فناوری‌های ارتباطی و اطلاعاتی (ICT) به زندگی کاری، شخصی و تفریحات ما نفوذ کرده‌اند. ما برای تصمیم­‌گیری در زمینه سرمایه­ گذاری و انجام کارهای شخصی، مالی و کاری به اینترنت متکی هستیم اما در کنار این پیشرفت‌ها هزاران مخاطره امنیتی وجود دارد که از آسیب‌پذیری‌های اینترنت و فناوری‌های وابسته به آن سوءاستفاده می‌کنند. این مخاطرات به شکل و فرم‌های مختلفی نمایان می‌شوند، مثل فروش اجناس فریبنده در سایت ای‌بِی با هدف فریب کاربران ناآگاه یا وعده سود هنگفت به قربانیان در صورت کمک به انجام یک تراکنش بانکی خارجی از طریق حساب بانکی خودشان و غیره.

فیشینگ سابقه بسیار طولانی دارد. فیشینگ، یکی از روش‌های متقاعد کردن کاربران به ارایه اطلاعات حساس خودشان مثل رمز عبور، حساب‌های بانکی، اطلاعات شخصی یا سایر داده‌های مالی حساس به یک مهاجم آنلاین است. یکی دیگر از حملاتی که به فیشینگ شباهت دارد، اسمیشینگ است. این حملات به جای ایمیل از طریق پیام متنی یا سرویس‌های پیام کوتاه (SMS) انجام می‌شوند.

اصطلاح ویشینگ از ترکیب کلمات فیشینگ (Phishing) و صدا (Voice) تشکیل شده است. در این حمله، یک تماس تلفنی دریافت می‌شود که در آن مهاجم مخاطب را فریب می‌دهد تا اطلاعات شخصی خود را افشا کند تا از این طریق آسیب و زیانی به وی وارد کند. به عنوان مثال، مشتری تماسی را در آخر هفته یا ساعات تعطیلی بانک دریافت می‌کند که وانمود می‌شود از طرف مرکز تماس بانکی است که در آن حساب دارد. اطلاعات جمع‌آوری شده توسط مهاجم برای انجام اقدام­های مجرمانه‌ای همچون کلاه­برداری یا سرقت هویت قابل استفاده است. عموماً مشتریان یا کاربران که از این به بعد به آنها قربانیان هدف گفته می‌شود، فریب داده می‌شوند که این اطلاعات را از طریق یک فرم یا با دانلود و نصب نرم افزاری مخرب ارایه کنند.

دستگاه تلفن همراه (یا رایانه تعبیه شده در گوشی یا صرفاً گوشی) یک دستگاه پردازشگر کوچک است که اغلب مواقع یک صفحه خروجی کوچک هم دارد و ممکن است ورودی لمسی یا صفحه کلیدی کوچک داشته باشد. این دستگاه، اعمال مقدماتی یک رایانه مثل کنترل، پردازش داده‌ها، جابه­جایی داده‌ها و ذخیره داده‌ها را انجام می‌دهد. پالم و هر نوع دستیار دیجیتال شخصی (PDA)، تبلت رایانه‌­ای و گوشی هوشمند همگی نمونه‌هایی از دستگاه‌های تلفن همراه هستند.

امروزه با فراگیر شدن فناوری، میزان استفاده از دستگاه‌های تلفن همراه برای دسترسی و مرور اینترنت و برنامه‌های کاربردی مختلف جهت انجام کارهای شخصی و شغلی بسیار متداول شده است. یکی از دلایل عمده افزایش استفاده از دستگاه‌های تلفن همراه، قابلیت حمل آنها و حفظ شارژ باتری برای مدتی طولانی است. استفاده از دستگاه‌های تلفن همراه در کنار برنامه‌های کاربردی مختلف، به دلیل کاربرد زیاد و حجم زیاد اتصالات آنها منجر به ایجاد هزاران چالش امنیتی می‌شود. موضوع این مقاله تحقیقاتی، مخاطراتی است که این فناوری‌های پردازشی را تهدید می‌کنند. به خصوص ما قصد داریم حجم فوق­العاده زیاد مخاطرات تهدید کننده دستگاه‌های تلفن همراه را مشخص کرده و درباره فیشینگ، اسمیشینگ، ویشینگ و تأثیرات آنها اطلاع ­رسانی کنیم.

تدوین مسأله

طبق آنچه در نوشته شده، حملات فیشینگ، اسمیشینگ و ویشینگ بر ضد دستگاه‌های تلفن همراه شدت گرفته و هیچ نشانه‌ای از کاهش این حملات مشاهده نمی‌شود. برای دو سال متوالی، تعداد موارد گزارش داده شده از این حملات در هر ماه بیش از ۱۶۰ برابر افزایش یافته است در حالی که تعداد وب‌سایت‌های فیشینگ گزارش داده شده منحصر به فرد، حدود ۱۶ برابر افزایش یافته و بیش از ۱۰۰ برند شناخته شده مورد حمله قرار گرفته‌اند.

این حملات به صورت ایمیل‌های واقعی انجام می‌شوند و طوری طراحی می‌شوند که به نظر برسد توسط فرستنده‌ای که هویت وی جعل شده ارسال شده‌اند. ممکن است در این ایمیل‌ها از گیرنده درخواست شود یک­سری اطلاعات کاربری حساس یا اطلاعات شخصی خودش را افشا کرده یا برای انجام اقدام­های بعدی بر روی یک لینک کلیک کند. برای مثال ممکن است در ایمیلی که وانمود می‌شود از طرف مدیر سیستم‌ها ارسال شده، از شما درخواست شود که اطلاعات شخصی از جمله رمز عبور خودتان را تا یک مهلت مشخص به این مدیر جعلی ارسال کنید در غیر این صورت حساب شما مسدود می‌شود. وقتی کاربر با اطلاعات درخواستی به چنین پیامی پاسخ می‌دهد، مهاجم می‌تواند از فرصت جهت آسیب رساندن به سیستم‌ها یا سوءاستفاده از هویت به سرقت رفته استفاده کند. تا مدتی پیش، دستگاه‌های تلفن همراه فقط در برابر ویروس‌ها و کرم‌ها آسیب پذیر بودند اما حالا نشانه‌هایی از حملات فیشینگ، اسمیشینگ و ویشینگ بر روی این دستگاه‌ها مشاهده می‌شود.

مطالعاتی که درباره دستگاه‌های تلفن همراه صورت گرفته نشان می‌دهد که بسیاری از کاربران در هنگام بازدید از وب سایت‌ها یا اجرای تراکنش‌های آنلاین، ملاحظه­های امنیتی را نادیده می‌گیرند. این مطالعه به دنبال بررسی و ارزیابی رفتار کاربران تلفن همراه و تعیین محدوده حملات و اثرات آنها است. ملاحظات مهم در این زمینه عبارتند از:

  1. محدوده حملات فیشینگ بر ضد کاربران دستگاه‌های تلفن همراه چقدر است؟
  2. ویژگی‌های حملات فیشینگ، اسمیشینگ و ویشینگی که بر روی دستگاه‌های تلفن همراه صورت می‌گیرند، چیست؟
  3. کاربران تلفن همراه چگونه تطمیع شده یا قربانی حملات فیشینگ می‌شوند؟

هدف کلی این مطالعه، ارزیابی سطح آگاهی کاربران دستگاه‌های تلفن همراه در رابطه با حملات فیشینگ است. ما به دنبال تعیین ساختار کلی و طبقه‌بندی حملات فیشینگ، اسمیشینگ و ویشینگی هستیم که معمولاً کاربران تلفن همراه با آنها روبرو می‌شوند. همچنین تأثیرات حملات فیشینگ، اسمیشینگ و ویشینگ را از نظر سرقت هویت، اطلاعات کاربر و دسترسی به حساب‌های کاربران بررسی می‌کنیم. در این مطالعه، برخی از ویژگی‌های کلیدی فیشینگ، اسمیشینگ و ویشینگ مثل استفاده از عبارت­های «اینجا کلیک کنید»، «دانلود کنید»، «اسناد»، «مشاهده»، «رمز عبور»، «حساب»، «تراکنش» و غیره بررسی می‌شود. همچنین در این مطالعه مشخص شده که عموماً مردان بیشتر از زنان از اینترنت استفاده کرده و نسبت به زنان نیز بیشتر مستعد قربانی شدن در برابر حملات فیشینگ، اسمیشینگ و ویشینگ هستند.

سازمان­دهی این مقاله به این صورت است که در این بخش مقدماتی، پیش­زمینه به همراه کارهای مرتبط و سپس مطالعات روز درباره این مخاطرات مورد بررسی قرار می‌گیرد. پس از آن، روش مورد استفاده بیان شده و سپس نتایج و یافته‌ها تشریح می‌شوند و در بخش نتیجه­‌گیری تحلیل نتایج انجام می‌شود.

مرور ادبیات

در این بخش، کارهای جدید و مرتبط با فیشینگ، اسمیشینگ و ویشینگ و همچنین تهدیدهای موجود بر ضد دستگاه‌های تلفن همراه و میزان آگاهی و پیامدهای این حملات بر روی کاربران نهایی با توجه به این که این مخاطرات از آسیب‌پذیری‌های انسان ­محور سوءاستفاده می‌کنند، مورد بررسی و تحلیل قرار می‌گیرد. آسیب‌پذیری‌هایی در دستگاه‌های تلفن همراه و همچنین در کاربران وجود دارد که از طریق ایمیل، پیام متنی یا پیامک، مرورگر وب و گوش کردن به ایمیل‌های صوتی آشکار می‌شوند که از آنها به عنوان ابزاری برای سوءاستفاده از آسیب‌پذیری‌های کاربران و کلاه­برداری استفاده می‌شود.

در اینجا مهندسی اجتماعی را به عنوان تهدید اصلی یا روشی که بیشتر حملات فیشینگ، اسمیشینگ و ویشینگ با استفاده از آن بر ضد دستگاه‌های تلفن همراه صورت می‌گیرند، در نظر می‌گیریم.

مهندسی اجتماعی

مهندسی اجتماعی، به توانایی فریب دادن یا تشویق فردی به افشای اطلاعات حساس یا امنیتی خودش گفته می‌شود. این تعریف قابلیت یا ابزارهای ورود به محیط‌ها، شبکه‌ها یا پایگاه‌های داده از طریق سوءاستفاده از ذهن افراد به جای استفاده از روش‌های هک تخصصی را دربرمی‌گیرد.

حملات مهندسی اجتماعی معمولاً با تلاش برای متقاعد کردن قربانی به انجام اقدام­‌هایی صورت می‌گیرد که قصد انجام آن را نداشته و ممکن است به زیان وی باشد. معمولاً از مهندسی اجتماعی برای توصیف اغفال و فریب به منظور جمع‌آوری اطلاعات، کلاه­برداری یا دسترسی به سیستم‌های رایانه‌­ای گفته می‌شود. در کتاب «هنر فریب: کنترل بر عنصر انسانی امنیت»، مهندسی اجتماعی به صورت زیر تعریف شده است:

«استفاده از نفوذ و متقاعد کردن جهت فریب دادن افراد با متقاعد کردن آنها به این که مهاجم، فرد دیگری است یا با شستشوی مغزی. در نتیجه، مهندس اجتماعی می‌تواند از افراد برای به دست آوردن اطلاعات یا متقاعد کردن آنها به انجام یک اقدام، (با یا بدون فناوری) استفاده کند».

بنابراین، مهندس اجتماعی از ویژگی­‌های قربانی یا فریب، نفوذ و متقاعد کردن برای جمع‌آوری اطلاعات شخصی یا کاری استفاده می‌کند. انگیزه اصلی در اینجا به دست آوردن اطلاعات مفیدی است که ممکن است امکان دسترسی غیرمجاز به یک سیستم ارزشمند و اطلاعات درون آن را برای مهاجم فراهم کند. در مطالعات، تعاریف مختلفی درباره مهندسی اجتماعی ارایه شده است، به عنوان مثال تعریف­‌های خاصی از مهندسی اجتماعی و روش‌های آن ارایه شده است. همچنین طبقه‌بندی خوبی از مهندسی اجتماعی انجام گرفته که به شرح زیر است:

  1. مهندسی اجتماعی از طریق تلفن (یعنی از طریق ارتباطات تلفنی) که در مطالعه ما ویژگی اسمیشینگ و ویشینگ محسوب می‌شود.
  2. حمله شیرجه در زباله‌ها (یعنی زباله‌های اداری یا الکترونیک)
  3. مهندسی اجتماعی آنلاین (یعنی در وب و از طریق وب­گردی) که در این مطالعه ویژگی فیشینگ محسوب می‌شود.
  4. متقاعد کردن (ارتباطات رو در رو)
  5. مهندسی اجتماعی معکوس.

این طبقه‌بندی صرفاً بر اساس روش‌های مورد استفاده انجام گرفته و نه ماهیت حملات. در این مطالعه، مهندسی اجتماعی به عنوان عمل اغوا کردن یا بازی با ذهن افراد جهت افشای اطلاعات کاربری رایانه­‌شان یا هر اطلاعات ارزشمندی که ممکن است برای کاربر، سیستم‌ها و داده‌های وی مخرب باشند، تعریف می‌شود. هدف فعالیت مهندسی اجتماعی، فریب کاربر یا به دست آوردن دسترسی به سیستم‌های وی است. لازم به ذکر است که در این مطالعه طبقه‌بندی به این صورت انجام گرفته است: مهندسی اجتماعی تلفنی (که از این به بعد به آن اسمیشینگ و ویشینگ گفته می‌شود)، مهندسی اجتماعی آنلاین و مهندسی اجتماعی معکوس که جزو انواع فیشینگ محسوب می‌شوند.

معمولاً مهندسی اجتماعی برای تمام کاربران رایانه‌­ای یک تهدید محسوب می‌شود. از این حمله در کنار سایر مسیرهای حمله استفاده می‌شود و عمدتاً از غفلت و بی‌­توجهی انسان‌ها سوءاستفاده می‌کند. این حمله پتانسیل وارد کردن آسیب‌های جدی به شبکه‌ها و سیستم‌های رایانه‌­ای را دارد. ممکن است اطلاعات محرمانه زیادی از طریق مهندسی اجتماعی افشا شوند. تعداد حملات امنیتی بر ضد دستگاه‌های تلفن همراه از سال ۲۰۰۶ افزایش یافته است. بیشتر این حملات امنیتی به دلیل نقص و ضعف در مرورگرهای وب رخ می‌دهند. همچنین، دنیای وب پر از کدهای مخرب است که به آسانی می‌توان آنها را دانلود کرده و به عنوان هرزنامه یا حمله فیشینگ جهت ترغیب کاربران به افشای اطلاعات حساس و همچنین اطلاعات سازمانی حساس استفاده کرد. افزایش دستگاه‌ها و برنامه‌های کاربردی تلفن همراه هم شرایط را برای اجرای حملات فیشینگ، اسمیشینگ و ویشینگ بر ضد کاربران تلفن همراه بدتر کرده است.

فیشینگ، اسمیشینگ و ویشینگ

در این بخش، تعریف‌ها و روش‌های فیشینگ، اسمیشینگ و ویشینگ را بررسی می‌کنیم. فیشینگ، اسمیشینگ و ویشینگ همچنان به دلایل زیر در بین مجرمان سایبری و در اقتصاد زیرزمینی بدافزارها جزو حملات مهم و برجسته محسوب می‌شوند:

  • هزینه پیاده ­سازی و اجرای یک حمله به طرز خیره کننده‌ای کم است و این امر منجر به کاهش موانع برای اجرای حمله توسط مجرم‌­های جدید می‌شود.
  • برای اجرای یک حمله، به کمترین سطح تخصص نیاز است. فرایند اجرای حمله کاملاً خودکارسازی شده و می‌توان با چند کلیک یک حمله فیشینگ را انجام داد.
  • هر چند مهندسی اجتماعی با فیشینگ، اسمیشینگ و ویشینگ جزو روش‌های قدیمی است اما همچنان پرتکرار و کارآمد محسوب می‌شود، به خصوص برای کاربران و دستگاه‌های تلفن همراه. روش‌های مورد استفاده توسط مهاجمین متنوع هستند، کاربران متقاعد می‌شوند که اطلاعات حساس و کلیدی را از طریق تلفن و اینترنت افشا کنند.

اسمیشینگ

فیشینگ

وقتی یک کاربر آنلاین فریب داده می‌شود تا اطلاعات محرمانه خودش مثل رمز عبور یا پین (شماره شناسایی شخصی) یا شماره حسابش را افشا کند، به این عمل فیشینگ گفته می‌شود. زمانی که یک صفحه لاگین جعلی از وب‌سایت یک شبکه اجتماعی مثل فیس­بوک، یاهو، Faces.com، فت­لایف، فیس­پارتی، وب سایت‌های حراجی و سایت‌های پردازش پرداخت‌های آنلاین به صورت ایمیل یا از طریق صفحه وب توسط یک مهاجم به یک فرد نامطلع ارسال می‌شود تا وی به این درخواست پاسخ دهد، یک حمله آغاز شده است. این وب سایت‌ها یا پیام‌ها طوری ساخته می‌شوند که شبیه سایت‌های واقعی باشند و همین امر موجب می‌شود تشخیص این موضوع توسط کاربر غیرممکن شود. ممکن است این­طور وانمود شود که ایمیل از طرف مدیر سیستم یا بخش خدمات فناوری اطلاعات ارسال شده و در آن از کاربر درخواست شود اقدام‌­های خاصی را انجام دهد، به عنوان مثال، «میزان مصرف شما در حال نزدیک شدن به بیشترین ظرفیت مجاز است، برای فعال ماندن حساب کاربری‌تان در این قسمت کلیک کنید». همین که کاربر، کلیک کرده یا اطلاعات خواسته شده را ارایه می‌کند، هکر مجرم (یا کرک کننده) از این اطلاعات برای نفوذ به سیستم‌ها یا حساب قربانی استفاده می‌کند. همچنین یک نوع فیشینگ هم وجود دارد که از طریق حمله مرد میانی (MITM) انجام می‌شود. در این حالت، قربانی از یک وب سایت درست و بدون مشکل بازدید کرده و سپس اطلاعاتش را وارد فرمی در صفحه لاگین جعلی می‌کند که جایگزین صفحه لاگین اصلی شده است. این کار بلافاصله منجر به هدایت کاربر به صفحه تحت کنترل مجرمین و افشای اطلاعات وی می‌شود.

این مطالعه تأیید می‌کند که فیشینگ، یک روش مهندسی اجتماعی است که در آن کاربران ناآگاه فریب داده می‌شوند تا اطلاعات حساس و شخصی را از طریق ایمیل، پیام فوری (IM)، چت آنلاین و چت سایر شبکه‌های اجتماعی آنلاین افشا کنند.

اسمیشینگ

در اینجا نگاهی به اسمیشینگ خواهیم داشت. اسمیشینگ یک نوع فیشینگ است که در آن از سرویس‌های پیام کوتاه یا پیام متنی بر روی گوشی تلفن همراه و گوشی هوشمند استفاده می‌شود. نام اسمیشینگ از فناوری پیام­رسانی اس‌ام‌اس استخراج شده است. کلاه­برداری از طریق اسمیشینگ دو فرایند عمده دارد: یکی از این فرایندها دریافت یک پیام متنی است که وانمود می‌شود از طرف یک منبع معتبر و شناخته شده مثل مدیر سیستم یا کارمند بانکی که در آن حساب دارید، ارسال شده است. دومی شامل دریافت یک پیام متنی درباره به سرقت رفتن هویت یا بلوکه شدن شماره حساب شماست. سپس یک وب سایت یا شماره تلفن به شما داده می‌شود تا از این طریق اطلاعات حساب­تان را تأیید کنید. سارقان پس از دریافت اطلاعات، به سراغ برداشت پول از حساب یا باز کردن یک حساب جدید به نام قربانی حرکت می‌کنند. در یک مورد مشابه، یک پیام متنی توسط قربانی از طرف یک منبع مورد اعتماد یا شناخته شده دریافت می‌شود که ممکن است همراه با یک پیوست باشد. این پیوست منجر به دانلود یک ویروس یا بدافزار بر روی دستگاه قربانی می‌شود که به نوبه خود باعث نصب یک روت­کیت یا در پشتی جهت دسترسی به همه اطلاعات گوشی هوشمند (لیست تماس، پیام‌های ورودی، برنامه‌های کاربردی روی گوشی و غیره) و گاهی حتی کنترل بر آن استفاده می‌شود.

ویشینگ

ویشینگ، به استفاده از فناوری‌های پیام­رسانی صوتی مبتنی بر آی‌پی (بیشتر صوت روی پروتکل اینترنت یا VoIP[۱]) برای مهندسی اجتماعی قربانی مورد نظر جهت ارایه اطلاعات شخصی، مالی یا سایر اطلاعات محرمانه با هدف دستیابی به منافع اقتصادی گفته می‌شود. اصطلاح «ویشینگ» از ترکیب «صدا» (Voice) و «فیشینگ» (Phishing) ایجاد شده است.

ویشینگ از اعتماد یک شخص به سرویس تلفن سوءاستفاده می‌کند زیرا معمولاً هدف مورد نظر از قابلیت‌های مجرمین برای استفاده از روش‌هایی مثل جعل شناسه تماس گیرنده و وجود سیستم‌های خودکار پیشرفته برای تأیید این نوع کلاه­برداری اطلاع ندارند اما با کاهش بازده حملات فیشینگ سنتی، مجرمان به سمت ویشینگ روی آورده‌اند تا اطلاعات حساب‌های مالی کاربر، رمزهای عبور و سایر داده‌های شخصی را به دست آورند.

سال‌ها پیش، کودکان می‌توانستند از طریق شماره‌های ثابت ناشناس مزاحم دیگران شده و با آنها شوخی کنند اما حتی در صورت تعویض مدار و استفاده از فناوری‌های دیجیتال یا الکترومکانیکی، باز هم امکان ردیابی شماره تماس گیرنده و گزارش دادن آن به مرکز مخابرات وجود داشت. با پیشرفت‌های اخیر سیستم تلفن آی‌پی، این امکان وجود دارد که یک تماس تلفنی از یک رایانه در هر جای دنیا برقرار شده یا به آن منتهی شود. علاوه بر این، مبلغ پرداختی هم ناچیز است و این موجب شده امکان انجام حملات ویشینگ افزایش پیدا کند.

دستگاه‌های تلفن همراه

دستگاه‌های تلفن همراه، شامل دستگاه‌های پردازشگر دستی هستند که اغلب از آنها جهت برقراری تماس تلفنی و پیام­رسانی و همچنین اجرای برنامه‌های کاربردی و سرویس‌های مختلف استفاده می‌شود.

با توجه به اهداف و مقاصد این مطالعه، دستگاه‌های تلفن همراه شامل دستیار دیجیتال شخصی، گوشی‌های هوشمند، رایانه­های قابل حمل مثل لپ­تاپ، نوت­بوک، ‌آی­پد، تبلت و غیره می‌شود. این دستگاه‌ها می‌توانند هر سیستم عاملی را داشته باشند به خصوص اندروید و آی‌او‌اس. به غیر از وزن و ابعاد فیزیکی، بیشتر دستگاه‌های تلفن همراه امروزی بر اساس قابلیت‌های پردازشی از جمله قدرت پردازش و ظرفیت ذخیره اطلاعات ارزیابی می‌شوند. یکی دیگر از ویژگی‌های مهم دستگاه‌های تلفن همراه قابلیت آنها در زمینه ارتباط از هر جایی و هر زمانی از طریق سرویس‌های هات­اسپات است. امروزه دانش آموزان یک کلاس معمولی همه نوع دستگاه رایانه­ای از لپ­تاپ و نوت­بوک گرفته تا آی­پد را دارند.

در این مطالعه لپ­‌تاپ، به دلیل قابلیت حمل و جابه­جایی به مکان‌های مختلف مثل کافی شاپ، کافه، کنار دریا و استخر، کمپ دانشگاه، هواپیما، اتوبوس و غیره یک دستگاه تلفن همراه در نظر گرفته می‌شود. رابط کاربری دستگاه‌های تلفن همراه کوچک بوده و فاقد شاخص‌های شناسایی برنامه کاربردی موجود در مرورگرها و سیستم عامل دسک­تاپ هستند زیرا در هر لحظه تنها یک برنامه کاربردی تلفن همراه قادر به کنترل صفحه است.

از این جهت خط­‌مشی‌های امنیتی درباره استفاده و محافظت از لپ­تاپ و دستگاه‌های تلفن همراه (سنتی) در برخی مطالعات بسیار زیاد و متفاوت هستند. تعریف مورد استفاده ما برای دستگاه‌های تلفن همراه با تعریف مورد استفاده در کارهای تحقیقاتی مشابه در حوزه امنیت اطلاعات یک­سان است. به عنوان مثال، دستگاه تلفن همراه را شامل PDA، گوشی تلفن همراه، لپ­‌تاپ و گوشی هوشمند در نظر می‌گیرند که در صورت عدم محافظت درست و مناسب می‌توانند منجر به تهدید دارایی‌های سازمانی شوند.

عوامل تهدید کننده دستگاه‌های تلفن همراه

مشکل فیشینگ، اسمیشینگ و ویشینگ بسیار گسترده‌تر از آن است که در بخش مالی یا پروژه‌هایی که در آن بحث پول دخیل است، مورد بحث قرار می‌گیرد. بسیار مهم و لازم است که یک سازوکار احراز هویت دوطرفه جهت حل مشکلات موجود در زمینه مدیریت هویت مورد استفاده قرار گیرد. با توجه به روند فعلی، ممکن است حملات فیشینگ فراتر از به دست آوردن شناسه شخصی و جمع‌آوری اطلاعات لاگین برای دستیابی به سایر اطلاعات در فضای سایبری شوند.

چالش‌های امنیتی مختلفی هستند که در نتیجه آنلاین بودن کاربران رخ می‌دهند. این چالش‌ها ممکن است به دلیل استفاده از عمل تغییر مسیر HTTP ایجاد شوند. مخاطراتی هم در زمینه کنترل یک شناسه باز (یا Open ID) وجود دارد. شناسه باز، یک استاندارد باز است که به کاربران امکان می‌دهد هویت دیجیتال داشته باشند که این هویت توسط سرویس‌های شخص سوم یا نهادهایی تحت عنوان طرف مورد اطمینان (Relying Party یا به اختصار PR) تصدیق می‌شود. پروتکل شناسه باز در برابر حملات فیشینگ آسیب پذیر است زیرا یک طرف مورد اطمینان بدخواه می‌تواند کاربر را تغییر مسیر دهد تا از یک وب سایت جعلی بازدید کند و از این طریق اطلاعات لاگین کاربر (Open ID) جمع‌آوری شود. هکر که وب سایت جعلی را تحت کنترل دارد می‌تواند از این اطلاعات برای ورود به هر سرویس تحت وبی استفاده کند.

مرجع [۲۰] پیشنهاد می‌دهد که به منظور کاهش این آسیب‌پذیری «برای احراز هویت متقابل موفق نباید کاربر ملزم باشد که همیشه  از یک رایانه استفاده کند یا یک نرم افزار خاص نصب کند». مشخص است که روش‌های مختلفی برای به خطر انداختن دستگاه‌های تلفن همراه وجود دارد. ما در این مقاله به دنبال تأکید بر مخاطرات کلیدی هستیم که از آسیب‌پذیری‌های دستگاه‌های تلفن همراه سوءاستفاده می‌کنند، چه برای داده‌های آنلاین و مرور وب یا ارتباطات دستگاه‌ها. در این بخش، بیشتر به دنبال بحث در رابطه با مخاطرات ناشی از فیشینگ، اسمیشینگ و ویشینگ هستیم.

عوامل ایجاد کننده آسیب پذیری

محققین، نظرهای مختلفی درباره دلیل فریب خوردن افراد از کلاه­برداران رایانه­ای دارند. مدتها است که موضوع­های فیشینگ، اسمیشینگ و ویشینگ همراه ما بوده­اند، به خصوص فیشینگ که می‌توان گفت سال‌ها با ما بوده است. یکی از دلایل این موضوع، علاقه و اعتماد روز افزون مردم به وب سایت‌ها بر اساس ظاهر آنها و نه بر اساس ماهیت کلی وب سایت است. معمولاً کلاه­برداران و هکرها به آسانی از این نقطه ضعف سوءاستفاده می‌کنند. فقدان دانش درباره ویژگی‌های امنیتی مختلف وب سایت‌ها، کارت‌های اعتباری و خودپردازها هم یکی دیگر از دلایل آسیب‌پذیری است. این امر منجر به ایجاد یک حس ترس، عدم اطمینان و شک (FUD[۲]) می‌شود. همچنین، افزایش تعداد کاربران گوشی‌های هوشمند که داده‌های بسیاری را ذخیره می‌کنند هم می‌تواند یکی دیگر از دلایل آسیب‌پذیری باشد. وقتی یک گوشی هوشمند، هک شده یا به نوعی در کنترل مجرمین قرار می‌گیرد، امکان سرقت داده‌ها، اجرای حمله، نصب بدافزار بر روی سرور و اقدام­های متعدد دیگری توسط مهاجمین وجود دارد.

کاربران در زمینه مسایل امنیتی انعطاف­پذیر نیستند و عده زیادی از آنها در موضوع امنیت به روش‌های سنتی و قدیمی پایبند هستند. بیشتر کاربران به ندرت راهکارهای امنیتی مورد استفاده­شان در فضای سایبری را تغییر داده یا از راهکارهای جدید استفاده می‌کنند. این افراد به تصورات و گفته‌هایی پایبند هستند که خلاف واقعیت هستند. به عنوان مثال این که سازوکار محافظت آنلاین آنها به اندازه کافی قوی است. برخی از آنها پنجره‌های پاپ‌آپ را مشکل آفرین نمی‌دانند و از نظر آنها مطالعه و درک دفترچه‌های راهنمای کاربر، پیچیده و سخت است. علاوه بر این، بعضی از کاربران نسبت به امنیت یا واقعی بودن یک وب سایت بی­توجه هستند و این در حالی است که بسیاری از وب سایت‌ها جعلی هستند. مطالعات نشان داده‌اند که هر چند کاربران با اصطلاح­هایی همچون ویروس، کرم، کلاه­برداری آنلاین و جعل رایانه­ای آشنایی دارند اما نسبت به فیشینگ، اسمیشینگ و ویشینگ بی­توجه هستند. با این وجود آنهایی که اطلاعاتی در این زمینه دارند گاهی بر این باور هستند که مخاطرات بزرگ و مهم فقط نهادهای شرکتی مثل بانک‌ها و شرکت‌های مخابراتی را تهدید می‌کنند نه داده‌های کاربران را.

آسیب پذیری‌های قربانیان سایبری

در ادامه برخی آسیب پذیری‌ها و نظریه‌های مربوط به قربانی سایبری را بررسی می‌کنیم که در آنها دستگاه‌های تلفن همراه آسیب پذیر در برابر فیشینگ، اسمیشینگ و ویشینگ مورد بررسی قرار گرفته‌اند. با توجه به افزایش تعداد کاربرانی که با گوشی تلفن همراه به اینترنت متصل می‌شوند، حوزه حملات تلفن همراهی گسترش و پیچیدگی بیشتری پیدا کرده است. همان­طور که در [۲۹] ذکر شده، آشنایی با عواملی که موجب شده کاربران، قربانی حملات سایبری شوند می‌تواند به طراحی راهکارهای مناسب جهت کاهش مخاطرات و همچنین به ایجاد آگاهی‌های لازم کمک کند. در [۲۹] الگوهای رفتاری قربانیان از نظر دانش قبلی و درک آنها و همچنین رفتار آنها در محیط وب نسبت به URLها، امکانات و آیکون‌های امنیتی مورد بررسی قرار گرفته است. همچنین تجربیات قبلی آنها در زمینه حملات سایبری هم مورد ملاحظه قرار گرفته است. مشخص شد افرادی که دانش یا تجربیاتی داشته‌اند نسبت به آنهایی که هیچ دانش قبلی نداشتند، کمتر آسیب پذیر بودند. همچنین این مطالعه نشان می‌دهد که آموزش کاربران (از طریق ایجاد آگاهی) به جای ارایه پیام‌های هشدار که از طریق ایمیل یا پیامک ارسال می‌شوند، تأثیرات مثبتی بر کاهش سطح آسیب پذیری آنها داشته است.

برای توضیح دلایل اصلی آسیب پذیر شدن کاربران در برابر حملات سایبری، از نظریه‌های مختلفی استفاده می‌شود. به عنوان مثال، نظریه انتخاب منطقی توضیح می‌دهد که کاربران «هدف­گرا» هستند و بر اساس مجموعه انتخاب‌ها یا گزینه‌های در دسترس تصمیم­گیری می‌کنند با این هدف که سطح سودمندی را به حداکثر برسانند. با در نظر گرفتن این موضوع برای کاربرانی که در برابر فیشینگ، اسمیشینگ و ویشینگ آسیب پذیر هستند می‌توان گفت که این کاربران در هنگام دریافت یک ایمیل، پیام متنی یا پیام صوتی سعی دارند به گونه‌ای تصمیم­گیری کنند که منطقی بوده و سودمندی را به حداکثر برسانند.

به طور مشابه در مدل پذیرش فناوری گفته می‌شود که کاربران تحت تأثیر سودمندی یا راحتی استفاده (متصور شده از) یک راهکار امنیتی خاص قرار می‌گیرند، تا حدی که ممکن است بر اساس تصوراتی که (مثلاً) درباره سیستم‌های ضدفیشینگ دارند، قربانی جرایم سایبری شوند. نظریه ترکیبی پذیرش و استفاده از فناوری به عنوان یک نسخه ارتقا یافته از نظریه مدل پذیرش فناوری بر این باور است که ممکن است یک کاربر بر اساس انتظارات، مقاصد و شرایطی که برای توانمندسازی و کمک به وی طراحی شده‌اند، قربانی سایبری شود. این نظریه توضیح می‌دهد که احتمال توجه یک کاربر به راهکارهای کاهش مخاطرات سایبری که آنها را راحت و آسان تلقی نمی‌کند، کمتر است.

طبق نظریه کاربر تنبل، کاربران به راهکارهای کاهش مخاطره توجه نمی‌کنند و هیچ اقدام امنیتی را انجام نمی‌دهند مگر این که تجربه یا حادثه‌ای در این زمینه برای آنها رخ داده باشد.

پیشرفت‌های فناورانه در اقتصاد زیرزمینی بدافزارها عبارتند از مبهم­سازی URL، دانلود و نصب کدهای مخرب از وب سایت‌ها، استفاده از طرح‌های انکدینگ متناوب، آسیب پذیری‌های جعل مرورگر وب، حملات DNS، تزریق اسکریپت و غیره. از این نظر ممکن است شناسایی پیام‌های جعلی برای کاربران معمولی سخت باشد. مسلماً آموزش امنیتی وسیع، تعلیم و آگاهی­بخشی یک راه مطمئن برای مقابله با خطرات فیشینگ، اسمیشینگ و ویشینگ است. هنوز هم ضعیف‌ترین حلقه در زنجیره امنیت دستگاه‌های تلفن همراه، کاربران نهایی هستند.

داده کاوی متنی

داده کاوی متنی به فرایند بررسی داده‌ها از زاویه‌های مختلف و تبدیل آن به اطلاعات مفید و مختصر گفته می‌شود. در اینجا داده‌ها شامل حقایق، عددها، عکس­ها، متن و صوت هستند. داده کاوی متنی، زیرمجموعه‌ای از داده کاوی است که در آن از مدل‌های آماری پیچیده و روش‌های یادگیری ماشینی جهت تحلیل داده‌های غیرساخت یافته موجود در متن‌های زبان طبیعی استفاده می‌شود با این هدف که از آنها دانشی استخراج شود که به تصمیم­گیری‌های کسب و کاری کمک کند.

در یک تحلیل معمولی با استفاده از داده کاوی متنی، ساختارهای چند متغیره‌ای که جهت بررسی تأثیر آموزش‌های ضدفیشینگ ارایه شده در شرکت‌های فناوری مختلف انجام شده بود، نشان داد که پس از جلسات آموزشی امکان قربانی شدن کاربران در برابر حملات سایبری کمتر شده و احتمال تشخیص وب سایت‌های جعلی توسط آنها افزایش می‌یابد. جالب توجه است که این مطالعه نشان داد که کاربران در تفسیر URLهای طولانی دچار مشکل می‌شوند.

یک مطالعه دیگر نشان داد که دیدگاه کارشناسان امنیت سایبری درباره اثربخشی آموزش‌های امنیتی مورد استفاده جهت مبارزه با کلاه­برداری‌های فیشینگ متفاوت است. همچنین در این مطالعه توصیه شد که نیاز است برنامه‌های آموزشی سرگرم کننده‌تر شده و جهت پیشبرد اهداف امنیتی از شبکه‌های اجتماعی استفاده شود.

روش مورد استفاده

در این بخش، روش تحقیق و رویکرد مورد استفاده در این مطالعه بیان می‌شود. این بخش شامل تحقیق درباره انواع حملاتی است که بر روی دستگاه‌های تلفن همراه صورت می‌گیرد. نمونه‌ها به صورت هدفمند از بین دوستان و خانواده، همکاران اداری و برخی از دانشجویان محوطه یک دانشگاه انتخاب شدند. مجموعه داده‌ها تحلیل شده و توسط شرکت Telcos که در کشور غنا کار می‌کند طبقه‌بندی شدند اما تحلیل نتایج به صورت ناشناس صورت گرفت. سیستم عامل دستگاه‌های تلفن همراه انتخابی محدود به سیستم عامل‌های پرکاربرد یعنی ویندوز، اندروید و آی‌او‌اس بود.

با جستجوی کتابخانه‌های الکترونیک مختلف، پایگاه‌های داده آنلاین، اسناد و مجله‌ها بررسی کاملی از نوشته‌ها و تحقیقات گذشته صورت گرفت. بر اساس این اقدام­ها، فرایند جمع‌آوری داده‌ها انجام شد که به بهبود فرضیات و سؤالات تحقیق ما کمک کرد.

پیش از نظرسنجی، جلسه‌ای با کاربران انتخابی (نمونه‌ها) برگزار شد تا به آنها درباره اهداف تحقیق اطلاع­رسانی شده، مفاهیم کلیدی برای­شان تشریح شده و درباره حفظ محرمانگی پاسخ‌ها به آنها اطمینان داده شود. برای جمع‌آوری مجموعه داده­های مورد تحلیل، مصاحبه‌های راهبردی با آنها انجام گرفت. این مصاحبه‌ها جهت جمع‌آوری دیدگاه کاربران درباره تهدیدهای فیشینگ، اسمیشینگ و ویشینگ در گوشی‌های تلفن همراه انجام گرفت و منجر به دستیابی به اداراکات و اطلاعاتی درباره مسایل مربوط به قربانیان جرایم سایبری و دیدگاه‌های آنها شد.

نمونه‌های هدف استخراج شده ۲۰ نفر بودند و پیش زمینه‌های مختلفی در زمینه مدیریت پایگاه داده، سرمایه­گذاری، مدیریت کسب و کار، ارتباطات راه دور یا تخصص فناوری داشتند. نمونه‌های انتخاب شده (کاربران نهایی) در جریان اقدام­های مورد انتظار قرار گرفته و از آنها خواسته شد حوادث سایبری خاصی را از وب سایت‌ها، ایمیل‌ها، پیام‌های متنی، پیام­رسان‌ها، ایمیل‌های صوتی و تماس‌های صوتی دریافت شده در دوره مطالعه گزارش دهند. مثل مطالعات مشابه، در این مطالعه نیز مخاطرات به دو گروه حملات فیشینگ سنتی و معاصر تقسیم­بندی شدند. نوع سنتی شامل ایمیل‌ها و تقاضای مطرح شده در وب سایت‌ها (و پاپ‌آپ‌ها) با هدف ترغیب کاربران به ارایه اطلاعات کاربری می‌شود. نوع معاصر شامل پیام‌های متنی، چت فیس­بوک، پیام‌های واتس­آپ، پیام­رسان‌های فوری (از طریق اسکایپ، توییتر، پیام­رسان مایکروسافت، یاهو مسنجر و غیره)، ایمیل صوتی و تماس تلفنی می‌شود.

از شرکت کنندگان تقاضا شد که هر اتفاق یا پیام مشکوکی را برای اعتبارسنجی به محققین گزارش دهند. سپس آنها ملزم به ثبت گزارش با یادداشت‌های مختصری درباره حمله جهت تحلیل‌های بیشتر شدند. لازم به ذکر است که حملات ویشینگ اعتبارسنجی نشدند زیرا ممکن است امکان بررسی تماس‌ها وجود نداشته باشد.

چند مورد از ویژگی‌های کلیدی اقدامات و حوادثی که شرکت کنندگان باید به دنبال آنها باشند، عبارتند از:

خصوصیات کلی

  1. برای مشاهده آنلاین حساب (یا فایل) اینجا کلیک کنید.
  2. همین حالا امتحان کنید.
  3. در صورت فراموشی رمز عبور اینجا کلیک کنید.
  4. شما یک پیام امن دریافت کردید.
  5. برای به­‌روزرسانی و تغییر رمز عبور حساب شبکه اجتماعی خود اینجا کلیک کنید.

خصوصیات فیشینگ

  1. مستندات شما تکمیل شدند. جهت مشاهده، دانلود یا چاپ این مستندات اینجا کلیک کنید. این پیام توسط مدیر به شما ارسال شده است.
  2. شما یک پیام از ……. دریافت کردید، جهت رمزگشایی پیام رمز عبورتان را وارد کنید.
  3. جهت خواندن پیام رمزگشایی شده، فرم را پر کرده، روی پیوست کلیک کنید تا فایل بر روی رایانه شما دانلود شود.
  4. مشاهده فعالیت‌های اخیر
  5. …….. می‌خواهد در فیس­بوک با شما دوست شود.

خصوصیات اسمیشینگ

  1. من پروفایل فیسبوک شما را مشاهده کردم و دوست دارم با شما چت کنم.
  2. اطلاعیه انتقال وجه (جزئیات تراکنش ضمیمه شده است).
  3. جهت مشاهده جزئیات کامل، از این وب سایت بازدید کنید.
  4. جهت تسهیل انتقال وجه به حساب شما، تقاضا داریم این اطلاعات را به کارمند (بانک) ارسال کنید.
  5. من چیزی (اطلاعات یا فایلی) دارم که باید ببینی.

یافته‌ها

در این بخش، نتایج و یافته‌های مطالعه به روشی باقاعده ارایه می‌شود. متن‌ها، جدول­‌ها و شکل­‌ها به صورتی سازمان­دهی شده‌اند که درک و تفسیر یافته‌ها آسان­تر شود.

یافته‌های این نظرسنجی در ابتدا پیش پردازش شدند تا یک مجموعه داده یکپارچه ایجاد شود. همچنین از مصاحبه‌ها یادداشت­برداری و سپس پیش پردازش شد. مجموعه داده­ها متشکل از ۶۰ درصد مرد و ۴۰ درصد زن بودند.

شاخص‌های کلیدی بررسی شده عبارتند از دانش کاربر درباره استفاده کلی از فضای مجازی، رفتار کاربر در فضای مجازی و درک کاربران از خطرات فیشینگ بر روی گوشی‌های تلفن همراه.

دانش کاربر درباره تسهیلات آنلاین

ما در این بخش سطح دانش کاربران درباره سرویس‌های آنلاین ابتدایی مثل مرور وب، پاسخ به پاپ‌آپ‌ها و پر کردن فرم‌های آنلاین را بررسی کردیم. محدوده اطلاعات فنی یا آگاهی فناورانه کاربران در زمینه مرور وب، پاپ‌آپ‌ها، استفاده از تسهیلات آنلاین و راحتی کاربران در استفاده از سرویس‌های آنلاین به صورت نمودار در شکل ۱-۴ مشخص شده است.
فیشینگ

این یافته‌ها تأیید می‌کنند که مردها نسبت به زنان اطلاعات بیشتری در زمینه فناوری داشته و احتمال استفاده آنها از فناوری‌های جدید نسبت به زنان بیشتر است.

رفتار آنلاین کاربر

در این قسمت، ما رفتار کاربر در هنگام رویارویی با پیام‌هایی که خوب درک نشده‌اند، باز کردن پیوست­های ایمیل (حتی پیوست­های ارسال شده توسط منابع ناشناس)، واکنش به مخاطرات و درخواست‌های آنلاین (با کلیک بر روی لینک‌ها) را بررسی کردیم. طبق نظریه تغییر فضا (STT) این احتمال وجود دارد که کاربران در فضای آنلاین نسبت به فضای غیرآنلاین رفتار متفاوتی از خود نشان دهند. این نظریه اعلام می‌کند که ممکن است افرادی با موقعیت یا جایگاه اجتماعی خوب، رفتارهای مجرمانه‎شان را در دنیای واقعی سرکوب کنند اما احتمال زیادی وجود دارد که این افراد در فضای سایبری مرتکب جرم شوند. در واقع نگرانی‌های فرد نسبت به جایگاه و موقعیتش در فضای فیزیکی به فضای سایبری منتقل نمی‌شود که دلیل این موضوع ناشناس ماندن در فضای سایبری است که به کاربران (به خصوص قربانیان) امکان می‌دهد نسبت به بیان مسایل شخصی خودشان در برابر غریبه‌ها احساس راحتی بیشتری داشته باشند.

ما هم در این قسمت به دنبال کسب اطلاعات درباره چگونگی گرفتار شدن افراد در برابر حملات فیشینگ یا کلاه­برداری آنلاین هستیم. شکل ۲-۴ نشان می‌دهد که کاربران در برابر اقدام نسبت به پیام‌های ناشناس و باز کردن فایل‌های پیوست و کلیک بر روی لینک‌های ارسال شده به همراه درخواست کلیک روی این لینک‌ها، چقدر حس راحتی و اعتماد دارند. در مجموع، ۶۵ درصد کاربران نسبت به ارایه اطلاعات لاگین خودشان اقدام کرده و احتمال فریب خوردن آنها با ارایه پیشنهاد ویژه و تخفیف درباره اقلام مورد نظرشان وجود داشت. همچنین مشخص شد که این افراد به بانک‌ها جهت محافظت از خودشان در برابر کلاه­برداران اعتماد داشته و بانک را مسئول ناآگاهی خود می‌دانند. ۱۰ درصد از کاربران نسبت به ارایه اطلاعات­شان در فضای آنلاین محتاط بودند و ۲۵ درصد نسبت به خصوصیات فضای مجازی بی­اطلاع و بی­توجه بودند. این افراد تصور می‌کنند که هیچ کس قصد آسیب رساندن به آنها را ندارد.

فیشینگ

درک کاربران از مخاطرات و تهدیدهای آنلاین

در این بخش میزان درک کاربران از حملات فیشینگ، اسمیشینگ و ویشینگ روی گوشی‌های تلفن همراه را بررسی می‌کنیم. برخی معیارهای مهمی که در این زمینه مورد بررسی قرار گرفتند، عبارتند از سطح آگاهی نسبت به این مخاطرات و آسیب‌های ناشی از آن، میزان بررسی و موشکافی پیام‌های دریافت شده قبل از اقدام نسبت به آنها و احتمال تبدیل شدن به یک قربانی سایبری.

فیشینگ

نتایج نشان می‌دهد که بیشتر کاربران یا اطلاعات کمی درباره تهدیدهای فیشینگ، اسمیشینگ و ویشینگ برای دستگاه‌های تلفن همراه دارند یا کاملاً از آن بی­اطلاع هستند. ۳۵ درصد از کاربران در حد متوسط یا زیاد نسبت به این تهدیدها آگاهی دارند. از نظر بررسی و موشکافی پیام‌ها یا درخواست‌های دریافتی، ۵۵ درصد گاهی اوقات پیام‌هایی که مخاطره­آمیز تلقی می‌شوند را بررسی می‌کنند اما ۳۵ درصد هرگز یا تقریباً هرگز هیچ پیامی را بررسی و موشکافی نمی‌کنند.

فیشینگ

شکل ۴-۴ سطح نگرانی مشاهده شده درباره تهدیدات فیشینگ و اسمیشینگ برای دستگاه‌های تلفن همراه را نشان می‌دهد. جالب توجه است که نگرانی نسبت به خطرات اسمیشینگ و ویشینگ برای دستگاه‌های تلفن همراه متوسط تا فوق­العاده کم است. حدود ۱۵ درصد از کاربران، قربانی حملات اسمیشینگ می‌شوند و ۵ درصد قربانی حملات ویشینگ می‌شوند.

فیشینگ
شکل ۵-۴ با استفاده از روش‌های داده کاوی متنی برای Wordle.net، طبقه‌بندی کلمات کلیدی و عبارتی که کاربران جهت مقابله با فیشینگ، اسمیشینگ و ویشینگ باید مراقب آنها باشند را نشان می‌دهد، به عنوان مثال {پیام؛ کلیک؛ رمز عبور؛ سند؛ دانلود؛ لینک؛ حساب؛ مشاهده؛ غیره.}

برای بررسی میزان گستردگی حملات فیشینگ بر روی دستگاه‌های تلفن همراه مشاهده کردیم که مجموعه داده‌های زیر بر اساس نوع سرویس مورد استفاده جهت اجرای حملات فیشینگ طبقه‌بندی شده‌اند. شکل ۶-۴ نشان می‌دهد که احتمال استفاده از ایمیل برای فیشینگ بیشتر است، در حالی که احتمال استفاده از اسکایپ بسیار کم است.

فیشینگ
در زمینه توزیع حملات، شکل ۷-۴ نشان می­دهد که حملات فیشینگ بر روی دستگاه‌های تلفن همراه متداول‌تر بوده و میزان حملات ویشینگ روی این دستگاه‌ها کمتر است.

فیشینگ

لازم به ذکر است که کاربران مورد بررسی از سرویس‌های ارتباطی تلفن همراه ۴ اپراتور (بین ۶ اپراتور) استفاده می‌کردند. از شکل ۸-۴ مشخص است که Telco D هیچ حمله اسمیشینگ و ویشینگی نداشته است. ممکن است دلیل این امر راهکارهای قوی جهت فیلتر کردن پیام‌های مشتریان یا استفاده کمتر از سرویس‌های این شرکت باشد. در مقابل Telco B بیشترین آسیب‌پذیری را دارد که شاید دلیل آن استفاده بیشتر از سرویس‌های این اپراتور یا فیلترهای امنیتی ناکافی یا مسأله تشخیص منفی کاذب در سیستم تشخیص نفوذ باشد که باعث می‌شود پیام‌های مشکوک فیلتر نشوند.
فیشینگ

در نهایت، شکل ۹-۴ میزان مستعد بودن سیستم عامل‌های تلفن همراه به این حملات را نشان می‌دهد. همان­طور که پیش از این مشخص شد، تنها سیستم عامل‌های محبوب مورد بررسی قرار گرفتند. نتایج نشان می‌دهند که سیستم عامل آی‌او‌اس آسیب پذیرترین سیستم عامل است و سیستم عامل ویندوز کمترین آسیب‌پذیری را دارد. شاید دلیل این موضوع استفاده بیشتر نمونه‌های این مطالعه از دستگاه‌های مبتنی بر سیستم عامل آی‌او‌اس بوده است. برای بررسی میزان آسیب پذیری واقعی این سیستم عامل‌ها نیاز به مطالعات بیشتری وجود دارد.

فیشینگ

نتیجه‌گیری

در این بخش یافته‌های کلیدی این مطالعه به صورت خلاصه بررسی شده، محدودیت‌های مطالعه مورد بحث قرار می‌گیرد و نتایج مطالعه برای کارهای آتی ارایه می‌شود.

هدف این مطالعه شناسایی مخاطرات و تهدیدهای موجود برای دستگاه‌های تلفن همراه و رفتار و درک کاربران نسبت به این خطرات بود. ما سعی کردیم میزان تأثیرات حملات فیشینگ برای دستگاه‌های تلفن همراه را بررسی کنیم. در مجموع مشخص شد که دانش فنی مردها در رابطه با عملکرد سرویس‌ها و تسهیلات اینترنتی در حد مناسب قرار دارد. همچنین مشخص شد که آنها در فضای سایبری احساس راحتی و اعتماد بیشتری دارند و در نتیجه نسبت به زنان در برابر حملات تلفن همراه آسیب پذیرتر هستند.

ما رفتار کاربران در هنگام استفاده از خدمات تلفن همراه آنلاین را بررسی کردیم. نظریه تغییر فضا در این زمینه معتبر و درست به نظر می‌رسد از جمله تغییر ماهیت رفتاری مجرمین سایبری در فضای آنلاین نسبت به دنیای واقعی. همچنین مشخص شد که کاربران نسبت به وفور حملات فیشینگ برای دستگاه‌های تلفن همراه ناآگاه یا بی­توجه هستند و بیشتر کاربران نسبت به حملات سایبری نگرانی کمی داشتند یا به هیچ وجه نگران نبودند.

همچنین طبقه‌بندی کلمات فریبنده و اغوا کننده مورد استفاده در حملات فیشینگ می‌تواند به عنوان معیاری جهت محافظت از کاربران در برابر حملات سایبری مفید باشد. هر چند یافته‌های این مطالعه به صورت تجربی مورد استنباط قرار گرفتند اما این امکان برای ما وجود نداشت که تعداد نمونه‌ها را افزایش دهیم تا بتوانیم یافته‌ها را تعمیم دهیم. مسلماً بهتر است در مطالعات بعدی ارتباط بین آسیب‌پذیری‌ها و سیستم عامل‌های تلفن همراه مشخص شده و تعیین شود که آیا ارتباطی بین اپراتورهای شبکه تلفن همراه و وسعت آسیب‌پذیری‌های مرتبط با فیشینگ وجود دارد یا خیر.

نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

11 − 8 =

دکمه بازگشت به بالا
بستن
بستن