ویشینگ، فیشیگ و بسیاری از انواع دیگر حملات از جمله تهدیدهای امنیتی امروزی، برای سوءاستفاده از نقاط ضعف فناوری به میزان زیادی به روشهای مهندسی اجتماعی وابسته هستند؛ روشهایی که برای متقاعد کردن افراد به انجام کارهایی خاص یا افشای اطلاعات محرمانه مورد استفاده قرار میگیرند. به عنوان مثال میتوان گفت فیشینگ در حال حاضر پرکاربردترین خطری است که اینترنت و کاربران آن را تهدید میکند.
پیش از این، فیشینگ فقط به استفاده از ایمیل جهت انتقال پیامهایی گفته میشد که هدف آنها متقاعد کردن دریافت کننده به بازدید از یک وبسایت جعلی بود که جهت سرقت اطلاعات لاگین کاربران طراحی شده بود اما این تهدید امنیتی با سرعت زیادی متحول شد و تبدیل به یک گروه بزرگ از مخاطرات امنیتی شد که برای متقاعد کردن گیرنده به انجام فعالیتهای مورد نظر مجرمین به مهندسی اجتماعی متکی بود؛
فعالیتهایی که فیشر را قادر به اجرای مرحله دوم حمله میکرد. فیشرها برای اجرای حملاتشان به سیستمهای پیامرسان اینترنتی مختلفی متکی هستند. به این ترتیب برای هر یک از تهدیدهای امنیتی مشابه فیشینگ بر اساس سیستم پیامرسان مورد استفاده آنها، یک نام خاص انتخاب شد. هر یک از این مخاطرات امنیتی ویژگیهای ظریف و مخاطبین خاص خود را دارد. زیرمجموعههای فیشینگ عبارتند از:
- فارمینگ: دستکاری رکوردهای سرور نام دامنه (DNS) جهت تغییر مسیر قربانیان
- فیشینگ هدفمند: شامل حملاتی است که به شدت هدفمند هستند.
- اسمیشینگ: استفاده از سرویس پیام کوتاه (SMS) بر روی گوشی موبایل
- ویشینگ: در این حمله از تماس صوتی مبتنی بر پروتکل اینترنت (IP) استفاده میشود
در این مقاله، حملات فیشینگ و مسیرهای فعلی و آینده برای انجام این حملات مورد تحلیل و بررسی قرار میگیرد.
ویشینگ چیست؟
ویشینگ (Vishing)، به عمل استفاده از فناوریهای پیامرسان صوتی مبتنی بر IP (بیشتر پروتکل صدا روی اینترنت یا VoIP) جهت مهندسی اجتماعی قربانی مورد نظر برای دریافت اطلاعات شخصی، مالی یا سایر اطلاعات محرمانه با انگیزه دستیابی به منافع اقتصادی گفته میشود. اصطلاح ویشینگ از ترکیب کلمات Voice و Phishing ایجاد شده است.
استفاده از سیستم تلفن ثابت برای متقاعد کردن دیگران به انجام کارهای ناخواسته، از زمان ظهور تلفن وجود داشت. خیلی از ما تجربه مزاحمت تلفنی در آن دوران را داشتیم اما سرویس تلفن ثابت در نهایت به یک محل فیزیکی به نام مرکز مخابرات منتهی میشد و امکان ردیابی خطوط تلفن از طریق این مرکز وجود داشت.
توسعه اخیر سیستمهای تماس صوتی مبتنی بر IP باعث شده که بتوان با رایانه از هر نقطهای از جهان به نقطهای دیگر تماس گرفت. علاوه بر این، هزینه این تماسها به میزان زیادی کاهش پیدا کرده است.
ترکیب این ویژگیها موجب شده استفاده از این روش برای فیشرها از نظر اقتصادی بسیار مقرون به صرفه شود. بنا به دلایل زیر انتظار میرود که نرخ موفقیت ویشینگ نسبت به سایر روشهای فیشینگ بیشتر باشد:
- سیستمهای تلفنی نسبت به پیامرسانهای اینترنتی سابقه طولانیتری داشته و اعتماد کاربران به آنها بیشتر است.
- در صورت استفاده از تماس تلفنی به جای ارسال ایمیل میتوان به افراد بیشتری دسترسی پیدا کرد.
- سیستمهای اعتبارسنجی خودکار تماس، پذیرش و کاربرد زیادی بین مردم پیدا کردهاند.
- تلفن باعث میشود که دسترسی به گروههای جمعیتی خاصی مثل سالمندان آسانتر شود.
- میتوان برای افزایش احتمال موفقیت، زمان تحویل پیام را تنظیم کرد.
- سیستم تلفن، امکان تنظیم و شخصیسازی پیامهای مهندسی اجتماعی را فراهم میکند.
- استفاده روز افزون از مراکز تماس باعث شده مردم نسبت به غریبههایی که ممکن است اطلاعات محرمانه آنها را درخواست کنند، با استقبال بهتری برخورد کنند.
دادههای ارزشمند
هر چند راههای مختلفی برای انجام حمله ویشینگ (Vishing) وجود دارد ولی لازم است انواع دادههایی را که مهاجمین با استفاده از سرویسهای تلفنی مبتنی بر IP به راحتی جمعآوری میکنند، شناسایی کنیم. معمولاً در هنگام پاسخ دادن به یک حمله ویشینگ با گوشی موبایل، اطلاعات عددی راحتتر در اختیار مجرمین قرار داده میشوند.
ارزشمندترین اطلاعات برای فیشرها عبارتند از:
- اطلاعات کارت اعتباری (از جمله شماره کارت، CVV2 و رمز دوم کارت)
- شماره شناسایی شخصی (PIN)
- تاریخ تولد
- شماره بیمه (تأمین اجتماعی)
- کد ملی
- شماره کارتهای مخصوص مشتریان وفادار
- شماره پاسپورت.
موارد اصلی استفاده از اطلاعات جمعآوری شده از طریق حملات ویشینگ (Vishing) عبارتند از:
- کنترل کردن حسابهای مالی قربانیان
- خرید کالاها و خدمات لوکس
- سرقت هویت
- ثبت درخواست وام و کارت اعتباری
- انتقال وجه، سهام و اوراق بهادار
- مخفی کردن فعالیتهای مجرمانه مثل پولشویی
- به دست آوردن اسناد مسافرتی شخصی
- دریافت مزایای دولتی.
مسیرهای حمله
سیستم تلفن مبتنی بر IP مسیرهای حمله خاصی برای مهاجمین ایجاد میکند اما به دلیل گستردگی طیف اجتماعی و فناورانه آن، بیشتر از هر چیزی برای حملات فیشینگ مناسب است. به طور خاص، ویژگیهایی که باعث شده سیستم تلفنی مبتنی بر IP برای فیشرها جذابیت پیدا کند، عبارتند از:
- قابلیت دسترسی به هر شماره تلفن از هر نقطه جهان
- حداقل هزینه برای برقراری یا دریافت تماس
- قابلیت مخفی کردن یا تغییر اطلاعات مربوط به شناسه تماس گیرنده
- راحتی خودکار کردن تماسها (از جمله واردایلینگ یا همان جنگ شماره گیری تلفنی)
- پیچیده بودن فرایند تحلیل پیامهای صوتی برای شناسایی کلمات و عبارتهای ممنوع شده
- قابلیت استفاده از پروکسی برای تغییر مسیر ترافیک در سطح بینالمللی و سخت کردن شناسایی منبع حملات
- دسترسی به بدافزارهایی مثل باتها برای گسترش هر چه بیشتر و انتقال پیام در سطح انبوه.
جمعآوری خودکار دادهها
در اغلب حملات ویشینگ ، برای جمعآوری دادههای قربانیان از سیستمهای خودکار استفاده میشود. انواع فناوریهای خودکاری که در دسترس فیشرها قرار دارند، عبارتند از:
- شناسایی خودکار صدای کلیدها – در هنگام وارد کردن دادههای محرمانه توسط قربانی از طریق صفحه کلید عددی گوشی، صدای (موزیکال) کلیدها به صورت خودکار تبدیل به عدد شده و ذخیره میشود.
- تشخیص خودکار صدا – فناوریهای تشخیص صدا به سطح پیشرفتهای رسیدهاند و میتوان با هزینهای اندک آنها را تهیه کرد. بنابراین فیشرها محدود به دادههای عددی نیستند و میتوانند سایر اطلاعات از جمله نام و آدرس قربانی را به دست آورند.
اجرای حمله Vishing
فیشرها میتوانند با استفاده از روشهای مختلف که هر کدام مخاطب و ابزارهای سوءاستفاده خاصی دارند، حمله ویشینگ را اجرا کنند. متدهای اصلی برای انتقال پیامهای مهندسی اجتماعی عبارتند از:
- ایمیل اینترنتی
- پیامرسان متنی تلفن همراه
- صندوق صوتی
- تماس صوتی زنده.
در حال حاضر سرویسهای فکس (دورنگار) در بستر VoIP در دسترس نیستند. در آیندهای جدید پروتکلهای جدیدی ارایه خواهند شد که از ارسال و دریافت پیامهای فکس از طریق VoIP پشتیبانی میکنند و بدون شک یک بستر جدید برای انتقال پیامهای ویشینگ خواهند بود.
– ایمیل اینترنتی
در برخی موارد، قربانیان ایمیلی را دریافت میکنند که در آن از آنها دعوت یا خواهش شده و یا تطمیع میشوند که با شماره متعلق به فیشر تماس بگیرند. این ایمیلها تقریباً شبیه به حملات فیشینگ کلاسیکی هستند که گیرنده پیام را دعوت به کلیک بر روی URL میکنند تا قربانی به یک وبسایت جعلی هدایت شده و اطلاعات احراز هویت وی جمعآوری شود. در این حالت، قربانی شماره تماس را گرفته و یک سیستم صوتی خودکار وی را راهنمایی میکند تا اطلاعات احراز هویت خودش را ارایه کند.
به عنوان مثال، ممکن است قربانی ایمیلی به صورت زیر دریافت کند:
مشتری عزیز
ما متوجه شدیم که سه تلاش ناموفق برای دسترسی به حساب شما در [نام بانک] صورت گرفته است.
لطفاً برای اعتبارسنجی حساب و هویت خودتان با [شماره تلفنی همراه با کد منطقه] تماس بگیرید.
با احترام
[نام بانک]
سرویس پشتیبانی آنلاین
سپس، کاربری که هدف مهندسی اجتماعی قرار گرفته با شماره ارایه شده تماس میگیرد و پیامی شبیه به پیام زیر میشنود:
«از تماس شما [با بانک ….] متشکریم. کسب و کار شما برای ما اهمیت زیادی دارد. جهت تماس با مسئول مربوطه و دریافت پاسخ درخواستتان شماره مناسب را وارد کنید». پس از آن، گزینههای زیر در اختیار قربانی قرار میگیرد:
- اگر نیاز به بررسی اطلاعات حساب بانکی و موجودی خودتان دارید، عدد 1 را وارد کنید.
- اگر قصد انتقال وجه را دارید، عدد 2 را وارد کنید.
- برای رفع مسدودیت پروفایل آنلاینتان عدد 3 را وارد کنید.
- برای سایر درخواستها عدد 0 را وارد کنید.
صرفنظر از این که تماس گیرنده چه عددی را وارد کند، سیستم خودکار از وی درخواست میکند که احراز هویت را انجام دهد. ممکن است وی چنین پیامی را بشنود: «امنیت تک تک مشتریانمان برای ما اهمیت دارد. برای ادامه باید هویت شما تأیید شود. لطفاً شماره حساب خودتان را وارد کرده و سپس کلید پوند را وارد کنید».
در این مرحله، تماس گیرنده شماره حساب خودش را وارد کرده و این پیام را میشنود: «متشکریم، لطفاً حالا شماره رمز چهار رقمی خودتان را وارد کرده و سپس کلید پوند را وارد کنید». پس از انجام این کار، تماس گیرنده این پیام را میشنود: «متشکریم، لطفاً حالا شماره CVV2 کارت خودتان را وارد کرده و سپس کلید پوند را وارد کنید». پس از انجام کار درخواست شده، تماس گیرنده آخرین پیام را میشود: «متشکریم. حالا ارتباط شما با مسئول مربوطه برقرار میشود».
در این مرحله، تماس قطع شده و قربانی تصور میکند اختلالی در سرویس ایجاد شده است یا ممکن است حمله ویشینگ، قربانی را به سمت خط پشتیبانی اصلی هدایت کند. به این ترتیب، قربانی هرگز متوجه نخواهد شد که احراز هویت او برای فیشرها انجام شده است.
– پیام متنی تلفن همراه
در این روش که ارتباط تنگاتنگی با روش مبتنی بر ایمیل دارد، فیشر ممکن است از پیامهای کوتاهی که از طریق پروتکلهای تلفن همراه ارسال میشوند مثل سرویس پیام کوتاه یا سرویس پیامرسانی چندرسانهای (MMS) جهت دعوت، خواهش یا فریب مخاطب برای تماس با شمارهای خاص یا پاسخ دادن به پیام با SMS یا MMS استفاده کند.
برای مثال ممکن است قربانی پیامکی مثل پیامک زیر دریافت کرده که از وی میخواهد با شماره فیشر تماس بگیرد:
«هشدار خودکار credit watch! در [یک فروشگاه شناخته شده] یک خط اعتباری جدید برای شما ایجاد شده است. در صورتی که این درخواست معتبر نیست با شماره [شماره تماس] تماس بگیرید».
ممکن است قربانی، پیامکی را دریافت کند که به نظر میرسد توسط اپراتور تلفن همراه او ارسال شده و از وی درخواست میکند که با ارایه اطلاعات شخصی به این پیامک پاسخ دهد. در ادامه یک نمونه از چنین پیامکی را مشاهده میکنید:
«میزان مصرف شما از سهمیه پیامک ماهیانهتان در [اسم اپراتور ارایه دهنده خدمات تلفن همراه] فراتر رفته است. از این پس، هزینه هر پیام متنی 50 سنت خواهد بود. برای ارسال 500 پیامک دیگر فقط با هزینه 2 دلار، کد احراز هویت آنلاین خودتان را به این شماره پیامک کنید».
فیشر میتواند با استفاده از قالب پیام MMS یک پیام گرافیکی یا انیمیشن به همراه لوگوی کسب و کار مربوطه ارسال کند تا قربانی بالقوه بیشتر اغوا شود.
– صندوق صوتی
فیشرها میتوانند با استفاده از روشهای جنگ شمارهگیری تلفنی کلاسیک یا پرسوجوهای جدید پروتکل آغاز نشست (SIP)، به سرعت شمارههای مختلف یا پایانههای تلفنی مختلفی را امتحان کرده و شمارههای فعال را شناسایی کنند. پس از شناسایی شمارهها، فیشر میتواند به راحتی یک پیام از قبل ضبط شده را به هر شماره ارسال کرده و صندوق صوتی کاربران را مورد هدف قرار دهد. سیستمهای صندوق صوتی به این دلیل مورد هدف قرار میگیرند که امکان ارسال پیامهای انبوه از طریق آنها وجود دارد و نیاز به تلاش فنی کمتری از سوی فیشر دارند.
ضبط شدن این صداها از قبل موجب میشود که بتوان در آنها پیامهایی را ارسال کرد که نیاز به اقدام فوری از طرف گیرنده داشته باشند. به عنوان مثال، قربانی بالقوه پیام صوتی زیر را دریافت میکند:
«سلام من Sharon از شرکت برق هستم. این یک تماس اضطراری برای دریافت تأیید نقل مکان شما به لس آنجلس و بسته شدن حساب شما و به پایان رسیدن دوره سرویس شما است. برق آدرس شما از ساعت 9 عصر فردا قطع خواهد شد. لطفاً جهت پرداخت آخرین قبض با شماره [شماره تلفن] تماس بگیرید».
از آنجایی که قربانی بالقوه قصد تغییر مکان ندارد و قطعاً تمایلی ندارد که برق منزلش قطع شود، با این شماره تماس میگیرد و در آن موقع از او درخواست میشود که خودش را احراز هویت کند، احتمالاً با استفاده از کد PIN و شماره کارت اعتباری.
– گذاشتن پیام – تماس با تعرفه بالا
در روش پیام گذاشتن، این طور وانمود میشود که فیشر قصد داشته با قربانی تماس بگیرد و یک پیام برای وی بگذارد. در این پیام به گیرنده اعلام میشود که هر چه سریعتر با شماره گفته شده تماس بگیرد. این شماره طوری تنظیم شده که تعرفه تماس با آن بالا باشد و وقتی قربانی با این شماره تماس بگیرد، هزینه بالایی در صورتحساب وی ثبت شده و فیشر از این طریق کسب سود خواهد کرد.
– گذاشتن پیغام – اکسپلویت پیلود
در این حالت فیشر سعی میکند عمداً به صندوق پیام صوتی قربانی دسترسی پیدا کند تا یک پیام خاص را برای وی بگذارد. از آنجایی که ممکن است فناوری مورد استفاده جهت دریافت و ذخیره پیامهای صندوق صوتی با فناوری دستگاهی که قربانی از آن برای پخش پیام استفاده میکند، بسیار متفاوت باشد؛ این احتمال وجود دارد که پیامهایی با اهداف خاص تهیه شوند که از نقاط ضعف موجود در این دستگاهها سوءاستفاده کند، بدون این که مهاجم بر دستگاه ذخیره پیامهای صندوق صوتی تأثیری بگذارد. در نتیجه، وقتی قربانی مورد نظر به سیستم ذخیره پیام صندوق صوتی متصل میشود و پیام را برای پخش بازیابی میکند، از یک آسیبپذیری سوءاستفاده میشود تا فیشر بتواند کنترل دستگاه را به دست بگیرد یا اعمالی را انجام دهد که قربانی در حالت عادی اجازه انجام آنها را به وی نمیدهد.
– حملات زنده
قابلیت مخفی کردن یا تغییر شناسه تماس گیرنده برای فیشرها اهمیت فوق العاده زیادی دارد. این افراد میتوانند با تغییر دادن اطلاعات مربوط به شناسه تماس گیرنده، داستانی که از آن برای مهندسی اجتماعی استفاده میکنند را باورپذیرتر کرده و علاوه بر این باعث شوند که ردیابی منبع حمله سختتر شود. سرویسهای تلفنی مبتنی بر IP که به تلفنهای اینترنتی امکان استفاده از نقاط خروج (یعنی شمارهای که در منطقهای مشابه با کد منطقهای تماس گیرنده قرار دارد) از «نقطه حضور» (POP) را میدهند هم میتوانند احتمال موفقیت حمله را افزایش دهند.
با استفاده از این قابلیت (همچنین قابلیت برقراری تماس اینترنتی از هر نقطهای از جهان) فیشر میتواند حملهای به نام حمله «زنده» را اجرا کند. در حمله زنده، فیشر با یک قربانی بالقوه تماس میگیرد و سپس قربانی با یک سیستم صوتی خودکار روبرو میشود که وی را تشویق به ارایه اطلاعات شخصی خود میکند. فیشر جهت دستیابی به موفقیت هر چه بیشتر، نقش یک سازمان ملی شناخته شده (یک فروشنده یا بانک بزرگ) یا یک کسب و کار محلی (یک اداره دولتی یا ایستگاه رادیوی محلی) را بازی کرده و از یک شناسه تماس مناسب استفاده میکند.
با توجه به این که هزینه تماسهای اینترنتی روز به روز کمتر میشود، تشکیل مرکز تماس برای مجرمین سازمان یافته امکانپذیرتر شده است تا از آن برای هدایت قربانی به صورت دستی (غیرخودکار) در مراحل مختلف ویشینگ استفاده کنند. به عبارت دیگر، این افراد ملزم به استفاده از پیامهای ضبط شده نیستند. چنین مسیر حمله دستی بیشترین سطح موفقیت را در بین کلاهبرداریهای ویشینگ دارد.
حملات زنده هم از همان ویژگیهای مهندسی اجتماعی که در بخشهای قبل توضیح دادیم استفاده میکنند اما استفاده از پیامهای متناسب با موقعیت مکانی، به موقع و تعاملی مثل پیام زیر باعث شده که موفقیت آنها بیشتر شود:
- نظرسنجی پولی – پس از این که قربانی به سؤالهای الکترونیکی پاسخ داد، از او درخواست میشود اطلاعات حساب بانکی خودش را وارد کند تا این مبلغ به حساب کاربری وی واریز شود.
- هشدار مالیاتی – به قربانی هشدار داده میشود که به عنوان ساکن یک منطقه خاص، ممکن است بتواند از تغییر اخیر قوانین مالیاتی استفاده کند. تنها کاری که وی باید انجام دهد، وارد کردن نام، آدرس و شماره بیمه خودش است.
– حملات آینده
مسلماً حملات ویشینگ همچنان پیشرفتهتر خواهند شد و تبدیل به یکی از هدفمندترین و پیچیدهترین حملات میشوند. بنابراین لازم است ملاحظات زیر را در نظر داشته باشیم:
- شیرجه در زبالهها – مهاجم دایماً زبالههای فروشندگان محلی را بررسی کرده و در بیشتر مواقع برگههای تراکنش و فاکتورهای خریداران را پیدا میکنند. معمولاً این برگهها حاوی اطلاعات مهمی هستند مثل نام دارنده کارت، تمام یا بخشی از شماره کارت اعتباری، تاریخ تراکنش، اقلام خریداری شده، قیمت و غیره. از تمام این اطلاعات میتوان برای اجرای یک حمله فیشینگ کاملاً شخصیسازی شده استفاده کرد.
- اعتبارسنجی مالک کارت – همواره از مشتریان درخواست میشود که هنگام پرداخت هزینه خریدهایی با مبلغ بالا در فروشگاهها، هویتشان را اعتبارسنجی کنند. معمولاً به اپراتور فروشگاه گفته میشود برای دریافت شماره مجوز یک تراکنش، با یک بانک مشخص تماس بگیرد اما اول بانک باید با شخصی که کارت را در اختیار دارد گفتگو کرده و تأیید کند که او مالک واقعی کارت است. برای مهاجمین سازمان یافته بسیار آسان است که با اپراتور ثبت اطلاعات تبانی کنند و به کمک وی این فرایند را طی کنند. با این روش مهاجمین میتوانند اطلاعات شخصی مهمی درباره قربانیانشان کسب کنند مثل تاریخ تولد، شماره بیمه و غیره.
- اخاذی گوشی – ممکن است فیشر، قربانی را متقاعد به دریافت یا نصب یک نرمافزار بر روی گوشی خودش کند. سپس گوشی، قفل شده و تنها امکان برقراری تماس با فیشر را خواهد داشت. برای باز شدن قفل گوشی، قربانی باید با شمارهای تماس بگیرد که تعرفه تماس آن بسیار بالا است.
- اکسپلویت پیلود – فیشر باعث میشود که تلفن، شمارهای را به عنوان پیشوند به تمام تماسها اضافه کند که منجر به افزایش تعرفههای تماس قربانی شود که این کار یا موجب میشود هر تماس قربانی منجر به درآمدزایی مستقیم برای فیشر شود یا برای شناسایی خودکار اطلاعات محرمانه قربانی، تماسهای وی تفسیر، ضبط و خلاصه برداری شود.
نتیجه گیری
فیشینگ به عنوان یک کسبوکار فوقالعاده سودآور برای مجرمین شناخته شده است. با رشد و توسعه سرویسهای تلفنی مبتنی بر IP انتظار میرود که میزان استفاده سازمانهای تبهکار از روشهای فیشینگ بیشتر شده و حملات ویشینگ نیز رشد و تکامل بیشتری پیدا کنند.
روز به روز بر میزان محبوبیت ویشینگ (Vishing) در نزد فیشرها افزوده میشود زیرا این روش به آنها امکان میدهد که به کاربران بیشتری دسترسی پیدا کرده و قربانیان بیشتری را مورد هدف قرار دارند. همچنین این مسیر، برای انجام حملات مهندسی اجتماعی کارآمدتر است. فیشرها از اعتمادی که کاربران نسبت به سرویسهای تلفنی پیدا کردهاند (و این فرض که امکان ردیابی شمارهای که با آنها تماس گرفته وجود دارد) جهت دستیابی به بیشترین سود استفاده میکنند.