راهنمای جامع حملات ویشینگ

ویشینگ و انواع حملات آن

ویشینگ، فیشیگ و بسیاری از انواع دیگر حملات از جمله تهدیدهای امنیتی امروزی، برای سوءاستفاده از نقاط ضعف فناوری به میزان زیادی به روش‌های مهندسی اجتماعی وابسته هستند؛ روش­هایی که برای متقاعد کردن افراد به انجام کارهایی خاص یا افشای اطلاعات محرمانه مورد استفاده قرار می‌گیرند. به عنوان مثال می‌توان گفت فیشینگ در حال حاضر پرکاربردترین خطری است که اینترنت و کاربران آن را تهدید می‌کند.

پیش از این، فیشینگ فقط به استفاده از ایمیل جهت انتقال پیام‌هایی گفته می‌شد که هدف آنها متقاعد کردن دریافت کننده به بازدید از یک وب‌سایت جعلی بود که جهت سرقت اطلاعات لاگین کاربران طراحی شده بود اما این تهدید امنیتی با سرعت زیادی متحول شد و تبدیل به یک گروه بزرگ از مخاطرات امنیتی شد که برای متقاعد کردن گیرنده به انجام فعالیت‌های مورد نظر مجرمین به مهندسی اجتماعی متکی بود؛

فعالیت‌هایی که فیشر را قادر به اجرای مرحله دوم حمله می‌کرد. فیشرها برای اجرای حملات­شان به سیستم‌های پیام­‌رسان اینترنتی مختلفی متکی هستند. به این ترتیب برای هر یک از تهدیدهای امنیتی مشابه فیشینگ بر اساس سیستم پیام­‌رسان مورد استفاده آنها، یک نام خاص انتخاب شد. هر یک از این مخاطرات امنیتی ویژگی‌های ظریف و مخاطبین خاص خود را دارد. زیرمجموعه‌های فیشینگ عبارتند از:

در این مقاله، حملات فیشینگ و مسیرهای فعلی و آینده برای انجام این حملات مورد تحلیل و بررسی قرار می‌گیرد.

راهنمای حملات ویشینگ

ویشینگ چیست؟

ویشینگ (Vishing)، به عمل استفاده از فناوری‌های پیام‌­رسان صوتی مبتنی بر IP (بیشتر پروتکل صدا روی اینترنت یا VoIP) جهت مهندسی اجتماعی قربانی مورد نظر برای دریافت اطلاعات شخصی، مالی یا سایر اطلاعات محرمانه با انگیزه دستیابی به منافع اقتصادی گفته می‌شود. اصطلاح ویشینگ از ترکیب کلمات Voice و Phishing ایجاد شده است.

استفاده از سیستم تلفن ثابت برای متقاعد کردن دیگران به انجام کارهای ناخواسته، از زمان ظهور تلفن وجود داشت. خیلی از ما تجربه مزاحمت تلفنی در آن دوران را داشتیم اما سرویس تلفن ثابت در نهایت به یک محل فیزیکی به نام مرکز مخابرات منتهی می‌شد و امکان ردیابی خطوط تلفن از طریق این مرکز وجود داشت.

توسعه اخیر سیستم‌های تماس صوتی مبتنی بر IP باعث شده که بتوان با رایانه از هر نقطه‌ای از جهان به نقطه‌ای دیگر تماس گرفت. علاوه بر این، هزینه این تماس‌ها به میزان زیادی کاهش پیدا کرده است.

ترکیب این ویژگی‌ها موجب شده استفاده از این روش برای فیشرها از نظر اقتصادی بسیار مقرون به صرفه شود. بنا به دلایل زیر انتظار می‌رود که نرخ موفقیت ویشینگ نسبت به سایر روش‌های فیشینگ بیشتر باشد:

داده‌های ارزشمند

هر چند راه‌های مختلفی برای انجام حمله ویشینگ (Vishing) وجود دارد ولی لازم است انواع داده‌هایی را که مهاجمین با استفاده از سرویس‌های تلفنی مبتنی بر IP به راحتی جمع‌آوری می‌کنند، شناسایی کنیم. معمولاً در هنگام پاسخ دادن به یک حمله ویشینگ با گوشی موبایل، اطلاعات عددی راحت‌تر در اختیار مجرمین قرار داده می‌شوند.

ارزشمندترین اطلاعات برای فیشرها عبارتند از:

موارد اصلی استفاده از اطلاعات جمع‌آوری شده از طریق حملات ویشینگ (Vishing) عبارتند از:

مسیرهای حمله

سیستم تلفن مبتنی بر IP مسیرهای حمله خاصی برای مهاجمین ایجاد می‌کند اما به دلیل گستردگی طیف اجتماعی و فناورانه آن، بیشتر از هر چیزی برای حملات فیشینگ مناسب است. به طور خاص، ویژگی‌هایی که باعث شده سیستم تلفنی مبتنی بر IP برای فیشرها جذابیت پیدا کند، عبارتند از:

جمع‌آوری خودکار داده‌ها

در اغلب حملات ویشینگ ، برای جمع‌آوری داده‌های قربانیان از سیستم‌های خودکار استفاده می‌شود. انواع فناوری‌های خودکاری که در دسترس فیشرها قرار دارند، عبارتند از:

اجرای حمله Vishing

فیشرها می‌توانند با استفاده از روش‌های مختلف که هر کدام مخاطب و ابزارهای سوءاستفاده خاصی دارند، حمله ویشینگ را اجرا کنند. متدهای اصلی برای انتقال پیام‌های مهندسی اجتماعی عبارتند از:

در حال حاضر سرویس‌های فکس (دورنگار) در بستر VoIP در دسترس نیستند. در آینده‌ای جدید پروتکل‌های جدیدی ارایه خواهند شد که از ارسال و دریافت پیام‌های فکس از طریق VoIP پشتیبانی می‌کنند و بدون شک یک بستر جدید برای انتقال پیام‌های ویشینگ خواهند بود.

– ایمیل اینترنتی

در برخی موارد، قربانیان ایمیلی را دریافت می‌کنند که در آن از آنها دعوت یا خواهش شده و یا تطمیع می‌شوند که با شماره متعلق به فیشر تماس بگیرند. این ایمیل‌ها تقریباً شبیه به حملات فیشینگ کلاسیکی هستند که گیرنده پیام را دعوت به کلیک بر روی URL می‌کنند تا قربانی به یک وب‌سایت جعلی هدایت شده و اطلاعات احراز هویت وی جمع‌آوری شود. در این حالت، قربانی شماره تماس را گرفته و یک سیستم صوتی خودکار وی را راهنمایی می‌کند تا اطلاعات احراز هویت خودش را ارایه کند.

به عنوان مثال، ممکن است قربانی ایمیلی به صورت زیر دریافت کند:

مشتری عزیز

ما متوجه شدیم که سه تلاش ناموفق برای دسترسی به حساب شما در [نام بانک] صورت گرفته است.

لطفاً برای اعتبارسنجی حساب و هویت خودتان با [شماره تلفنی همراه با کد منطقه] تماس بگیرید.

با احترام

[نام بانک]

سرویس پشتیبانی آنلاین

سپس، کاربری که هدف مهندسی اجتماعی قرار گرفته با شماره ارایه شده تماس می‌گیرد و پیامی شبیه به پیام زیر می‌شنود:

«از تماس شما [با بانک ….] متشکریم. کسب و کار شما برای ما اهمیت زیادی دارد. جهت تماس با مسئول مربوطه و دریافت پاسخ درخواست­تان شماره مناسب را وارد کنید». پس از آن، گزینه‌های زیر در اختیار قربانی قرار می‌گیرد:

صرف­نظر از این که تماس گیرنده چه عددی را وارد کند، سیستم خودکار از وی درخواست می‌کند که احراز هویت را انجام دهد. ممکن است وی چنین پیامی را بشنود: «امنیت تک­ تک مشتریان­مان برای ما اهمیت دارد. برای ادامه باید هویت شما تأیید شود. لطفاً شماره حساب خودتان را وارد کرده و سپس کلید پوند را وارد کنید».

در این مرحله، تماس گیرنده شماره حساب خودش را وارد کرده و این پیام را می‌شنود: «متشکریم، لطفاً حالا شماره رمز چهار رقمی خودتان را وارد کرده و سپس کلید پوند را وارد کنید». پس از انجام این کار، تماس گیرنده این پیام را می‌شنود: «متشکریم، لطفاً حالا شماره CVV2 کارت خودتان را وارد کرده و سپس کلید پوند را وارد کنید». پس از انجام کار درخواست شده، تماس گیرنده آخرین پیام را می‌شود: «متشکریم. حالا ارتباط شما با مسئول مربوطه برقرار می‌شود».

در این مرحله، تماس قطع شده و قربانی تصور می‌کند اختلالی در سرویس ایجاد شده است یا ممکن است حمله ویشینگ، قربانی را به سمت خط پشتیبانی اصلی هدایت کند. به این ترتیب، قربانی هرگز متوجه نخواهد شد که احراز هویت او برای فیشرها انجام شده است.

– پیام متنی تلفن همراه

در این روش که ارتباط تنگاتنگی با روش مبتنی بر ایمیل دارد، فیشر ممکن است از پیام‌های کوتاهی که از طریق پروتکل‌های تلفن همراه ارسال می‌شوند مثل سرویس پیام کوتاه یا سرویس پیام‌­رسانی چندرسانه‌ای (MMS) جهت دعوت، خواهش یا فریب مخاطب برای تماس با شماره‌ای خاص یا پاسخ دادن به پیام با SMS یا MMS استفاده کند.

برای مثال ممکن است قربانی پیامکی مثل پیامک زیر دریافت کرده که از وی می‌خواهد با شماره فیشر تماس بگیرد:

«هشدار خودکار credit watch! در [یک فروشگاه شناخته شده] یک خط اعتباری جدید برای شما ایجاد شده است. در صورتی که این درخواست معتبر نیست با شماره [شماره تماس] تماس بگیرید».

ممکن است قربانی، پیامکی را دریافت کند که به نظر می‌رسد توسط اپراتور تلفن همراه او ارسال شده و از وی درخواست می‌کند که با ارایه اطلاعات شخصی به این پیامک پاسخ دهد. در ادامه یک نمونه از چنین پیامکی را مشاهده می‌کنید:

«میزان مصرف شما از سهمیه پیامک ماهیانه‌تان در [اسم اپراتور ارایه دهنده خدمات تلفن همراه] فراتر رفته است. از این پس، هزینه هر پیام متنی 50 سنت خواهد بود. برای ارسال 500 پیامک دیگر فقط با هزینه 2 دلار، کد احراز هویت آنلاین خودتان را به این شماره پیامک کنید».

فیشر می‌تواند با استفاده از قالب پیام MMS یک پیام گرافیکی یا انیمیشن به همراه لوگوی کسب و کار مربوطه ارسال کند تا قربانی بالقوه بیشتر اغوا شود.

– صندوق صوتی

فیشرها می‌توانند با استفاده از روش‌های جنگ شماره­‌گیری تلفنی کلاسیک یا پرس­وجوهای جدید پروتکل آغاز نشست (SIP)، به سرعت شماره‌های مختلف یا پایانه‌های تلفنی مختلفی را امتحان کرده و شماره‌های فعال را شناسایی کنند. پس از شناسایی شماره‌ها، فیشر می‌تواند به راحتی یک پیام از قبل ضبط شده را به هر شماره ارسال کرده و صندوق صوتی کاربران را مورد هدف قرار دهد. سیستم‌های صندوق صوتی به این دلیل مورد هدف قرار می‌گیرند که امکان ارسال پیام‌های انبوه از طریق آنها وجود دارد و نیاز به تلاش فنی کمتری از سوی فیشر دارند.

ضبط شدن این صداها از قبل موجب می‌شود که بتوان در آنها پیام‌هایی را ارسال کرد که نیاز به اقدام فوری از طرف گیرنده داشته باشند. به عنوان مثال، قربانی بالقوه پیام صوتی زیر را دریافت می‌کند:

«سلام من Sharon از شرکت برق هستم. این یک تماس اضطراری برای دریافت تأیید نقل مکان شما به لس آنجلس و بسته شدن حساب شما و به پایان رسیدن دوره سرویس شما است. برق آدرس شما از ساعت 9 عصر فردا قطع خواهد شد. لطفاً جهت پرداخت آخرین قبض با شماره [شماره تلفن] تماس بگیرید».

از آنجایی که قربانی بالقوه قصد تغییر مکان ندارد و قطعاً تمایلی ندارد که برق منزلش قطع شود، با این شماره تماس می‌گیرد و در آن موقع از او درخواست می‌شود که خودش را احراز هویت کند، احتمالاً با استفاده از کد PIN و شماره کارت اعتباری.

– گذاشتن پیام – تماس با تعرفه بالا

در روش پیام گذاشتن، این طور وانمود می‌شود که فیشر قصد داشته با قربانی تماس بگیرد و یک پیام برای وی بگذارد. در این پیام به گیرنده اعلام می‌شود که هر چه سریع‌تر با شماره گفته شده تماس بگیرد. این شماره طوری تنظیم شده که تعرفه تماس با آن بالا باشد و وقتی قربانی با این شماره تماس بگیرد، هزینه بالایی در صورتحساب وی ثبت شده و فیشر از این طریق کسب سود خواهد کرد.

– گذاشتن پیغام – اکسپلویت پی‌لود

در این حالت فیشر سعی می‌کند عمداً به صندوق پیام صوتی قربانی دسترسی پیدا کند تا یک پیام خاص را برای وی بگذارد. از آنجایی که ممکن است فناوری مورد استفاده جهت دریافت و ذخیره پیام‌های صندوق صوتی با فناوری دستگاهی که قربانی از آن برای پخش پیام استفاده می‌کند، بسیار متفاوت باشد؛ این احتمال وجود دارد که پیام‌هایی با اهداف خاص تهیه شوند که از نقاط ضعف موجود در این دستگاه‌ها سوءاستفاده کند، بدون این که مهاجم بر دستگاه ذخیره پیام‌های صندوق صوتی تأثیری بگذارد. در نتیجه، وقتی قربانی مورد نظر به سیستم ذخیره پیام صندوق صوتی متصل می‌شود و پیام را برای پخش بازیابی می‌کند، از یک آسیب‌پذیری سوءاستفاده می‌شود تا فیشر بتواند کنترل دستگاه را به دست بگیرد یا اعمالی را انجام دهد که قربانی در حالت عادی اجازه انجام آنها را به وی نمی‌دهد.

– حملات زنده

قابلیت مخفی کردن یا تغییر شناسه تماس گیرنده برای فیشرها اهمیت فوق­ العاده زیادی دارد. این افراد می‌توانند با تغییر دادن اطلاعات مربوط به شناسه تماس گیرنده، داستانی که از آن برای مهندسی اجتماعی استفاده می‌کنند را باورپذیرتر کرده و علاوه بر این باعث شوند که ردیابی منبع حمله سخت‌تر شود. سرویس‌های تلفنی مبتنی بر IP که به تلفن‌های اینترنتی امکان استفاده از نقاط خروج (یعنی شماره‌ای که در منطقه‌ای مشابه با کد منطقه‌ای تماس گیرنده قرار دارد) از «نقطه حضور» (POP) را می‌دهند هم می‌توانند احتمال موفقیت حمله را افزایش دهند.

با استفاده از این قابلیت (همچنین قابلیت برقراری تماس اینترنتی از هر نقطه‌ای از جهان) فیشر می‌تواند حمله‌ای به نام حمله «زنده» را اجرا کند. در حمله زنده، فیشر با یک قربانی بالقوه تماس می‌گیرد و سپس قربانی با یک سیستم صوتی خودکار روبرو می‌شود که وی را تشویق به ارایه اطلاعات شخصی خود می‌کند. فیشر جهت دستیابی به موفقیت هر چه بیشتر، نقش یک سازمان ملی شناخته شده (یک فروشنده یا بانک بزرگ) یا یک کسب و کار محلی (یک اداره دولتی یا ایستگاه رادیوی محلی) را بازی کرده و از یک شناسه تماس مناسب استفاده می‌کند.

با توجه به این که هزینه تماس‌های اینترنتی روز به روز کمتر می‌شود، تشکیل مرکز تماس برای مجرمین سازمان یافته امکان­‌پذیرتر شده است تا از آن برای هدایت قربانی به صورت دستی (غیرخودکار) در مراحل مختلف ویشینگ استفاده کنند. به عبارت دیگر، این افراد ملزم به استفاده از پیام‌های ضبط شده نیستند. چنین مسیر حمله دستی بیشترین سطح موفقیت را در بین کلاهبرداری‌های ویشینگ دارد.

حملات زنده هم از همان ویژگی‌های مهندسی اجتماعی که در بخش‌های قبل توضیح دادیم استفاده می‌کنند اما استفاده از پیام‌های متناسب با موقعیت مکانی، به موقع و تعاملی مثل پیام زیر باعث شده که موفقیت آنها بیشتر شود:

– حملات آینده

مسلماً حملات ویشینگ همچنان پیشرفته‌تر خواهند شد و تبدیل به یکی از هدفمندترین و پیچیده‌ترین حملات می‌شوند. بنابراین لازم است ملاحظات زیر را در نظر داشته باشیم:

نتیجه­ گیری

فیشینگ به عنوان یک کسب‌و‌کار فوق­‌العاده سودآور برای مجرمین شناخته شده است. با رشد و توسعه سرویس‌های تلفنی مبتنی بر IP انتظار می‌رود که میزان استفاده سازمان‌های تبهکار از روش‌های فیشینگ بیشتر شده و حملات ویشینگ نیز رشد و تکامل بیشتری پیدا کنند.

روز به روز بر میزان محبوبیت ویشینگ (Vishing) در نزد فیشرها افزوده می‌شود زیرا این روش به آنها امکان می‌دهد که به کاربران بیشتری دسترسی پیدا کرده و قربانیان بیشتری را مورد هدف قرار دارند. همچنین این مسیر، برای انجام حملات مهندسی اجتماعی کارآمدتر است. فیشرها از اعتمادی که کاربران نسبت به سرویس‌های تلفنی پیدا کرده‌اند (و این فرض که امکان ردیابی شماره‌ای که با آنها تماس گرفته وجود دارد) جهت دستیابی به بیشترین سود استفاده می‌کنند.

 

 

 

 

خروج از نسخه موبایل