مقابله با حملات فیشینگ از جمله نکاتی ست که هر کسی حداقل یک بار در زندگی روزمره خود به آن احتیاج پیدا میکند، حمله فیشینگ به روشهای مختلفی انجام میشود و از آنجایی که دنیای هک همیشه ترفندهای جدیدی را ارائه میکند ما هم در این مقاله حملات فیشینگ هدفمند را مورد بررسی قرار خواهیم داد. فیشینگ هدفمند یکی از تکنیکهای فیشینگ است که بر اساس اعتماد قربانی یا سادگی او عمل میکند.
حملات فیشینگ هدفمند متمرکز هستند؛ اما حملات فیشینگ معمولی به صورت کلی و علیه گروه بزرگی از کاربران انجام میشوند به این امید که تعدادی از آنها طعمه شوند. ما در این مقاله تفاوت بین فیشینگ هدفمند و وال فیشینگ و نحوه محافظت از سرمایههای دیجیتال سازمانتان در برابر این حملات را توضیح میدهیم.
فیشینگ هدفمند چیست؟
فیشینگ هدفمند یک نوع حمله جعل ایمیل است که به صورت خاص افراد و کارمندان را هدف قرار میدهد. همانطور که Aaron Ferguson خاطر نشان شده، حملات فیشینگ هدفمند علیه یک کارمند یا یک سازمان انجام میشوند.
اما چه چیزی منجر به موفقیت این حملات میشود؟ Ferguson یکی از ماموران آژانس امنیت امریکا و استاد آکادمی نظامی ایالات متحده میگوید ایمیلهای جعلی مورد استفاده در این حملات به گونهای ساخته میشوند که به نظر برسد از طرف شرکتهای شناخته شدهای همچون پیپال، گوگل، اسپاتیفای، نت فلیکس و حتی اپلپی ارسال شدهاند.
حتی در برخی مواقع این ایمیلها شبیه ایمیلهای داخل سازمانی ساخته شده و از کارمندان میخواهند یکسری فرمهای اطلاعاتی را پر کنند. اما چرا افراد اطلاعات خودشان را از طریق ایمیل ارسال میکنند؟ برای پاسخ به این مسئله باید از یک دیدگاه متفاوت به آن نگاه کرد: وقتی مدیرعامل تان مودبانه از شما درخواست میکند که به دلیل عقب افتادن کارها نسبت به ضرب الاجل تعیین شده باید نام کاربری و پسورد خودتان را در اختیار وی قرار دهید، چقدر احتمال دارد که با درخواست وی مخالفت کنید؟
در چنین ایمیلهایی سعی میشود برای موفقیت هر چه بیشتر، هویت یکی از افراد رده بالا (مدیر عامل، مدیر ارشد تکنولوژی) جعل شود.
کاربران ناآگاه روی لینکهای موجود در چنین ایمیلهایی کلیک کرده، تمام اطلاعات درخواست شده را صرف نظر از اینکه چقدر خصوصی هستند ارائه میکنند و تصور میکنند که از یک مشکل بزرگ نجات پیدا کردهاند. متاسفانه پاسخ شما هیچ وقت به مدیرتان نمیرسد بلکه در نهایت وارد دیتابیس هکری میشود که دسترسی کاملی به رکوردهای سازمان شما خواهد داشت.
اما چرا فیشینگ هدفمند تا این حد موفقیت آمیز است؟ به این دلیل که مهاجمان همیشه کار خودشان را درست انجام میدهند. مهاجم قبل از تلاش برای اجرای فیشینگ هدفمند سعی میکند حداکثر اطلاعات ممکن را درباره قربانی جمع آوری کند از جمله: نام، آدرس کاری، پروفایل سازمان، سمت، شماره تلفنها، ایمیلها. پس از جمع آوری اطلاعات کافی، مهاجم ایمیل مورد نظر را به قربانی ارسال میکند.
یک ماجرای عجیب
برای تاثیر میزان کارایی این حملات از یک مثال به اسم مثال فرگوسن استفاده میکنیم. به حملات فیشینگ هدفمند موفقیت آمیز، “تاثیر سرهنگ” هم گفته میشود. در ادامه دلیل این نامگذاری را متوجه خواهید شد.
فرگوسن که جزء اساتید آکادمی نظامی ایالات متحده بود، میخواست بررسی کند که دانشجویان دانشکده افسری چقدر در حوزه امنیت سایبری اطلاعات دارند این معلم 500 ایمیل به دانشجویانش فرستاد که به نظر میرسید توسط یک افسر به نام Robert Melville از همان آکادمی ارسال شدهاند. وی در این ایمیل نوشته بود که دانشجویان میتوانند برای مشاهده نتایج امتحان روی لینکی که در ایمیل وجود داشت، کلیک کنند.
طبیعتاً در صورت کلیک روی این لینک اتفاقی نمیافتاد بلکه یک پیام به کاربران ارسال میشد که در آن نوشته شده بود: “شما فریب خوردید. ممکن بود کامپیوترتان به تروجان، ویروس یا باج افزار آلوده شود.” هر چند این یک آزمایش بی خطر بود اما نتایج آن کاملاً حیرت برانگیز بود: 80 درصد از دانشجویان روی این لینک جعلی کلیک کردند.
مقایسه فیشینگ هدفمند با وال فیشینگ (والینگ)
بین فیشینگ هدفمند و والینگ یک تفاوت بزرگ وجود دارد. فیشینگ هدفمند ضعیفترین پیوند را مورد هدف قرار میدهد اما وال فیشینگ خود روسا را هدف میگیرد. حملات وال فیشینگ با این قصد طراحی میشوند که اطلاعات لاگین افراد برجسته را مورد هدف قرار دهند مثل مدیران، مدیران مشهور سطح C، سلبریتیها، سیاستمداران، افسران ارشد و غیره.
تکنیک مورد استفاده در هر دو روش تقریباً یکسان است یعنی یکسری ایمیل تقلبی از طرف منابع قابل اطمینان ارسال میشود. اما سرقت دادهها از یک فرد برجسته و دارای مقام بالا سختتر از سرقت از کارمندان ساده است. در این حالت مهاجم از یکسری ترفندهای مهندسی اجتماعی هم برای جمع آوری اطلاعات درباره هدفش استفاده میکند.
شاید بهترین مثال از وال فیشینگ ماجرای 2016 Seagate باشد. در این حمله مدیر ارشد منابع انسانی این سازمان شناخته شده کپی یکسری از فرمهای مالیاتی سال 2015 کارمندان به نام فرم W-2 را برای شخصی ارسال کرد که هویت مدیرعامل سازمان Stephen Luczo را جعل کرده بود.
این مدیر که تصور میکرد ایمیل مستقیماً توسط مدیرعامل سازمان ارسال شده، کپی رکوردهای مالیاتی را برای وی ارسال کرد. احتمالاً شما هم میتوانید تصور کنید که وقتی فردی اطلاعات مالی بسیار حساس حدود 10 هزار کارمند را برای شخص دیگری ارسال میکند، چه اتفاقی میافتد. در هر صورت، وقتی مدیران سطح بالا از وقوع این رخنه اطلاع پیدا کردند، مقامات قانونی را در جریان قرار دادند. تا این لحظه هنوز اعلام نشده که اطلاعات به سرقت رفته دقیقاً شامل چه چیزهایی بودند و شخص یا اشخاص پشت این حمله چه افرادی بودند.
حملات وال فیشینگ از آنچه تصور میکنید متداولتر هستند. همان سال دو حمله والینگ دیگر هم شناسایی شد – یکی از این حملات Evan Spiegel مدیرعامل اسنپ چت و دیگری FACC یک سازمان تولید قطعات هواپیما که برای شرکتهای بوئینگ و ایرباس کار میکند را هدف قرار داده بود.
رز فیشینگ
رز فیشینگ هم یکی از مدلهای فیشینگ است که البته به اندازه فیشینگ هدفمند متداول نیست اما این نوع کلاهبرداری مدتهاست که وجود دارد.
توجه داشته باشید که مسیر اجرای رز فیشینگ یک مسیر طولانی است و در آن از روشهای مختلفی استفاده میشود.
تصور کنید که یک مهاجم قصد دارد به حساب پیپال شما دسترسی پیدا کند. در ابتدا مهاجم سعی میکند حداکثر اطلاعات ممکن را درباره شما جمع آوری کند از جمله سلایق موسیقیایی، نوع لباس پوشیدن، مکانهای مورد علاقه برای تفریح و مهمتر از همه دوستان شما. پس از مرحله شناسایی، مهاجم سعی میکند با بازی کردن نقش یک فامیل دور، کراش دوران دبیرستان یا با هر ترفند دیگری با دوستان نزدیک شما ارتباط برقرار کند. البته وی به دنبال برقراری رابطه با آنها نیست بلکه قصد او فقط دستیابی به خود شماست.
اما بعد از اینکه وی به شما دسترسی پیدا کرد، چه اتفاقی میافتد؟ او به معنای واقعی از “هر کاری” برای جلب اعتماد شما استفاده میکند. بعضی از آنها سعی میکنند تجربیات اندوهگین زندگی خودشان را با شما در میان بگذراند. برخی دیگر هم ادعا میکنند که عاشق شما شدهاند. بعد از اینکه اعتماد شما جلب شد، مهاجم از شما میخواهد لطفی در حقش انجام دهید – لایک کردن یک صفحه فیسبوک (که مسلماً جعلی است)، درخواست یک قرض کوچک یا هر چیز دیگری. به هر حال حتماً آخر این داستان برای شما هم مشخص است!
فیشینگ هدفمند در دنیای واقعی
منبع: Easy Sol
از آنجایی که نمیتوان بدون بازگو کردن ماجراهای واقعی حق مطلب را به خوبی ادا کرد، در ادامه یکسری مثال از ماجراهای واقعی مربوط به فیشینگ برای شما گردآوری کردهایم. و همچنین برای مطالعه و آشنایی با مثالهای دیگر اینجا کلیک کنید.
1. Alcoa
Alcoa یکی از بزرگترین تولید کنندگان آلومنیوم جهان است. این شرکت که در 10 کشور مختلف شعبه دارد موفق به دستیابی به غنائم عظیمی شده است. اما بعد از دستیابی به این موفقیت، ارتش چین هم سعی کرد گنجینه اسرار صنعتی این شرکت را استخراج کند.
در سال 2008 گروهی از هکرها که توسط دولت چین استخدام شده بودند 5 هزار ایمیل جعلی به کارمندان مختلف این شرکت فرستادند. تمام کارمندان بدون لحظهای درنگ ایمیلها را باز کردند.
این کارمندان روی هیچ لینکی کلیک نکرده بودند اما وقتی گیرنده ایمیل را باز میکرد، بدافزار به صورت خودکار روی کامپیوتر وی نصب میشد. چند ثانیه بعد اسرار سازمان که به شدت از آنها مراقبت میشد، به دست ارتش چین افتاد.
2. حمله باج افزاری Locky به پیپال
این اولین بازی نیست که مشتریان شرکت پیپال قربانی ایمیلهای جعلی میشوند. در این مقاله هم اشاره شده که ارسال ایمیلهای جعلی به دارندگان حسابهای پیپال بسیار متداول است و معمولاً خریداران را هدف قرار میدهد اما ممکن است این اتفاق برای فروشندگان هم رخ دهد.
در هر صورت در کمپین ایمیلی باج افزار Locky در سال 2016 حدود 100 میلیون مشتری آمازون وقتی صبح بیدار شدند متوجه شدند که حساب پیپال آنها به دلیل باز کردن ایمیلی که وانمود میشد از طرف آمازون ارسال شده، هک شده است.
محتویات این ایمیل هم شبیه سایر ایمیلهای شرکت آمازون بود که در ابتدای آن نوشته شده بود (سفارش شما در سایت آمازون ارسال شد) و بعد از آن یک کد تصادفی قرار داشت. در این ایمیل یک فایل ورد هم ضمیمه شده بود. اما طبیعتاً چنین ایمیلهایی معمولاً حاوی داکیومنتهایی هستند که اطلاعات تراکنش در آنها درج شده است بنابراین این فایل ضمیمه مشکوک به نظر نمیرسید. اما حدس بزنید وقتی کاربر سعی میکرد این داکیومنت را دانلود و باز کند، چه اتفاقی میافتاد؟
3. RSA
این ماجرا کمی عجیبتر از ماجراهای قبلی است از این جهت که این اتفاق برای سازمان رخ داد که راهکارهای امنیت آنلاین ارائه میدهد. در سال 2011 یک کلاهبردار، ایمیلهایی تقلبی به تمام کارمندان ارسال کرد. البته فیلتر اسپم پیام را شناسایی کرده علامت زد و آن را به پوشه اسپم ارسال کرد. اما یکی از کارمندان که بیش از حد کنجکاو بود، وقتی در حال جستجوی پوشه اسپم بود به این ایمیل برخورد کرد و آن را باز کرد. متاسفانه همین یک لحظه غفلت باعث شد آسیبی جدی به شهرت و اعتبار سازمان وارد شود.
4. سازمان Ubiquiti Networks
حدود سال 2015 چند کارمند شرکت Ubiquiti Networks ایمیلهایی را دریافت کردند که به نظر میرسید از طرف یکی از مقامات ارشد سازمان ارسال شده است. در این ایمیلها از کارمندان خواسته شده بود که مبلغی را به یکی از شرکتهای تابع در هنگ کنگ واریز کنند که ظاهراً تحت مدیریت یک شخص ثالث قرار داشت. مسلماً این پول هرگز به حساب شرکت تابع واریز نشد زیرا این ایمیلها تقلبی بودند. گزارش حادثه نشان میدهد که سازمان در اثر این حادثه 40 میلیون دلار خسارت دیده است.
5. EFF | Electronic Frontier Foundation
همان سال، یک گروه از کلاهبردارها موفق شدند یکسری کی لاگر و بدافزارهای دیگر را منتشر کنند و این کار را با فریب دادن کاربران به دنبال کردن لینکی که وانمود میشد توسط بنیاد مرزهای الکترونیکی (Electronic Frontier Foundation) ارسال شده است، انجام دادند. البته بنیاد EFF از این کلاهبرداری با خبر شد و موفق شد این عملیات غیرقانونی را متوقف کند.
6. Epsilon
در سال 2011، شرکت Epsilon که ارائه دهنده یکی از پیشروترین پلتفرمهای بازاریابی مبتنی بر داده در سطح جهان است، با یک بحران جدی روبرو شد. هزاران مشتری این شرکت فریب خورده و ایمیلهای جعلی که لینک یک وبسایت مخرب در آن قرار داشت را باز کردند؛ در نتیجه روی سیستم همه آنها یک بدافزار نصب شد. در آن زمان گزارشاتی منتشر شد که در آنها اعلام شده بود احتمالاً کمپین فیشینگ هدفمند Epsilon در راستای یک عملیات گستردهتر انجام شده است. تحلیلهای بعدی نشان داد که این وبسایت مخرب در پشت صحنه بدافزاری را دانلود میکند که قادر به انجام کارهای مختلف از دسترسی ریموت به سیستم تا غیرفعال کردن آنتی ویروس آن بوده است.
تفاوت بین فیشینگ معمولی، فیشینگ هدفمند و وال فیشینگ
با وجود این نکته که هر سه این حملات فیشینگ تلقی میشوند، قطعاً تفاوتهایی بین آنها وجود دارد. فیشینگ مثل پهن کردن یک تور به این امید است که چیزی شکار شود. فیشینگ هدفمند مثل استفاده از قلاب ماهیگیری و وال فیشینگ هم مثل دنبال کردن کامل و دقیق طعمه مورد نظر است.
در حمله فیشینگ صدها یا هزاران ایمیل جعلی ارسال میشود به این امید که یک یا چند نفر آنها را باز کرده، لینک درج شده در آنها را دنبال کرده و اطلاعات درخواست شده را در لینک مورد نظر وارد کند. فیشینگ هدفمند حملهای است که تعیین هدف آن دقیقتر بوده و به صورت کورکورانه و کلی انجام نمیشود.
توجه داشته باشید که اهداف برجستهتر و مهمتر میتوانند منابع بیشتری را در اختیار داشته باشند و همین باعث میشود مهاجمین انگیزه پیدا کنند که برای قربانی کردن آنها سرمایه گذاری کنند.
همچنین، این حملات از نظر تعداد دفعات وقوع هم با هم تفاوت دارند. همانطور که احتمالاً شما هم مطلع هستید، فیشینگ ایمیلی بسیار متداول است و ممکن است همین حالا یک یا چند ایمیل فیشینگ در فولدر اسپم شما قرار داشته باشد.
آماده سازی و اجرای حملات فیشینگ هدفمند زمان میبرد اما این حملات چندان غیرمتداول نیستند. با توجه به این که این حملات از دهه 90 میلادی وجود داشتند، نمیتوان به صورت دقیق و با اطمینان گفت که تا امروز چه تعداد حمله فیشینگ هدفمند اجرا شده است.
اما نکته کلی که باید به آن توجه داشته باشید این است که: اگر ایمیلی کلی و عمومی باشد، پس فیشینگ است. اگر روزی ایمیل غیر منتظرهای از سوی مدیرتان دریافت کردید که در آن از شما خواسته شده بود مقداری پول را به یک حساب دیگر واریز کنید، پس این یک فیشینگ هدفمند است. در نهایت اینکه اگر جزء کارمندان رده بالا هستید و ایمیلی دریافت کردید که در آن از شما خواسته شده بود پولی پرداخت کرده یا اطلاعاتی را ارسال کنید، ممکن است شما هدف یک حمله وال فیشینگ قرار گرفته باشید.
5 نکته برای مقابله با فیشینگ
1. آموزش مستمر امنیت سایبری
اگر شما هم از طرفداران فیلمهای ترسناک مثل احضار (کانجورینگ) باشید حتماً به خاطر دارید که در یکی از صحنههای فیلم، Lorraine میگفت: دانستن اسم شیطان به شما قدرت میدهد تا با آن بجنگید. امروزه وجود یک بخش IT برای مراقبت از امنیت سایبری سازمان شما کافی نیست. اگر مثلاً یکی از کارمندان شما تصمیم بگیرد که یک ایمیل مخرب را باز کند، کار چندانی از شما ساخته نیست.
پس اگر شما مالک یک کسب و کار هستید، آگاهی بخشی امنیتی را تبدیل به یک امر روتین کنید، نیازی نیست که این کار را مکرراً انجام دهید. یک یا دو بار در ماه کفایت میکند. سعی کنید از یکسری یادداشت چاپی یا ویدیوهای آموزشی کوتاه استفاده کنید. با این روشها میتوانید به کارمندانتان آموزش دهید که باز کردن ضمیمههای مشکوک کار کاملاً اشتباهی است. همچنین لازم است که به آنها در باره تفاوتهای فیشینگ معمولی، رز فیشینگ، فیشینگ هدفمند و وال فیشینگ توضیح بدهید.
و البته مهمترین درس درباره امنیت سایبری را فراموش نکنید: برای شکستن کل زنجیره فقط لازم است که یک پیوند ضعیف در آن وجود داشته باشد. حادثه Seagate نشان داد که یک مدیر بی اطلاع و ناآگاه میتواند کل سازمان را دچار دردسر کند.
اگر یک کاربر خانگی هستید میتوانید همیشه منابع جدید در رابطه با نحوه محافظت از دستگاههای مختلف را پیدا کنید.
2. استقرار یک شبکه حرفهای ضدبدافزار و ضدکلاهبرداری
میتوان با صرف هزینهای نسبتاً ناچیز خطر از دست دادن ناگهانی کل سرمایه و اعتبار یک سازمان را حذف کرد. بیشتر ارائه دهندگان راهکارهای ضدویروس و ضدبدافزار خدماتی تخصصی به شرکتها ارائه میدهند؛ همچنین باید توجه داشته باشید که امروزه راهکارهای ضدبدافزار مبتنی بر امضاء قدیمی و منسوخ شده و قادر به مقابله با بدافزارهای جدید که مجهز به هوش مصنوعی شدهاند، نیستند.
بنابراین اگر به دنبال افزایش سطح امنیت سایبری سازمان خودتان هستید، یک راهکار مجهز به هوش مصنوعی را انتخاب کنید. همچنین بهتر است از راهکارهایی استفاده کنید که از تکنیکهای یادگیری ماشینی استفاده میکند. به خاطر داشته باشید که یک راهکار ضدبدافزار و ضدویروس خوب میتواند از شما در برابر کلاهبرداریهای آنلاین و فیشینگ هدفمند محافظت کند.
3. بر اکانتهای ایمیل خودتان نظارت داشته باشید
شاید بهترین راه برای محافظت از نقاط پایانی شبکه، نظارت پیوسته بر فعالیت حسابها باشد. مراقب باشید که فیلترهای اسپم فعال بوده و کارشان را به درستی انجام دهند. در صورت مشاهده هر فعالیت مشکوکی بلافاصله ایمیل مربوطه را حذف یا به فولدر اسپم ارسال کنید. هر ایمیل کاری، بیزنسی یا شخصی میتواند هدف حملات بدافزاری قرار بگیرد.
4. پیاده سازی پروتکل DMARC
DMARC که مخفف احرازهویت، گزارش دهی و بررسی سازگاری پیامها بر اساس دامنه[1] است، یک پروتکل فرستنده/گیرنده است که میتواند مشخص کند که آیا یک پیام از طرف یک منبع مجاز ارسال شده یا خیر. جهت پیاده سازی این پروتکل نیاز به فریم ورکی تحت عنوان Sender Policy Framework (پروتکلی که سرورهای ایمیل را بررسی میکند) و DomainKeys Identified Email (بررسی میکند که آیا داخل ایمیل کلید رمزنگاری وجود دارد یا خیر) دارید. از شرکتی که از راهکارهای ضدبدافزار و ضدویروس آن استفاده میکنید، بپرسید که آیا راهکار آنها استانداردهای DMARC را پوشش میدهد یا خیر.
5. استفاده از احراز هویت چند فاکتوره
اگر سازمان شما از چندین اکانت مختلف استفاده میکند، باید به فکر پیاده سازی راهکارهای احرازهویت چند فاکتوری باشید. به عنوان مثال احراز هویت 2 فاکتوری جیمیل را در نظر بگیرید. هر چند این راهکار امنیت تمام عیاری را فراهم نمیکند اما میتواند یک لایه محافظ اضافه برای شما ایجاد کند. برای احرازهویت چند فاکتوری میتوانید از توکنهای دیجیتال یا از کلیدهای فیزیکی مثل Titan شرکت گوگل استفاده کنید. همچنین اگر قصد دارید که از این به بعد از احرازهویت 2 مرحلهای استفاده کنید قطعاً باید از بازیابی رمزهای عبور خودداری کنید.
جمع بندی
کلید موفقیت در مبارزه با فیشینگ این است که گول نخورید! مهمترین درسی که باید برای مبازره با فیشینگ یاد بگیرید همین است. به خاطر داشته باشید که کلاهبردارها همیشه به دنبال راههایی برای نزدیک شدن به شما هستند چه از طریق فیشینگ، والینگ یا فیشینگ هدفمند. اگر شما هم داستانها و ماجراهای جالبی درباره فیشینگ دارید لطفاً آنها را با ما در میان بگذارید.