پیشگیری از حملات فیشینگ هدفمند

مقابله با حملات فیشینگ از جمله نکاتی ست که هر کسی حداقل یک بار در زندگی روزمره خود به آن احتیاج پیدا میکند، حمله فیشینگ به روش‌های مختلفی انجام می‌شود و از آنجایی که دنیای هک همیشه ترفندهای جدیدی را ارائه می‌کند ما هم در این مقاله حملات فیشینگ هدفمند را مورد بررسی قرار خواهیم داد. فیشینگ هدفمند یکی از تکنیک‌های فیشینگ است که بر اساس اعتماد قربانی یا سادگی او عمل می‌کند.

حملات فیشینگ هدفمند متمرکز هستند؛ اما حملات فیشینگ معمولی به صورت کلی و علیه گروه بزرگی از کاربران انجام می‌شوند به این امید که تعدادی از آنها طعمه شوند. ما در این مقاله تفاوت بین فیشینگ هدفمند و وال فیشینگ و نحوه محافظت از سرمایه‌های دیجیتال سازمانتان در برابر این حملات را توضیح می‌دهیم.

فیشینگ هدفمند چیست؟

فیشینگ هدفمند یک نوع حمله جعل ایمیل است که به صورت خاص افراد و کارمندان را هدف قرار می‌دهد. همانطور که Aaron Ferguson خاطر نشان شده، حملات فیشینگ هدفمند علیه یک کارمند یا یک سازمان انجام می‌شوند.

اما چه چیزی منجر به موفقیت این حملات می‌شود؟ Ferguson یکی از ماموران آژانس امنیت امریکا و استاد آکادمی نظامی ایالات متحده می‌گوید ایمیل‌های جعلی مورد استفاده در این حملات به گونه‌ای ساخته می‌شوند که به نظر برسد از طرف شرکت‌های شناخته شده‌ای همچون پی‌پال، گوگل، اسپاتیفای، نت فلیکس و حتی اپل‌پی ارسال شده‌اند.

حتی در برخی مواقع این ایمیل‌ها شبیه ایمیل‌های داخل سازمانی ساخته شده و از کارمندان می‌خواهند یکسری فرم‌های اطلاعاتی را پر کنند. اما چرا افراد اطلاعات خودشان را از طریق ایمیل ارسال می‌کنند؟ برای پاسخ به این مسئله باید از یک دیدگاه متفاوت به آن نگاه کرد: وقتی مدیرعامل تان مودبانه از شما درخواست می‌کند که به دلیل عقب افتادن کارها نسبت به ضرب الاجل تعیین شده باید نام کاربری و پسورد خودتان را در اختیار وی قرار دهید، چقدر احتمال دارد که با درخواست وی مخالفت کنید؟

در چنین ایمیل‌هایی سعی می‌شود برای موفقیت هر چه بیشتر، هویت یکی از افراد رده بالا (مدیر عامل، مدیر ارشد تکنولوژی) جعل شود.

کاربران ناآگاه روی لینک‌های موجود در چنین ایمیل‌هایی کلیک کرده، تمام اطلاعات درخواست شده را صرف نظر از اینکه چقدر خصوصی هستند ارائه می‌کنند و تصور می‌کنند که از یک مشکل بزرگ نجات پیدا کرده‌اند. متاسفانه پاسخ شما هیچ وقت به مدیرتان نمی‌رسد بلکه در نهایت وارد دیتابیس هکری می‌شود که دسترسی کاملی به رکوردهای سازمان شما خواهد داشت.

اما چرا فیشینگ هدفمند تا این حد موفقیت آمیز است؟ به این دلیل که مهاجمان همیشه کار خودشان را درست انجام می‌دهند. مهاجم قبل از تلاش برای اجرای فیشینگ هدفمند سعی می‌کند حداکثر اطلاعات ممکن را درباره قربانی جمع آوری کند از جمله: نام، آدرس کاری، پروفایل سازمان، سمت، شماره تلفن‌ها، ایمیل‌ها. پس از جمع آوری اطلاعات کافی، مهاجم ایمیل مورد نظر را به قربانی ارسال می‌کند.

یک ماجرای عجیب

برای تاثیر میزان کارایی این حملات از یک مثال به اسم مثال فرگوسن استفاده می‌کنیم. به حملات فیشینگ هدفمند موفقیت آمیز، “تاثیر سرهنگ” هم گفته می‌شود. در ادامه دلیل این نامگذاری را متوجه خواهید شد.

فرگوسن که جزء اساتید آکادمی نظامی ایالات متحده بود، می‌خواست بررسی کند که دانشجویان دانشکده افسری چقدر در حوزه امنیت سایبری اطلاعات دارند این معلم 500 ایمیل به دانشجویانش فرستاد که به نظر می‌رسید توسط یک افسر به نام Robert Melville از همان آکادمی ارسال شده‌اند. وی در این ایمیل نوشته بود که دانشجویان می‌توانند برای مشاهده نتایج امتحان روی لینکی که در ایمیل وجود داشت، کلیک کنند.

طبیعتاً در صورت کلیک روی این لینک اتفاقی نمی‌افتاد بلکه یک پیام به کاربران ارسال می‌شد که در آن نوشته شده بود: “شما فریب خوردید. ممکن بود کامپیوترتان به تروجان، ویروس یا باج افزار آلوده شود.” هر چند این یک آزمایش بی خطر بود اما نتایج آن کاملاً حیرت برانگیز بود: 80 درصد از دانشجویان روی این لینک جعلی کلیک کردند.

 

مقایسه فیشینگ هدفمند با وال فیشینگ (والینگ)

 

بین فیشینگ هدفمند و والینگ یک تفاوت بزرگ وجود دارد. فیشینگ هدفمند ضعیف‌ترین پیوند را مورد هدف قرار می‌دهد اما وال فیشینگ خود روسا را هدف می‌گیرد. حملات وال فیشینگ با این قصد طراحی می‌شوند که اطلاعات لاگین افراد برجسته را مورد هدف قرار دهند مثل مدیران، مدیران مشهور سطح C، سلبریتی‌ها، سیاستمداران، افسران ارشد و غیره.

تکنیک مورد استفاده در هر دو روش تقریباً یکسان است یعنی یکسری ایمیل تقلبی از طرف منابع قابل اطمینان ارسال می‌شود. اما سرقت داده‌ها از یک فرد برجسته و دارای مقام بالا سخت‌تر از سرقت از کارمندان ساده است. در این حالت مهاجم از یکسری‌ ترفندهای مهندسی اجتماعی هم برای جمع آوری اطلاعات درباره هدفش استفاده می‌کند.

شاید بهترین مثال از وال فیشینگ ماجرای 2016 Seagate باشد. در این حمله مدیر ارشد منابع انسانی این سازمان شناخته شده کپی یکسری از فرم‌های مالیاتی سال 2015 کارمندان به نام فرم W-2 را برای شخصی ارسال کرد که هویت مدیرعامل سازمان Stephen Luczo را جعل کرده بود.

این مدیر که تصور می‌کرد ایمیل مستقیماً توسط مدیرعامل سازمان ارسال شده، کپی رکوردهای مالیاتی را برای وی ارسال کرد. احتمالاً شما هم می‌توانید تصور کنید که وقتی فردی اطلاعات مالی بسیار حساس حدود 10 هزار کارمند را برای شخص دیگری ارسال می‌کند، چه اتفاقی می‌افتد. در هر صورت، وقتی مدیران سطح بالا از وقوع این رخنه اطلاع پیدا کردند، مقامات قانونی را در جریان قرار دادند. تا این لحظه هنوز اعلام نشده که اطلاعات به سرقت رفته دقیقاً شامل چه چیزهایی بودند و شخص یا اشخاص پشت این حمله چه افرادی بودند.

حملات وال فیشینگ از آنچه تصور می‌کنید متداول‌تر هستند. همان سال دو حمله والینگ دیگر هم شناسایی شد – یکی از این حملات Evan Spiegel مدیرعامل اسنپ چت و دیگری FACC یک سازمان تولید قطعات هواپیما که برای شرکت‌های بوئینگ و ایرباس کار می‌کند را هدف قرار داده بود.

 

رز فیشینگ

رز فیشینگ هم یکی از مدل‌های فیشینگ است که البته به اندازه فیشینگ هدفمند متداول نیست اما این نوع کلاهبرداری مدت‌هاست که وجود دارد.

توجه داشته باشید که مسیر اجرای رز فیشینگ یک مسیر طولانی است و در آن از روش‌های مختلفی استفاده می‌شود.

تصور کنید که یک مهاجم قصد دارد به حساب پی‌پال شما دسترسی پیدا کند. در ابتدا مهاجم سعی می‌کند حداکثر اطلاعات ممکن را درباره شما جمع آوری کند از جمله سلایق موسیقیایی، نوع لباس پوشیدن، مکان‌های مورد علاقه برای تفریح و مهم‌تر از همه دوستان شما. پس از مرحله شناسایی، مهاجم سعی می‌کند با بازی کردن نقش یک فامیل دور، کراش دوران دبیرستان یا با هر ترفند دیگری با دوستان نزدیک شما ارتباط برقرار کند. البته وی به دنبال برقراری رابطه با آنها نیست بلکه قصد او فقط دستیابی به خود شماست.

اما بعد از اینکه وی به شما دسترسی پیدا کرد، چه اتفاقی می‌افتد؟ او به معنای واقعی از “هر کاری” برای جلب اعتماد شما استفاده می‌کند. بعضی از آنها سعی می‌کنند تجربیات اندوهگین زندگی خودشان را با شما در میان بگذراند. برخی دیگر هم ادعا می‌کنند که عاشق شما شده‌اند. بعد از اینکه اعتماد شما جلب شد، مهاجم از شما می‌خواهد لطفی در حقش انجام دهید – لایک کردن یک صفحه فیسبوک (که مسلماً جعلی است)، درخواست یک قرض کوچک یا هر چیز دیگری. به هر حال حتماً آخر این داستان برای شما هم مشخص است!

 

فیشینگ هدفمند در دنیای واقعی

 

منبع: Easy Sol

از آنجایی که نمی‌توان بدون بازگو کردن ماجراهای واقعی حق مطلب را به خوبی ادا کرد، در ادامه یکسری مثال از ماجراهای واقعی مربوط به فیشینگ برای شما گردآوری کرده‌ایم. و همچنین برای مطالعه و آشنایی با مثال‌های دیگر اینجا کلیک کنید.

1. Alcoa

Alcoa یکی از بزرگترین تولید کنندگان آلومنیوم جهان است. این شرکت که در 10 کشور مختلف شعبه دارد موفق به دستیابی به غنائم عظیمی شده است. اما بعد از دستیابی به این موفقیت، ارتش چین هم سعی کرد گنجینه اسرار صنعتی این شرکت را استخراج کند.

در سال 2008 گروهی از هکرها که توسط دولت چین استخدام شده بودند 5 هزار ایمیل جعلی به کارمندان مختلف این شرکت فرستادند. تمام کارمندان بدون لحظه‌ای درنگ ایمیل‌ها را باز کردند.

این کارمندان روی هیچ لینکی کلیک نکرده بودند اما وقتی گیرنده ایمیل را باز می‌کرد، بدافزار به صورت خودکار روی کامپیوتر وی نصب می‌شد. چند ثانیه بعد اسرار سازمان که به شدت از آنها مراقبت می‌شد، به دست ارتش چین افتاد.

2. حمله باج افزاری Locky به پی‌پال

این اولین بازی نیست که مشتریان شرکت پی‌پال قربانی ایمیل‌های جعلی می‌شوند. در این مقاله هم اشاره شده که ارسال ایمیل‌های جعلی به دارندگان حساب‌های پی‌پال بسیار متداول است و معمولاً خریداران را هدف قرار می‌دهد اما ممکن است این اتفاق برای فروشندگان هم رخ دهد.

در هر صورت در کمپین ایمیلی باج افزار Locky در سال 2016 حدود 100 میلیون مشتری آمازون وقتی صبح بیدار شدند متوجه شدند که حساب پی‌پال آنها به دلیل باز کردن ایمیلی که وانمود می‌شد از طرف آمازون ارسال شده، هک شده است.

محتویات این ایمیل هم شبیه سایر ایمیل‌های شرکت آمازون بود که در ابتدای آن نوشته شده بود (سفارش شما در سایت آمازون ارسال شد) و بعد از آن یک کد تصادفی قرار داشت. در این ایمیل یک فایل ورد هم ضمیمه شده بود. اما طبیعتاً چنین ایمیل‌هایی معمولاً حاوی داکیومنت‌هایی هستند که اطلاعات تراکنش در آنها درج شده است بنابراین این فایل ضمیمه مشکوک به نظر نمی‌رسید. اما حدس بزنید وقتی کاربر سعی می‌کرد این داکیومنت را دانلود و باز کند، چه اتفاقی می‌افتاد؟

3. RSA

این ماجرا کمی عجیب‌تر از ماجراهای قبلی است از این جهت که این اتفاق برای سازمان رخ داد که راهکارهای امنیت آنلاین ارائه می‌دهد. در سال 2011 یک کلاهبردار، ایمیل‌هایی تقلبی به تمام کارمندان ارسال کرد. البته فیلتر اسپم پیام را شناسایی کرده علامت زد و آن را به پوشه اسپم ارسال کرد. اما یکی از کارمندان که بیش از حد کنجکاو بود، وقتی در حال جستجوی پوشه اسپم بود به این ایمیل برخورد کرد و آن را باز کرد. متاسفانه همین یک لحظه غفلت باعث شد آسیبی جدی به شهرت و اعتبار سازمان وارد شود.

4. سازمان Ubiquiti Networks

حدود سال 2015 چند کارمند شرکت Ubiquiti Networks ایمیل‌هایی را دریافت کردند که به نظر می‌رسید از طرف یکی از مقامات ارشد سازمان ارسال شده است. در این ایمیل‌ها از کارمندان خواسته شده بود که مبلغی را به یکی از شرکت‌های تابع در هنگ کنگ واریز کنند که ظاهراً تحت مدیریت یک شخص ثالث قرار داشت. مسلماً این پول هرگز به حساب شرکت تابع واریز نشد زیرا این ایمیل‌ها تقلبی بودند. گزارش حادثه نشان می‌دهد که سازمان در اثر این حادثه 40 میلیون دلار خسارت دیده است.

5. EFF | Electronic Frontier Foundation

همان سال، یک گروه از کلاهبردارها موفق شدند یکسری کی لاگر و بدافزارهای دیگر را منتشر کنند و این کار را با فریب دادن کاربران به دنبال کردن لینکی که وانمود می‌شد توسط بنیاد مرزهای الکترونیکی (Electronic Frontier Foundation) ارسال شده است، انجام دادند. البته بنیاد EFF از این کلاهبرداری با خبر شد و موفق شد این عملیات غیرقانونی را متوقف کند.

6. Epsilon

در سال 2011، شرکت Epsilon که ارائه دهنده یکی از پیشروترین پلتفرم‌های بازاریابی مبتنی بر داده در سطح جهان است، با یک بحران جدی روبرو شد. هزاران مشتری این شرکت فریب خورده و ایمیل‌های جعلی که لینک یک وبسایت مخرب در آن قرار داشت را باز کردند؛ در نتیجه روی سیستم همه آنها یک بدافزار نصب شد. در آن زمان گزارشاتی منتشر شد که در آنها اعلام شده بود احتمالاً کمپین فیشینگ هدفمند Epsilon در راستای یک عملیات گسترده‌تر انجام شده است. تحلیل‌های بعدی نشان داد که این وبسایت مخرب در پشت صحنه بدافزاری را دانلود می‌کند که قادر به انجام کارهای مختلف از دسترسی ریموت به سیستم تا غیرفعال کردن آنتی ویروس آن بوده است.

تفاوت بین فیشینگ معمولی، فیشینگ هدفمند و وال فیشینگ

با وجود این نکته که هر سه این حملات فیشینگ تلقی می‌شوند، قطعاً تفاوت‌هایی بین آنها وجود دارد. فیشینگ مثل پهن کردن یک تور به این امید است که چیزی شکار شود. فیشینگ هدفمند مثل استفاده از قلاب ماهیگیری و وال فیشینگ هم مثل دنبال کردن کامل و دقیق طعمه مورد نظر است.

در حمله فیشینگ صدها یا هزاران ایمیل جعلی ارسال می‌شود به این امید که یک یا چند نفر آن‌ها را باز کرده، لینک درج شده در آنها را دنبال کرده و اطلاعات درخواست شده را در لینک مورد نظر وارد کند. فیشینگ هدفمند حمله‌ای است که تعیین هدف آن دقیق‌تر بوده و به صورت کورکورانه و کلی انجام نمی‌شود.

توجه داشته باشید که اهداف برجسته‌تر و مهم‌تر می‌توانند منابع بیشتری را در اختیار داشته باشند و همین باعث می‌شود مهاجمین انگیزه پیدا کنند که برای قربانی کردن آنها سرمایه گذاری کنند.

همچنین، این حملات از نظر تعداد دفعات وقوع هم با هم تفاوت دارند. همانطور که احتمالاً شما هم مطلع هستید، فیشینگ ایمیلی بسیار متداول است و ممکن است همین حالا یک یا چند ایمیل فیشینگ در فولدر اسپم شما قرار داشته باشد.

آماده سازی و اجرای حملات فیشینگ هدفمند زمان می‌برد اما این حملات چندان غیرمتداول نیستند. با توجه به این که این حملات از دهه 90 میلادی وجود داشتند، نمی‌توان به صورت دقیق و با اطمینان گفت که تا امروز چه تعداد حمله فیشینگ هدفمند اجرا شده است.

اما نکته کلی که باید به آن توجه داشته باشید این است که: اگر ایمیلی کلی و عمومی باشد، پس فیشینگ است. اگر روزی ایمیل غیر منتظره‌ای از سوی مدیرتان دریافت کردید که در آن از شما خواسته شده بود مقداری پول را به یک حساب دیگر واریز کنید، پس این یک فیشینگ هدفمند است. در نهایت اینکه اگر جزء کارمندان رده بالا هستید و ایمیلی دریافت کردید که در آن از شما خواسته شده بود پولی پرداخت کرده یا اطلاعاتی را ارسال کنید، ممکن است شما هدف یک حمله وال فیشینگ قرار گرفته باشید.

 

5 نکته برای مقابله با فیشینگ

 

1. آموزش مستمر امنیت سایبری

اگر شما هم از طرفداران فیلم‌های ترسناک مثل احضار (کانجورینگ) باشید حتماً به خاطر دارید که در یکی از صحنه‌های فیلم، Lorraine می‌گفت: دانستن اسم شیطان به شما قدرت می‌دهد تا با آن بجنگید. امروزه وجود یک بخش IT برای مراقبت از امنیت سایبری سازمان شما کافی نیست. اگر مثلاً یکی از کارمندان شما تصمیم بگیرد که یک ایمیل مخرب را باز کند، کار چندانی از شما ساخته نیست.

پس اگر شما مالک یک کسب و کار هستید، آگاهی بخشی امنیتی را تبدیل به یک امر روتین کنید، نیازی نیست که این کار را مکرراً انجام دهید. یک یا دو بار در ماه کفایت می‌کند. سعی کنید از یکسری یادداشت چاپی یا ویدیوهای آموزشی کوتاه استفاده کنید. با این روش‌ها می‌توانید به کارمندانتان آموزش دهید که باز کردن ضمیمه‌های مشکوک کار کاملاً اشتباهی است. همچنین لازم است که به آنها در باره تفاوت‌های فیشینگ معمولی، رز فیشینگ، فیشینگ هدفمند و وال فیشینگ توضیح بدهید.

و البته مهم‌ترین درس درباره امنیت سایبری را فراموش نکنید: برای شکستن کل زنجیره فقط لازم است که یک پیوند ضعیف در آن وجود داشته باشد. حادثه Seagate نشان داد که یک مدیر بی اطلاع و ناآگاه می‌تواند کل سازمان را دچار دردسر کند.

اگر یک کاربر خانگی هستید می‌توانید همیشه منابع جدید در رابطه با نحوه محافظت از دستگاه‌های مختلف را پیدا کنید.

2. استقرار یک شبکه حرفه‌ای ضدبدافزار و ضدکلاهبرداری

می‌توان با صرف هزینه‌ای نسبتاً ناچیز خطر از دست دادن ناگهانی کل سرمایه و اعتبار یک سازمان را حذف کرد. بیشتر ارائه دهندگان راهکارهای ضدویروس و ضدبدافزار خدماتی تخصصی به شرکت‌ها ارائه می‌دهند؛ همچنین باید توجه داشته باشید که امروزه راهکارهای ضدبدافزار مبتنی بر امضاء قدیمی و منسوخ شده و قادر به مقابله با بدافزارهای جدید که مجهز به هوش مصنوعی شده‌اند، نیستند.

بنابراین اگر به دنبال افزایش سطح امنیت سایبری سازمان خودتان هستید، یک راهکار مجهز به هوش مصنوعی را انتخاب کنید. همچنین بهتر است از راهکارهایی استفاده کنید که از تکنیک‌های یادگیری ماشینی استفاده می‌کند. به خاطر داشته باشید که یک راهکار ضدبدافزار و ضدویروس خوب می‌تواند از شما در برابر کلاهبرداری‌های آنلاین و فیشینگ هدفمند محافظت کند.

3. بر اکانت‌های ایمیل خودتان نظارت داشته باشید

شاید بهترین راه برای محافظت از نقاط پایانی شبکه، نظارت پیوسته بر فعالیت حساب‌ها باشد. مراقب باشید که فیلترهای اسپم فعال بوده و کارشان را به درستی انجام دهند. در صورت مشاهده هر فعالیت مشکوکی بلافاصله ایمیل مربوطه را حذف یا به فولدر اسپم ارسال کنید. هر ایمیل کاری، بیزنسی یا شخصی می‌تواند هدف حملات بدافزاری قرار بگیرد.

4. پیاده سازی پروتکل DMARC

DMARC که مخفف احرازهویت، گزارش دهی و بررسی سازگاری پیام‌ها بر اساس دامنه[1] است، یک پروتکل فرستنده/گیرنده است که می‌تواند مشخص کند که آیا یک پیام از طرف یک منبع مجاز ارسال شده یا خیر. جهت پیاده سازی این پروتکل نیاز به فریم ورکی تحت عنوان Sender Policy Framework (پروتکلی که سرورهای ایمیل را بررسی می‌کند) و DomainKeys Identified Email (بررسی می‌کند که آیا داخل ایمیل کلید رمزنگاری وجود دارد یا خیر) دارید. از شرکتی که از راهکارهای ضدبدافزار و ضدویروس آن استفاده می‌کنید، بپرسید که آیا راهکار آنها استانداردهای DMARC را پوشش می‌دهد یا خیر.

5. استفاده از احراز هویت چند فاکتوره

اگر سازمان شما از چندین اکانت مختلف استفاده می‌کند، باید به فکر پیاده سازی راهکارهای احرازهویت چند فاکتوری باشید. به عنوان مثال احراز هویت 2 فاکتوری جی‌میل را در نظر بگیرید. هر چند این راهکار امنیت تمام عیاری را فراهم نمی‌کند اما می‌تواند یک لایه محافظ اضافه برای شما ایجاد کند. برای احرازهویت چند فاکتوری می‌توانید از توکن‌های دیجیتال یا از کلیدهای فیزیکی مثل Titan شرکت گوگل استفاده کنید. همچنین اگر قصد دارید که از این به بعد از احرازهویت 2 مرحله‌ای استفاده کنید قطعاً باید از بازیابی رمزهای عبور خودداری کنید.

جمع بندی

کلید موفقیت در مبارزه با فیشینگ این است که گول نخورید! مهم‌ترین درسی که باید برای مبازره با فیشینگ یاد بگیرید همین است. به خاطر داشته باشید که کلاهبردارها همیشه به دنبال راه‌هایی برای نزدیک شدن به شما هستند چه از طریق فیشینگ، والینگ یا فیشینگ هدفمند. اگر شما هم داستان‌ها و ماجراهای جالبی درباره فیشینگ دارید لطفاً آنها را با ما در میان بگذارید.