آشنایی با نمونههایی از حملات ویشینگ
به عمل «استخراج اطلاعات یا تلاش برای تأثیرگذاشتن بر اعمال دیگران از طریق تلفن»، ویشینگ گفته میشود. همچون حملات فیشینگ، هدف از انجام حملات ویشینگ هم به دست آوردن اطلاعات ارزشمند با سوءاستفاده از تمایل افراد برای کمک به دیگران است. از این اطلاعات در اغلب موارد برای نفوذ به یک سازمان استفاده میشود. در این روش، مهاجمان میتوانند نقش یک فرد معتبر مانند تکنسین یا یکی از همکاران قربانی مورد نظر را بازی کرده تا اطلاعات حساس مورد نیاز برای نفوذ به آن سازمان را جمعآوری کنند. حتی برخی از مهاجمین برای مخفی کردن هویت خودشان، از ابزارهای تغییر صدا هم استفاده میکنند.
دو روشی که در این مقاله راجع به آنها صحبت میکنیم، بر اساس تماس با سازمان به عنوان کارمندان بخش پشتیبانی مشتری یا بخش پشتیبانی فنی انجام میشوند.
چرا محافظت در برابر حملات ویشینگ مهم است؟
حملات ویشینگ یکی از موفقیت آمیزترین روشهای جمعآوری اطلاعات مورد نیاز جهت نفوذ به یک سازمان محسوب میشوند. تخمین زده میشود که کلاهبرداریهای تلفنی، هر ساله منجر به 46.3 میلیارد دلار خسارت به شرکت ها و سازمان ها میشوند. جمعآوری هرگونه اطلاعات، از جمله کد پرسنلی و مشخصات هویتی کارمندان، اطلاعات لاگین کاربران، آدرس منزل یا هر اطلاعات دیگری درباره فناوریهای مورد استفاده در یک شرکت، از نظر مهاجمان موفقیت تلقی میشود. آنها می توانند از این اطلاعات جهت جمعآوری سایر اطلاعات یا جعل هویت یک کارمند یا فروشنده استفاده کرد و از این طریق با موفقیت به سازمان نفوذ کرده یا به حساب یک مشتری خاص دسترسی پیدا کنند.
بخش های پشتیبانی مشتری و کارکنان پشتیبانی فنی (Helpdesk)
کارمندان واحد پشتیبانی فنی یکی از آسیبپذیرترین اعضای سازمان هستند زیرا کار آنها کمک کردن به تماس گیرندگان، آن هم به صورت کاملاً دوستانه و مؤدبانه است. اغلب وقت ها مهاجمان از این ویژگی سوءاستفاده کرده و از آن برای جمعآوری اطلاعات حساس استفاده میکنند.
مهاجم ها در بیشتر وقت ها شماره تلفنهای مورد نیاز و ایمیلهایی که برای پشتیبانی استفاده میشوند را از وب سایت سازمان به دست میآورند. ممکن است مهاجمین با یک شماره جعل شده، شماره ای مجازی یا یک شماره تلفن خصوصی تماس بگیرند. آنها سعی میکنند بیشترین اطلاعات ممکن را درباره کارمندی که با او صحبت میکنند یا مشتری که نقش وی را بازی میکنند جمعآوری کنند (از جمله شماره تلفن مستقیم، نام و سمت کارمند، شماره تأمین اجتماعی، آدرس و سایر اطلاعات مورد نیاز).
مهاجمی که نقش یک مشتری را بازی میکند معمولاً میتواند اطلاعاتی را در خصوص وی از شبکههای اجتماعی و سایر وب سایتها جمعآوری کند تا از این طریق به سؤال های امنیتی ساده پاسخ دهد. ممکن است مهاجم درخواست بازیابی کلمه عبور را مطرح کرده یا سعی کند سایر اطلاعات حساب را تغییر دهد تا از این طریق به حساب کاربری فرد مورد نظرش دسترسی پیدا کند.
مهمترین فنون مورد استفاده مهاجمان در این خصوص، شامل موارد زیر است:
1- روش زمزمه کردن
عموماً از این روش بر ضد کارمندان مرکز تماس استفاده میشود. در این روش، وقتی سؤالی از مهاجم پرسیده می شود پاسخ را به صورت مبهم زمزمه میکند به این امید که پاسخ او توسط کارمند مرکز تماس تأیید شود. همچنین ممکن است مهاجم از این روش در مواقعی که نقش یک مشتری را بازی کرده یا از طرف یک مشتری تماس میگیرد هم استفاده کند.
دلالان اطلاعات در فضای مجازی از این روش برای به دست آوردن اطلاعات هزاران سابقه مربوط به شماره تلفن همراه از کارمندان شرکت “Verizon Wireless” استفاده کرده و بعداً این اطلاعات را فروختند. این مهاجمین با ایفای نقش «گروههایی با نیازهای خاص»، با کارمندان پشتیبانی تماس گرفته و اطلاعات حسابها را درخواست میکردند.
آموزشهای امنیتی به کارمندان بخش پشتیبانی کمک میکند تا کارشان را به صورت مؤدبانه و بدون به خطر انداختن دادههای مشتریان یا سازمان انجام دهند.
2- پشتیبانی فنی
یک نمونه از حملات ویشینگ در بخش پشتیبانی فنی هنگامی صورت میگیرد که مهاجم با ادعای وجود یک مشکل واقعی یا غیرواقعی مثل مشکل سرعت شبکه، با کارمندان بخش پشتیبانی تماس میگیرد. این مهاجمین از اصطلاحات فنی استفاده میکنند تا توضیح دهند که چرا کارمند پشتیبانی باید به سؤال های آنها پاسخ دهد. سؤالاتی که شامل کد پرسنلی شخص، نام و نام خانوادگی و عنوان شغلی او است.
مثالهای واقعی
1- شرکت Rogers Communications
در ماه مارس سال 2015 میلادی، یک گروه از مهاجمان توانستند به 50 تا 70 رکورد از مشتریان شرکت “Rogers Communications’” دسترسی پیدا کنند.
آنها توانستند با یک تماس تلفنی و یک داستان ساختگی خوب، کارمند بخش پشتیبانی فناوری اطلاعات را متقاعد کنند تا اطلاعات لاگین یکی از کارمندان شرکت را در اختیار آنها قرار دهد. مهاجمین با استفاده از ایمیل آدرس و کلمه عبور کارمند موردنظر توانستند به کل اطلاعات مربوط به کسب و کارهایی با اندازه متوسط که در اختیار کارمند مورد نظر بود دسترسی پیدا کنند. هرچند در این قراردادها هیچ اطلاعات شخصی یا مالی وجود نداشت اما هرگز دسترسی غیرمجاز یک فرد یا گروه به اطلاعات مشتریان اتفاق خوشایندی نیست و پیامدهای بسیار بدی را می تواند برای یک شرکت رقم بزند.
2- طراح راهکارهای مایکروسافت
این حمله ویشینگ، مربوط به جعل یک طراح راهکارهای شبکه های مایکروسافتی بود که در اواخر سال 2009 میلادی وجود داشت. در این حمله، افراد مختلفی از کشورهای گوناگونی همچون آمریکا، کانادا، استرالیا، نیوزلند، ایرلند و انگلیس مورد هدف قرار گرفتند.
مهاجمان با بازی کردن نقش یکی از اعضای پشتیبانی شرکت مایکروسافت، با فرد مورد نظر تماس گرفته و به وی اطلاع میدادند که رایانه او به یک ویروس خاص آلوده شده است که می تواند باعث ایجاد خطاهای مختلف در اینترنت شود. در این حمله، از فرد مورد نظر درخواست میشد برای رفع این مشکل، یک نرم افزار خاص را دانلود کند.
هدف نهایی این حمله، بسته به فردی که حمله بر ضد او اجرا میشد، متفاوت بود. برخی از مهاجمین، ضدویروسهای جعلی میفروختند. برخی دیگر، مستقیماً به سراغ اطلاعات حساب بانکی قربانی میرفتند. بعضی هم کنترل رایانه قربانی را از راه دور به دست میگرفتند. پرکاربردترین هدف مهاجمان، هدایت قربانی به وب سایتی خاص برای دانلود یک «راهکار» ویژه بود که این راهکار، درواقع یک بدافزار بود!
3- خسارت 1.2 میلیون دلاری صندوق پوشش خطر لندن
در جولای سال 2015، مدیر ارشد مالی یک صندوق پوشش خطر انگلیسی به نام “Fortelus Capital Management LLP” وقتی قصد داشت برای تعطیلات آخر هفته محل کار خود را ترک کند، یک تماس تلفنی دریافت کرد. تماس گیرنده خودش را به عنوان نماینده مالی بانک Coutts که این صندوق از خدمات آن استفاده میکرد، معرفی کرد. او به این مدیر مالی اطلاع داد که 15 فعالیت مشکوک در حساب شرکت صورت گرفته که باید بلافاصله لغو شوند. مدیر صندوق هم موافقت کرد تا با ارایه کدهای کارت بانکی شرکت، به او در لغو این برداشتهای جعلی کمک کند. مدیر مالی صندوق که تصور میکرد مشکل را حل کرده، تماس را قطع کرد و به تعطیلات آخر هفته رفت.
روز دوشنبه وقتی مدیر مالی وارد حساب بانکی شرکت شد، متوجه شد که مبلغ 742668 پوند (معادل با 1.2 میلیون دلار آمریکا) از حساب شرکت برداشت شده است. مدیر مالی بلافاصله با بانک تماس گرفت و متأسفانه هیچ سابقه ای از تماس روز جمعه وجود نداشت. در نتیجه، این مدیر مالی از مؤسسه Fortelus اخراج شد و به دلیل کوتاهی در محافظت از داراییهای سازمانی، از وی هم در مراجع قضایی شکایت شد.
قرار گرفتن حملات ویشینگ در بالای لیست کلاهبرداریهای سال 2019 IRS
در سال 2019 میلادی، حملات ویشینگ به دلیل ماهیت فراگیر و پایدارشان در جایگاه اول لیست کلاهبرداریهای مالیاتی سالیانه IRS (سازمان خدمات درآمدهای داخلی آمریکا) قرار گرفتند. در این سال، مهاجمین برای موفقیت هرچه بیشتر حملاتشان، از فنون پیشرفتهای مثل جعل شماره استفاده کردند. رویکرد مهاجم ها کاملاً تهاجمی و شدید بوده و قربانی را تهدید میکردند اگر بلافاصله پرداختی صورت نگیرد اتفاق های ناخوشایندی رخ خواهد داد. همچنین آنها از نشانهای جعلی IRS نیز استفاده کردند.
این آمار، نشان دهنده افزایش چشمگیر حملات ویشینگ به منظور کلاهبرداری از کاربران به خصوص افراد میانسال، مهاجرین جدید و همچنین افرادی است که به خوبی نمی توانند به زبان انگلیسی صحبت کنند. بازرس خزانهداری اداره امور مالیاتی آمریکا از اکتبر 2013 تاکنون گزارشهایی را درباره حدود 290 هزار تماس تلفنی مشکوک دریافت کرده که در این تماس ها از قربانی شدن حدود 3 هزار نفر اطمینان یافته است؛ افرادی که بر اثر کلاهبرداریهای ویشینگ، بیش از 14 میلیون دلار هزینه پرداخت کردهاند.