مقالات

آشنایی با حملات ویشینگ

به عمل «استخراج اطلاعات یا تلاش برای تأثیرگذاشتن بر اعمال دیگران از طریق تلفن»، ویشینگ گفته می‌شود. همچون حملات فیشینگ، هدف از انجام حملات ویشینگ هم به دست آوردن اطلاعات ارزشمند با سوءاستفاده از تمایل افراد برای کمک به دیگران است. از این اطلاعات در اغلب موارد برای نفوذ به یک سازمان استفاده می‌شود. در این روش، مهاجمان می‌توانند نقش یک فرد معتبر مانند تکنسین یا یکی از همکاران قربانی مورد نظر را بازی کرده تا اطلاعات حساس مورد نیاز برای نفوذ به آن سازمان را جمع‌آوری کنند. حتی برخی از مهاجمین برای مخفی کردن هویت خودشان، از ابزارهای تغییر صدا هم استفاده می‌کنند.

دو روشی که در این مقاله راجع به آنها صحبت می‌کنیم، بر اساس تماس با سازمان به عنوان کارمندان بخش پشتیبانی مشتری یا بخش پشتیبانی فنی انجام می‌شوند.

 

چرا محافظت در برابر ویشینگ مهم است؟

حملات ویشینگ یکی از موفقیت آمیزترین روش‌های جمع‌آوری اطلاعات مورد نیاز جهت نفوذ به یک سازمان محسوب می‌شوند. تخمین زده می‌شود که کلاهبرداری‌های تلفنی، هر ساله منجر به ۴۶.۳ میلیارد دلار خسارت به شرکت ها و سازمان ها می‌شوند. جمع‌آوری هرگونه اطلاعات، از جمله کد پرسنلی و مشخصات هویتی کارمندان، اطلاعات لاگین کاربران، آدرس منزل یا هر اطلاعات دیگری درباره فناوری‌های مورد استفاده در یک شرکت، از نظر مهاجمان موفقیت تلقی می‌شود. آنها می توانند از این اطلاعات جهت جمع‌آوری سایر اطلاعات یا جعل هویت یک کارمند یا فروشنده استفاده کرد و از این طریق با موفقیت به سازمان نفوذ کرده یا به حساب یک مشتری خاص دسترسی پیدا کنند.

 

بخش های پشتیبانی مشتری و کارکنان پشتیبانی فنی (Helpdesk)

کارمندان واحد پشتیبانی فنی یکی از آسیب‌پذیرترین اعضای سازمان هستند زیرا کار آنها کمک کردن به تماس گیرندگان، آن هم به صورت کاملاً دوستانه و مؤدبانه است. اغلب وقت ها مهاجمان از این ویژگی سوءاستفاده کرده و از آن برای جمع‌آوری اطلاعات حساس استفاده می‌کنند.

مهاجم ها در بیشتر وقت­ ها شماره تلفن‌های مورد نیاز و ایمیل‌هایی که برای پشتیبانی استفاده می‌شوند را از وب سایت سازمان به دست می‌آورند. ممکن است مهاجمین با یک شماره جعل شده، شماره ای مجازی یا یک شماره تلفن خصوصی تماس بگیرند. آنها سعی می‌کنند بیشترین اطلاعات ممکن را درباره کارمندی که با او صحبت می‌کنند یا مشتری که نقش وی را بازی می‌کنند جمع‌آوری کنند (از جمله شماره تلفن مستقیم، نام و سمت کارمند، شماره تأمین اجتماعی، آدرس و سایر اطلاعات مورد نیاز).

مهاجمی که نقش یک مشتری را بازی می‌کند معمولاً می‌تواند اطلاعاتی را در خصوص وی از شبکه‌های اجتماعی و سایر وب سایت‌ها جمع‌آوری کند تا از این طریق به سؤال ­های امنیتی ساده پاسخ دهد. ممکن است مهاجم درخواست بازیابی کلمه عبور را مطرح کرده یا سعی کند سایر اطلاعات حساب را تغییر دهد تا از این طریق به حساب کاربری فرد مورد نظرش دسترسی پیدا کند.

مهمترین فنون مورد استفاده مهاجمان در این خصوص، شامل موارد زیر است:

 

۱- روش زمزمه کردن

عموماً از این روش بر ضد کارمندان مرکز تماس استفاده می‌شود. در این روش، وقتی سؤالی از مهاجم پرسیده می­ شود پاسخ را به صورت مبهم زمزمه می‌کند به این امید که پاسخ او توسط کارمند مرکز تماس تأیید شود. همچنین ممکن است مهاجم از این روش در مواقعی که نقش یک مشتری را بازی کرده یا از طرف یک مشتری تماس می‌گیرد هم استفاده کند.

دلالان اطلاعات در فضای مجازی از این روش برای به دست آوردن اطلاعات هزاران سابقه مربوط به شماره تلفن همراه از کارمندان شرکت “Verizon Wireless” استفاده کرده و بعداً این اطلاعات را فروختند. این مهاجمین با ایفای نقش «گروه‌هایی با نیازهای خاص»، با کارمندان پشتیبانی تماس گرفته و اطلاعات حساب‌ها را درخواست می­کردند.

آموزش‌های امنیتی به کارمندان بخش پشتیبانی کمک می‌کند تا کارشان را به صورت مؤدبانه و بدون به خطر انداختن داده‌های مشتریان یا سازمان انجام دهند.

 

۲- پشتیبانی فنی

یک نمونه از حملات ویشینگ در بخش پشتیبانی فنی هنگامی صورت می‌گیرد که مهاجم با ادعای وجود یک مشکل واقعی یا غیرواقعی مثل مشکل سرعت شبکه، با کارمندان بخش پشتیبانی تماس می‌گیرد. این مهاجمین از اصطلاحات فنی استفاده می‌کنند تا توضیح دهند که چرا کارمند پشتیبانی باید به سؤال های آنها پاسخ دهد. سؤالاتی که شامل کد پرسنلی شخص، نام و نام خانوادگی و عنوان شغلی او است.

 

مثال‌های واقعی

۱- شرکت Rogers Communications

در ماه مارس سال ۲۰۱۵ میلادی، یک گروه از مهاجمان توانستند به ۵۰ تا ۷۰ رکورد از مشتریان شرکت “Rogers Communications’” دسترسی پیدا کنند.

آنها توانستند با یک تماس تلفنی و یک داستان ساختگی خوب، کارمند بخش پشتیبانی فناوری اطلاعات را متقاعد کنند تا اطلاعات لاگین یکی از کارمندان شرکت را در اختیار آنها قرار دهد. مهاجمین با استفاده از ایمیل آدرس و کلمه عبور کارمند موردنظر توانستند به کل اطلاعات مربوط به کسب و کارهایی با اندازه متوسط که در اختیار کارمند مورد نظر بود دسترسی پیدا کنند. هرچند در این قراردادها هیچ اطلاعات شخصی یا مالی وجود نداشت اما هرگز دسترسی غیرمجاز یک فرد یا گروه به اطلاعات مشتریان اتفاق خوشایندی نیست و پیامدهای بسیار بدی را می تواند برای یک شرکت رقم بزند.

 

۲- طراح راهکارهای مایکروسافت

این حمله ویشینگ، مربوط به جعل یک طراح راهکارهای شبکه های مایکروسافتی بود که در اواخر سال ۲۰۰۹ میلادی وجود داشت. در این حمله، افراد مختلفی از کشورهای گوناگونی همچون آمریکا، کانادا، استرالیا، نیوزلند، ایرلند و انگلیس مورد هدف قرار گرفتند.

مهاجمان با بازی کردن نقش یکی از اعضای پشتیبانی شرکت مایکروسافت، با فرد مورد نظر تماس گرفته و به وی اطلاع می‌دادند که رایانه او به یک ویروس خاص آلوده شده است که می تواند باعث ایجاد خطاهای مختلف در اینترنت شود. در این حمله، از فرد مورد نظر درخواست می‌شد برای رفع این مشکل، یک نرم افزار خاص را دانلود کند.

هدف نهایی این حمله، بسته به فردی که حمله بر ضد او اجرا می‌شد، متفاوت بود. برخی از مهاجمین، ضدویروس‌های جعلی می‌فروختند. برخی دیگر، مستقیماً به سراغ اطلاعات حساب بانکی قربانی می‌رفتند. بعضی هم کنترل رایانه قربانی را از راه دور به دست می‌گرفتند. پرکاربردترین هدف مهاجمان، هدایت قربانی به وب سایتی خاص برای دانلود یک «راهکار» ویژه بود که این راهکار، درواقع یک بدافزار بود!

 

۳- خسارت ۱.۲ میلیون دلاری صندوق پوشش خطر لندن

در جولای سال ۲۰۱۵، مدیر ارشد مالی یک صندوق پوشش خطر انگلیسی به نام “Fortelus Capital Management LLP” وقتی قصد داشت برای تعطیلات آخر هفته محل کار خود را ترک کند، یک تماس تلفنی دریافت کرد. تماس گیرنده خودش را به عنوان نماینده مالی بانک Coutts که این صندوق از خدمات آن استفاده می‌کرد، معرفی کرد. او به این مدیر مالی اطلاع داد که ۱۵ فعالیت مشکوک در حساب شرکت صورت گرفته که باید بلافاصله لغو شوند. مدیر صندوق هم موافقت کرد تا با ارایه کدهای کارت بانکی شرکت، به او در لغو این برداشت‌های جعلی کمک کند. مدیر مالی صندوق که تصور می‌کرد مشکل را حل کرده، تماس را قطع کرد و به تعطیلات آخر هفته رفت.

روز دوشنبه وقتی مدیر مالی وارد حساب بانکی شرکت شد، متوجه شد که مبلغ ۷۴۲۶۶۸ پوند (معادل با ۱.۲ میلیون دلار آمریکا) از حساب شرکت برداشت شده است. مدیر مالی بلافاصله با بانک تماس گرفت و متأسفانه هیچ سابقه ای از تماس روز جمعه وجود نداشت. در نتیجه، این مدیر مالی از مؤسسه Fortelus اخراج شد و به دلیل کوتاهی در محافظت از دارایی‌های سازمانی، از وی هم در مراجع قضایی شکایت شد.

 

قرار گرفتن حملات ویشینگ در بالای لیست کلاهبرداری‌های سال ۲۰۱۹ IRS

در سال ۲۰۱۹ میلادی، حملات ویشینگ به دلیل ماهیت فراگیر و پایدارشان در جایگاه اول لیست کلاهبرداری‌های مالیاتی سالیانه IRS (سازمان خدمات درآمدهای داخلی آمریکا) قرار گرفتند. در این سال، مهاجمین برای موفقیت هرچه بیشتر حملاتشان، از فنون پیشرفته‌ای مثل جعل شماره استفاده کردند. رویکرد مهاجم ها کاملاً تهاجمی و شدید بوده و قربانی را تهدید می‌کردند اگر بلافاصله پرداختی صورت نگیرد اتفاق­ های ناخوشایندی رخ خواهد داد. همچنین آنها از نشان‌های جعلی IRS نیز استفاده کردند.

این آمار، نشان دهنده افزایش چشم­گیر حملات ویشینگ به منظور کلاهبرداری از کاربران به خصوص افراد میان‌سال، مهاجرین جدید و همچنین افرادی است که به خوبی نمی توانند به زبان انگلیسی صحبت کنند. بازرس خزانه‌داری اداره امور مالیاتی آمریکا از اکتبر ۲۰۱۳ تاکنون گزارش‌هایی را درباره حدود ۲۹۰ هزار تماس تلفنی مشکوک دریافت کرده که در این تماس ها از قربانی شدن حدود ۳ هزار نفر اطمینان یافته است؛ افرادی که بر اثر کلاهبرداری‌های ویشینگ، بیش از ۱۴ میلیون دلار هزینه پرداخت کرده‌اند.

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

4 × پنج =

دکمه بازگشت به بالا