حمله spear phishing چیست؟ مثالها، تکنیکها و تاکتیکها
در حملات فیشینگ هدفمند مهاجمان معمولاً از اطلاعاتی که از طریق منابع مختلف جمعآوری کردهاند سوءاستفاده نموده و ایمیلی را که حاوی لینک بدافزار است برای قربانی ارسال میکنند. در این حملات گیرنده باید متقاعد گردد که ایمیل مخرب از سوی یک فرستنده معتبر ارسال شده و بر روی لینک مدنظر کلیک یا فایل پیوست در ایمیل را دانلود کند. همچنین هکرها ممکن است قربانی را فریب دهند تا اطلاعات خاص یا مبلغی را در اختیارشان قرار دهد.
ایمیلهای فیشینگ هدفمند عموماً با استفاده از تکنیکهای مهندسی اجتماعی حرفهای و با دقت بسیار زیاد طراحی میشوند و امکان دفاع در برابر آنها فقط با بکارگیری ابزارهای فنی امکانپذیر است.
بنا به گفته J.R. Cunningham مدیر ارشد فناوری شرکت ارایهدهنده خدمات امنیت سایبری Nuspire مستقر در شیکاگو: «توجه کنید که هدف نهایی مهاجمان از اجرای حملات فیشینگ هدفمند نصب بدافزار در محل کسبوکار گیرنده است نه صرفاً سیستمهای شخصی قربانی».
تفاوتها و تشابهات فیشینگ، فیشینگ هدفمند و والینگ
هر سه نوع حمله فیشینگ، فیشینگ هدفمند و والینگ جزو حملات ایمیلی محسوب میشوند. فیشینگ شامل گروه وسیعی از حملات سایبری است که هر گونه استفاده از ایمیل یا سایر سیستمهای پیامرسان الکترونیک برای فریب افراد را در بر میگیرد. در حالی که فیشینگ هدفمند و والینگ زیرمجموعه حملات فیشینگ هستند.
حملات فیشینگ معمولاً پیامهای عمومی و کلی هستند که به صورت خودکار برای هزاران گیرنده ارسال میشوند. متن این پیامها وسوسه کننده و جذاب است. ممکن است فایل پیوست این ایمیلها تحت عناوینی مثل «گزارش حقوق» یا حاوی یک لینک جعلی به وبسایت قرعهکشی باشد. مجرمان سایبری در این روش عموماً متن پیام را به صورت اختصاصی برای یک گیرنده منحصربفرد طراحی نمیکنند. نام این حمله برگرفته از کلمه انگلیسی fishing به معنای ماهیگیری است. علت چنین نامگذاری این است که ماهیگیر طعمهای را به قلاب (ایمیل فیشینگ) وصل کرده و در آب میاندازد به این امید که توسط یک قربانی در آب گرفته شود. در نهایت قربانی شکار ماهیگیر میشود.
حمله فیشینگ هدفمند نیز همانگونه که از نام آن مشخص است شامل تلاش برای گیر انداختن یک ماهی خاص میباشد. ایمیلهای مورد استفاده در فیشینگ هدفمند حاوی اطلاعات ویژهای برای گیرنده هستند. در این حملات قربانی باید متقاعد شود تا کار مدنظر مهاجم را انجام داده و در نهایت هدف نهایی وی را برآورده سازد. در طراحی این ایمیلها از نام گیرنده استفاده شده و حتی ممکن است شامل اطلاعاتی درباره زندگی شخصی یا حرفهای او باشند. مهاجمان این دادهها را از منابع مختلف و شبکههای اجتماعی مثل اینستاگرام به دست آوردهاند.
اصطلاح بعدی والینگ است. این حملات نوع خاصی از فیشینگ هدفمند هستند. مهاجمان در حملات والینگ در جستجوی یک ماهی بسیار بزرگ میباشند. براساس گفته Jacob Ansari مشاور امنیت و تحلیلگر گرایشات نوظهور در حوزه تهدیدات سایبری: «علت نامگذاری والینگ بر روی این نوع حملات به این دلیل است که هدف نهایی مهاجمان از اجرای آنها چهرههای شناخته شده، مدیران ارشد یا سایر اهداف بزرگ است. گاهی اوقات تمرکز فیشیشنگهای هدفمند اهداف غیربرجسته ولی با یک سمت مهم است. در چنین مواقعی شخصی در بخش امور مالی یا فناوری اطلاعات که دسترسی و اختیارات مهمی دارد، اجازه دسترسی را برای کاربر (مهاجمان) صادر نموده یا یک صورتحساب (جعلی) را تأیید میکند».
شیوه عملکرد حملات فیشینگ هدفمند چگونه است؟
کل فرایند حمله و اجرای موفق آن در گرو قابل باور بودن پیام ارسالی است. بنابراین جمعآوری اطلاعات حساس شخصی قربانی از جمله مراحل مهم در فیشینگ هدفمند محسوب میشود.
روشهای زیادی برای انجام این کار وجود دارد. برای مثال مهاجمان میتوانند از طریق فیشینگ معمولی یا شناسایی یک آسیبپذیری و نفوذ از طریق آن ایمیل یا سیستم پیامرسان قربانی را هک کنند.
البته حملات فیشینگ هدفمند شامل مراحل دیگری هم هستند. Ori Arbel مدیر ارشد فناوری شرکت ارایهدهنده پلتفرمهای عملیات امنیتی CYREBRO میگوید: «مهاجمان معمولاً ایمیل یکی از کارمندان سازمان مدنظر را هک نموده و سپس مکالمات وی را تحت نظر میگیرند. وقتی زمان حمله برسد، یک پیام هدفمند با متنی قابل باور به همراه اطلاعات داخلی شرکت (مثل اشاره به گفتگوهای قبلی یا مبالغی که پیش از این منتقل شده است) برای قربانی ارسال میکنند».
مهاجمان همچنین میتوانند بدون نفوذ به سیستمهای ارتباطی از اطلاعات موجود در اینترنت، شبکههای اجتماعی یا ارتباطات شرکتی برای فریب کاربر استفاده کنند. Jorge Rey مدیر امور امنیت سایبری شرکت مشاوره Kaufman Rossin میگوید: «فرض کنید کاربری تغییری در حساب لینکدین خود انجام داده و سمت خود را کارمند یک شرکت بنام عنوان کند. طی چند ساعت یا حتی چند دقیقه کاربر یک ایمیل جعلی که ظاهراً از سوی مدیرعامل شرکت مدنظر ارسال شده دریافت میکند». Rey میگوید: «کلیه رباتهای هکرها لینکدین را تحت نظر داشته و همه موارد را از طریق اسکریپت بررسی مینمایند. آنها این پیامها را به امید فریب حتی یک نفر ارسال میکنند».
مهاجم در تلاش هست تا از اطلاعاتی که از طریق شبکههای اجتماعی جمعآوری نموده به نفع خودش بهرهبرداری کند. Cunningham میگوید: «مدتی پیش یکی از مشتریان ما ایمیلی از شرکت بیمه خودش دریافت نموده است. ظاهراً این ایمیل شامل اطلاعاتی در رابطه با تغییر شرایط بیمه خودروی مشتری بوده است. مشتری نیز پس از کلیک بر روی لینک موجود در ایمیل قربانی یک حمله فیشینگ شد. مدت کوتاهی پیش از وقوع این حمله، گیرنده پیام تصادفی داشته و عکسی از خودروی خود در شبکههای اجتماعی منتشر کرده بود. قربانی در زیر عکس چنین نوشته بود که شرکت بیمهای که با آن قرارداد دارد (با ذکر نام شرکت) در کوتاهترین زمان ممکن به درخواست وی پاسخ داده است. همین اقدام ساده باعث شد که مهاجمان اطلاعات لازم را درباره شرکت بیمه قربانی جمعآوری نموده و از آن برای طراحی فیشینگ هدفمند استفاده کنند».
نشانههای فیشینگ هدفمند
کلاهبرداران معمولاً متمرکز بر کارمندان تازه وارد هستند چون این افراد آشنایی چندانی با محیط ندارند. با این فرض که مهاجم اطلاعات شخصی کارمندی را جمعآوری کرده باشد، درخواست انجام عملیات نامتعارف یا خارج از کانالهای ارتباطی شرکت از او، جزو بارزترین نشانههای حملات فیشینگ محسوب میشود. فراموش نکنید که انجام کارهای خارج از عرف معمولاً تنها روش هکرها برای اخاذی از شما یا سازمانتان است. اگرچه تشخیص درخواستهای غیرعادی برای کارمندان جدید چندان آسان نیست اما در چنین شرایطی افراد همواره باید به ندای درونشان گوش دهند!
Wojciech Syrkiewicz-Trepiak مهندس امنیت سایبری در شرکت ارایهدهنده پلتفرم مدیریت زیرساخت به صورت کد spacelift.io میگوید: «در شرکت سابق من، یک ایمیل جعلی ظاهراً از طرف مدیرعامل برای تعدادی از کارمندان ارسال شده بود. در این حمله مهاجمان از یک آدرس ایمیل واقعی استفاده کرده و در نتیجه سازوکارهای امنیتی را دور زده بودند. البته دامنه این آدرس ایمیل، گوگل بود (نه دامنه شرکت). در این پیام از کارمندان درخواست شده بود که یک کار فوری مثل دور زدن سیاستهای شرکت و انجام یک کار اشتباه را انجام دهند».
فوریت در چنین پیامهایی یک نشانه هشدار است. اگرچه در محیطهای حرفهای معمولاً از اشخاص درخواست میشود که یکسری درخواستها را فوراً انجام دهند اما در حالت کلی دستپاچه نمودن شما توسط اشخاص دیگر دلالت بر گرفتن فرصت فکر کردن از شما میباشد. Massimo Marini مدیر ارشد امور امنیتی در شرکت Kuma LLC میگوید: «در یکی از همین کلاهبرداریها، قربانی باید بر اساس دستور مهاجم یکسری کارت هدیه تهیه میکرد. او این کارتها را خریده و سپس کدشان را برای مهاجم فرستاد. در این حمله هکر قربانی را دستپاچه کرد تا بلافاصله و با عجله دستور مدیرش را اجرا نماید. خوشبختانه این حمله در لحظه آخر و زمانی که این کارمند به صورت اتفاقی با رئیس واقعی خودش صحبت کرد، متوقف شد».
مثالهایی از فیشینگ هدفمند
ایمیلهای فیشینگ مشابه ایمیلهای واقعی هستند. در ادامه مثالهایی از ایمیلهای فیشینگ هدفمند را مورد بررسی قرار میدهیم.
William Mendez مدیر عملیات شرکت مشاوره CyZen میگوید: «در یکی از این حملات، مهاجمان یک شرکت حسابداری را مورد هدف قرار داده بودند. آنها در ایمیل خود به یک فناوری خاص تحت عنوان CCH که در چنین شرکتهایی کاربرد زیادی دارد اشاره کرده بودند».
او میگوید: «این ایمیل در بازه زمانی تنظیم اظهارنامههای مالیاتی که پرمشغلهترین وقت سال برای شرکتهای حسابداری است، ارسال شده و معمولاً در چنین مواقعی کاربران توجه کافی را به ایمیلهای دریافتی ندارند. در این پیام قربانی در صورت عدم اقدام سریع، تهدید به قطع دسترسیاش میشود. در این حمله اقدام مدنظر مهاجم کلیک بر روی یک لینک مخرب توسط قربانی است. کاربر با کلیک بر روی لینک به وبسایتی هدایت میشود که امکان جمعآوری نام کاربری، کلمه عبور و سایر اطلاعات حساس وی را برای مهاجم فراهم میسازد».
مثال دیگر از این حملات که مشابه هشدارهای امنیتی توئیتر میباشد توسط Tyler Moffitt تحلیلگر ارشد امنیت سایبری در شرکت مشاوره راهکارهای امنیتی OpenText ارایه شده است.
در این حمله به کاربر القا میشود که باید مسیری را جهت ایمنسازی حساب خودش طی نموده و در یکی از مراحل نیز کلمه عبور خود را به مهاجمان اعلام نماید. Moffitt میگوید: «هدف مجرمان سایبری از ارسال چنین ایمیلی، حمله به روزنامهنگاری است که وقایع مربوط به اوکراین/روسیه را پوشش میدهد. در این پیام به کاربر اطلاع داده شده که حساب او در روسیه مورد دسترسی قرار گرفته و باید با استفاده از لینک ارسالی کلمه عبورش را تغییر دهد. این لینک کاربر را به سمت صفحه جعلی تغییر رمز هدایت میکند. در آن صفحه نیز نام کاربری و رمز عبور فعلی قربانی از او دریافت شده و در اختیار مهاجمان قرار میگیرد».
وقتی چنین پیامهایی را دریافت میکنید باید اطمینان یابید که صفحهای که وارد آن میشوید معتبر و درست است. در این حمله کاربر به وبسایت twitter-supported.com که دامنه واقعی توئیتر نیست هدایت میشود.
چگونه از حملات فیشینگ هدفمند پیشگیری کنیم؟
متأسفانه هیچ ابزار و روش فنی کامل و کارآمدی برای توقف حملات فیشینگ هدفمند وجود ندارد. بنا به گفته Nick Santora بنیانگذار شرکت ارایهدهنده آموزشهای امنیتی Curricula: «در حوزه امنیت سایبری، همان مفاهیم حفاظت از کیف پول معمولی در فعالیتهای آنلاین هم قابل اعمال هستند. واضح است که هیچ کاربری مایل نیست که قربانی چنین حملاتی شود؛ از این رو کاربران باید بدانند که چرا انجام کارهایی مثل فعال کردن احراز هویت دو یا چند مرحلهای، استفاده از کلمات عبور قوی و متفاوت برای هر حساب کاربری و استفاده از یک ابزار مدیریت رمز عبور ضروری است».
Rey هم معتقد است که اگرچه راهکارهای فنی، راهکارهای امنیت ایمیل و استفاده از یک راهکار شخص ثالث برای فیلتر هرزنامهها و پیوستهای مخرب از اهمیت بسیار بالایی برخوردار هستند ولی در نهایت بهترین روش دفاع در برابر حملات مهندسی اجتماعی مثل فیشینگ هدفمند، استفاده از خرد انسانی است. آگاهی کاربران نیز در گرو آموزشهای منظم و پیوسته به آنها است.
Rey میگوید: «شبیهسازی فیشینگ هم بسیار مؤثر است. در عملیات شبیهسازی، ایمیلهای فیشینگ شبیهسازی شده برای کاربر ارسال میشود. کاربران نیز با کلیک بر روی لینکهای مندرج در این پیامها به صفحات ظاهراً جعلی هدایت میشوند. تأثیر چنین آموزشهایی که براساس سناریوهای واقعی تهیه میشوند به مراتب بسیار بیشتر از یکسری فایل ارایه و محتوای آموزشی نوشتاری است که در اختیار کاربر قرار میگیرد. کاربرانی که چنین شرایطی را تجربه میکنند دقت بیشتری برای تشخیص حملات واقعی خواهند داشت. این روشهای آموزشی عملیاتی نسبت به یک سال آموزش کارمندان در کلاس و ارایه پیدیاف قدرتمندتر است». ممکن است کارمندی در یک حمله شبیهسازی شده فریب بخورد و در نهایت خجالتزده شود ولی طعمه یک حمله واقعی نمیگردد.
در نهایت، بهترین راه برای پیشگیری از حملات فیشینگ هدفمند این است که ذهن ناخودآگاهتان را مشغول نگه دارید.Eric Florence میگوید: «کلاهبرداریهای فیشینگ معمولاً با نام افراد مورد اطمینانی انجام میشوند که حساب ایمیل آنها هک شده یا آدرسی مشابه آن ساخته میشود. مهاجمان معمولاً از تمایل افراد برای کمک به دیگران و این دیدگاه که انساها نجیب و درستکار هستند مگر اینکه خلاف آن ثابت شود، در حملات فیشینگ سوءاستفاده میکنند. باید چنین تمایلاتی را در ساعتهای کاری متوقف و دنیای دیجیتالی متوقف نمایید مگر در موارد خاص».
منبع: csoonline