حمله spear phishing چیست؟ مثالها، تکنیک‌ها و تاکتیک‌ها

در حملات فیشینگ هدفمند مهاجمان معمولاً از اطلاعاتی که از طریق منابع مختلف جمع‌آوری کرده‌اند سوءاستفاده نموده و ایمیلی را که حاوی لینک بدافزار است برای قربانی ارسال می‌کنند. در این حملات گیرنده باید متقاعد گردد که ایمیل مخرب از سوی یک فرستنده معتبر ارسال شده و بر روی لینک مدنظر کلیک یا فایل پیوست در ایمیل را دانلود کند. همچنین هکرها ممکن است قربانی را فریب دهند تا اطلاعات خاص یا مبلغی را در اختیارشان قرار دهد.

ایمیل‌های فیشینگ هدفمند عموماً با استفاده از تکنیک‌های مهندسی اجتماعی حرفه‌ای و با دقت بسیار زیاد طراحی می‌شوند و امکان دفاع در برابر آنها فقط با بکارگیری ابزارهای فنی امکان‌پذیر است.

بنا به گفته J.R. Cunningham مدیر ارشد فناوری شرکت ارایه‌دهنده خدمات امنیت سایبری Nuspire مستقر در شیکاگو: «توجه کنید که هدف نهایی مهاجمان از اجرای حملات فیشینگ هدفمند نصب بدافزار در محل کسب‌وکار گیرنده است نه صرفاً سیستم‌های شخصی قربانی».

تفاوت‌ها و تشابهات فیشینگ، فیشینگ هدفمند و والینگ

هر سه نوع حمله فیشینگ، فیشینگ هدفمند و والینگ جزو حملات ایمیلی محسوب می‌شوند. فیشینگ شامل گروه وسیعی از حملات سایبری است که هر گونه استفاده از ایمیل یا سایر سیستم‌های پیام‌رسان الکترونیک برای فریب افراد را در بر می‌گیرد. در حالی که فیشینگ هدفمند و والینگ زیرمجموعه حملات فیشینگ هستند.

حملات فیشینگ معمولاً پیام‌های عمومی و کلی هستند که به صورت خودکار برای هزاران گیرنده ارسال می‌شوند. متن این پیام‌ها وسوسه کننده و جذاب است. ممکن است فایل پیوست این ایمیل‌ها تحت عناوینی مثل «گزارش حقوق» یا حاوی یک لینک جعلی به وب‌سایت قرعه‌کشی باشد. مجرمان سایبری در این روش عموماً متن پیام را به صورت اختصاصی برای یک گیرنده منحصربفرد طراحی نمی‌کنند. نام این حمله برگرفته از کلمه انگلیسی fishing به معنای ماهیگیری است. علت چنین نامگذاری این است که ماهیگیر طعمه‌ای را به قلاب (ایمیل فیشینگ) وصل کرده و در آب می‌اندازد به این امید که توسط یک قربانی در آب گرفته شود. در نهایت قربانی شکار ماهیگیر می‌شود.

حمله فیشینگ هدفمند نیز همانگونه که از نام آن مشخص است شامل تلاش برای گیر ‌انداختن یک ماهی خاص می‌باشد. ایمیل‌های مورد استفاده در فیشینگ هدفمند حاوی اطلاعات ویژه‌ای برای گیرنده هستند. در این حملات قربانی باید متقاعد شود تا کار مدنظر مهاجم را انجام داده و در نهایت هدف نهایی وی را برآورده سازد. در طراحی این ایمیل‌ها از نام گیرنده استفاده شده و حتی ممکن است شامل اطلاعاتی درباره زندگی شخصی یا حرفه‌ای او باشند. مهاجمان این داده‌ها را از منابع مختلف و شبکه‌های اجتماعی مثل اینستاگرام به دست آورده‌اند.

اصطلاح بعدی والینگ است. این حملات نوع خاصی از فیشینگ هدفمند هستند. مهاجمان در حملات والینگ در جستجوی یک ماهی بسیار بزرگ می‌باشند. براساس گفته Jacob Ansari مشاور امنیت و تحلیلگر گرایشات نوظهور در حوزه تهدیدات سایبری: «علت نامگذاری والینگ بر روی این نوع حملات به این دلیل است که هدف نهایی مهاجمان از اجرای آنها چهره‌های شناخته شده، مدیران ارشد یا سایر اهداف بزرگ است. گاهی اوقات تمرکز فیشیشنگ‌های هدفمند اهداف غیربرجسته ولی با یک سمت مهم است. در چنین مواقعی شخصی در بخش امور مالی یا فناوری اطلاعات که دسترسی و اختیارات مهمی دارد، اجازه دسترسی را برای کاربر (مهاجمان) صادر نموده یا یک صورتحساب (جعلی) را تأیید می‌کند».

شیوه عملکرد حملات فیشینگ هدفمند چگونه است؟

کل فرایند حمله و اجرای موفق آن در گرو قابل باور بودن پیام ارسالی است. بنابراین جمع‌آوری اطلاعات حساس شخصی قربانی از جمله مراحل مهم در فیشینگ هدفمند محسوب می‌شود.

روش‌های زیادی برای انجام این کار وجود دارد. برای مثال مهاجمان می‌توانند از طریق فیشینگ معمولی یا شناسایی یک آسیب‌پذیری و نفوذ از طریق آن ایمیل یا سیستم پیام‌رسان قربانی را هک کنند.

البته حملات فیشینگ هدفمند شامل مراحل دیگری هم هستند. Ori Arbel مدیر ارشد فناوری شرکت ارایه‌دهنده پلتفرم‌های عملیات امنیتی CYREBRO می‌گوید: «مهاجمان معمولاً ایمیل یکی از کارمندان سازمان مدنظر را هک نموده و سپس مکالمات وی را تحت نظر می‌گیرند. وقتی زمان حمله برسد، یک پیام هدفمند با متنی قابل باور به همراه اطلاعات داخلی شرکت (مثل اشاره به گفتگوهای قبلی یا مبالغی که پیش از این منتقل شده است) برای قربانی ارسال می‌کنند».

مهاجمان همچنین می‌توانند بدون نفوذ به سیستم‌های ارتباطی از اطلاعات موجود در اینترنت، شبکه‌های اجتماعی یا ارتباطات شرکتی برای فریب کاربر استفاده کنند. Jorge Rey مدیر امور امنیت سایبری شرکت مشاوره Kaufman Rossin می‌گوید: «فرض کنید کاربری تغییری در حساب لینکدین خود انجام داده و سمت خود را کارمند یک شرکت بنام عنوان کند. طی چند ساعت یا حتی چند دقیقه کاربر یک ایمیل جعلی که ظاهراً از سوی مدیرعامل شرکت مدنظر ارسال شده دریافت می‌کند». Rey می‌گوید: «کلیه ربات‌های هکرها لینکدین را تحت نظر داشته و همه موارد را از طریق اسکریپت بررسی می‌نمایند. آنها این پیام‌ها را به امید فریب حتی یک نفر ارسال می‌کنند».

مهاجم در تلاش هست تا از اطلاعاتی که از طریق شبکه‌های اجتماعی جمع‌آوری نموده به نفع خودش بهره‌برداری کند. Cunningham می‌گوید: «مدتی پیش یکی از مشتریان ما ایمیلی از شرکت بیمه خودش دریافت نموده است. ظاهراً این ایمیل شامل اطلاعاتی در رابطه با تغییر شرایط بیمه خودروی مشتری بوده است. مشتری نیز پس از کلیک بر روی لینک موجود در ایمیل قربانی یک حمله فیشینگ شد. مدت کوتاهی پیش از وقوع این حمله، گیرنده پیام تصادفی داشته و عکسی از خودروی خود در شبکه‌های اجتماعی منتشر کرده بود. قربانی در زیر عکس چنین نوشته بود که شرکت بیمه‌ای که با آن قرارداد دارد (با ذکر نام شرکت) در کوتاهترین زمان ممکن به درخواست وی پاسخ داده است. همین اقدام ساده باعث شد که مهاجمان اطلاعات لازم را درباره شرکت بیمه قربانی جمع‌آوری نموده و از آن برای طراحی فیشینگ هدفمند استفاده کنند».

نشانه‌های فیشینگ هدفمند

کلاهبرداران معمولاً متمرکز بر کارمندان تازه وارد هستند چون این افراد آشنایی چندانی با محیط ندارند. با این فرض که مهاجم اطلاعات شخصی کارمندی را جمع‌آوری کرده باشد، درخواست انجام عملیات نامتعارف یا خارج از کانال‌های ارتباطی شرکت از او، جزو بارزترین نشانه‌های حملات فیشینگ محسوب می‌شود. فراموش نکنید که انجام کارهای خارج از عرف معمولاً تنها روش هکرها برای اخاذی از شما یا سازمان‌تان است. اگرچه تشخیص درخواست‌های غیرعادی برای کارمندان جدید چندان آسان نیست اما در چنین شرایطی افراد همواره باید به ندای درونشان گوش دهند!

Wojciech Syrkiewicz-Trepiak مهندس امنیت سایبری در شرکت ارایه‌دهنده پلتفرم مدیریت زیرساخت به صورت کد spacelift.io می‌گوید: «در شرکت سابق من، یک ایمیل جعلی ظاهراً از طرف مدیرعامل برای تعدادی از کارمندان ارسال شده بود. در این حمله مهاجمان از یک آدرس ایمیل واقعی استفاده کرده و در نتیجه سازوکارهای امنیتی را دور زده بودند. البته دامنه این آدرس ایمیل، گوگل بود (نه دامنه شرکت). در این پیام از کارمندان درخواست شده بود که یک کار فوری مثل دور زدن سیاست‌های شرکت و انجام یک کار اشتباه را انجام دهند».

فوریت در چنین پیام‌هایی یک نشانه هشدار است. اگرچه در محیط‌های حرفه‌ای معمولاً از اشخاص درخواست می‌شود که یکسری درخواست‌ها را فوراً انجام دهند اما در حالت کلی دستپاچه نمودن شما توسط اشخاص دیگر دلالت بر گرفتن فرصت فکر کردن از شما می‌باشد. Massimo Marini مدیر ارشد امور امنیتی در شرکت Kuma LLC می‌گوید: «در یکی از همین کلاهبرداری‌ها، قربانی باید بر اساس دستور مهاجم یکسری کارت هدیه تهیه می‌کرد. او این کارت‌ها را خریده و سپس کدشان را برای مهاجم فرستاد. در این حمله هکر قربانی را دستپاچه کرد تا بلافاصله و با عجله دستور مدیرش را اجرا نماید. خوشبختانه این حمله در لحظه آخر و زمانی که این کارمند به صورت اتفاقی با رئیس واقعی خودش صحبت کرد، متوقف شد».

مثال‌هایی از فیشینگ هدفمند

ایمیل‌های فیشینگ مشابه ایمیل‌های واقعی هستند. در ادامه مثال‌هایی از ایمیل‌های فیشینگ هدفمند را مورد بررسی قرار می‌دهیم.

William Mendez مدیر عملیات شرکت مشاوره CyZen می‌گوید: «در یکی از این حملات، مهاجمان یک شرکت حسابداری را مورد هدف قرار داده بودند. آنها در ایمیل خود به یک فناوری خاص تحت عنوان CCH که در چنین شرکت‌هایی کاربرد زیادی دارد اشاره کرده بودند».

او می‌گوید: «این ایمیل در بازه زمانی تنظیم اظهارنامه‌های مالیاتی که پرمشغله‌ترین وقت سال برای شرکت‌های حسابداری است، ارسال شده و معمولاً در چنین مواقعی کاربران توجه کافی را به ایمیل‌های دریافتی ندارند. در این پیام قربانی در صورت عدم اقدام سریع، تهدید به قطع دسترسی‌اش می‌شود. در این حمله اقدام مدنظر مهاجم کلیک بر روی یک لینک مخرب توسط قربانی است. کاربر با کلیک بر روی لینک به وب‌سایتی هدایت می‌شود که امکان جمع‌آوری نام کاربری، کلمه عبور و سایر اطلاعات حساس وی را برای مهاجم فراهم می‌سازد».

مثال دیگر از این حملات که مشابه هشدارهای امنیتی توئیتر می‌باشد توسط Tyler Moffitt تحلیلگر ارشد امنیت سایبری در شرکت مشاوره راهکارهای امنیتی OpenText ارایه شده است.

در این حمله به کاربر القا می‌شود که باید مسیری را جهت ایمن‌سازی حساب خودش طی نموده و در یکی از مراحل نیز کلمه عبور خود را به مهاجمان اعلام نماید. Moffitt می‌گوید: «هدف مجرمان سایبری از ارسال چنین ایمیلی، حمله به روزنامه‌نگاری است که وقایع مربوط به اوکراین/روسیه را پوشش می‌دهد. در این پیام به کاربر اطلاع داده شده که حساب او در روسیه مورد دسترسی قرار گرفته و باید با استفاده از لینک ارسالی کلمه عبورش را تغییر دهد. این لینک کاربر را به سمت صفحه جعلی تغییر رمز هدایت می‌کند. در آن صفحه نیز نام کاربری و رمز عبور فعلی قربانی از او دریافت شده و در اختیار مهاجمان قرار می‌گیرد».

وقتی چنین پیام‌هایی را دریافت می‌کنید باید اطمینان یابید که صفحه‌ای که وارد آن می‌شوید معتبر و درست است. در این حمله کاربر به وب‌سایت twitter-supported.com که دامنه واقعی توئیتر نیست هدایت می‌شود.

چگونه از حملات فیشینگ هدفمند پیشگیری کنیم؟

متأسفانه هیچ ابزار و روش فنی کامل و کارآمدی برای توقف حملات فیشینگ هدفمند وجود ندارد. بنا به گفته Nick Santora بنیانگذار شرکت ارایه‌دهنده آموزش‌های امنیتی Curricula: «در حوزه امنیت سایبری، همان مفاهیم حفاظت از کیف پول معمولی در فعالیت‌های آنلاین هم قابل اعمال هستند. واضح است که هیچ کاربری مایل نیست که قربانی چنین حملاتی شود؛ از این رو کاربران باید بدانند که چرا انجام کارهایی مثل فعال کردن احراز هویت دو یا چند مرحله‌ای، استفاده از کلمات عبور قوی و متفاوت برای هر حساب کاربری و استفاده از یک ابزار مدیریت رمز عبور ضروری است».

Rey هم معتقد است که اگرچه راهکارهای فنی، راهکارهای امنیت ایمیل و استفاده از یک راهکار شخص ثالث برای فیلتر هرزنامه‌ها و پیوست‌های مخرب از اهمیت بسیار بالایی برخوردار هستند ولی در نهایت بهترین روش دفاع در برابر حملات مهندسی اجتماعی مثل فیشینگ هدفمند، استفاده از خرد انسانی است. آگاهی کاربران نیز در گرو آموزش‌های منظم و پیوسته به آنها است.

Rey می‌گوید: «شبیه‌سازی فیشینگ هم بسیار مؤثر است. در عملیات شبیه‌سازی، ایمیل‌های فیشینگ شبیه‌سازی شده برای کاربر ارسال می‌شود. کاربران نیز با کلیک بر روی لینک‌های مندرج در این پیام‌ها به صفحات ظاهراً جعلی هدایت می‌شوند. تأثیر چنین آموزش‌هایی که براساس سناریوهای واقعی تهیه می‌شوند به مراتب بسیار بیشتر از یکسری فایل ارایه و محتوای آموزشی نوشتاری است که در اختیار کاربر قرار می‌گیرد. کاربرانی که چنین شرایطی را تجربه می‌کنند دقت بیشتری برای تشخیص حملات واقعی خواهند داشت. این روش‌های آموزشی عملیاتی نسبت به یک سال آموزش کارمندان در کلاس و ارایه پی‌دی‌اف قدرتمندتر است». ممکن است کارمندی در یک حمله شبیه‌سازی شده فریب بخورد و در نهایت خجالت‌زده شود ولی  طعمه یک حمله واقعی نمی‌گردد.

در نهایت، بهترین راه برای پیشگیری از حملات فیشینگ هدفمند این است که ذهن ناخودآگاه‌تان را مشغول نگه دارید.Eric Florence می‌گوید: «کلاهبرداری‌های فیشینگ معمولاً با نام افراد مورد اطمینانی انجام می‌شوند که حساب ایمیل آنها هک شده یا آدرسی مشابه آن ساخته می‌شود. مهاجمان معمولاً از تمایل افراد برای کمک به دیگران و این دیدگاه که انسا‌ها نجیب و درستکار هستند مگر اینکه خلاف آن ثابت شود، در حملات فیشینگ سوءاستفاده می‌کنند. باید چنین تمایلاتی را در ساعت‌های کاری متوقف و دنیای دیجیتالی متوقف نمایید مگر در موارد خاص».

منبع: csoonline