حملات فیشینگ تلفن همراه و روش‌های کاهش ریسک

انواع روش های فیشینگ و چگونگی مقابله با آنها

 

حملات فیشینگ تلفن همراه در دنیای کنونی که تلفن همراه نقش اساسی در زندگی روزمره انسان ها دارد، امری جدی ست،  تلفن همراه به عنوان یک عنصر قابل حمل در دنیای دیجیتال به شمار می‌آید که به دلیل اندازه کوچک صفحه نمایشگر، پرتابل بودن و پایین بودن هزینه تولید آن، مورد استقبال قرار گرفته است. تلفن همراه دارای کاربرد‌هایی نظیر وب گردی، بررسی شبکه‌های اجتماعی، تبادل داده‌ها، خرید آنلاین و انجام بازی‌های رایانه‌ای، جایگزین لپ‌تاپ و رایانه‌های شخصی شده است.

با توجه به محبوبیت بالای این دستگاه و کاربردی شدن آن در تمام صنوف و لایه‌های نیروی انسانی، هکرها این دستگاه را مورد هدف قرار داده‌اند تا با تکنیک‌های فیشینگ بتوانند به آن حمله نمایند.

حملات فیشینگ نقش عمده و بسزایی را در مخاطرات گوشی‌های موبایل دارند. بدین صورت که کاربران را با نصب نرم‌افزاری مختلف و یا لینک‌های نادرست به سمت وبگاه‌های جعلی هدایت می‌کنند. در این مقاله به معرفی حملات فیشینگ تلفن همراه پرداخته و در آخر نتیجه مناسبی برای مقابله با آن ارایه خواهد شد.

حملات فیشینگ تلفن همراه

حملات فیشینگ تلفن همراه یک مخاطره جدی برای گوشی تلفن همراه به شمار می آید. در حملات فیشینگ تلفن همراه، مهاجم پیامکی را برای کاربر ارسال می‌کند که در آن لینک منتهی به صفحات وب آلوده وجود دارد. همچنین، می‌تواند به جای صفحات آلوده، یک برنامک موبایلی را روی گوشی موبایل نصب کند. اما در نهایت هر دو  اطلاعات کاربری و حساب شخصی قربانی را درخواست می‌کنند.

حمله فیشینگ می‌تواند از طریق ایمیل نیز انجام شود که این ایمیل از مرورگر و یا برنامک پست الکترونیک دریافت می‌شود. بر اساس گزارش‌های مختلف، آمار حملات فیشینگ تلفن همراه در چند سال اخیر به طور حیرت انگیزی افزایش پیدا کرده است. بر اساس این گزارش که روی 8 دستگاه تلفن همراه مایکروسافت صورت گرفت، در سال 2018 مخاطرات فیشینگ در نیمه دوم سال دو برابر نیمه اول بوده است.

در این گزارش‌ها آمده است که تلفن‌های همراه به نسبت رایانه‌های رومیزی به دلیل حجم کم نمایشگر و عدم تمرکز کافی کاربران، در برابر فیشینگ آسیب‌پذیرتر هستند. گزارش‌های دیگر تلفن‌های همراه را سه برابر آسیب‌پذیرتر از رایانه‌های رومیزی دانسته‌اند. کارشناسان بر این باورند که دلیل اصلی این آسیب‌پذیری به شرح زیر است :

1. حجم کم تلفن‌های همراه سبب می‌شود که کاربران کمتر به قانونی بودن ایمیل توجه کرده و تدابیر اولیه ضد فیشینگ را در نظر بگیرند. از سوی دیگر، هایپرلینک‌ها روی تلفن همراه نشان داده نمی‌شوند و آدرس URL نمایش داده نخواهد شد.

2. کاربران موبایل که عموم مردم را در بر می‌گیرند، سواد امنیتی کافی برای مقابله با اقدامات ضد فیشینگ را ندارند و به سادگی فریب خواهند خورد.

3. اکثر برنامک‌های تلفن همراه اصلی و قانونی نیاز دارند برخی از مشخصه‌های کاربر را از روش‌های بسیار ساده نظیر صفحه ورود اطلاعات در یک برنامک موبایل و یاصفحه مرورگر دریافت کنند، هکر‌ها از این روش استفاده می‌کنند و برنامک‌های تقلبی و یا صفحات وب جعلی که شبیه برنامک و بگاه اصلی هستند را می‌سازند.

4. تحقیقات نشان می‌دهد دست کم 40 در صدر از کاربران، حداقل یکبار برای وارد کردن رمز عبور خود در وبگاه‌ها از موبایل استفاده نموده‌اند. اطلاعات فراهم شده توسط کاربران که قربانی هکرها می‌شوند در 60 دقیقه اول مورد سوءاستفاده قرار خواهد گرفت. معمولاً تیم‌های فناوری اطلاعات و گروه‌های مبارزه با فیشینگ یک ساعت طول می‌کشد تا سایت را شناسایی کرده و اقدام به امحا آن نمایند. این مدت زمان که مورد سوءاستفاده هکر قرار می‌گیرد زمان طلایی نام دارد.

اهداف اصلی حملات فیشینگ

معمولاً هدف اصلی حملات فیشینگ، وب‌سایت‌های تجاری و بنگاه‌های مالی است. در سال 2015، حملات فیشینگ بنگاه‌های تجاری 71 درصد حملات فیشینگ را شامل می‌شد و این آمار در سال قبل از آن 67 درصد بوده است. در سال 2015، بیست و دو درصد از حملات فیشینگ مربوط به بخش سرویس‌های اطلاعاتی بوده است که نشان می‌دهد این بنگاه‌ها و بنگاه‌های مالی، بالغ بر 90 درصد حملات فیشینگ را شامل می‌شوند.

حملات فیشینگ به طور گسترده وسعت یافته است و این امر عواقب وخیمی در پی خواهد داشت. مشکل اصلی عدم وجود سواد امنیت سایبر کافی در بین مردم است تا بتوان از این حملات اجتناب نمود. در گزارش دیگری از سایت نورتون مشخص شده است که 44 درصد از مردم حملات فیشینگ را نمی‌شناسند و در رابطه با این نوع تهدید آگاهی کافی ندارند و نمی‌دانند برای اجتناب از آن در دستگاه موبایل چه باید کرد. این امر نه تنها خطر وجود و توسعه حمله فیشینگ را نشان می‌دهد بلکه نیاز به آگاهی دادن به مردم را اجباری می‌کند.

برنامک‌های نصب شده روی موبایل که ظاهری قانونی دارند می‌توانند به طور بالقوه اطلاعات حساب و مشخصات کاربر که در موبایل ذخیره شده است را دریافت و برای هکر بفرستند. برنامک‌های فیشینگ غیر‌قانونی، ظاهری قانونی و کاربردی دارند ولی در بازارهای متداول نظیر فروشگاه گوگل عرضه نمی‌شوند و کاربر آنها مستقیماً از وبگاهی دیگر دانلود می‌نماید.

در سال 2015، گوگل بسیاری از برنامک‌های مشکوک و یا مخرب فیشینگ را از فروشگاه خود حذف کرد و از آن پس قوانین مناسبی را پیاده سازی کرد. شناسایی برنامک فیشینگ کار ساده‌ای نیست و ممکن است از دست ارزیابان امنیتی پنهان شوند. بنابراین، باید دانش و سواد سایبری در مردم برای الگوهای عمومی فریب فیشینگ ارتقا داده شود، در مقاله‌ای دیگر، برنامه‌های اندروید را برای آسیب‌پذیری فیشینگ محتمل‌تر از اپل دانسته‌اند. البته این امر فقط برای برنامک‌ها می‌تواند صادق باشد و برای مرورگرها و فیشینگ از طریق مرورگر صادق نیست.

با توجه به این مطلب، آگاهی بخشی کاربران اندرویدی برای مقابله با برنامک‌های حاوی فیشینگ امری لازم و بی قید و شرط است. در ادامه به انواع روش‌های فیشینگ تلفن همراه می‌پردازیم و روش‌هایی برای کاهش خطا و بهترین راهکار‌ها برای اجتناب از فیشینگ را بررسی می‌کنیم. هدف اصلی این مقاله آگاهی بیشتر کاربران در استفاده از برنامک‌های تلفن همراه است.

در ادامه ابتدا در رابطه با روش‌های مختلف فیشینگ تلفن همراه بحث خواهد شد و تکنیک‌هایی برای کاهش مخاطرات مورد تجزیه و تحلیل قرار داده می‌شود و درنهایت درباره مقاله آتی بحث خواهیم کرد.

روش های فیشینگ تلفن همراه

صفحه نمایش کوچک و آدرس URL ناقص

تلفن همراه معمولاً صفحه نمایش کوچکی دارد و این امر سبب می‌شود که کاربر آدرس کامل URL را در هنگام کلیک روی آن مشاهده نکند. شرکت‌ها و سازمان‌ها برنامه نویسان صفحات وب را موظف می‌کنند تا به صورت تخصصی، وبگاه را برای موبایل بهینه سازی کنند در نتیجه، این صفحات به صورت مستطیلی و کوچک خواهند شد که این امر کار را سخت‌تر خواهد کرد. مشکل حجم صفحه موبایل به حدی است که سازمان‌ها نمی‌توانند لوگوی خود را به طور دلخواه در صفحه مربوطه قرار دهند.

بسیاری از کاربران هنگامی که در وب‌سایت های رسمی نیستند و در حال وب گردی هستند، از موضوع فیشینگ آگاه نبوده و مورد حمله فیشینگ قرار می‌گیرند، زیرا آدرس را بازبینی نمی‌کنند. با توجه به کوچکی صفحه نمایش، نوار آدرس مرورگر‌ها عموماً پنهان است و کاربران نمی‌توانند تفاوت سایت معتبر و جعلی را تشخیص دهند.

شکل 1 دو وب‌سایت مختلف را نشان می‌دهد که در ظاهر هر دو  PAYPAL هستند. با کمی دقت متوجه می‌شوید که در شکل سمت چپ آدرس سایت تقلبی و غیر معتبر نشان داده نشده است، ولی ظاهر آن بسیار شبیه به سایت اصلی است. سایت تقلبی لوگوی PAYPAL را ندارد و توجه کاربر را به بخش‌های دیگر معوطف می‌کند تا وی را فریب دهد.

دسترسی به فروشگاه

روش دیگر حمله فیشینگ (phishing)، استفاده از کانال اعتباری برنامک‌ها است (بازار و فروشگاه برنامه‌های موبایل) این برنامک‌ها، برنامک فیشینگ نام دارند. مثال ساده Android droid است که هدف آن جمع آوری اطلاعات حساب و مشخصات بانکی کاربران بوده است. البته استفاده از بیشتر برنامک‌ها در فروشگاه‌های مجاز قانونی است. شکل 2 یک برنامه کاربردی برای فیشینگ را نشان می‌دهد که در فروشگاهی بارگزاری شده بود. این عکس از یک گوشی موبایل گرفته شده است و قیمت‌های مربوطه را می‌توانید مشاهده کنید.

روش های فیشینگ تلفن همراه
برنامه های فیشینگ می‌توانند روی گوشی‌های آی‌پد اپل نیز اجرا شوند. در حمله فیشینک آی‌پد، یک ایمیل به کاربران ارسال می‌شود تا به آن‌ها اطلاع دهد که باید یک صفحه بسیار مهم را نصب کنند، سپس از آنها خواسته می‌شود که اطلاعات مربوط به دانشگاه را وارد کنند (شکل 3 مثالی از این ایمیل را نشان می‌دهد) در هنگام تکمیل فرم، کاربر باور می‌کند که وب‌سایت قانونی بوده و شروع به به روز رسانی و تجدید اطلاعات کاربری دانشگاهی خود می‌کند. سیستم آی او اس، این امکان را می‌دهد که برنامک، پروفایل‌های تایید نشده و نامعتبر را ایجاد نماید. بنابراین، کاربر به بخش وارد کردن رمزی می‌رود که قبلاً آن را تنظیم کرده است (شکل 5). در این بخش برنامه جعلی آی تیونز iTunes می‌تواند مشخصات کاربری را به سادگی به سرقت ببرد.

اسمیشینگ

اسمیشینگ که با استفاده از پیامک صورت می‌پذیرد، روش دیگری برای فیشینگ تلفن همراه است. این روش مشابه فیشینگ عمل می‌نماید ولی به جای دریافت ایمیل، فرد قربانی پیامکی دریافت می‌نماید که مشخصات بانکی فرد از طریق پیامک تبریک برنده شدن به سرقت می‌برند.



پیشنهاد می‌شود در صورت دریافت پیامک اسمیشینگ سریعاً به اپراتور مربوطه خبر داده و ایشان را از موضوع با مطلع نمایید. (شکل 6 نمونه ای از این نوع حمله را نشان می‌دهد که دکه به قربانی پیام برنده شدن لاتاری را اطلاع داده و در آن یک لینک مخرب قرار گرفته است.)

وای فای و ویشینگ

هنگامی رخ می‌دهد که یک کاربر از طریق مراکز مجهز به وای فای عمومی به اینترنت متصل شود. دوقلوی شیطانی (Evil twin) مثالی است که در آن مهاجمان با ایجاد یک وای فای در مکان‌هایی که دارای وای فای معتبر هستند (مثلاً فرودگاه‌ها)، ارتباطات بی‌سیم را شنود می‌کنند.

ویشینگ یا فیشینگ پست‌های الکترونیکی صوتی، نوعی از حمله فیشینگ روی دستگاه‌های تلفن همراه است که مهاجم از طریق VOIP (انتقال همزمان مکالمات تلفنی بر روی یک شبکه دیتا) به اطلاعات مالی و فردی قربانی دسترسی پیدا می‌کند.

در سایر انواع ویشینگ ممکن است هکر‌ها با ضبط پیام خوش آمد‌گویی یک بانک معتبر و پخش آن برای کاربران قربانی، آنها را تشویق کنند که اطلاعات بانکی و اعتباری خود را جهت خدمات آنلاین بانکی در خرابکاران قرار بدهند.

بهترین راهکار‌ها جهت کاهش حملات فیشینگ تلفن همراه

سیستم‌های رایجی که جهت تشخیص حملات فیشینگ تلفن همراه مورد استفاده قرار می‌گیرند شامل لیست سیاه، لیست سفید و فیلترینگ محتوا هستند. فیلترینگ محتوا روشی است که در آن محتوای متنی جهت شناسایی URLهای مخرب مورد بررسی قرار می‌دهد. فیلترینگ مبتنی بر محتوا می‌تواند براساس تجزیه و تحلیل آماری و یا قواعد مشخص بین پیام دریافتی فیشینگ و اصلی تفاوت قایل شود.

لیست سیاه (لیست مسدود سازی): در این روش کاربر خود محدودیتی برای دریافت پیام‌ها ایجاد می‌کند بدین ترتیب که کاربر خود وب‌سایت مجاز یا غیر‌مجاز را در لیست خود معرفی می‌کند. این روش می‌تواند درصد خطای پایینی دارد و رشد درصد خطا به سمت مثبت شدن بهبود می‌یابد. این روش توسط بسیاری از مرورگر‌ها مورد پشتیبانی قرار گرفته است که با سرور‌های مجاز در ارتباط بوده و لیست سیاه گردآوری می‌شود.

این روش فقط برای شناسایی وب‌سایت‌های فیشینگ است و برای ویشینگ، اسمیشینگ و وای فای کاربرد ندارد.

لیست سفید:‌ در این روش، کاربران وب سایت‌هایی را مشخص می‌کنند که به آن‌ها اعتماد و دسترسی دارند تا دیگر وب‌سایت‌های برای حملات فیشینگ مورد بررسی قرار گیرند. این رویکرد می‌تواند برای شناسایی اسمیشینگ بکار گرفته شود که در آن یک مجموعه از اعداد قانونی برای توقف دریافت پیامک ناخواسته حاوی آدرس‌های اینترنتی جعلی ایجاد می‌شود.

آموخته‌های جالب و مهم

شناخت برنامک‌های تقلبی و غیر‌قانونی موبایل بسیار سخت است اما روش‌هایی وجود دارند که احتمال حملات فیشینگ تلفن همراه را کاهش می‌دهند.

1. استفاده از برنامک‌های اداری و قانونی: برای دانلود برنامک‌های قانونی فقط از بازارها و فروشگاه‌های مجاز استفاده نمایید.

2. آموزش کاربربان: آموزش کاربران برای کلیک نکردن روی لینک‌ها نقش مهم و اساسی دارد.

3. مرورگرهای امن: مرورگرهای امن که افزونه‌ها و قابلیت‌های امن سازی را دارا هستند (مانند مرورگر کروم) بد‌افزار‌ها و وب‌سایت‌های فیشینگ را حذف می‌نماید تا از کاربران را محافظت کنند.


4. نشانه‌ها: گذاردن نشانه برای وب‌سایت‌های مشخص و پرکارتان، می‌تواند از ورود به صفحات ناخواسته جلوگیری کنند و شما باید صفحات مجاز را bookmark کنید.

5. بازارها و استورها باید برای عرضه برنامک ها قوانینی را تعیین کنند تا کنترل سخت گیرانه‌تر و مراحل تست بیشتری وجود داشته باشد.

6. راهکارهای امنیتی: از انجا که بسیاری از رایانه‌ها از آنتی ویروس‎های کامپیوتری استفاده می‌نمایند، نیاز است راهکارهای امنیتی موبایلی نظیر escan و شرکت‌های مشابه پیاده سازی شوند این برنامک‌ها از بروز و اقدام برنامه‌های مخرب جلوگیری می‌نمایند.

نتیجه گیری

از آنجا که دستگاه‌های موبایل اندازه کوچکی دارند، کاربران نمی‌توانند آدرس کلی URL را مشاهده نمایند. بنابراین، بدون آگاهی کافی از حملات فیشینگ تلفن همراه، روی این لینک‌ها کلیک می‌کنند. علاوه بر این، کاربران برنامه‌های متعدد دیگری که کپی از برنامه قانونی است دانلود کرده و نصب می‌کنند، ولی این برنامه‌ها اهداف فیبشینگ را در بر دارند و هدف این برنامه‌ها و سازندگان آن موسسات مالی هستند. این مقاله بر فیشینگ تلفن همراه تمرکز دارد. در این مقاله روش هایی برای جلویگری از فیشینگ عنوان شده است تا با نصب برنامه ها از وجود واسط‌ها و رابط‌ها برای شنود و درز اطلاعات اطلاع پیدا نمایید. (escan mobile secutriy) در اندروید موجود است.

خروج از نسخه موبایل