حملات فیشینگ تلفن همراه در دنیای کنونی که تلفن همراه نقش اساسی در زندگی روزمره انسان ها دارد، امری جدی ست، تلفن همراه به عنوان یک عنصر قابل حمل در دنیای دیجیتال به شمار میآید که به دلیل اندازه کوچک صفحه نمایشگر، پرتابل بودن و پایین بودن هزینه تولید آن، مورد استقبال قرار گرفته است. تلفن همراه دارای کاربردهایی نظیر وب گردی، بررسی شبکههای اجتماعی، تبادل دادهها، خرید آنلاین و انجام بازیهای رایانهای، جایگزین لپتاپ و رایانههای شخصی شده است.
با توجه به محبوبیت بالای این دستگاه و کاربردی شدن آن در تمام صنوف و لایههای نیروی انسانی، هکرها این دستگاه را مورد هدف قرار دادهاند تا با تکنیکهای فیشینگ بتوانند به آن حمله نمایند.
حملات فیشینگ نقش عمده و بسزایی را در مخاطرات گوشیهای موبایل دارند. بدین صورت که کاربران را با نصب نرمافزاری مختلف و یا لینکهای نادرست به سمت وبگاههای جعلی هدایت میکنند. در این مقاله به معرفی حملات فیشینگ تلفن همراه پرداخته و در آخر نتیجه مناسبی برای مقابله با آن ارایه خواهد شد.
حملات فیشینگ تلفن همراه
حملات فیشینگ تلفن همراه یک مخاطره جدی برای گوشی تلفن همراه به شمار می آید. در حملات فیشینگ تلفن همراه، مهاجم پیامکی را برای کاربر ارسال میکند که در آن لینک منتهی به صفحات وب آلوده وجود دارد. همچنین، میتواند به جای صفحات آلوده، یک برنامک موبایلی را روی گوشی موبایل نصب کند. اما در نهایت هر دو اطلاعات کاربری و حساب شخصی قربانی را درخواست میکنند.
حمله فیشینگ میتواند از طریق ایمیل نیز انجام شود که این ایمیل از مرورگر و یا برنامک پست الکترونیک دریافت میشود. بر اساس گزارشهای مختلف، آمار حملات فیشینگ تلفن همراه در چند سال اخیر به طور حیرت انگیزی افزایش پیدا کرده است. بر اساس این گزارش که روی 8 دستگاه تلفن همراه مایکروسافت صورت گرفت، در سال 2018 مخاطرات فیشینگ در نیمه دوم سال دو برابر نیمه اول بوده است.
در این گزارشها آمده است که تلفنهای همراه به نسبت رایانههای رومیزی به دلیل حجم کم نمایشگر و عدم تمرکز کافی کاربران، در برابر فیشینگ آسیبپذیرتر هستند. گزارشهای دیگر تلفنهای همراه را سه برابر آسیبپذیرتر از رایانههای رومیزی دانستهاند. کارشناسان بر این باورند که دلیل اصلی این آسیبپذیری به شرح زیر است :
1. حجم کم تلفنهای همراه سبب میشود که کاربران کمتر به قانونی بودن ایمیل توجه کرده و تدابیر اولیه ضد فیشینگ را در نظر بگیرند. از سوی دیگر، هایپرلینکها روی تلفن همراه نشان داده نمیشوند و آدرس URL نمایش داده نخواهد شد.
2. کاربران موبایل که عموم مردم را در بر میگیرند، سواد امنیتی کافی برای مقابله با اقدامات ضد فیشینگ را ندارند و به سادگی فریب خواهند خورد.
3. اکثر برنامکهای تلفن همراه اصلی و قانونی نیاز دارند برخی از مشخصههای کاربر را از روشهای بسیار ساده نظیر صفحه ورود اطلاعات در یک برنامک موبایل و یاصفحه مرورگر دریافت کنند، هکرها از این روش استفاده میکنند و برنامکهای تقلبی و یا صفحات وب جعلی که شبیه برنامک و بگاه اصلی هستند را میسازند.
4. تحقیقات نشان میدهد دست کم 40 در صدر از کاربران، حداقل یکبار برای وارد کردن رمز عبور خود در وبگاهها از موبایل استفاده نمودهاند. اطلاعات فراهم شده توسط کاربران که قربانی هکرها میشوند در 60 دقیقه اول مورد سوءاستفاده قرار خواهد گرفت. معمولاً تیمهای فناوری اطلاعات و گروههای مبارزه با فیشینگ یک ساعت طول میکشد تا سایت را شناسایی کرده و اقدام به امحا آن نمایند. این مدت زمان که مورد سوءاستفاده هکر قرار میگیرد زمان طلایی نام دارد.
اهداف اصلی حملات فیشینگ
معمولاً هدف اصلی حملات فیشینگ، وبسایتهای تجاری و بنگاههای مالی است. در سال 2015، حملات فیشینگ بنگاههای تجاری 71 درصد حملات فیشینگ را شامل میشد و این آمار در سال قبل از آن 67 درصد بوده است. در سال 2015، بیست و دو درصد از حملات فیشینگ مربوط به بخش سرویسهای اطلاعاتی بوده است که نشان میدهد این بنگاهها و بنگاههای مالی، بالغ بر 90 درصد حملات فیشینگ را شامل میشوند.
حملات فیشینگ به طور گسترده وسعت یافته است و این امر عواقب وخیمی در پی خواهد داشت. مشکل اصلی عدم وجود سواد امنیت سایبر کافی در بین مردم است تا بتوان از این حملات اجتناب نمود. در گزارش دیگری از سایت نورتون مشخص شده است که 44 درصد از مردم حملات فیشینگ را نمیشناسند و در رابطه با این نوع تهدید آگاهی کافی ندارند و نمیدانند برای اجتناب از آن در دستگاه موبایل چه باید کرد. این امر نه تنها خطر وجود و توسعه حمله فیشینگ را نشان میدهد بلکه نیاز به آگاهی دادن به مردم را اجباری میکند.
برنامکهای نصب شده روی موبایل که ظاهری قانونی دارند میتوانند به طور بالقوه اطلاعات حساب و مشخصات کاربر که در موبایل ذخیره شده است را دریافت و برای هکر بفرستند. برنامکهای فیشینگ غیرقانونی، ظاهری قانونی و کاربردی دارند ولی در بازارهای متداول نظیر فروشگاه گوگل عرضه نمیشوند و کاربر آنها مستقیماً از وبگاهی دیگر دانلود مینماید.
در سال 2015، گوگل بسیاری از برنامکهای مشکوک و یا مخرب فیشینگ را از فروشگاه خود حذف کرد و از آن پس قوانین مناسبی را پیاده سازی کرد. شناسایی برنامک فیشینگ کار سادهای نیست و ممکن است از دست ارزیابان امنیتی پنهان شوند. بنابراین، باید دانش و سواد سایبری در مردم برای الگوهای عمومی فریب فیشینگ ارتقا داده شود، در مقالهای دیگر، برنامههای اندروید را برای آسیبپذیری فیشینگ محتملتر از اپل دانستهاند. البته این امر فقط برای برنامکها میتواند صادق باشد و برای مرورگرها و فیشینگ از طریق مرورگر صادق نیست.
با توجه به این مطلب، آگاهی بخشی کاربران اندرویدی برای مقابله با برنامکهای حاوی فیشینگ امری لازم و بی قید و شرط است. در ادامه به انواع روشهای فیشینگ تلفن همراه میپردازیم و روشهایی برای کاهش خطا و بهترین راهکارها برای اجتناب از فیشینگ را بررسی میکنیم. هدف اصلی این مقاله آگاهی بیشتر کاربران در استفاده از برنامکهای تلفن همراه است.
در ادامه ابتدا در رابطه با روشهای مختلف فیشینگ تلفن همراه بحث خواهد شد و تکنیکهایی برای کاهش مخاطرات مورد تجزیه و تحلیل قرار داده میشود و درنهایت درباره مقاله آتی بحث خواهیم کرد.
روش های فیشینگ تلفن همراه
صفحه نمایش کوچک و آدرس URL ناقص
تلفن همراه معمولاً صفحه نمایش کوچکی دارد و این امر سبب میشود که کاربر آدرس کامل URL را در هنگام کلیک روی آن مشاهده نکند. شرکتها و سازمانها برنامه نویسان صفحات وب را موظف میکنند تا به صورت تخصصی، وبگاه را برای موبایل بهینه سازی کنند در نتیجه، این صفحات به صورت مستطیلی و کوچک خواهند شد که این امر کار را سختتر خواهد کرد. مشکل حجم صفحه موبایل به حدی است که سازمانها نمیتوانند لوگوی خود را به طور دلخواه در صفحه مربوطه قرار دهند.
بسیاری از کاربران هنگامی که در وبسایت های رسمی نیستند و در حال وب گردی هستند، از موضوع فیشینگ آگاه نبوده و مورد حمله فیشینگ قرار میگیرند، زیرا آدرس را بازبینی نمیکنند. با توجه به کوچکی صفحه نمایش، نوار آدرس مرورگرها عموماً پنهان است و کاربران نمیتوانند تفاوت سایت معتبر و جعلی را تشخیص دهند.
شکل 1 دو وبسایت مختلف را نشان میدهد که در ظاهر هر دو PAYPAL هستند. با کمی دقت متوجه میشوید که در شکل سمت چپ آدرس سایت تقلبی و غیر معتبر نشان داده نشده است، ولی ظاهر آن بسیار شبیه به سایت اصلی است. سایت تقلبی لوگوی PAYPAL را ندارد و توجه کاربر را به بخشهای دیگر معوطف میکند تا وی را فریب دهد.
دسترسی به فروشگاه
روش دیگر حمله فیشینگ (phishing)، استفاده از کانال اعتباری برنامکها است (بازار و فروشگاه برنامههای موبایل) این برنامکها، برنامک فیشینگ نام دارند. مثال ساده Android droid است که هدف آن جمع آوری اطلاعات حساب و مشخصات بانکی کاربران بوده است. البته استفاده از بیشتر برنامکها در فروشگاههای مجاز قانونی است. شکل 2 یک برنامه کاربردی برای فیشینگ را نشان میدهد که در فروشگاهی بارگزاری شده بود. این عکس از یک گوشی موبایل گرفته شده است و قیمتهای مربوطه را میتوانید مشاهده کنید.
برنامه های فیشینگ میتوانند روی گوشیهای آیپد اپل نیز اجرا شوند. در حمله فیشینک آیپد، یک ایمیل به کاربران ارسال میشود تا به آنها اطلاع دهد که باید یک صفحه بسیار مهم را نصب کنند، سپس از آنها خواسته میشود که اطلاعات مربوط به دانشگاه را وارد کنند (شکل 3 مثالی از این ایمیل را نشان میدهد) در هنگام تکمیل فرم، کاربر باور میکند که وبسایت قانونی بوده و شروع به به روز رسانی و تجدید اطلاعات کاربری دانشگاهی خود میکند. سیستم آی او اس، این امکان را میدهد که برنامک، پروفایلهای تایید نشده و نامعتبر را ایجاد نماید. بنابراین، کاربر به بخش وارد کردن رمزی میرود که قبلاً آن را تنظیم کرده است (شکل 5). در این بخش برنامه جعلی آی تیونز iTunes میتواند مشخصات کاربری را به سادگی به سرقت ببرد.
اسمیشینگ
اسمیشینگ که با استفاده از پیامک صورت میپذیرد، روش دیگری برای فیشینگ تلفن همراه است. این روش مشابه فیشینگ عمل مینماید ولی به جای دریافت ایمیل، فرد قربانی پیامکی دریافت مینماید که مشخصات بانکی فرد از طریق پیامک تبریک برنده شدن به سرقت میبرند.
پیشنهاد میشود در صورت دریافت پیامک اسمیشینگ سریعاً به اپراتور مربوطه خبر داده و ایشان را از موضوع با مطلع نمایید. (شکل 6 نمونه ای از این نوع حمله را نشان میدهد که دکه به قربانی پیام برنده شدن لاتاری را اطلاع داده و در آن یک لینک مخرب قرار گرفته است.)
وای فای و ویشینگ
هنگامی رخ میدهد که یک کاربر از طریق مراکز مجهز به وای فای عمومی به اینترنت متصل شود. دوقلوی شیطانی (Evil twin) مثالی است که در آن مهاجمان با ایجاد یک وای فای در مکانهایی که دارای وای فای معتبر هستند (مثلاً فرودگاهها)، ارتباطات بیسیم را شنود میکنند.
ویشینگ یا فیشینگ پستهای الکترونیکی صوتی، نوعی از حمله فیشینگ روی دستگاههای تلفن همراه است که مهاجم از طریق VOIP (انتقال همزمان مکالمات تلفنی بر روی یک شبکه دیتا) به اطلاعات مالی و فردی قربانی دسترسی پیدا میکند.
در سایر انواع ویشینگ ممکن است هکرها با ضبط پیام خوش آمدگویی یک بانک معتبر و پخش آن برای کاربران قربانی، آنها را تشویق کنند که اطلاعات بانکی و اعتباری خود را جهت خدمات آنلاین بانکی در خرابکاران قرار بدهند.
بهترین راهکارها جهت کاهش حملات فیشینگ تلفن همراه
سیستمهای رایجی که جهت تشخیص حملات فیشینگ تلفن همراه مورد استفاده قرار میگیرند شامل لیست سیاه، لیست سفید و فیلترینگ محتوا هستند. فیلترینگ محتوا روشی است که در آن محتوای متنی جهت شناسایی URLهای مخرب مورد بررسی قرار میدهد. فیلترینگ مبتنی بر محتوا میتواند براساس تجزیه و تحلیل آماری و یا قواعد مشخص بین پیام دریافتی فیشینگ و اصلی تفاوت قایل شود.
لیست سیاه (لیست مسدود سازی): در این روش کاربر خود محدودیتی برای دریافت پیامها ایجاد میکند بدین ترتیب که کاربر خود وبسایت مجاز یا غیرمجاز را در لیست خود معرفی میکند. این روش میتواند درصد خطای پایینی دارد و رشد درصد خطا به سمت مثبت شدن بهبود مییابد. این روش توسط بسیاری از مرورگرها مورد پشتیبانی قرار گرفته است که با سرورهای مجاز در ارتباط بوده و لیست سیاه گردآوری میشود.
این روش فقط برای شناسایی وبسایتهای فیشینگ است و برای ویشینگ، اسمیشینگ و وای فای کاربرد ندارد.
لیست سفید: در این روش، کاربران وب سایتهایی را مشخص میکنند که به آنها اعتماد و دسترسی دارند تا دیگر وبسایتهای برای حملات فیشینگ مورد بررسی قرار گیرند. این رویکرد میتواند برای شناسایی اسمیشینگ بکار گرفته شود که در آن یک مجموعه از اعداد قانونی برای توقف دریافت پیامک ناخواسته حاوی آدرسهای اینترنتی جعلی ایجاد میشود.
آموختههای جالب و مهم
شناخت برنامکهای تقلبی و غیرقانونی موبایل بسیار سخت است اما روشهایی وجود دارند که احتمال حملات فیشینگ تلفن همراه را کاهش میدهند.
1. استفاده از برنامکهای اداری و قانونی: برای دانلود برنامکهای قانونی فقط از بازارها و فروشگاههای مجاز استفاده نمایید.
2. آموزش کاربربان: آموزش کاربران برای کلیک نکردن روی لینکها نقش مهم و اساسی دارد.
3. مرورگرهای امن: مرورگرهای امن که افزونهها و قابلیتهای امن سازی را دارا هستند (مانند مرورگر کروم) بدافزارها و وبسایتهای فیشینگ را حذف مینماید تا از کاربران را محافظت کنند.
4. نشانهها: گذاردن نشانه برای وبسایتهای مشخص و پرکارتان، میتواند از ورود به صفحات ناخواسته جلوگیری کنند و شما باید صفحات مجاز را bookmark کنید.
5. بازارها و استورها باید برای عرضه برنامک ها قوانینی را تعیین کنند تا کنترل سخت گیرانهتر و مراحل تست بیشتری وجود داشته باشد.
6. راهکارهای امنیتی: از انجا که بسیاری از رایانهها از آنتی ویروسهای کامپیوتری استفاده مینمایند، نیاز است راهکارهای امنیتی موبایلی نظیر escan و شرکتهای مشابه پیاده سازی شوند این برنامکها از بروز و اقدام برنامههای مخرب جلوگیری مینمایند.
نتیجه گیری
از آنجا که دستگاههای موبایل اندازه کوچکی دارند، کاربران نمیتوانند آدرس کلی URL را مشاهده نمایند. بنابراین، بدون آگاهی کافی از حملات فیشینگ تلفن همراه، روی این لینکها کلیک میکنند. علاوه بر این، کاربران برنامههای متعدد دیگری که کپی از برنامه قانونی است دانلود کرده و نصب میکنند، ولی این برنامهها اهداف فیبشینگ را در بر دارند و هدف این برنامهها و سازندگان آن موسسات مالی هستند. این مقاله بر فیشینگ تلفن همراه تمرکز دارد. در این مقاله روش هایی برای جلویگری از فیشینگ عنوان شده است تا با نصب برنامه ها از وجود واسطها و رابطها برای شنود و درز اطلاعات اطلاع پیدا نمایید. (escan mobile secutriy) در اندروید موجود است.