امروزه تهدیدات سایبری رنگ و لعابی دیگر به خود گرفتهاند، ایمیلهایی که دریافت میکنید هرکدام میتوانند تهدیدی خاموش باشند. جعل ایمیل به صورت روز افزون در حال گسترش هستند. استفاده از روشهایی که کاربر را مجاب به باز کردن ایمیل کند و یا بر روی ضمیمههای ارسالی کلیک کند هر روز در حال توسعه و پیشرفت میباشد. این ضمیمهها ممکن است حاوی بدافزارها و باج افزارها باشند. پیشرفت روزافزون انواع حملات فیشینگ از قبیل حملات والینگ که در این مبحث به آن میپردازیم حفظ امنیت سایبری را روز به روز سختتر و پیچیدهتر میکند.
در اینجا به معرفی چگونگی جعل ایمیل، انواع بدافزارها و حملات والینگ خواهیم پرداخت.
جعل ایمیل
جعل ایمیل به استفاده از عنوان یا هدر جعلی برای ایمیل گفته میشود، به گونهای که به نظر برسد پیام از طرف شخص یا جایی غیر از ارسال کننده واقعی آن فرستاده شده است. جعل ایمیل تکنیک محبوبی در کمپینهای اسپم و فیشینگ است زیرا احتمال باز کردن ایمیلهایی که مردم تصور میکنند از سوی یک منبع آشنا یا مجاز ارسال شده، بیشتر است. هدف جعل ایمیل متقاعد کردن گیرنده به بازکردن و احتمالاً پاسخ دادن به یک درخواست است.
هر چند میتوان بیشتر ایمیلهای جعلی را به آسانی شناسایی کرد و به اقدام خاصی غیر از شناسایی نیاز ندارند، اما انواع مخربتر این ایمیلها میتوانند خطرات امنیتی و مشکلات جدی ایجاد کنند. به عنوان مثال ممکن است این طور وانمود شود که ایمیل جعلی از طرف یک فروشگاه اینترنتی شناخته شده ارسال شده و از گیرنده درخواست کند تا اطلاعات مهمی مثل رمز عبور یا شماره کارت اعتباری را ارائه کند.
یا ممکن است ایمیل جعلی حاوی لینکی باشد که با کلیک روی آن، یک بدافزار مخرب روی دستگاه گیرنده نصب شود. یکی از حملات فیشینگ هدفمندی که در ایمیلهای کاری مورد استفاده قرار میگیرد، ارسال ایمیل جعلی از طرف مدیرعامل یا مدیر مالی یک شرکت است که به دنبال دریافت مجوز انتقال وجه یا مجوزهای دسترسی به سیستم داخلی از گیرنده هستند.
هر چند جعل ایمیل تکنیک بسیار محبوبی برای اجرای حملات فیشینگ هدفمند است، اما ممکن است مجرمین سایبری از این تکنیک برای دور زدن لیستهای سیاه اسپم ایمیلی، ارتکاب سرقت هویت یا تخریب وجهه فردی که هویت آن را جعل کردهاند استفاده کنند.
جعل ایمیل چگونه است؟
با استفاده از یک سرور پروتکل ساده نامهرسانی (SMTP) و نرمافزار ارسال ایمیل مثل Outlook یا Gmail میتوان به راحتی جعل ایمیل را انجام داد. وقتی پیام نوشته شد، مجرم میتواند فیلدهای قسمت عنوان ایمیل مثل بخشهای FROM، REPLY-TO و آدرس RETURN-PATH را جعل کند. پس از ارسال ایمیل، گیرنده آن را در صندوق ورودی ایمیل خودش دریافت میکند و این طور به نظر میرسد که ایمیل از طرف آدرس تعیین شده ارسال شده است.
از آنجایی که SMTP مکانیزمی برای احرازهویت ندارد انجام این کار ممکن است. هر چند مکانیزمها و پروتکلهای احرازهویت مختلفی برای مقابله با جعل ایمیل ابداع شدهاند اما پذیرش و استفاده از چنین مکانیزمهایی به کندی صورت میگیرد.
چگونه میتوان جعلی بودن یک ایمیل را تشخیص داد؟
اگر ایمیل جعلی از نظر کاربر مشکوک به نظر نرسد، این احتمال وجود دارد که تشخیص جعل انجام نشود. اما اگر کاربر متوجه وجود مورد مشکوکی شود، میتواند سورس کد ایمیل را باز و بررسی کند. از این قسمت، گیرنده میتواند آیپی ارسال کننده ایمیل را شناسایی کرده و آن را ردیابی کند تا به ارسال کننده واقعی برسد.
نشانه بعدی که میتوان آن را بررسی کرد، مربوط به فریم ورکی تحت عنوان (Sender Policy Framework (SPF است که در RFC 7208 تعریف شده و راهکاری برای احرازهویت ارسال کننده ایمیل فراهم کرده است. اگر ایمیلی در این پروتکل با خطای نرم (soft-fail) روبرو شود، ممکن است مورد مشکوکی پیدا شده باشد اما باز هم امکان تحویل آن وجود دارد.
چگونه میتوان با جعل ایمیل مقابله کرد؟
برای پیشگیری از قربانی شدن در برابر جعل ایمیل، باید اقدامات زیر را انجام دهید:
- همواره نرمافزار ضد بدافزار خودتان را به روز نگه دارید.
- اطلاعات مالی یا خصوصی را از طریق ایمیل به اشتراک نگذارید.
- فیلترهای اسپم را روی قویترین تنظیمات قرار داده یا از ابزارهایی مثل Priority Inbox گوگل استفاده کنید.
- از کلیک کردن روی لینکهای مشکوک یا باز کردن فایلهای پیوست مشکوک خودداری کنید.
- هرگز اطلاعات حساس را در لینکهای غیرامن وارد نکنید.
- نحوه باز کردن و خواندن هدر ایمیل جهت شناسایی ایمیلهای جعلی را آموزش ببینید.
- با جستجوی آیپی معکوس سعی کنید فرستنده واقعی را شناسایی کنید.
- اکانتهای ایمیلی را بازرسی کنید تا ببینید به SPF و DMARC چه پاسخی میدهند.
بدافزار
بدافزار یا نرمافزار مخرب به هر برنامه یا فایلی گفته میشود که برای یک کاربر کامپیوتری زیان آور باشد. انواع بدافزارها عبارتند از: جاسوسافزار، اسبهای تروجان، کرمها و ویروسهای کامپیوتری. این برنامههای مخرب میتوانند کارهای مختلفی مثل سرقت، رمزگذاری یا شناسایی دادههای حساس را انجام دهند؛ عملکردهای مهم کامپیوتر را تغییر داده و یا تحت کنترل خودشان بگیرند و بدون اجازه کاربران بر فعالیتهای آنها نظارت کنند.
تاریخچه بدافزارها
اصطلاح بدافزار، اولین بار در سال 1990 توسط دانشمند کامپیوتر و محقق امنیت Yisrael Radai ابداع شد. اما بدافزارها از مدتها قبل وجود داشتند. یکی از اولین بدافزارهای شناخته شده، ویروس Creeper بود که در سال 1971 توسط Robert Thomas مهندس موسسه BBN Technologies طراحی شده بود. این ویروس برای آلوده کردن مینفریمهای آرپانت طراحی شده بود.
هر چند این برنامه تغییر عملکرد، سرقت یا حذف دادهها را انجام نمیداد اما بین مینفریمها منتشر شده و پیامی با این مضمون نمایش میداد: “من Creeper هستم؛ اگر میتوانید من را دستگیر کنید.” بعدها Ray Tomlinson دانشمند کامپیوتر این ویروس را تغییر داد و قابلیت تکثیر خودکار را به آن اضافه کرد؛ در نتیجه اولین کرم کامپیوتری شناخته شده را ایجاد کرد.
مفهوم بدافزار در صنعت تکنولوژی ریشه دارد و در اوایل دهه 80 میلادی نمونههایی از ویروس و کرمها در کامپیوترهای شخصی اپل و IBM مشاهده شد و بعدها پس از معرفی وب جهانگستر و اینترنت تجاری در اواخر دهه 90 میلادی پرکاربردتر شدند.
بدافزارها چگونه کار میکنند؟
نویسندگان بدافزار از انواع ابزارهای فیزیکی و مجازی برای گسترش بدافزاری که شبکهها و دستگاهها را آلوده میکند، استفاده میکنند. به عنوان مثال امکان جابجایی برنامههای مخرب با استفاده از درایو USB وجود دارد یا میتوانند از طریق حملات درایوبای دانلود در اینترنت منتشر شوند. حملات درایوبای دانلود برنامههای مخرب را به صورت خودکار و بدون تایید یا اطلاع کاربر روی سیستمها نصب میکنند.
حملات فیشینگ هم یکی دیگر از روشهای متداول برای انتشار بدافزار هستند و در این حملات ایمیلهایی که ظاهراً بدون مشکل به نظر میرسند حاوی فایلهای پیوست یا لینکهای مخربی هستند که میتوانند فایلهای اجرایی بدافزارها را به سیستم کاربر منتقل کنند. حملات پیچیده اغلب اوقات یک سرور فرماندهی و کنترل یا C&C را شامل میشوند که به مهاجمین امکان میدهند با سیستمهای آلوده ارتباط برقرار کرده، دادههای حساس را استخراج کرده و حتی از راه دور سرور یا دستگاهی که به آن نفوذ کردهاند را تحت کنترل بگیرند.
در بدافزارهای جدید از تکنیکهای مبهمسازی و گریز جدید استفاده میشود که نه تنها برای فریب دادن کاربران بلکه برای فریب دادن محصولات ضدبدافزار و مدیران امنیت طراحی شدهاند. برخی از این تکنیکها متکی بر تاکتیکهای سادهای مثل استفاده از پروکسی جهت مخفی کردن ترافیک مخرب یا آیپی مبدا هستند. تهدیدات پیچیدهتر متشکل از بدافزارهای چند وجهی تکنیکهای ضد سندباکس (anti-sandbox) و بدافزار بدون فایل هستند.
بدافزارهای چند وجهی میتوانند کدشان را به صورت بیوقفه تغییر دهند تا از شناسایی شدن توسط ابزارهای تشخیص مبتنی بر امضاء پیشگیری کنند. تکنیکهای ضد سندباکس به بدافزار امکان میدهند که تشخیص دهد چه موقع تحت آنالیز و تحلیل قرار دارد تا اجرا را به زمان بعد از خروج از سندباکس موکول کند. بدافزارهای بدون فایل هم برای پیشگیری از شناسایی، در حافظه رم سیستم مستقر میشوند.
انواع بدافزارهای متداول
بدافزارهای مختلف خصوصیات و رفتارهای منحصربفردی دارند. انواع بدافزارها عبارتند از:
- ویروس که متداولترین نوع بدافزار است و میتواند خودش را اجرا کرده و با آلوده کردن سایر فایلها یا برنامهها منتشر شود.
- کرم که میتواند بدون یک برنامه میزبان، خودش را کپی کند و معمولاً بدون هیچ گونه مداخله انسانی یا دستورالعملی از جانب نویسندگان بدافزار منتشر میشود.
- اسب تروجان طوری طراحی میشود که مثل یک برنامه مجاز به نظر برسد تا به یک سیستم دسترسی پیدا کند. وقتی تروجان پس از نصب فعال شود، میتواند توابع مخرب خود را اجرا کند.
- جاسوسافزار برای جمعآوری اطلاعات و دادهها از روی دستگاه کاربر و نظارت بر اقدامات وی بدون اطلاع خودش طراحی میشود.
- باجافزار برای آلوده کردن سیستم کاربر و رمزگذاری دادهها طراحی میشود. سپس مجرمین سایبری از قربانی درخواست میکنند که برای رمزگشایی دادههای سیستم، باج پرداخت کند.
- روت کیت برای به دست آوردن دسترسی سطح ادمین به سیستم قربانی استفاده میشود. این برنامه پس از نصب، دسترسی روت یا بالاترین سطح دسترسی به سیستم را برای مهاجم فراهم میکند.
- ویروس در پشتی یا تروجان دسترسی از راه دور، یک در پشتی مخفی در سیستم آلوده ایجاد میکند که به مجرمین امکان میدهد از راه دور و بدون اطلاع کاربر و برنامههای امنیتی سیستم به آن دسترسی پیدا کنند.
- آگهیافزار جهت نظارت بر مرورگر کاربر استفاده شده و تاریخچه آن را با هدف نمایش دادن پیامهای تبلیغاتی یا پاپآپهایی که وی را متقاعد به خرید میکنند، دانلود میکند. به عنوان مثال ممکن است یک تبلیغ کننده، از کوکیها برای دنبال کردن صفحات بازدید شده توسط کاربر، جهت هدفمند کردن بیشتر تبلیغات استفاده کند.
- کیلاگر که به نام ناظر سیستم هم شناخته میشود، جهت مشاهده (تقریباً) تمام اقدامات کاربر روی کامپیوترش استفاده میشود که شامل ایمیلهای تبادل شده، صفحات باز شده، برنامههای اجرا شده و کلیدهای تایپ شده توسط کاربر میشود.
بدافزار موبایلی
بدافزارها روی گوشیهای موبایل هم مشاهده میشوند و میتوانند امکان دسترسی به بخشهای مختلف دستگاه مثل دوربین، میکروفون، جیپیاس یا شتاب سنج آن را برای مهاجم فراهم کنند. در صورتیکه کاربر روی لینک مخرب ارسال شده از طریق یک ایمیل یا پیام متنی کلیک کرده یا اپلیکیشنهای غیررسمی را دانلود کند ممکن است گوشی او به بدافزار آلوده شود. همچنین امکان آلوده شدن موبایل از طریق کانکشن وایفای یا بلوتوث هم وجود دارد.
معمولاً بدافزارها بیشتر روی سیستم عامل اندروید مشاهده میشوند تا iOS و معمولاً از طریق اپلیکیشنها دانلود میشود. علائم آلوده شدن دستگاه به بدافزار عبارتند از: افزایش غیرعادی میزان استفاده از دیتا، تخلیه سریع شارژ باتری یا برقراری تماس و ارسال ایمیل و پیامک به مخاطبین بدون اطلاع خود کاربر. همچنین اگر کاربر پیامی از طرف یکی از مخاطبین خودش دریافت کرد که مشکوک به نظر میرسید، ممکن است این پیام یک بدافزار موبایلی باشد که بین دستگاهها منتشر میشود.
سیستم عامل iOS شرکت اپل به ندرت به بدافزار آلوده میشود، زیرا شرکت اپل با دقت اپلیکیشنهای اپ استور را بررسی میکند. با این وجود امکان آلوده شدن این دستگاهها از طریق لینکهای موجود در پیامهای متنی یا ایمیلها وجود دارد. در صورت قفل شکنی iOS میزان آسیبپذیری آن بیشتر میشود.
چگونه میتوان بدافزارها را شناسایی و حذف کرد؟
ممکن است کاربر با مشاهده پر شدن ناگهانی فضای دیسک، کند شدن غیرطبیعی دستگاه، قفل کردن پی در پی گوشی یا افزایش فعالیتهای اینترنتی ناخواسته و پیامهای تبلیغاتی متوجه وجود بدافزار شود. میتوان یک آنتی ویروس روی دستگاه نصب کرد که بدافزارها را شناسایی و حذف کند. این ابزارها میتوانند امکان شناسایی لحظهای و بلادرنگ را فراهم کرده یا در هنگام اجرای اسکن دورهای سیستم، بدافزارها را شناسایی و حذف کنند.
به عنوان مثال، Windows Defender یک نرمافزار ضد بدافزار از شرکت مایکروسافت است که در سیستم عامل ویندوز 10 و در بخش Windows Defender Security Center قرار دارد. Windows Defender از سیستم در برابر تهدیداتی همچون جاسوسافزار، آگهیافزار و ویروسها محافظت میکند. این نرمافزار امکان اجرای اسکن سریع یا کامل و همچنین تنظیم ارسال هشدار برای خطراتی در سطح پایین، متوسط و شدید را دارد.
برنامههای مشابه
برنامههای دیگری هم هستند که خصوصیاتی مشترک با بدافزارها دارند اما از جهاتی با آنها تفاوت دارند مثل برنامههای بالقوه ناخواسته، معمولاً این اپلیکیشنها (مثل نوارابزارهای مرورگر) کاربران را به نوعی متقاعد به نصب میکنند اما پس از نصب هیچ کار مخربی انجام نمیدهند. با این وجود، در برخی مواقع PUPها حاوی قابلیتهایی شبیه جاسوسافزار یا امکانات مخرب منفی هستند و میتوان آنها را به عنوان بدافزار طبقه بندی کرد.
حمله والینگ (شکار نهنگ)
حمله والینگ که به آن شکار نهنگ هم گفته میشود، یکی از انواع حملات فیشینگ است که کارمندان سطح بالا مثل مدیرعامل یا مدیر مالی ارشد را هدف میگیرد تا اطلاعات حساسی را درباره کمپانی جمعآوری کند زیرا افرادی که رتبه بالاتری در کمپانی دارند معمولاً به دادههای حساس دسترسی دارند. در خیلی از حملات والینگ، هدف مهاجم متقاعد کردن قربانی به صدور مجوز برای انتقال پولهای کلان به حساب مهاجم است.
اصطلاح والینگ به دلیل ابعاد و بزرگی این حملات انتخاب شده و والها بر اساس قدرت و اختیاراتشان در کمپانی انتخاب میشوند.
به دلیل ماهیت بشدت هدفمند حملات والینگ، شناسایی این حملات نسبت به حملات فیشینگ معمولی سختتر است. در محیط سازمان، مدیران امنیتی میتوانند با تشویق مدیران شرکت به طی کردن دورههای آموزش امنیت اطلاعات، به کاهش اثربخشی حملات والینگ کمک کنند.
حملات والینگ چگونه عمل میکنند؟
هدف حمله والینگ، فریب دادن یک شخص جهت افشای اطلاعات شخصی یا سازمانی از طریق مهندسی اجتماعی ، جعل ایمیل و محتوا است. به عنوان مثال ممکن است مهاجمین ایمیلی به قربانی ارسال کنند که ظاهراً از سوی یک منبع قابل اعتماد فرستاده شده؛ در برخی حملات والینگ یک وبسایت مخرب ایجاد میشود که مخصوصاً برای حمله طراحی شده است.
ایمیلها و وبسایتهای مخصوص حمله والینگ، بشدت سفارشی و شخصی سازی میشوند و اغلب مواقع در آنها از نام، سمت شغلی یا سایر اطلاعاتی که از طریق منابع مختلف جمعآوری شده استفاده میشود. این ویژگیها باعث سختتر شدن شناسایی حمله والینگ میشود.
حملات والینگ اغلب به تکنیکهای مهندسی اجتماعی وابسته هستند، زیرا مهاجم یک فایل ضمیمه یا لینک به قربانی ارسال میکند که حاوی بدافزار بوده و هدف آن استخراج اطلاعات حساس است. ممکن است مهاجمین با هدف گرفتن قربانیان ارزشمند به خصوص مدیرعامل و سایر مدیران شرکتی و با استفاده از تکنیکهای نفوذ به ایمیل بیزنسی، آنها را متقاعد به تایید جابجایی وجه کنند. در برخی موارد، مهاجم هویت مدیرعامل یا سایر مدیران شرکت را جعل میکند تا آنها را متقاعد به انتقال وجه کند.
این حملات میتوانند قربانیان را فریب دهند زیرا با توجه به احتمال بازدهی بالا، مهاجمین تمایل بیشتری به صرف زمان و تلاش برای طراحی چنین حملاتی دارند. همچنین مهاجمین از شبکههای اجتماعی مثل فیسبوک، توییتر و لینکدین برای جمعآوری اطلاعات شخصی درباره قربانیانشان استفاده میکنند تا احتمال موفقیت حمله بیشتر شود.
تفاوت بین فیشینگ، والینگ فیشینگ و فیشینگ هدفمند
از آنجایی که حملات فیشینگ معمولی، والینگ فیشینگ و فیشینگ هدفمند همگی جزء حملات آنلاینی هستند که سعی دارند کاربران را متقاعد به ارائه اطلاعات حساس کنند یا با مهندسی اجتماعی آنها را تشویق به انجام اقداماتی مخرب کنند، معمولاً افراد در تفکیک و تشخیص این سه حمله دچار اشتباه میشوند.
حمله والینگ ، یک نوع حمله فیشینگ هدفمند است که قربانیان خاصی با رتبه و مقام بالا در یک کمپانی را هدف قرار میدهند. فیشینگ هدفمند میتواند هر فرد خاصی را هدف قرار دهد. هر دو مدل حمله نسبت به حملات فیشینگ معمولی نیاز صرف به تلاش و زمان بیشتری دارند.
فیشینگ یک اصطلاح گستردهتر است که هر نوع حملهای را شامل میشود و سعی دارد جهت انجام اقدامات مخرب قربانی را تشویق به انجام اقدام خاصی کند از جمله به اشتراک گذاشتن اطلاعات حساس مثل نام کاربری، پسورد و اطلاعات مالی؛ نصب بدافزار یا متقاعد کردن به انجام یک تراکنش یا انتقال وجه.
حملات فیشینگ معمولی، اغلب شامل ارسال ایمیل به گروه زیادی از افراد میشوند بدون اطلاع از اینکه چه تعداد از آنها موفقیت آمیز خواهند بود اما حملات والینگ فیشینگ معمولاً هر بار با استفاده از اطلاعاتی بشدت شخصی، یک شخص خاص را هدف قرار میدهند، و آن هم معمولاً فردی با رتبه بالای سازمانی خواهد بود.
نمونههایی از حملات والینگ
یک حمله والینگ مهم در سال 2016 رخ داد که در آن یکی از کارمندان رتبه بالای اسنپچت، ایمیلی از یک مهاجم دریافت کرد که وانمود میکرد مدیرعامل این شرکت است. وی آن کارمند را مجاب به ارائه اطلاعات مربوط به حقوق و دستمزد کارمندان کرد؛ که در نهایت FBI این حمله را مورد بررسی قرار داد.
یکی دیگر از حملات والینگ سال 2016، حملهای بود که در آن یکی از کارمندان شرکت سیگِیت ناخواسته اطلاعات مربوط به مالیات بر درآمد چند کارمند فعلی و گذشته کمپانی را به یک فرد غیرمجاز ارسال کرد. پس از گزارش دادن این حمله فیشینگ به IRS و FBI اعلام شد که دادههای شخصی هزاران نفر در این حمله والینگ افشا شده است.
اینجا فقط نمونههایی از تهدیدات سایبری آنلاین مطرح شد، متاسفانه روز به روز یا بهتر است بگوییم که لحظه به لحظه بر روشهای حملات سایبری افزوده میشود؛ فراموش نکنیم که با پیشرفت تجهیزات امنیت سایبری در فضای آنلاین و با بالا رفتن دانش سایبری ما، به همان میزان نیز هکرها در تلاشند که راههای نفوذ جدیدی را کشف کنند.