مقدمه
فیشینگ نوعی از حملات مهندسی اجتماعی به شمار می‌آید که در آن مهاجم باهدف دستیابی به اطلاعاتِ حساس، پیغامی تقلبی (جعلی) برای فریب قربانی ارسال می‌کند. هکرها در حملات فیشینگ معمولاً به‌عنوان یک سازمان یا فردی قابل‌اعتماد و از طریق ایمیل یا وب‌سایت‌های مخرب، اطلاعات شخصی و سازمانی را از قربانی درخواست می‌نمایند.
درواقع هکرها شما را طعمه قرار می‌دهد تا به‌واسطۀ آن از اطمینان شما سوءاستفاده کرده و اطلاعات ارزشمند و مهم شما را به دست آورند. برای مثال، این اطلاعات ارزشمند می‌تواند شامل اطلاعات هویتی مانند کد ملی و اطلاعات تماس و اطلاعات حساب های کاربری شبکه های اجتماعی شما باشد.
مجرمین سایبری ممکن است از شما بخواهند که یک پیوست ایمیل یا پیوند (لینک) را بازکنید یا یک فرم را با اطلاعات شخصی خود تکمیل کنید. شما همواره می بایست هوشیار باشید که ممکن است پاسخ به هر یک از درخواست‌ها، نتایج جبران‌ناپذیری را به همراه داشته باشد.
برخی از رایج‌ترین سناریوها به شرح زیر است:
ایمیل خود را باز می‌کنید و ناگهان هشداری از بانک در صندوق ورودی شما ظاهر می‌شود. وقتی روی پیوند موجود در ایمیل کلیک می‌کنید، به یک صفحه وب منتقل می‌شوید که مشابه صفحه رسمی بانک به نظر می رسد. ولی درواقع این سایت جعلی است و برای سرقت اطلاعات شما طراحی‌شده است. هشداری در سایت مذکور عنوان می کند که مشکلی در حساب شما وجود دارد و از شما می‌خواهد کلمه و رمزعبور خود را وارد کنید. پس از واردکردن اطلاعات حساب کاربری خود معمولاً به صفحه اصلی بانک هدایت می‌شوید تا برای بار دوم اطلاعات خود را وارد کنید. با هدایت شما به صفحه قانونی، بلافاصله متوجه نمی‌شوید که اطلاعات شما به سرقت رفته است.
این تهدیدات می‌تواند بسیار دقیق و استادانه طراحی شوند و انواع ارتباطات، حتی تماس‌های تلفنی را نشانه رود. خطر اصلی فیشینگ ازاین‌جهت است که می‌تواند هرکسی که نسبت به جزئیات کوچک بی‌توجه است را فریب دهد. در ادامۀ این مطلب برای اینکه بتوانیم از اطلاعات خود محافظت کنیم با نحوه انجام حملات فیشینگ بیشتر آشنا می شویم.

مجرمین سایبری به دنبال چه اهدافی هستند؟

مجرمین سایبری، برای موفقیت در فعالیت‌های مجرمانه خود از تکنیک های مهندسی اجتماعی از قبیل فریبکاری، ترغیب حس نوع دوستی یا ایجاد ترس و اضطراب در افراد استفاده می کنند.   

بحران‌هایی مانند همه‌گیری ویروس کرونا فرصتی برای مجرمین فراهم می‌کند تا قربانیان را با اینطعمه به سمت مسیر فیشینگ سوق دهند. ایمیلی که به نظر می‌رسد از سوی یکی از این نهادهای مرتبط با وزارت بهداشت ارسال‌شده و حاوی اطلاعات یا دستورالعمل‌های جدیدی در مورد بحرانِ کرونا است، به‌ احتمال‌زیاد نسبت به قبل موشکافی کمتری را از سوی قربانی به دنبال خواهد داشت؛ بنابراین با یک کلیک، دستگاه قربانی آلوده‌شده و یا حساب های کاربری او به خطر می‌افتد. مجرمین سایبری با استفاده از تکنیک‌های فیشینگ، اهداف مختلفی را دنبال می‌کنند و ممکن است به دنبال اطلاعات هویتی مانند کد پستی، محل سکونت، تحصیلات، شغل، شماره پاسپورت، شماره تلفن، شماره تأمین اجتماعی و… قربانیان خود باشند. بااین‌حال می‌توان گفت در حال حاضر، اطلاعات کارت های اعتباری و رمزهای اینترنتی حساب‌های بانکی، یکی از مهم‌ترین اهداف آن ها محسوب می‌شود. برخی از مجرمین سایبری از فیشینگ به‌عنوان ابزاری برای دسترسی به سیستم قربانی و به‌واسطۀ آن تسهیل دسترسی به شبکۀ داخلی سازمان ها استفاده می کنند و گروهی دیگر از آنان پس‌ از اینکه به سیستم قربانی دسترسی پیدا کردند، آن را واسطه نموده و از طریق آن حملات سایبری به شبکه های داخلی سازمان های دولتی و بانک ها را سازمان‌دهی می کنند، در حقیقت مجرم سایبری سیستم قربانی را واسطه قرار می دهد تا خودش ناشناس بماند و در صورت ردیابی، تبعات هرگونه خسارت احتمالی را از خود ساقط نماید. بیان این نکته اهمیت رعایت الزامات امنیتی را بیش‌ازپیش نمایان می‌کند.

به‌ طورمعمول برخی مواردی که هکر در حملات فیشینگ دنبال می کند شامل موارد زیر است:
• دستگاه شما را آلوده به بدافزار کند.
• مدارک خصوصی را برای به دست آوردن پول یا هویت شما به سرقت ببرد.
• کنترل حساب‌های آنلاین شما را به دست آورد.
• شما را به نحوی متقاعد کند که باکمال میل پول یا اشیای قیمتی خود را ارسال کنید.

گاهی این تهدید فقط به شما ختم نمی شود. اگر یک هکر وارد ایمیل، لیست مخاطبین یا شبکه‌های اجتماعی شما شود، می‌تواند خود را به‌جای شما معرفی و از سمت شما برای افرادی که می‌شناسید پیام‌های فیشینگ را ارسال کند.

چه کسی در معرض خطر حملات فیشینگ است؟

ایجاد حس اعتماد و فوریت در فرد از مواردی است که فیشینگ را بسیار فریبنده و خطرناک می‌کند. اگر مجرم بتواند شما را قانع کند که به آن‌ها اعتماد کنید و قبل از فکر‌کردن اقدام کنید؛ شما هدف آسانی هستید.
فیشینگ می‌تواند در زندگی شخصی یا در محل کار و بر روی هر نوع گروه سنی، تأثیر بگذارد. امروزه همه افراد اعم از مسن تا کودکان خردسال از دستگاه‌های اینترنتی استفاده می‌کنند. اگر کلاه‌بردار اینترنتی بتواند از اطلاعات تماس شما آگاه شود، می‌تواند آن را به لیست اهداف فیشینگ خود اضافه کند.
امروزه به‌واسطه استفاده از وب سایت ها و اپلیکیشن های مختلف، پنهان کردنِ شماره تلفن، آدرس ایمیل و حساب‌های رسانه‌های اجتماعی دشوار شده است؛ بنابراین، فقط افشا یکی از این‌ها شما را به هدف و فرصتی خوب و راحت برای کلاه برداران اینترنتی تبدیل می کند.

انواع کلاه‌برداری‌های فیشینگ

با توجه به توسعه و تغییرات مداوم در فناوری‌های بکار رفته در ابزارهای ارتباطی دیجیتال و فضای سایبری، همواره ممکن است مهاجمان از تکنیک‌های متفاوت و جدید استفاده می کنند، یا برای به دام انداختن قربانی خود از چند شیوه مختلف استفاده کنند. به‌صورت کلی حملات فیشینگ، مبتنی بر قواعد مهندسی اجتماعی بوده و نمی‌توان آن را در یک یا چند حالت مشخص و ثابت خلاصه کرد. برخی از حملات فیشینگ که به‌صورت روزانه قربانی می‌گیرد به شرح زیر می‌باشد:

1. فیشینگ هرزنامه: فیشینگ هرزنامه، دامی است که برای صید کردن اطلاعاتِ هر فرد ناآگاه توسط مهاجم پهن می‌شود. هرزنامه ها معادل الکترونیکی “نامه ناخواسته پستی” است که برروی درب ورودی یا صندوق پستی شما قرار می‌گیرد. بااین‌حال، هرزنامه چیزی فراتر از آزار نامه‌های ناخواسته پستی است و باز کردن یک ایمیل هرزنامه می‌تواند بسیار خطرناک باشد، به‌خصوص اگر بخشی از یک فعالیت مجرمانه برای انجام کلاه‌برداری فیشینگ باشد. پیام‌های فیشینگ هرزنامه توسط اسپمرها و مجرمین اینترنتی که به دنبال انجام یک یا چند مورد زیر هستند، به‌صورت انبوه ارسال می‌شود:
• از درصد ناچیزی از گیرنده‌هایی که به پیام فیشینگ پاسخ می‌دهند، درآمد کسب کنند.
• با اجرای کلاه‌برداری فیشینگ بتوانند به گذرواژه، شماره کارت اعتباری، جزئیات حساب بانکی و موارد دیگر دستیابی پیدا کنند.
• کد مخرب را بر روی رایانه‌های گیرندگان پخش کنند.
فیشینگ هرزنامه یکی از محبوب‌ترین روش‌هایی است که کلاه‌برداران از این طریق می‌توانند به اطلاعات شما دست یابند.

2. فیشینگ هدفمند: ازجمله حملات فیشینگ که معمولاً کارمندان شرکت های خاص و یا سازمان های دولتی را هدف قرار می دهد، Spear Phishing و Whaling می باشد.
در حملهWhaling معمولاً مجرم سایبری اهداف سطح بالایی را دنبال می کند و مدیران و افراد مهم در یک سازمان و یا نهاد دولتی را هدف قرار می دهد؛ اما در حمله Spear Phishing ، محیطی وسیع و گسترده ای از افراد را مدنظر قرار داده و در اولین فرصت یکی را به‌عنوان هدف تعیین و موردحمله فیشینگ قرار می دهد. شما به‌عنوان مشتری یک بانک یا کارمند یک مرکز بهداشتی درمانی، حتی اگر فقط به یک درخواست دوستانه عجیب در شبکه‌های اجتماعی پاسخ دهید، ممکن است هدف حمله فیشینگ قرار بگیرید.
مجرمین سایبری برای دستیابی به توطئه‌هایشان بسیار صبور هستند و برای پیاده سازی فعالیت های مجرمانه و افزایش احتمال موفقیت خود، به زمان نیاز دارند و جهت طرح‌ریزی این حملات ممکن است نیاز به جمع‌آوری اطلاعات درباره شما یا سازمانی که در آن مشغول هستید، داشته باشند. دور از ذهن نیست که ممکن است این اطلاعات را از پروفایل‌های شبکه‌های اجتماعی و سایر اطلاعات در دسترس و عمومی و یا از افرادی که قبل از شما موردحمله فیشینگ قرار داده، دریافت کند.
یک حمله ممکن است به نحوی طراحی و برنامه ریزی شده باشد که بتواند شمارا تشویق به اقدام سریع و بدون در نظر گرفتن جوانب احتیاط کند و در زمان کوتاهی اتفاق بیوفتد؛ اما در برخی مواقع دیگر ممکن است مجرم سایبری زمان بیشتری صرف کند و ماه‌ها با شما ارتباط برقرار کرده تا اعتماد شما را قبل از “عملی‌کردن نقشۀ خود” جلب کند. این حملات فقط به پیام یا تماس مستقیم محدود نمی‌شود و تنوع بالایی دارند. ممکن است وب‌سایت‌های رسمی توسط یک مجرم سایبری هک شوند و در صورت عدم توجه کافی، تنها با ورود به سایتی که ظاهراً ایمن است اما در دسترس یک هکر است، موردحملۀ فیشینگ قرار بگیرید.

3. ایمیل فیشینگ : در این نوع از حملات، مهاجم از طریق ارسال ایمیل و با جعل نام و عنوان فرستنده، ادعا می‌کند شخص یا سازمان قانونی بوده و از قربانی درخواست‌های مختلفی می کند. هرگز به ایمیل‌هایی که از شما مشخصات کارت‌بانکی‌تان را می‌خواهند پاسخ ندهید. اغلب این ایمیل‌ها با آدرسی مشابه سایت رسمی بانک، جهت دریافت اطلاعات مالی شما ارسال می‌شوند.

4. کلاهبرداری صوتی فیشینگ : در این نوع از حملات، مهاجمان با ایجاد سرویس‌های جعلی همانند سرویس‌های صوتی معتبر، کاربر را فریب می‌دهند. ویشینگ یا فیشینگ صوتی هنگامی رخ می‌دهد که یک هکر به‌جای ارسال ایمیل یا پیام کوتاه فیشینگ، با قربانیان هدف تماس گرفته و سعی در جلب نظر قربانیان برای دادن اطلاعات حساس از طریق تلفن را دارد. به‌طورکلی، مجرمین با سو استفاده از احساسات انسان از قبیل ترس، دلسوزی و تمایل به درستکاری، افراد را فریب می‌دهند تا به اطلاعات مهم و حساب‌های بانکی آن‌ها دسترسی پیدا کنند.

5. پیامک‌های جعلی : در این نوع از حملات، مهاجم یک لینک مربوط به وب‌سایت فیشینگ را به قربانی خود به‌صورت پیامک موبایلی (مانند پیامکی تقلبی از جانب بانک یا اپلیکیشن‌های پرداخت)، ارسال می‌کنند. این افراد سعی دارند اطلاعات مالی شمارا از طریق کلیک بر روی لینک یا ارسال پاسخ پیامک دریافت نمایند. برای جلوگیری از این نوع فیشینگ، حتماً به شماره پیامک دریافتی دقت کنید.

6. جعل وب‌سایت : در این نوع از حملات، مهاجم با ایجاد یک وب‌سایت جعلی که مشابه یک سرویس‌دهنده اینترنتی معتبر و قانونی است کاربر را فریب می‌دهد.افراد متقلب با طراحی سایتی مشابه صفحه درگاه پرداخت، اقدام به دریافت اطلاعات کارت‌بانکی شما می‌کنند. برای تشخیص درگاه امن، حتماً دقت کنید که آدرس صفحه به‌جای «http» با «https» شروع شود.

روش پیشگیری از فیشینگ

در دنیای سایبری بسیار مهم است که هر فرد و سازمانی در مورد حملات فیشینگ و بهترین راه دفاع در برابر این حملات آگاهی داشته باشد. همان‌طور که پیش‌ازاین نیز اشاره کردیم حمله فیشینگ روشی پیچیده است که از طریق ایمیل‌ها یا وب‌سایت‌هایی که ادعا می‌کنند، معتبر و از سوی سازمان‌هایِ مورد اعتماد هستند، اطلاعات مهم را به خطر می‌اندازد. در ادامه برخی از مهم‌ترین روش‌های پیشگیری در برابر حملات فیشینگ را ذکر می‌کنیم:
1. بررسی کنید که وب‌سایت موردنظر معتبر است یا خیر و اگر وب‌سایت موردنظر برای شما شناخته‌شده نیست اطلاعات خود را ارائه ندهید و دقت نمایید که به‌هیچ‌عنوان اطلاعات حساب های کاربری خود را با دیگران به اشتراک نگذارید.
2. از رمزهای عبور قوی و منحصر به‌ فرد استفاده کنید و از رمزعبور مشابه برای چندین حساب کاربری مختلف، استفاده نکنید؛ زیرا اگر رمزعبور یکی از حساب های کاربری شما به هر دلیلی افشا شود، مهاجم به تمامی حساب های کاربری شما دسترسی پیدا می کند.
3. معمولاً ایمیل‌های فیشینگ، دارای ضرب‌الاجل می‌باشند و در متن ایمیل ارسالی تلاش می کنند که مهلت های محدود زمانی را مطرح کنند تا مخاطب را وادار به تصمیم گیری سریع نمایند درعین‌حال در متن درخواست اغلب غلط های املایی و نگارشی نیز مشاهده می شود.
4. اگر شرکت خاصی به دلیل اختلال از شما درخواست تصحیح اطلاعات خود را داشته باشد، قطعاً به نام کاربری یا اطلاعات حساب شما اشاره خواهد کرد.

نتیجه

اگرچه فیشینگ برای هدف قرار دادنِ افراد طراحی‌شده است اما عواقب یک حمله فیشینگ موفق می تواند برای افراد و سازمان ها جبران‌ناپذیر باشد.

مجرمین اینترنتی می‌توانند با داشتن اطلاعاتِ کاربری وارد سیستم شده، به برنامه‌های شخصی و شرکتی دسترسی پیدا کنند و با تغییر رمزعبور، دسترسی مالکین را به حساب‌ها قفل کنند. آن‌ها همچنین می‌توانند با اضافه کردن عوامل احراز هویت چندعاملی با دستگاه‌های خود امکان دسترسی مجدد قربانی به حساب‌ها را سخت‌تر کنند. این موضوع به‌خصوص زمانی مشکل‌ساز می‌شود که مهاجم از طریق ایمیل، پیام‌های ظاهراً قانونی را به کاربرانِ مختلف ارسال کرده و درنهایت کلِ شبکه را به خطر بیاندازد. پس از ورود به شبکه سازمان، هکرها می‌توانند به‌واسطه اختلالاتی که در شبکه ها و سیستم های کامپیوتری شرکت ها بوجود می آورند، کسب‌وکار سازمان را با خطر جدی مواجه نموده و یا دارایی ها و اطلاعات مهم افراد و سازمان ها را سرقت نمایند.
همواره یادآوری می‌شود که اصلی‌ترین راه‌حل‌ها برای جلوگیری از افزایش آمار فیشینگ و سرقت اطلاعات، افزایش آگاهی کاربران است.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

2 + دو =