افزایش حملات فیشینگ در سال 2018
گروه دانش و فن|
فیشینگ راهی است که تبهکاران، اطلاعاتی نظیر کلمه کاربری، رمز عبور، شماره 16 رقمی عابر بانک، رمز دوم و CVV2 را از طریق ابزارهای الکترونیکی ارتباطات به سرقت میبرند. شبکههای اجتماعی، سایتهای حراجی و درگاههای پرداخت آنلاین نمونهیی از ابزارهای الکترونیکی ارتباطات هستند.
کلاهبرداری فیشینگ از طریق ایمیلها و پیامها صورت میپذیرد و قربانیان به صورت مستقیم اطلاعات حساس و محرمانه خود را در وبسایتهای جعلی که در ظاهر کاملا شبیه وبسایتهای سالم و قانونی است، وارد میکنند. حقه فیشینگ یکی از تکنیکهای مهندسی اجتماعی برای فریبکاربران است که علیالقاعده از ضعف امنیتی یک وب سایت برای انجام عملیات مجرمانه خود استفاده میکنند. برای نخستین بار حقه فیشینگ در 1987 تعریف شد و نخستین باری که واژه فیشینگ برای نامگذاری این واژه استفاده شد، سال 1996 بود.
دستکاری و تقلب در لینکها و آدرسها
یکی از شیوههای متداول و رایج در فیشینگ ارسال لینکها و آدرسهای متعلق به سازمانهای غیرواقعی و جعلی از طریق ایمیل است. آدرسهایی که تنها تفاوت آنها با آدرس اصلی یک یا دو حرف است یا از دامینهای فرعی گمراهکننده برای ایجاد آنها استفاده شده است.
فیشرها با استفاده کردن از عکس به جای متن، کار فیلترهای ضد فیشینگ که برای شناسایی متنهایی که عموما در ایمیلهای حاوی آدرسهای جعلی یافت میشوند را سخت میکنند.
تنها با ورود و بازدید یک قربانی به سایت جعلی عمل کلاهبرداری صورت نمیپذیرد. در برخی از روشهای فیشینگ از دستورات جاوا اسکریپت استفاده میشود تا نوار آدرس را اصلاح کند و تغییر دهد. این کار با قرار دادن تصویر یک آدرس اینترنتی قانونی و موجه در نوار آدرس یا بستن نوار آدرس اصلی و باز کردن یک نوار آدرس جدید که حاوی آدرس اینترنتی قانونی و موجه است، انجام میشود.
یک فیشر(مهاجم) حتی میتواند از نقایص موجود در برنامه جاوا اسکریپت یک سایت معتبر و قانونی علیه قربانیان خود استفاده نماید. این نوع حملهها(که به کراس سایت اسکریپتینگ معروف هستند) بطور خاص سخت و پیچیده هستند، چون آنها قربانی را به صفحه اینترنتی ثبت نام خدمات بانکی خود ارجاع میدهند. صفحهیی که در آن همه چیز از آدرس سایت گرفته تا گواهی امنیتی، همه درست و صحیح به نظر میرسند. در حقیقت لینک دادن به صفحه اصلی حقهیی برای به ثمر رساندن سرقت و انجام دادن حمله است. با انجام این کار کشف این حمله برای افرادی که دانش لازم را ندارند، کار بسیار سختی است. در سال 2006 چنین حملهیی علیه سایت Pay Pal انجام شد.
تمامی حملات فیشینگ نیاز به استفاده از یک وب سایت جعلی و ساختگی ندارند. این نوع حملات شامل پیامهایی هم میشوند که ادعا میکند از طرف بانک هستند و از مشتریها(استفادهکنندگان خدمات بانکی) میخواهند با توجه به مشکلی که برای حسابهای آنها به وجود آمده است، با یک شماره تماس بگیرند. به محض اینکه مشتری با این شماره تلفن(که متعلق به مهاجم است و یک سرویس تلفن اینترنتی است) تماس بگیرد، دستوراتی به مشتری داده میشود تا شماره حساب و رمز خود را وارد کند. فیشرهایی که از سرویس تلفن اینترنتی استفاده میکنند، گاهی اوقات از دادههای جعلی برای آی دی کالر استفاده مینمایند تا برای مشتریان اینگونه به نظر برسد که این تماس از طرف یک سازمان مطمئن و معتبر انجام میشود. نتایج یک نظرسنجی نشان داد که کسبوکارهای کوچک و متوسط فناوری اطلاعات درحال انجام آموزش برای آگاهیرسانی کارکنان خود درخصوص امنیت سایبری به ویژه فیشینگ هستند. فیشینگ نوعی از حملات مهندسی اجتماعی است که بر پایه فریب افراد برای کلاهبرداری اقتصادی استوار است.
در روش فیشینگ(Phishing) معمولا نفوذگران در مرحله اول با اسپمکردن ایمیلهایی با تعداد بالا، دهها هزار یا حتی چندین میلیون ایمیل را برای تعداد زیادی از کاربران ارسال میکنند که حاوی مطالب فریبنده از طرف سایتهای آشنا مانند بانک، فروشگاه، شرکتهای معتبر و... هستند که البته در مواردی نیز افراد خاصی با تعداد کمی ایمیل مورد هدف قرار میگیرند.
به عنوان مثال صفحهیی مشابه یکی از سایتها همچون بانک میسازند و با جابهجا کردن یک حرف از سایت مورد نظر لینکی را درون ایمیل قرار میدهند با این مضمون که برای تایید یا فعالسازی حساب خود روی آن کلیک کنید و در بعضی موارد تهدیداتی نیز انجام میدهند مانند اینکه در صورت عدم تایید حساب توسط لینک زیر حساب شما به مدت یک ماه مسدود خواهد شد!
هنگامی که کاربر روی لینک تقلبی کلیک کند، وارد سایت جعلی که توسط نفوذگر ساخته شده میشود که کاملا شبیه سایت اصلی بانک است و در قسمت ورود، کاربر اطلاعات خود را وارد میکند که در این لحظه این اطلاعات توسط سایت جعلی برای نفوذگر ارسال شده و به سرقت میرود و نفوذگر میتواند وارد حساب کاربر شده و پولهای او را سرقت کند.
نظرسنجی جدیدی از ۶۰۰ تصمیمگیرنده فناوری اطلاعات در کسبوکارهای کوچک تا متوسط(SMBs) انجام شد که تقریبا تمام
SMBها درحال انجام نوعی آموزش برای آگاهیرسانی کارکنان درباره امنیت سایبری هستند که میتواند ناشی از ترس از فیشینگ باشد.
نبود آگاهی در خصوص امنیت سایبری
در گزارش جهانی جدید که وب روت منتشر کرده است، تصمیمگیرنده فناوری اطلاعات تقریبا ۱۰۰درصد از کارکنان کسبوکار خود را در زمینه آگاهی از امنیت سایبری آموزش میدهند. با این حال، این گزارش نشان داد که این تعداد دورههای آموزشی به طور قابل توجهی درحال کاهش است و تنها ۳۹درصد از شرکتها بطور مداوم در طول مدت استخدام به کارکنان خود آموزش میدهند.
با این وجود، این گزارش نشان میدهد که کسبوکارها در ایالات متحده، انگلستان و استرالیا به طور جدی در حوزه امنیت سایبری فعال هستند. این تغییر در سازمانها نشان میدهد که بیشترین حساسیت آنها در سال ۲۰۱۷ بوده است؛ همچنین یکی از نکات قابل توجه کاهش تخمین هزینه تخریب است.
درحالی که در سال ۲۰۱۷، فیشینگ رتبه سوم خطرناکترین خطر محسوب میشد، این موضوع برای سال ۲۰۱۸ تغییر کرد. تقریبا نیمی(۴۸درصد) پاسخدهندگان حملات فیشینگ را به عنوان تهدید شناخته شده و ۴۵درصد گفتهاند که کسب وکارشان حساس به حملات DNS است.
به طور کلی، نوع جدیدی از نرمافزارهای مخرب به رتبه 6 رسیده و فیشینگ رتبه اول است، پس از آن انکار سرویس توزیع شده(DDoS) و حملات تلفن همراه کاهش یافت. باجافزار از جایگاه پنجم در سال ۲۰۱۷ تا سوم در سال ۲۰۱۸ رشد کرد؛ با این حال، این موضوع در حوزههای جغرافیایی متفاوت است. اکثریت بزرگی از تصمیمگیرندگان فناوری اطلاعات در انگلیس (۶۹درصد) گزارش دادند که کسبوکارشان تقریبا بطور کامل برای مدیریت امنیت فناوریاطلاعات و حفاظت از تهدیدات آماده است، در حالی که تنها ۵۴ درصد از تصمیمگیرنده فناوریاطلاعات، در ایالاتمتحده و استرالیا گزارش مشابهی دادهاند.
بر اساس اطلاعات سایت پلیس فتا، همانطور که مطالعه ما نشان میدهد، ظهور حملات جدید، تصمیمگیرندگان فناوری اطلاعات را ناخوشایند میکند. یکی از موثرترین راهکارهای حفظ امنیت شرکت، یک استراتژی امنیتی سایبری است که میتواند کاربران و دستگاههای آنها را در هر مرحله از حمله، در برابر حمله احتمالی محافظت کند. چارلی تومو، معاون فروش جهانی تجارت، وب روت در یک مصاحبه گفت: برای بسیاری از کسبوکارها، زمانی که زمان و تخصص در دسترس نیستند، تکیه بر یک ارائهدهنده خدمات مدیریت شده(MSP) قدم مهمی برای تقویت تلاشهای امنیتی است.