افزایش حملات فیشینگ در سال 2018

گروه دانش و فن|

فیشینگ راهی است که تبهکاران، اطلاعاتی نظیر کلمه کاربری، رمز عبور، شماره 16 رقمی عابر بانک، رمز دوم و CVV2 را از طریق ابزارهای الکترونیکی ارتباطات به سرقت می‌برند. شبکه‌های اجتماعی، سایت‌های حراجی و درگاه‌های پرداخت آنلاین نمونه‌یی از ابزار‌های الکترونیکی ارتباطات هستند.

 کلاهبرداری فیشینگ از طریق ایمیل‌ها و پیام‌ها صورت می‌پذیرد و قربانیان به صورت مستقیم اطلاعات حساس و محرمانه خود را در وب‌سایت‌های جعلی که در ظاهر کاملا شبیه وب‌سایت‌های سالم و قانونی است، وارد می‌کنند. حقه فیشینگ یکی از تکنیک‌های مهندسی اجتماعی برای فریب‌کاربران است که علی‌القاعده از ضعف امنیتی یک وب سایت برای انجام عملیات مجرمانه خود استفاده می‌کنند. برای نخستین بار حقه فیشینگ در 1987 تعریف شد و نخستین باری که واژه فیشینگ برای نام‌گذاری این واژه استفاده شد، سال 1996 بود.

 دستکاری و تقلب در لینک‌ها و آدرس‌ها

 یکی از شیوه‌های متداول و رایج در فیشینگ ارسال لینک‌ها و آدرس‌های متعلق به سازمان‌های غیرواقعی و جعلی از طریق ایمیل است. آدرس‌هایی که تنها تفاوت آنها با آدرس اصلی یک یا دو حرف است یا از دامین‌های فرعی گمراه‌کننده برای ایجاد آنها استفاده شده است.

فیشرها با استفاده کردن از عکس به جای متن، کار فیلترهای ضد فیشینگ که برای شناسایی متن‌هایی که عموما در ایمیل‌های حاوی آدرس‌های جعلی یافت می‌شوند را سخت می‌کنند.

 تنها با ورود و بازدید یک قربانی به سایت جعلی عمل کلاهبرداری صورت نمی‌پذیرد. در برخی از روش‌های فیشینگ از دستورات جاوا اسکریپت استفاده می‌شود تا نوار آدرس را اصلاح کند و تغییر دهد. این کار با قرار دادن تصویر یک آدرس اینترنتی قانونی و موجه در نوار آدرس یا بستن نوار آدرس اصلی و باز کردن یک نوار آدرس جدید که حاوی آدرس اینترنتی قانونی و موجه است، انجام می‌شود.

 یک فیشر(مهاجم) حتی می‌تواند از نقایص موجود در برنامه جاوا اسکریپت یک سایت معتبر و قانونی علیه قربانیان خود استفاده نماید. این نوع حمله‌ها(که به کراس سایت اسکریپتینگ معروف هستند) بطور خاص سخت و پیچیده هستند، چون آنها قربانی را به صفحه اینترنتی ثبت نام خدمات بانکی خود ارجاع می‌دهند. صفحه‌یی که در آن همه‌ چیز از آدرس سایت گرفته تا گواهی امنیتی، همه درست و صحیح به نظر می‌رسند. در حقیقت لینک دادن به صفحه اصلی حقه‌یی برای به ثمر رساندن سرقت و انجام دادن حمله است. با انجام این کار کشف این حمله برای افرادی که دانش لازم را ندارند، کار بسیار سختی است. در سال 2006 چنین حمله‌یی علیه سایت Pay Pal انجام شد.

تمامی حملات فیشینگ نیاز به استفاده از یک وب سایت جعلی و ساختگی ندارند. این نوع حملات شامل پیام‌هایی هم می‌شوند که ادعا می‌کند از طرف بانک هستند و از مشتری‌ها(استفاده‌کنندگان خدمات بانکی) می‌خواهند با توجه به مشکلی که برای حساب‌های آنها به وجود آمده است، با یک شماره تماس بگیرند. به محض اینکه مشتری با این شماره تلفن(که متعلق به مهاجم است و یک سرویس تلفن اینترنتی است) تماس بگیرد، دستوراتی به مشتری داده می‌شود تا شماره حساب و رمز خود را وارد کند. فیشرهایی که از سرویس تلفن اینترنتی استفاده می‌کنند، گاهی اوقات از داده‌های جعلی برای ‌آی دی کالر استفاده می‌نمایند تا برای مشتریان اینگونه به نظر برسد که این تماس از طرف یک سازمان مطمئن و معتبر انجام می‌شود. نتایج یک نظرسنجی نشان داد که کسب‌وکارهای کوچک و متوسط فناوری اطلاعات درحال انجام آموزش برای آگاهی‌رسانی کارکنان خود درخصوص امنیت سایبری به ویژه فیشینگ هستند.  فیشینگ نوعی از حملات مهندسی ‌اجتماعی است که بر پایه فریب افراد برای کلاهبرداری اقتصادی استوار است.

در روش فیشینگ(Phishing) معمولا نفوذگران در مرحله اول با اسپم‌کردن ایمیل‌هایی با تعداد بالا، ده‌ها هزار یا حتی چندین میلیون ایمیل را برای تعداد زیادی از کاربران ارسال می‌کنند که حاوی مطالب فریبنده از طرف سایت‌های آشنا مانند بانک، فروشگاه، شرکت‌های معتبر و... هستند که البته در مواردی نیز افراد خاصی با تعداد کمی ایمیل مورد هدف قرار می‌گیرند.

به عنوان مثال صفحه‌یی مشابه یکی از سایت‌ها همچون بانک می‌سازند و با جابه‌جا کردن یک حرف از سایت مورد نظر لینکی را درون ایمیل قرار می‌دهند با این مضمون که برای تایید یا فعال‌سازی حساب خود روی آن کلیک کنید و در بعضی موارد تهدیداتی نیز انجام می‌دهند مانند اینکه در صورت عدم تایید حساب توسط لینک زیر حساب شما به مدت یک ‌ماه مسدود خواهد شد!

هنگامی که کاربر روی لینک تقلبی کلیک کند، وارد سایت جعلی که توسط نفوذگر ساخته شده می‌شود که کاملا شبیه سایت اصلی بانک است و در قسمت ورود، کاربر اطلاعات خود را وارد می‌کند که در این لحظه این اطلاعات توسط سایت جعلی برای نفوذگر ارسال شده و به سرقت می‌رود و نفوذگر می‌تواند وارد حساب کاربر شده و پول‌های او را سرقت کند.

نظرسنجی جدیدی از ۶۰۰ تصمیم‌گیرنده فناوری اطلاعات در کسب‌وکارهای کوچک تا متوسط(SMBs) انجام شد که تقریبا تمام

SMBها درحال انجام نوعی آموزش برای آگاهی‌رسانی کارکنان درباره امنیت سایبری هستند که می‌تواند ناشی از ترس از فیشینگ باشد.

 نبود آگاهی در خصوص امنیت سایبری

در گزارش جهانی جدید که وب روت منتشر کرده است، تصمیم‌گیرنده فناوری اطلاعات تقریبا ۱۰۰درصد از کارکنان کسب‌وکار خود را در زمینه آگاهی از امنیت سایبری آموزش می‌دهند. با این حال، این گزارش نشان داد که این تعداد دوره‌های آموزشی به طور قابل توجهی درحال کاهش است و تنها ۳۹درصد از شرکت‌ها بطور مداوم در طول مدت استخدام به کارکنان خود آموزش می‌دهند.

با این وجود، این گزارش نشان می‌دهد که کسب‌وکارها در ایالات متحده، انگلستان و استرالیا به طور جدی در حوزه امنیت سایبری فعال هستند. این تغییر در سازمان‌ها نشان می‌دهد که بیشترین حساسیت آنها در سال ۲۰۱۷ بوده است؛ همچنین یکی از نکات قابل توجه کاهش تخمین هزینه تخریب است.

درحالی که در سال ۲۰۱۷، فیشینگ رتبه سوم خطرناک‌ترین خطر محسوب می‌شد، این موضوع برای سال ۲۰۱۸ تغییر کرد. تقریبا نیمی(۴۸درصد) پاسخ‌دهندگان حملات فیشینگ را به عنوان تهدید شناخته شده و ۴۵درصد گفته‌اند که کسب وکارشان حساس به حملات DNS است.

به طور کلی، نوع جدیدی از نرم‌افزارهای مخرب به رتبه 6 رسیده و فیشینگ رتبه اول است، پس از آن انکار سرویس توزیع شده(DDoS) و حملات تلفن همراه کاهش یافت. باج‌افزار از جایگاه پنجم در سال ۲۰۱۷ تا سوم در سال ۲۰۱۸ رشد کرد؛ با این حال، این موضوع در حوزه‌های جغرافیایی متفاوت است. اکثریت بزرگی از تصمیم‌گیرندگان فناوری ‌اطلاعات در انگلیس (۶۹درصد) گزارش دادند که کسب‌وکارشان تقریبا بطور کامل برای مدیریت امنیت‌ فناوری‌اطلاعات و حفاظت از تهدیدات آماده است، در حالی که تنها ۵۴ درصد از تصمیم‌گیرنده فناوری‌اطلاعات، در ایالات‌متحده و استرالیا گزارش مشابهی داده‌اند.

بر اساس اطلاعات سایت پلیس فتا، همانطور که مطالعه ما نشان می‌دهد، ظهور حملات جدید، تصمیم‌گیرندگان فناوری‌ اطلاعات را ناخوشایند می‌کند. یکی از موثرترین راهکارهای حفظ امنیت شرکت، یک استراتژی امنیتی سایبری است که می‌تواند کاربران و دستگاه‌های آنها را در هر مرحله از حمله، در برابر حمله احتمالی محافظت کند. چارلی تومو، معاون فروش جهانی تجارت، وب روت در یک مصاحبه گفت: برای بسیاری از کسب‌وکارها، زمانی که زمان و تخصص در دسترس نیستند، تکیه بر یک ارائه‌دهنده خدمات مدیریت شده(MSP) قدم مهمی برای تقویت تلاش‌های امنیتی است.