در ۱۳ آبان ۱۳۹۷
  • فیشینگ
  • هک

به تلاش برای به دست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و… از طریق جعل یک وب‌سایت، آدرس ایمیل و غیره فیشینگ گفته می‌شود.

محبوب‌ترین عباراتی که در بخش موضوع ایمیل نوشته می‌شوند تا افراد را قانع کنند که آن ایمیل را باز نمایند از هزاران ایمیل فیشینگ جمع‌آوری شده‌اند.

احتمال این مسئله وجود دارد که همین حالا یک ایمیل فیشینگ میان ایمیل‌های شما باشد. اگر این‌طور نیست پس شاید فردا یا پس‌فردا باشد. سؤال این است: آیا گول آن ایمیل را می‌خورید؟

بر اساس گزارش محققین، بلاک کردن ایمیل‌های فیشینگ روزبه‌روز سخت‌تر می‌شود چون هکرها راه‌های جدیدی پیدا می‌کنند تا ایمیل فیشینگ برای هدفشان قانع‌کننده باشد. افسر ارشد امنیت اطلاعات شرکت Webroot، گری هِیسلیپ باور دارد کارمندان و کارکنان یک شرکت ایمیل‌های مخرب را سریع باز می‌کنند اگرچه می‌دانند که باید مراقب باشند.

هِیسلیپ می‌گوید: «فکر می‌کنم این کار آن‌قدر زیاد انجام شده که دارد رایج می‌شود. کاربران دیگر به دیدن ایمیل‌های فیشینگ عادت کرده‌اند. آن‌ها روی این ایمیل‌ها کلیک می‌کنند و به آن‌ها پاسخ می‌دهند که این امر ترسناک است چون مهاجمین از طبیعت انسان سوءاستفاده می‌کنند.»

او ادامه می‌دهد که مردم کنجکاو هستند و می‌خواهند به دیگران کمک کنند و همین دو ویژگی است که باعث می‌شود در برابر ایمیل‌های فیشینگ ضعیف عمل کنند. اکثر کارمندان وقتی گول می‌خورند خودشان به‌سرعت متوجه می‌شوند. قربانی‌هایی که ایمیل‌های مخرب را باز کرده‌اند و متوجه اشتباه خود شده‌اند معمولاً می‌گویند: «من واقعاً سرم شلوغه.»، «حواسم نبود.» یا «بهتر بود بازش می‌کردم.»

هِیسلیپ اضافه می‌کند: «مهم نیست چقدر از فناوری استفاده می‌کنید تا این نوع ایمیل‌ها را بلاک کنید، آن‌ها بازهم به شما می‌رسند.»

شرکت Webroot اخیراً هزاران ایمیل فیشینگ را از هجده ماه گذشته بررسی کرده است تا ببیند موضوعات معمول برای گول زدن مردم چه مسائلی هستند. هِیسلیپ نتایج را با صد نفر از همتایان خود در کشور و شرکت‌های دیگر به اشتراک گذاشت و متوجه شد که تقریباً همه‌ی آن‌ها به همین مسائل برخورده‌اند. پیام‌های مربوط به مسائل مالی و مفاهیم فوریتی در بخش موضوع ایمیل‌های فیشینگ دیده می‌شوند اگرچه با کلمات مختلفی نوشته می‌شوند.

جان لکس رابینسون، استراتژیست امنیت سایبری در Cofense (و سابقاً در PhishMe) گفته‌های هِیسلیپ را تأیید می‌کند و می‌گوید مهاجمین دارند در ایجاد محتوای ایمیل‌های فیشینگ و انتخاب اهداف مناسب بهتر و بهتر می‌شوند.

او می‌گوید: «اگر به نوع ارتباط ما باهم دقت کنید و آن را با ۱۰، ۱۵ یا ۲۰ سال پیش مقایسه کنید متوجه می‌شوید که این ارتباط خیلی غیررسمی‌تر شده است. فیشینگ هم لازم نیست حتماً رسمی باشد؛ فقط باید موازی با اصطلاحات کسب‌وکار باشد.»

در ادامه نگاهی به هفت موضوع ایمیل رایج برای فیشینگ در ایمیل‌ها می‌اندازیم و ایمیل‌ها و مسائلی را بررسی می‌کنیم که متن ایمیل درباره‌ی اهداف و روش‌های هکر مشخص می‌کند.

کمک فوری

مهاجمین وقتی نمی‌خواهند افراد مورد هدفشان به کارهایی که انجام می‌دهند فکر کنند، نوعی حس فوریت ایجاد می‌کنند. هِیسلیپ دراین‌باره توضیح می‌دهد: «نوشته‌ای است که باعث می‌شود شما فوراً دست‌به‌کار شوید.» شاید ننویسند کمک فوری ولی عبارتی شبیه به این را برای کارمندان طراحی می‌کنند. از دیگر موارد مشابه می‌توان به «بازبینی» یا «بازبینی فوری» اشاره کرد که هر دو شخص را وادار به انجام کاری می‌کنند. عبارت «مهم: ۱ پیام جدید از…» یکی دیگر از انواع محبوب این نوع از ایمیل‌ها است.

هِیسلیپ به‌عنوان افسر ارشد امنیت اطلاعات می‌گوید مردم اغلب گول این نوع از ایمیل‌ها را می‌خورند چون می‌خواهند کمک کنند و نمی‌خواهند برای اقدام دیرهنگام جریمه شوند. او قصد دارد به کارکنان بگوید که ترجیح می‌دهد آن‌ها کمک بخواهند تا این‌که فکر کنند برای انجام کار اشتباه قرار است به دردسر بیفتند. شخصاً اضافه می‌کند که این نوع نوشته‌ها همیشه خطرناک هستند.

او می‌گوید: «هر ایمیلی که کلمه‌ی فوری را در موضوعش داشته باشد بلافاصله نادیده می‌گیرم.»

صورتحساب

رابینسون می‌گوید صورتحساب در میان ده موضوع ایمیل رایج برای فیشینگ که توسط Cofense شناسایی شده‌اند در رتبه‌ی ششم قرار دارد و تأکید می‌کند که در رابطه با فیشینگ انگیزه‌های مالی پیشتاز هستند.

او درباره‌ی موضوعات ایمیل رایج برای فیشینگ که توسط Cofense شناسایی شده‌اند، می‌گوید: «خیلی برای من جالب است که تمام این موارد به پول ربط دارند. پول برای مردم تحریک‌کننده است و وقتی شما یک همچین موضوع مهیجی را در دست داشته باشید می‌توانید مردم را وادار به انجام هر کاری کنید.»

درحالی‌که این موضوعات در محتوای ایمیل با هم تفاوت دارند ولی همگی سعی می‌کنند با استفاده از کلماتی که به پول مربوط می‌شوند هدف موردنظرشان را گول بزنند. پول یک ابزار قدرتمند برای این کار است. مهاجمین هم این مسئله را می‌دانند و از آن به نفع خود استفاده می‌کنند. رابینسون به آمار اشاره می‌کند: حدود ۱۰۰۰۰۰ ایمیل فیشینگ که توسط Cofense بررسی شده‌اند مربوط به صورتحساب بوده‌اند.

بر اساس این تحقیق انتقال پول عنوان محبوب دیگری برای مردم است و در ۴۰۰۰۰ ایمیل فیشینگ استفاده شده بود. «بیانیه» و «پرداخت» هم محبوب بودند. شرکت WebRoot دریافت که درخواست انتقال الکترونیکی پول یک انتخاب معمول است ولی برخی از ایمیل‌ها خاص‌تر هستند.

بانک یا اخطار جدید

هِیسلیپ می‌گوید حملات فیشینگ مالی که به مدیران اجرایی شرکت‌ها متمایل هستند اغلب نیازمند تحقیق بیشتر از جانب ما و تلاش بیشتر از جانب هکرها هستند.

او توضیح می‌دهد: «فکر می‌کنم فرق بین فیشینگ‌های معمولی و فیشینگ‌های حرفه‌ای همین است. اگر این دو نوع فیشینگ را کنار هم مقایسه کنید متوجه می‌شوید که فیشینگ‌های مالی که به مدیران اجرایی شرکت‌ها مربوط می‌شوند در سطح بسیار بالاتری قرار دارند.»

مهاجمینی که به کارکنان رده‌ بالا حمله می‌کنند می‌خواهند تا جایی که ممکن است واقعی به نظر برسند. ممکن است این افراد ایمیل‌هایی جعلی را برای دستیاران این مدیران اجرایی بفرستند و در عنوان آن‌ها از عباراتی مانند «کمک فوری» استفاده کنند. آن‌ها برای این کار باید در مورد بانک تحقیق کنند و سعی کنند تا از شیوه‌ی نگارشی بانک تقلید نمایند. هکرها شاید با دستیاران ارتباط برقرار کنند و بگویند که مدیر مالی یا مدیرعامل در سفر با مشکلی مواجه شده است و به این میزان پول نیاز دارد و از این طریق انتقال پول را به نفع خودشان توجیه کنند.

حساب خود را تأیید کنید

رابینسون می‌گوید این موضوع به‌صورت مستقیم به مسائل مالی مربوط نمی‌شود و بیشتر به سرقت اعتبار ربط پیدا می‌کند. درحالی‌که ممکن است این حملات مؤلفه‌ای مالی داشته باشند فیشینگ اعتبار معمولاً برای این انجام می‌شود که هکر جای پایی در شبکه‌ی اینترنتی هدف خود به دست آورد.

وقتی در مورد فیشینگ اعتبار حرف می‌زنیم باید بگوییم که این حمله طراحی شده است تا شما را به صفحه‌ای بکشاند که شما در آن‌جا اطلاعات خود را وارد و تأیید می‌کنید. هکرها نام کاربری و رمز عبور شما را می‌خواهند. برای به دست آوردن این اطلاعات ممکن است یک نام تجاری را جعل کنند که شما مرتباً با آن در تماس هستید.

این نوع حمله لزوماً به جعل یک نام تجاری خلاصه نمی‌شود ولی شاید هکر ایمیل خودش را به شکل صفحه‌ی ورودی سایت یک نام تجاری درآورد.

فیشینگ اعتبار در فهرست دیگری از شرکت Webroot با عنوان «تلاش غیرمجاز برای ورود» هم حضور دارد. این نوع از فیشینگ یکی از رایج‌ترین انواع این کار در گزارش این شرکت است.

کپی یا کپی سند

رابینسون می‌گوید درحالی‌که لینک‌های مخرب در ایمیل‌های فیشینگ به‌وفور دیده می‌شوند، فایل‌های ضمیمه هنوز هم برای این کار محبوب و مؤثر هستند – مخصوصاً در ایمیل‌هایی که به صورتحساب، اخطار پرداخت و بیانیه یا هشدارهای مربوط به مطالعه‌ی آنلاین و رسید مرتبط باشند.

این امر بدین معنی است که مهاجمین درک خود را از مفهوم کسب‌وکار بهبود بخشیده‌اند. اگر آن‌ها می‌دانند که کارکنان اغلب اسناد را ارسال می‌کنند پس این را هم می‌دانند که یک صفحه و یا فایل ورد مخرب مشکوک به نظر نمی‌رسد.

این مسئله که فایل‌های ضمیمه متعدد هستند این واقعیت را نشان می‌دهد که هکرها در درک مفهوم کسب‌وکار بهتر شده‌اند. آن‌ها می‌‌دانند یک ایمیل تجاری باید چگونه باشد و ما توقع داریم در همچین ایمیلی چه مواردی را ببینیم.

این واقعیت که اکثر موضوعات ایمیل برای فیشینگ کوتاه هستند – معمولاً یک یا دو کلمه – این مسئله را بهتر نشان می‌دهد که مهاجمین درک بهتری از شیوه‌ی ارتباطی کسب‌وکار مدرن پیدا کرده‌اند و می‌دانند این نوع ارتباط نسبتاً غیررسمی است. رابینسون می‌گوید: «در سیستم کسب‌وکار، کارها باعجله انجام می‌شوند.» پس نیازی نیست رسمی و خاص انجام شوند.

برای مقابله با این نوع از فیشینگ در سازمان‌های حسابرسی بهتر است پروسه‌ی ارتباطی استانداردی ایجاد شود. باید به کارکنان نشان داده شود که ایمیل‌ها باید از کجا بیایند و به چه شکلی باشند تا آن‌ها بتوانند ایمیل‌های جعلی را تشخیص دهند.

اقدام ضروری: پرداخت پول به‌حساب فروشنده‌تان

هِیسلیپ اشاره می‌کند که مردم اغلب گول این‌یکی را می‌خورند. ایمیل‌هایی که در بخش موضوع خود نوشته‌اند «باید فلان کار را انجام دهید» به‌راحتی اهداف را وادار می‌کنند تا کار موردنظرشان را انجام دهند.

هِیسلیپ می‌گوید: «وقتی در موضوع ایمیل می‌نویسند فلان کار را انجام دهید مردم واقعاً آن کار را انجام می‌دهند!» و اشاره می‌کند که در ۴۰ درصد مواقع روی لینک‌های مخرب کلیک می‌شود و بسیاری از آن‌ها کارکنان را به یک سایت جعلی می‌فرستند تا اطلاعاتی را از آن‌ها بگیرند. قربانی‌ها اغلب بعداً می‌گویند: «بهتر بود این کار را نمی‌کردیم.»

در طول سال گذشته مهاجمین از ضمیمه‌های مخرب سراغ لینک‌های مخرب رفته‌اند. بیشتر ایمیل‌های فیشینگ دارای لینک هستند و برای مردم سخت است که تشخیص دهند کلیک روی این لینک امن است یا خیر. درگذشته می‌شد بالای یک لینک رفت و دید که مشکوک است ولی امروزه همیشه نمی‌توان این کار را کرد.

AMAZON: سفارش شما به شماره‌ی #۸۱۲-۴۶۲۳  ممکن است رسیده باشد

هِیسلیپ می‌گوید: «این نوع ایمیل‌ها معمولاً نزدیک تعطیلات دیده می‌شوند.» هِیسلیپ به‌عنوان افسر ارشد امنیت اطلاعات سن دیگو توضیح می‌دهد که ایمیل‌های فیشینگ فراوان هستند. برخی از انواع خاص ایمیل‌های فیشینگ در ماه‌های خاصی از سال به دست مردم می‌رسند: کلاه‌برداری‌های مالی در فصل پرداخت مالیات و ایمیل‌های جعلی در مورد تحویل خریدی به شما نزدیک کریسمس.

ممکن است این ایمیل‌ها مستقیماً به تحویل یک بسته اشاره نکنند. شاید به رسید یک خرید اخیر شما مربوط باشند و در خود ضمیمه یا لینک مخرب داشته باشند.

بیشتر افرادی که آنلاین خرید می‌کنند این ایمیل‌ها را بررسی می‌کنند تا ببیند به کدام خریدشان اشاره شده است و به یاد بیاورند که چه خریدی انجام داده‌اند. روی لینک کلیک می‌کنند تا ببیند چه سفارشی داده بودند و بعد متوجه می‌شوند که دستگاه خود را آلوده کرده‌اند.