فیشینگ چیست؟
فیشینگ (Phishing) نوعی حمله مهندسیشده اجتماعی است که اغلب برای سرقت اطلاعات کاربر از جمله اعتبار ورود و شماره کارت اعتباری استفاده می شود. زمانی اتفاق میافتد که یک مهاجم، خود را به عنوان یک هویت یا یک فرد قابل اعتماد نشان میدهد، قربانی را فریب میدهد تا یک ایمیل، نوتیفیکیشن یا پیام متنی را باز کند. سپس گیرنده به شیوهای طبیعی فریب داده میشود تا روی یک لینک مخرب کلیک کند؛ این کلیک می تواند منجر به نصب بدافزار، مسدود شدن سیستم به عنوان بخشی از حمله باج افزار یا افشای اطلاعات حساس او شود.
حمله می تواند نتایج ویرانگری برای فرد قربانی داشته باشد داشته باشد. خریدهای غیرمجاز و تراکنشهایی با مبالغ هنگفت، سرقت وجوه یا جعل هویت از جمله پیامدهای حمله فیشینگ محسوب میشوند.
علاوه بر این، فیشینگ اغلب برای به دست آوردن نقشی در شبکههای شرکتی یا دولتی به عنوان بخشی از یک حمله بزرگتر، مانند یک رویداد تهدید مداوم پیشرفته (APT) استفاده میشود. در این نوع فیشینگ، کارمندان دولتی به منظور دور زدن محیطهای امنیتی، توزیع بدافزار در یک محیط بسته یا دسترسی ممتاز به دادههای ایمن در معرض خطر قرار میگیرند.
سازمانی که در برابر چنین حمله ای تسلیم میشود، معمولاً علاوه بر کاهش سهم بازار، شهرت و اعتماد مصرفکننده، زیانهای مالی شدیدی را هم متحمل میشود. با توجه به دامنه آسیب، تلاش فیشینگ ممکن است به یک حادثه امنیتی تبدیل شود که در آن یک کسبوکار برای بازیابی خود زمان زیادی نیاز خواهد داشت.
در ادامه به دو نمونه از حملات فیشینگ اخیر اشاره میکنیم که توسط محققان شرکت نرم افزار و سخت افزار Check Point کشف شده است.
۱. تلاش برای سرقت اعتبار حسابهای مایکروسافت
در آگوست سال ۲۰۲۰ میلادی، مهاجمان با ارسال ایمیلهای فیشینگ سعی در سرقت اطلاعات حساب کاربری شرکت مایکروسافت داشتند. این پیامها سعی داشتند قربانی را فریب دهند تا روی پیوند مخربی کلیک کند که به صفحه ورود جعلی مایکروسافت هدایت میشد.
۲. تلاش ایمیل فیشینگ آمازون برای سرقت اطلاعات کارت بانکی
در ماه سپتامبر ۲۰۲۰ میلادی، مهاجمان یک ایمیل فیشینگ ارسال کردند که به نظر میرسید از آمازون باشد و سعی در سرقت اطلاعات کارت بانکی کاربران داشتند. در این ایمیل ادعا شده بود که حساب کاربری فرد به دلیل عدم موفقیت در ورود به سیستم غیرفعال شده است؛ این ایمیل حاوی لینکی بود که به یک وب سایت جعلی مرکز صورتحساب آمازون پیوند داده شده بود و به کاربر دستور میداد تا اطلاعات پرداخت خود را دوباره وارد کند. به این ترتیب فیشینگ کارت بانکی به راحتی انجام میگرفت.
معرفی ۵ نوع رایج از حملات فیشینگ
در ادامه به معرفی رایجترین انواع حملات فیشینگ میپردازیم.
بیشتر بخوانید: مراقب فیشینگ سامانه عدل ایران یا ثنا باشید
۱. فیشینگ ایمیل
اکثر حملات فیشینگ از طریق ایمیل ارسال میشوند. مهاجمان معمولاً نامهای دامنه جعلی را ثبت میکنند که از سازمانهای واقعی تقلید شده است و هزاران درخواست رایج را برای قربانیان ارسال میکنند.
برای دامنههای جعلی، مهاجمان ممکن است علامتها و نویسههایی را اضافه یا جایگزین کنند (مانند my-bank.com به جای mybank.com)، از زیر دامنهها (مانند mybank.host.com) استفاده کنند یا از نام سازمان مورد اعتماد به عنوان نام کاربری ایمیل استفاده کنند (مانند mybank@host.com)
بسیاری از ایمیلهای فیشینگ از ایجاد حس فوریت یا تهدید استفاده میکنند تا باعث شوند کاربر بدون بررسی منبع یا صحت ایمیل، سریعاً از دستور پیروی کند و قربانی.
پیام های فیشینگ ایمیل یکی از اهداف زیر را دارند:
- وادار کردن کاربر به کلیک روی پیوند به یک وب سایت مخرب، به منظور نصب بدافزار بر روی دستگاه او؛
- وادار کردن کاربر به دانلود فایل آلوده و استفاده از آن برای نصب بدافزار؛
- وادار کردن کاربر به کلیک روی پیوند به یک وب سایت جعلی و ارسال اطلاعات شخصی؛
- وادار کردن کاربر به پاسخ و ارائه اطلاعات شخصی.
۲. فیشینگ هدفدار
Spear phishing یا فیشینگ هدفدار شامل ایمیلهای مخربی است که به افراد خاصی ارسال میشود. مهاجم معمولاً تعدادی از اطلاعات زیر یا همه اطلاعات را در مورد قربانی دارد:
- نام
- محل استخدام
- نوان شغل
- آدرس ایمیل
- اطلاعات خاص در مورد نقش شغلی آنها
- همکاران مورد اعتماد، اعضای خانواده، یا سایر مخاطبین، و نمونههایی از نوشتههای آنها
این اطلاعات به افزایش اثربخشی ایمیلهای فیشینگ و تسریع عملکرد قربانیان در انجام کارها و فعالیتهایی مانند انتقال پول کمک میکند.
۳. حمله سایبری ویلینگ
حمله سایبری ویلینگ (Whaling) چیست؟ این سوالی است که بسیاری از افراد درگیر با امنیت سایبری حداقل یک بار آن را جستجو کردهاند. حمله سایبری ویلینگ، مدیران ارشد و سایر نقشهای بسیار ممتاز یک سازمان یا دولتها را هدف قرار میدهد. هدف نهایی ویلینگ مانند انواع دیگر حملات فیشینگ است، اما این تکنیک معمولاً بسیار ظریف انجام میشود. کارمندان ارشد معمولاً اطلاعات زیادی در حوزه عمومی دارند و مهاجمان میتوانند از این اطلاعات برای ایجاد حملات بسیار مؤثر استفاده کنند.
به طور معمول، این نوع از حملات فیشینگ از ترفندهایی مانند URLهای مخرب و لینکهای جعلی استفاده نمی کنند. بلکه در این روش، کلاهبرداران با استفاده از اطلاعاتی که در تحقیقات خود در مورد قربانی کشف میکنند، از پیامهای بسیار شخصیسازی شده استفاده میکنند. به عنوان مثال، مهاجمان شکار نهنگ معمولاً از اظهارنامههای مالیاتی جعلی برای کشف دادههای حساس در مورد قربانی استفاده میکنند و از آن برای ساخت حمله خود استفاده میکنند.
۴. حملات سایبری اسمیشینگ و ویشینگ
Smishing و Vishing یکی دیگر از انواع فیشینگ است که به جای ارتباط نوشتاری، از تلفن برای قربانی کردن استفاده میکند. Smishing شامل ارسال پیامک های تقلبی است، در حالی که vishing شامل مکالمات تلفنی است.
در یک کلاهبرداری معمولی فیشینگ صوتی، یک مهاجم وانمود میکند که مامور جلوگیری از کلاهبرداری برای یک شرکت یا بانک است و به قربانیان اطلاع میدهد که حسابشان دچار نقض یا مشکل شده است. سپس مجرم از قربانی میخواهد که اطلاعات کارت پرداخت را ارائه کند، هویت خود را تأیید میکند یا پول را به یک حساب امن (که در واقع مال مهاجم است) منتقل کند.
کلاهبرداریهای ویشینگ همچنین ممکن است شامل تماسهای تلفنی خودکار باشد که وانمود میکنند از طرف یک نهاد قابل اعتماد هستند و از قربانی میخواهند تا اطلاعات شخصی را با استفاده از صفحه کلید تلفن خود تایپ کند.
۵. فیشینگ ماهیگیر
فیشینگ ماهیگیر (Angler Phishing) نوع دیگری از انواع فیشینگ است که در آن کلاهبرداران از حسابهای جعلی رسانههای اجتماعی متعلق به سازمانهای معروف استفاده میکنند. مهاجم از یک دسته حساب استفاده میکند که از یک سازمان قانونی تقلید کرده و از همان تصویر نمایه حساب واقعی شرکت هم استفاده میکند.
مهاجمان از تمایل مصرف کنندگان برای شکایت و درخواست کمک از برندها با استفاده از کانال های رسانه های اجتماعی سوء استفاده می کنند. با این حال، به جای تماس با برند واقعی، مصرف کننده با حساب اجتماعی جعلی مهاجم تماس می گیرد.
هنگامی که مهاجمان چنین درخواستی را دریافت می کنند، ممکن است از مشتری بخواهند که اطلاعات شخصی خود را ارائه دهد تا بتوانند مشکل را شناسایی کنند و به صورت مناسبی به آن پاسخ دهند. در موارد دیگر، مهاجم پیوندی به یک صفحه پشتیبانی مشتری جعلی ارائه میدهد که در واقع یک وب سایت مخرب است.
علائم فیشینگ چیست؟
همه ما در طول روز ممکن است با خطر فیشینگ مواجه شویم. فیشینگ اینستاگرام، ورود به یک سایت فیشینگ، تماس تلفنی جعلی، فیشینگ کارت بانکی، فیشینگ پیامکی، همه و همه از جمله تهدیداتی هستنید که در طول روز با آنها برخورد خواهیم داشت. شناخت علائم فیشینگ کمک میکند تا از افتادن در دام کلاهبرداران در امان بمانیم. این علائم عبارتند از:
بیشتر بخوانید: چگونه کلاهبرداری فیشینگ را تشخیص دهیم؟
۱. تهدید یا احساس فوریت
با ایمیلهایی که لحن فوری دارند و تهدید میکنند که در صورت عدم انجام یک اقدام پیامدهای منفی پیش میآید، باید همیشه با شک و تردید برخورد کرد. استراتژی دیگر استفاده از فوریت برای تشویق یا درخواست اقدام فوری است. فیشرها با استفاده از کلماتی مثل “اخطار فوری” تلاش میکنند تا قربانی را فریب دهند تا موارد متناقض مثل اشتباه بودن دامنه را چک نکند و بلافاصله اقدام کند.
۲. سبک و لحن پیام
نشانه فوری فیشینگ این است که یک پیام با زبان یا لحن نامناسب نوشته شده است. به عنوان مثال، اگر یک همکار از محل کار بیش از حد معمولی به نظر میرسد، یا یک دوست صمیمی از زبان رسمی استفاده میکند، این باید باعث سوء ظن شما شود. گیرندگان پیام باید هر چیز دیگری را که نشان دهنده پیام فیشینگ باشد بررسی کنند.
۳. درخواستهای غیر معمول
اگر یک ایمیل از شما بخواهد اقدامات غیر استاندارد و غیر معمولی انجام دهید، میتواند نشان دهنده مخرب بودن ایمیل باشد. به عنوان مثال، اگر ایمیلی ادعا میکند که از طرف یک تیم فناوری اطلاعات خاص است و درخواست میکند که نرم افزار نصب شود، اما این فعالیتها معمولاً به صورت مرکزی و توسط بخش فناوری اطلاعات شرکت شما انجام میشود، ایمیل احتمالاً مخرب است.
۴. خطاهای زبانی و اشتباهات دستوری
غلط املایی و استفاده نادرست گرامری یکی دیگر از نشانه های ایمیل های فیشینگ است. اکثر شرکتها چک کردن املا را در کلاینتهای ایمیل خود برای ایمیلهای خروجی تنظیم کردهاند. بنابراین، ایمیلهایی که دارای اشتباهات املایی یا گرامری هستند، باید مشکوک تلقی شوند، زیرا ممکن است از منبع ادعا شده نشأت نگیرند.
۵. ناهماهنگی در آدرس های وب
یکی دیگر از راههای آسان برای شناسایی حملات احتمالی فیشینگ، جستجوی آدرسهای ایمیل، پیوندها و نامهای دامنه ناهمخوان است. برای مثال، میتوانید ارتباط قبلی را که با آدرس ایمیل فرستنده مطابقت دارد بررسی کنید و ببینید که آیا واقعاً آدرس ایمیل همان آدرسی است که پیشتر با آن ارتباط برقرار کردهاید.
گیرندگان همیشه باید قبل از کلیک کردن روی پیوندی در ایمیل، نشانگر را روی آن قرار دهند تا مقصد پیوند واقعی را ببینند. برای مثال اگر متن نوشته شده ادعا میکند که ایمیل توسط بانک آمریکا ارسال شده است، اما دامنه آدرس ایمیل حاوی “bankofamerica.com” نیست، این نشانه یک ایمیل فیشینگ است.
۵ راه برای محافظت از سازمان در برابر حملات فیشینگ
قرار گرفتن در معرض جرم فیشینگ فقط در سطح فردی نیست؛ سازمانها و ادارات بسیاری قربانی حملات فیشینگ میشوند. در ادامه به معرفی چند راهحلی میپردازیم که به کمک آنها سازمانها میتوانند خطر حملات فیشینگ را کاهش دهند.
۱. آموزش و افزایش آگاهی کارکنان
آموزش کارکنان از طریق ورکشاپ و کارگاههای آموزشی برای درک استراتژیهای فیشینگ و شناخت جرم فیشینگ و علائم آن و همچنین گزارش حوادث مشکوک به تیم امنیتی بسیار مهم است. سازمانها باید کارکنان خود را تشویق کنند تا قبل از تعامل با یک وبسایت و کلیک روی لینکها، به دنبال نشانها یا برچسبهای اعتماد از شرکتهای معروف امنیت سایبری یا آنتیویروسها باشند.
۲. نصب راه حلهای امنیتی برای حفظ امنیت ایمیل
راه حلهای مدرن فیلتر کردن ایمیل مانند استفاده از آنتیویروسها میتوانند در برابر بدافزارها و سایر موارد مخرب موجود در پیامهای ایمیل محافظت کنند. راهحلها میتوانند ایمیلهایی را که حاوی لینکهای مخرب، پیوستها، محتوای هرزنامهها و زبانی هستند که میتوانند حمله فیشینگ را نشان دهند، شناسایی کنند. راه حلهای امنیتی ایمیل به طور خودکار ایمیلهای مشکوک را مسدود و قرنطینه میکنند.
۳. استفاده از نظارت و حفاظت نقطه پایانی
استفاده روزافزون از خدمات ابری و دستگاههای شخصی در محل کار، نقاط پایانی جدیدی را معرفی کرده است که ممکن است به طور کامل محافظت نشوند. تیمهای امنیتی باید فرض کنند که برخی از نقاط پایانی توسط حملات نقطه پایانی نقض میشوند. نظارت بر نقاط پایانی برای تهدیدات امنیتی و اجرای اصلاح و واکنش سریع در دستگاههای در معرض خطر ضروری است.
۴. انجام تستهای حمله فیشینگ
تستهای شبیهسازی شده حملات فیشینگ میتواند به تیمهای امنیتی کمک کند تا اثربخشی برنامههای آموزشی آگاهی امنیتی را ارزیابی کنند و به کاربران نهایی در درک بهتر حملات کمک کند. حتی اگر کارمندان شما در یافتن پیامهای مشکوک توانمند هستند، باید به طور مرتب آزمایش شوند تا حملات فیشینگ واقعی را تقلید کنند. چشم انداز تهدید همچنان در حال تکامل است و شبیهسازی حملات سایبری نیز باید تکامل یابد.
۵. محدود کردن دسترسی کاربر به سیستمها و دادههای با ارزش
اکثر روشهای فیشینگ برای فریب دادن اپراتورهای انسانی طراحی شدهاند و حسابهای کاربری ممتاز اهداف جذابی برای مجرمان سایبری هستند. محدود کردن دسترسی به سیستمها و دادهها میتواند به محافظت از دادههای حساس در برابر نشت اطلاعات کمک کند. فقط به کاربرانی که کاملاً به اطلاعات نیاز دارند، دسترسی بدهید.
خدمات یوآیدی
شما میتوانید از طریق سامانه احراز هویت سجام و سامانه احراز هویت ثنا به راحتی و به صورت اینترنتی در کوتاهترین زمان ممکن احراز هویت خود را انجام دهید. این کار با استفاده از راه حل احراز هویت یوآیدی به سادگی انجام میشود.
یوآیدی اولین سرویس احراز هویت غیر حضوری در ایران است که در ارائه روشهای احراز هویت آنلاین پیشگام است. این شرکت راهکارهای خود را با استفاده از هوش مصنوعی و الگوریتمهای پیشرفته ارائه میدهد.
سوالات متداول در مورد فیشینگ
فیشینگ کارت بانکی یکی از روشهای فیشینگ است که در آن هکرها با استفاده از اطلاعات بانکی و هویتی قربانی، دارایی بانکی او به سرقت میبرند. فیشینگ کارت بانکی به روشهای گوناگون از طریق ایمیل، پیامک و یا تماس تلفنی انجام میشود.
استاپ هانت یا استاپ فیشینگ (به معنی شکار حد ضرر)، استراتژیی است که در بازارهای مالی مانند فارکس و کریپتو به کار میرود. هدف این استراتژی، مجبور کردن مشارکتکنندگان بازار به خروج از پوزیشنهای شورت و لانگ خود است. تریدرهای بزرگ یا همان نهنگها، با جلب نوسانات قیمت دارایی در جهت خاص، تریدرهای دیگر را به خروج از بازار و فروش داراییهایشان تحریک میکنند. این کار با انتقال قیمت به ناحیهای صورت میگیرد که بسیاری از تریدرها حد ضرر خود را در آنجا تنظیم کردهاند.
فیشینگ با ارسال پیامک روشی رایج از فیشینگ است که در آن کلاهبردار با ارسال اس ام اس اقدام به فریب قربانی میکند و اطلاعات مختلف قربانی از جمله اطلاعات بانکی و شخصی آن را به سرقت میبرد.
فعالیت فیشینگ رایانهای به دلیل گسترش تقلب و به دست آوردن داراییهای دیگران، در قانون به عنوان جرم شناخته شده است. در مواد ۱۲ و ۱۳ قانون جرایم رایانهای، جرم کلاهبرداری و سرقت اینترنتی به وضوح بیان شده است و مجازات مرتکبان این جرم شامل حبس ۱ تا ۵ سال، جزای نقدی و بازگشت دارایی به مالک آن میشود. همچنین، ماده ۷۴۱ قانون مجازات اسلامی برای افرادی که با مختل کردن دادهها، سیستم و یا مال دیگران، به نفع خودشان عمل میکنند، حبس ۱ تا ۵ سال، جزای نقدی و بازگشت دارایی به مالک آن تعیین کرده است. در ماده یک قانون جرایم رایانهای، دسترسی غیرمجاز به دادهها و اطلاعات و محرمانگی، مجازات حبس از ۹۱ روز تا ۱ سال، جزای نقدی و بازگشت دارایی به مالک آن را در نظر گرفته است.