تعریف فیشینگ
حمله سایبری است که از ایمیل مبدل به عنوان سلاح استفاده می کند. به بیان ساده تر رمزگیری یا فیشینگ یا تلهگذاری، به تلاش برای به دست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و مانند آن ها از طریق جعل یک وبگاه، آدرس ایمیل و مانند آن ها گفته میشود. در واقع فیشینگ، هنگامی رخ می دهد که شخصی تلاش میکند دیگری را فریب دهد تا اطلاعات شخصی او را در اختیارش بگیرد و یک بازار غیر قانونی چند هزار میلیاردی را تشکیل دهد.
آن چه واقعا فیشینگ را متمایز می کند، فرم دریافت پیام است. در واقع این اتفاق می افتد که یک مهاجم، به عنوان یک شخص مورد اعتماد، با یک چهره قابل اعتماد، قربانی را به سمت باز کردن ایمیل، پیام فوری یا پیام متنی سوق دهد. سپس گیرنده با کلیک بر روی یک لینک مخرب فریب می خورد، که می تواند منجر به نصب بدافزارها، یخ زدن سیستم به عنوان بخشی از حمله باج افزار یا افشای اطلاعات حساس شود. یک حمله می تواند نتایج بسیار مخربی برای افراد داشته باشد که این شامل خریدهای غیرمجاز و سرقت بودجه است.
مثالی برای حمله فیشینگ
یک ایمیل جعلی ظاهرا از myuniversity.edu به تعدادی از اعضای هیئت علمی در حد امکان توزیع می شود. ایمیل ادعا می کند رمز عبور کاربر در حال انقضا است. دستورالعمل هایی برای رفتن به آدرس myuniversity.edu/renewal داده شده است تا پس از ۲۴ ساعت رمز خود را تمدید کنند. با کلیک روی پیوند چندین مورد ممکن است رخ دهد. مثلا کاربر به myuniversity.edurenewal.com هدایت می شود، یک صفحه جعلی که دقیقا مانند صفحه نوآوری واقعی است ظاهر می شود، در جایی که از رمز عبور های جدید و موجود درخواست می شود. مهاجم با نظارت بر صفحه، رمز اصلی را برای دسترسی به مناطق امن در شبکه دانشگاه می رباید.
کاربر به صفحه نوآوری رمز عبور واقعی ارسال می شود، اما هنگام هدایت مجدد، یک اسکریپت مخرب در پس زمینه فعال می شود تا مهاجم جلسه کاربر را برباید. این امر منجر به حمله ی منعکس شده XSS می شود و به مجرم دسترسی ویژه به شبکه دانشگاه می دهد.
تاریخچه ای از فیشینگ
روش فیشینگ با جزئیات در سال۱۹۸۷ میلادی توضیح داده شد. این واژه برای نخستین بار در سال ۱۹۹۵ میلادی به کار گرفته شد. واژه ی فیشینگ خلاصه شده ی عبارت Password Harvesting Fishing (به معنای شکار گذرواژه کاربر از طریق یک طعمه است) که در آن حرفPh به جای F برای القای مفهوم فریفتن جایگزین شدهاست. از بنیان گذاران آن در ایران می توان به فرشید امیر شقاقی و مانی رضوان اشاره کرد. فیشینگ اولیه AO، فیشینگ در AOL از نزدیک با جامعه wzz که تبادل نرم افزار بدون مجوز و صحنه هک کلاه سیاه را که باعث تقلب در کارت اعتباری و سایر جرایم آنلاین شده بود، ارتباط نزدیکی داشت.
AOL کلماتی را که در اتاق های گفتگوی AOL استفاده می شود برای متوقف کردن حساب افرادی که در جعل نرم افزار و حساب های دزدیده شده استفاده می کنند، تشخیص می دهد. نماد ><> برای هر عبارت که به کارت های اعتباری سرقت شده، حساب ها یا فعالیت های غیر قانونی مراجعه کرده است، جایگزین شده است. AOHell که در اوایل سال ۱۹۹۵ منتشر شد، برنامه ای بود که برای هک کردن کاربران AOL با اجازه دادن به مهاجم به عنوان یکی از کارمندان AOL و ارسال پیام فوری به یک قربانی بالقوه، از وی خواسته بود تا رمز خود را فاش کند.
واژه ی فیشینگ خلاصه شده عبارت Password Harvesting Fishing به معنای شکار گذرواژه کاربر از طریق یک طعمه است
به منظور فریب دادن قربانی برای دریافت اطلاعات حساس، این پیام ممکن است موارد ضروری مانند “تایید اعتبار خود” یا “تایید اطلاعات صورتحساب” را در بر گیرد. هنگامی که قربانی رمز عبور خود را فاش کرد، مهاجم می توانست برای مقاصد کلاهبرداری به حساب قربانی دسترسی پیدا کند و از آن استفاده کند. هر دو فیشینگ و انبار کردن در AOL معمولا به برنامه های نوشتاری دلخواه مانند AOHell احتیاج دارند.
فیشینگ در AOL چنان رواج پیدا کرد که خطی را برای همه ی پیام های فوری اضافه کرد: “هیچ کس در AOL کار نمی کند که از گذرواژه یا اطلاعات صورتحساب شما سؤال کند.” یک کاربر با استفاده از یک حساب AIM و یک حساب AOL از یک ISP به طور همزمان می تواند اعضای AOL را با مصونیت نسبی نسخ کند زیرا حساب های AIM در اینترنت می توانند توسط اعضای اینترنت غیر AOL استفاده شوند و نمی توان اقدام کرد.
تکنیک های فیشینگ
کلاهبرداری فیشینگ ایمیل
مهاجمی که هزاران پیام کلاهبرداری ارسال می کند می تواند اطلاعات قابل توجهی و مبالغ زیادی را دریافت کند، حتی اگر تنها درصد کمی از این مبالغ از گیرندگان به کلاهبردار تعلق بگیرد. همان طور که در بالا مورد بررسی قرار گرفته شد، برخی از تکنیک هایی که مهاجمان برای افزایش میزان موفقیت خود استفاده می کنند به این صورت می باشد که آن ها در طراحی پیام های فیشینگ به تقلید از ایمیل های واقعی از یک سازمان سو استفاده می کنند.
استفاده از همان عبارت، متن، آرم ها و امضاها باعث می شود که پیام ها قانونی به نظر برسند. علاوه بر این ، مهاجمان معمولا سعی می کنند با ایجاد حس فوریت و شتاب، کاربران را به سمت عمل سوق دهند.
به عنوان مثال همان طور که قبلا گفته شده بود، یک ایمیل می تواند انقضا حساب را تهدید کند و گیرنده را روی یک تایمر قرار دهد. اعمال چنین فشارهایی باعث می شود تا کاربر کمتر کوشا و هوشمند شود. سرانجام، لینک های درون پیام ها به همتایان قانونی خود شباهت دارند اما معمولا دارای نام دامنه اشتباه یا زیر دامنه های اضافی هستند. در مثال بالا، آدرس myuniversity.edu/renewal به myuniversity تغییر یافت. edurenewal.com شباهت های بین دو آدرس باعث ایجاد یک لینک امن می شود و باعث می شود گیرنده کمتر از وقوع حمله آگاه شود.
فیشینگ نیزه ای
فیشینگ Spear بر خلاف کاربران برنامه تصادفی، یک شخص یا شرکت خاص را هدف قرار می دهد. این، نسخه عمیق تر فیشینگ است که به دانش خاص، از جمله ساختار قدرت آن نیاز به دانش ویژه دارد. برخلاف فیشینگ فلهای، مهاجمان فیشینگ نیزهای، بیشتر برای افزایش احتمال موفقیت، از هدف خود، اطلاعات شخصی، گردآوری کرده و از آن استفاده میکنند. حمله ممکن است به شرح زیر باشد:
یک مهاجم در مورد نام کارمندان در بخش بازاریابی سازمان تحقیق می کند و به آخرین فاکتورهای پروژه دسترسی پیدا می کند. مهاجم به عنوان مدیر بازاریابی، با استفاده از یک خط موضوعی که می خواند، به مدیر پروژه گروهی، ایمیل می زند. متن، سبک و آرم موجود در آن، الگوی ایمیل استاندارد سازمان را کپی می کند.
لینکی در ایمیل برای یک سند داخلی محافظت از رمز عبور هدایت می شود، که در واقع نسخه جعلی یک فاکتور سرقت شده است. از نخست وزیر خواسته شده است تا برای مشاهده سند وارد سیستم شود. مهاجم موارد مد نظر خود را سرقت می کند و به طور کامل به مناطق حساس در شبکه سازمان دسترسی پیدا می کند. با تهیه شناسه معتبر برای ورود به مهاجمان، نیزه فیشینگ روشی مؤثر برای اجرای مرحله اول APT است.
فیشینگ تلفنی
همه حملات فیشینگ نیازمند وبگاه قلابی نیستند. پیامهایی که ظاهرا از طرف بانک فرستاده شده و از کاربر میخواهد تا مثلا به دلیل وجود ایراد در حسابشان، شماره خاصی را شماره گیری کنند نیز میتواند حمله فیشینگ باشد. پیش از گرفتن شماره (که متعلق به فیشر است و با سرویس صدا روی پروتکل اینترنت فراهم شده است)، از کاربر خواسته میشود تا شماره حساب و پین (PIN) خود را وارد کند.
پیامک هایی که از طریق بانک ها نیز ارسال می شود می تواند مورد حمله فیشینگ قرار بگیرد.
چرا فیشینگ در طول بحران افزایش می یابد؟
مهاجمان برای دستیابی به موفقیت، به فریب و ایجاد احساس فوریت دست می زنند. بحران هایی مانند ویروس کرونا، زمینه را برای مهاجمان ایجاد می کند که بتوانند قربانیان را راحت تر فریب دهند. چرا که در طول بحران، مردم در حاشیه هستند.
اطلاعاتی که سایت های فیشینگ ممکن است از کاربران بخواهند عبارتند از:
- نام کاربری و گذرواژه
- شماره تأمین اجتماعی
- شمارههای حسابهای بانکی
- کدهای پین (شمارههای شناسایی شخصی)
- شمارههای کارت اعتباری
- تاریخ تولد
- اطلاعات هویتی
- نحوه جلوگیری از فیشینگ
محافظت از حمله فیشینگ نیاز به اقداماتی دارد که توسط کاربران و شرکت ها باید صورت گیرد. برای کاربران، هوشیاری مهم است. یک پیام جعلی اغلب حاوی اشتباهات ظریف است که هویت واقعی آن را افشا می کند. این ها می تواند شامل اشتباهات املایی یا تغییر در نام دامنه باشد. همانطور که در مثال URL قبلی مشاهده شده است. کاربران باید دقت داشته باشند و فکر کنند که چرا حتی چنین ایمیلی را دریافت می کنند.
برای جلوگیری از فیشینگ برای کاربران، هوشیاری مهم است
برای شرکت ها، می توان اقداماتی برای کاهش حملات فیشینگ در نظر گرفت. این اقدامات عبارتند از:
احراز هویت دو عاملی (۲FA) مؤثرترین روش برای مقابله با حملات فیشینگ است، زیرا در هنگام ورود به برنامه های حساس، یک لایه تایید دیگر اضافه می کند. ۲FA دارای دو چیز برای کاربران است:
- چیزی که آن ها می دانند مانند رمز عبور و نام کاربری
- چیزی که دارند، مانند تلفن های هوشمند آن ها
علاوه بر استفاده از ۲FA، سازمان ها باید سیاست های سختگیرانه مدیریت رمز عبور را نیز اعمال کنند. به عنوان مثال، باید از کارمندان خواسته شود که بارها و بارها رمز خود را تغییر دهند و اجازه استفاده مجدد از رمزعبور برای چندین برنامه را ندهند. همچنین کمپین های آموزشی می توانند با اجرای اقدامات ایمن مانند کلیک نکردن بر روی لینک های ایمیل خارجی، در کاهش خطر حملات فیشینگ کمک کنند.
مقابله با فیشینگ از طریق Imperva
Imperva ترکیبی از راه حل های مدیریت دسترسی و برنامه های کاربردی وب را برای مقابله با تلاش های فیشینگ ارائه می دهد. Imperva Login Protect به شما امکان می دهد برای محافظت از ۲FA برای آدرس های URL در وب سایت یا برنامه وب خود استفاده کنید. این شامل آدرس هایی است که دارای پارامترهای URL یا صفحات AJAX هستند، جایی که اجرای ۲FA معمولا سخت تر است. به نصب سخت افزاری یا نرم افزاری احتیاج ندارد و مدیریت آسان نقش ها و امتیازات کاربر را مستقیما از داشبورد Imperva شما امکان پذیر می کند. با استفاده از فضای ابری، فایروال برنامه کاربردی Imperva Web (WAF) درخواست های مخرب را در لبه شبکه خود مسدود می کند.
:: بازدید از این مطلب : 150
|
امتیاز مطلب : 474
|
تعداد امتیازدهندگان : 141
|
مجموع امتیاز : 141