حملات مبتنی بر مهندسی اجتماعی (فیشینگ)

حملات مبتنی بر مهندسی اجتماعی (فیشینگ)
حملات مبتنی بر مهندسی اجتماعی (فیشینگ) 

هکرها درسال های اخیر تلاش های زیادی برای به سرقت بردن موجودی حساب های کاربران اینترنت کرده اند.فیشینگ Phishing یک روش مخرب برای دسترسی به اطلاعات بانکی افراد و سرقت اموالشان است.
به عبارتی فیشینگ (Phishing) نوعی از حملات مبتنی بر مهندسی اجتماعی است که در آن حمله کننده با فریب دادن هدف یا اهداف، اطلاعات حساسی مثل گذرواژه‌ها، مشخصات کارت اعتباری و غیره را از وی می‌گیرد. برخلاف سایر روش‌های هک و ورود به سیستم، در روش فیشینگ معمولا هیچ نفوذی انجام نشده و از رخنه‌ها و آسیب‌پذیری‌های سیستم استفاده نمی‌شود. بلکه خود کاربر توسط تکنیک‌های گوناگون فریب خورده و اطلاعات را در اختیار حمله کننده که به اصطلاح فیشر (Phisher) نامیده می‌شود، قرار می‌دهد. 
در این نوع سرقت اطلاعات که از بسیاری روشهای هک کامپیوتری قدیمی‌تر است، بدون نیاز به استفاده از ابزارهای آزمون و خطا در کشف گذرواژه، اطلاعات محرمانه فرد با یک سناریوی به ظاهر موجه مستقیما از خودش دریافت می‌گردد. امروزه استفاده از اینترنت در زندگی همه ما به امری رایج تبدیل شده و بسیاری از کارهای دشوار گذشته را ساده کرده است. استفاده از اینترنت به همان میزان که از منزل خارج می شویم و به شعب بانک مراجعه می کنیم، ممکن است خطر آفرین باشد. بنابراین با رعایت نکات ایمنی می توانید خطرات احتمالی حمله های فیشینگی را کاهش دهید.
امروزه حملات فیشینگ تبدیل به یکی از جرایم سایبری بسیار متداول شده‌اند چون این حملات به دلیل افزایش قابلیت‌شان در دورزدن روش‌های تشخیص، توانایی بیشتری پیدا کرده‌اند و از طرفی به دلیل اینکه احتمال دستگیری یا مجازات این مجرمین کمتر است، ریسک کمتری هم دارند. بعلاوه ارسال ایمیل امروزه ساده‌تر شده و می‌توان به راحتی حجم انبوهی از پیام‌های مختلف را به یک باره ارسال کرد. از طرفی در حال حاضر بسته‌ها و ابزارهای آماده کم هزینه‌ای برای اجرای حملات فیشینگ طراحی و عرضه شده‌اند که شامل انواع نرم‌افزارهای توسعه وبسایت، کدنویسی، نرم‌افزارهای ارسال پیام به صورت انبوه است و می‌توان از آنها برای تولید ایمیل و وبسایت‌های جعلی استفاده کرد.

انواع مختلف فیشینگ کدام است؟

فیشینگ انواع مختلفی دارد که به روش های مختلف تلاش می کند به اطلاعات شما دست یابد، برخی از معروف ترین روش های فیشینگ عبارت اند از:
1-فیشینگ با ایمیل های فریبنده

در این روش از حمله های فیشینگ، شخص کلاهبردار با ارسال ایمیل های فریبنده به قربانیانش می کوشد با بیان دلایل مجاب کننده مخاطبان را به وارد کردن اطلاعات بانکی خود وادار کند. ممکن است ایمیل به ظاهر از طرف بانک شما، یک شرکت معتبر فین‌تک و یا حتی بانک مرکزی ارسال شود و از شما درخواست کند ظرف زمان معینی اطلاعات بانکی خود را ارسال کنید. متاسفانه بارها افرادی فریب این حملات فیشینگ را خورده اند.
نکته: سیستم مالی و بانکی هیچگاه از طریق ایمیل از شما درخواست نمی کند اطلاعات بانکی تان را برای آن ها ارسال کنید، شما حتی مجاز به اعلام رمز بانکی خود به کارکنان بانک هم نیستید.
فرض کنید ایمیلی از مدیر امنیتی سازمان خود دریافت کرده‌اید که برای تکمیل برخی از اطلاعات شخصی لازم است فرمی را تکمیل و ارسال نمائید. در این درخواست آدرس جایی که فرم قرار دارد هم برای شما ارسال شده است. وقتی وارد لینک فرم مذکور می‌شوید، همه چیز در صفحه کاملا مشابه ساختار و فضای صفحات داخلی سازمان شماست. شما فرم را پر کرده و ارسال می‌کنید. به همین سادگی تمام اطلاعات خود را به هکر تقدیم کرده‌اید.
فرض کنید برای شما ایمیلی آمده است که شخصی در حال سواستفاده از حساب کاربری شما است و در صورتی که بلافاصله گذرواژه خود را تغییر ندهید، ممکن است عواقب قضایی و پیگرد قانونی برای شما به همراه داشته باشد. همین ایمیل کافی است که شما دست‌پاچه شده و به سرعت روی لینک تغییر گذرواژه که در ایمیل ارسال شده کلیک کنید و تمام! هکر براحتی شما را به صفحه‌ای جعلی هدایت کرده و هم به گذرواژه قدیمی شما دست یافته است و هم گذرواژه جدید شما را بدست آورده است.

ایمیل‌های فیشینگ سطوح پیچیدگی مختلفی دارند:

ساده: این ایمیل‌ها بدون هدف خاص و به صورت انبوه تولید می‌شوند و در یک شبکه گسترده توزیع می‌شوند تا بتوانند حداقل یک گیرنده را قربانی کنند. این ایمیل‌ها چندین نشانه دارند که مشخص می‌کنند مربوط به یک حمله هستند از جمله گرامر نامناسب، متن ساده یا ارسال از طرف فردی ناشناس یا اشتباه.
متوسط: این گروه که باورپذیرتر هستند برند واقعی سایت‌های مختلف را جعل می‌کنند. قالب و گرامر این ایمیل‌ها بهتر است اما همچنان لحن بیان غیرشخصی ای دارند.
پیچیده: شناسایی این نوع حمله از سایر حملات سخت‌تر است. ایمیل‌های این گروه واقعی‌تر هستند و کاملا متناسب با قربانی طراحی می‌شوند و از منابع شناخته شده یا معتبر ارسال می‌شوند. معمولا مهاجم از اطلاعات خاص و ویژه‌ای که از منابع مختلف راجع به گیرنده جمع آوری کرده برای فریب دادن گیرنده جهت انجام اقدام مطلوب استفاده می‌کند. معمولا این ایمیل‌ها یک عنصر مخرب هم دارند که برای اجرای حمله و به خطر انداختن کاربر ضروری است.
فقط کلیک: یک فرایند یک مرحله‌ای دارند که در آن گیرنده تشویق به کلیک کردن بر روی لینکی در داخل ایمیل می‌شود.
ورود اطلاعات: این ایمیل‌ها حاوی لینکی به یک صفحه از پیش تنظیم شده هستند که کاربر را ملزم به ورود اطلاعات مهم می‌کنند.
مبتنی بر پیوست: این ایمیل‌ها حاوی یک فایل پیوست ظاهرا مجاز هستند. این فایل‌ها فرمت‌های مختلفی از جمله word، Excel، pdf و غیره دارند.
دوگانه: در این روش از دو ایمیل استفاده می‌شود که یکی بدون خطر و معمولی است و هیچ عنصر مخربی در آن نیست و کاربر را ملزم به انجام کاری نمی کند اما بعد از آن یک ایمیل دیگر ارسال می‌شود که در آن یک عنصر مخرب به صورت یکی از موارد ذکر شده قرار دارد.
معمولا ترکیبی از شرایط زمینه‌ای، متن مناسب و محرک‌های احساسی باعث موفقیت یک حمله فیشینگ می‌شوند. حمله فیشینگ باید پیچیدگی مناسبی داشته باشد و دریافت کننده عمل خواسته شده را انجام دهد تا مهاجم بتواند به اطلاعات شخصی قربانی دست پیدا کند یا بتواند با نفوذ به شبکه، به اطلاعات حیاتی و مهم دست پیدا کند.

فیشینگ تلفنی

هکرها در این روش از طریق تلفن با طعمه های خود ارتباط برقرار می کنند و ضمن اینکه خود را نماینده بانک، شرکت معتبر و یا سازمانی که شما می شناسید معرفی می‌کنند از شما می خواهند جهت دریافت جایزه خود اطلاعات بانکی خود را در اختیار ایشان قرار دهید.
نکته: برای واریز هر گونه وجه به حساب شما اعم از جایزه، پاداش و مزایا نیازی به اعلام رمز بانکی شما نخواهد بود. برای مقابله با هکرها و حملات فیشینگ این نکته را فراموش نکنید.

قاپیدن تب: این روش جدیدترین روش فیشینگ است. قاپیدن تب، روشی است که وقتی یک کاربر چند تب باز دارد، به‌طور خودکار (و البته کاملا آرام) آن کاربر را به سایت یک حمله‌کننده هدایت می‌کند.

فارمینگ

نوع پیشرفته ای از حمله جعل وب سایت می باشد که در آن هدف اصلی حمله DNS ها می باشند. DNS که وظیفه تبدیل آدرس به آی پی را دارد در این نوع حمله مورد هدف قرار می گیرد و فیشر یک آی پی اشتباه را به جای آی پی درست به وب سایت مورد نظرش تزریق می کند. در این هنگام حتی اگر کاربر دقیقا همان آدرس اصلی را تایپ کرده و به آن وارد شود، به دلیل DNS های اشتباه به آی پی دیگری ارجاع داده شده و در نهایت اطلاعاتش به سرقت خواهد رفت.
این نوع حمله نیازمند دانش زیادی برای فیشر بوده و به سادگی قابل انجام نیست. اما به هر حال dns سرورهایی که از لایه های امنیتی خوبی برخوردار نباشند، مستعد انجام چنین حمله ای خواهند بود.

طراحی صفحه ای نظیر درگاه پرداخت بانک

یکی دیگراز این نوع حمله‌ها، زمانی اتفاق می‌افتد که شما یک خرید اینترنتی انجام می‌دهید. فرض کنید شما با یک سناریوی کاملا وسوسه کننده توسط هکرها ترقیب شده‌اید که یک خرید اینترنتی از یک آدرس ناشناس انجام دهید. پس از انتخاب خرید، جهت فرایند پرداخت به سایتی که کاملا شبیه درگاه پرداخت یکی از بانک‌های معروف است وارد می‌شوید. با وارد کردن اطلاعات کارت بانکی و رمز عبور دوم، ظاهرا خرید شما تکمیل می‌شود. ولی آنچه شما از آن بی اطلاع هستید، این است که هکرها اکنون تمام اطلاعات کارت شما را در اختیار دارند.
شخص هکر در این روش صفحه ای مشابه درگاه پرداخت آنلاین بانک ها طراحی می کند و با قرار دادن این صفحه جعلی در فروشگاه های صوری و با ارائه پیشنهاد های وسوسه کننده خرید سعی می کند شما را وادار کند وارد صفحه پرداخت جعلی که طراحی کرده بشوید و وجه انتقال دهید. به محض ورود به این صفحه جعلی و ارائه اطلاعات بانکی اطلاعات شما به صورت خودکار برای هکر ارسال می شود و او قادر خواهد بود حساب شما را خالی کند.
امن ترین درگاه پرداخت، درگاه پرداخت بانک مرکزی به آدرس https://xxx.shaparak.ir است و در کنار آن حتما باید نام یکی از psp ها (شرکت های پرداخت الکترونیک) مطرح درج شده باشد .

شرکتهای PSP مجاز کشور عبارت اند از:

آسان پرداخت پرشین http://asanpardakht.ir
الکترونیک کارت دماوند http://ecd-co.ir
به پرداخت ملت http://www.behpardakht.com
پرداخت الکترونیک پاسارگاد https://www.pep.co.ir
پرداخت الکترونیک سامان https://www.sep.ir
پرداخت نوین آرین https://www.pna.co.ir
تجارت الکترونیک پارسیان http://www.pec.ir
پرداخت الکترونیک سداد https://sadadpsp.ir
سایان کارت http://www.sayancard.ir/fa
فن آوا کارت https://www.fanavacard.ir
کارت اعتباری ایران کیش https://www.irankish.com
شرکت مبنا کارت آریا http://mca.co.ir
نکته: بهترین روش مقابله با این نوع از حمله های فیشینگ دقت به URL درگاه پرداخت است.استفاده از سیستم های انتقال وجه معتبر هم می تواند مفید باشد. هر کدام از سایت های بانک ها از آدرس مشخصی برای درگاه پرداخت خود استفاده می کنند هرآدرس دیگری می تواند نشانه یک حمله فیشینگ باشد.
درگاه های پرداخت بانک ها از کد های امنیتی باضریب اطمینان بالا استفاده می کنند و اغلب در آدرس سایت عبارت https:// قابل مشاهده خواهد بود.

فیشینگ با دستگاه های POS و ATM تقلبی

برخی کلاهبرداران با استفاده از POS و ATM تقلبی کارتهای بانکی طعمه های خود را کپی کرده و به بهانه فروش محصول و کالا رمز عبور آن ها را می پرسند و سپس به راحتی حساب بانکی افراد را خالی می کنند.
نکته:
بهتر است هیچ گاه رمز عبور خود را در اختیار فروشندگان قرار ندهید. با پیشرفت تکنولوژی شیوه های پرداخت متنوعی در اختیار شما قرار گرفته که با کمک آن می توانید استفاده از POS و ATM را به میزان قابل توجهی کاهش دهید. دریافت دستگاه های POS اختصاصی توسط شرکت ها و سازمان ها هم می تواند به جلب اعتماد بیشتر مشتریان کمک کند.

مراحل اجرای حمله فیشینگ

1.در گام نخست، یک سایت جعلی برای فریب قربانی آماده می‌کند
2.پس از آماد شدن سایت، یک سناریو برای قربانی در نظر می‌گیرد و ایمیل جعلی با موضوعی مانند تغییر گذرواژه برای قربانی ارسال می‌کند. در این ایمیل لینک سایت جعلی را برای قربانی می‌فرستد.
3.قربانی وارد سایت جعلی شده و اطلاعات درخواستی را وارد میکند.
4. سپس، هکر با ابزاری که در سایت جعلی دارد، اطلاعات را وارد سایت اصلی کرده و یک کپی از آن را برای خود نگه می‌دارد.

 چگونه می‌توانیم یک کلاهبرداری فیشینگ را شناسایی کنیم؟

اول، دریافت ایمیل از بانک‌تان یا هر موسسه و سازمانی با این مضمون که "به‌ علت فعالیت‌های غیرمجاز، حساب شما در حال بسته شدن است، جهت جلوگیری از تعلیق، حساب خود را بازبینی و تایید کنید."
اگر چنین ایمیلی دریافت کردید، نباید به آن اهمیت دهید. همچنین ممکن است ایمیلی دریافت کنید که در آن نوشته شده باشد"شما در قرعه‌کشی برنده هزار دلار شده‌اید و برای واریز این پول، اطلاعات حساب خود را وارد کنید" که نباید به‌هیچ وجه آن را باور کنید. در مقابل این‌گونه ایمیل‌ها، هوشمندانه عمل کنید.
نکته دوم این‌که ایمیل‌های فیشینگ یک شخص خاص را مورد خطاب قرار نمی‌دهد و در اغلب موارد برای حجم زیادی از کاربران ارسال می‌شود.
از آنجا که کاربران هدف به‌صورت تصادفی انتخاب می‌شوند، احتمالا در ابتدای ایمیل‌ها عباراتی نظیر "مشترک گرامی"، "کاربر گرامی سایت PayPal" و غیره را مشاهده کنید.
آنها معمولا اسم شما را خطاب قرار نمی‌دهند بنابراین اگر چیزی شبیه اینها دیدید به این فکر کنید که ممکن است در دام این شیوه‌ از کلاهبرداری اینترنتی افتاده‌اید.

چگونه از فیشینگ اجتناب کنیم؟

هیچ‌گاه به ایمیل‌های مشکوک که از شما اطلاعات شخصی‌تان را می‌خواهد پاسخ ندهید. همواره قبل از پاسخ دادن یا کلیک روی لینک معرفی شده، ابتدا به منبع آن توجه کنید.
از کلیک کردن روی ابرلینک‌ها پرهیز کنید. هنگامی که یک ایمیل را بررسی می‌کنید، روی ابرلینک‌هایی که در آن وجود دارد کلیک نکنید، به ویژه اگر از یک منبع نامطمئن آن را دریافت کرده‌اید.
شما هرگز متوجه نخواهید شد به کجا فرستاده می‌شوید یا ممکن است با این کار یک کد مخرب را فعال کنید.برخی ابرلینک‌ها ممکن است شما را به وب‌سایت‌های جعلی که اطلاعات ورود شما را درخواست می‌کنند، هدایت کنند.همیشه سعی کنید اطلاعات‌تان را در مقابل آخرین تهدیدات امنیتی به‌روز نگه دارید.
بیاموزید چگونه آنها را شناسایی و از آنها دوری کنید. تنها کمی جستجو و تحقیق در اینترنت می‌تواند شما را در برابر خسارت‌های بزرگ حفظ کند.

پیشگیری

داشتن یک پلتفرم امنیتی جامع در هر سازمانی که افراد، فناوری و فرایندها را مورد توجه داشته باشند احتمال حملات فیشینگ موفقیت آمیز را کم می‌کند. در رابطه با افراد، داشتن آموزش‌هایی برای افزایش آگاهی درباره امنیت کمک می‌کند که افراد بتوانند ایمیل‌های فیشینگ را شناسایی کرده و آنها را به تیم امنیت گزارش دهند. در رابطه با تکنولوژی استفاده از مکانیزم سندباکس (sandbox) به تحلیل لینک‌ها و فایل‌های ناشناخته و پیاده سازی خط مشی مناسبی برای پیشگیری از دسترسی در صورت مخرب بودن لینک‌ها و فایل‌های تحلیل شده کمک می‌کند. مکانیزم فیلتر کردن URL هم باعث مسدود کردن وبسایت‌های مخرب و ناشناس برای پیشگیری از حمله می‌شود. داشتن آگاهی از خطرات موجود باعث می‌شود که در صورت اتفاق افتادن حملاتی مشابه برای دیگران بتوان از تکرار آنها پیشگیری کرد. در رابطه با فرایند‌ها هم باید سلسله مراتبی از اقدامات لازم مشخص و پیاده‌سازی شوند تا در صورت موفقیت حملات فیشینگ بتوان با خطرات مقابله کرد.

دقت در نصب برنامه ها و نرم افزار ها

همواره سعی کنید تنها برنامه هایی را که در گوگل پلی و یا آیتونز موجود است را دانلود و نصب کنید. از نصب برنامه هایی که در تلگرام، اینستاگرام و یا سایر منابع برای شما ارسال می شود، خودداری کنید. سعی کنید آپدیت ها و بروز رسانی های برنامه های خود را تنها از طریق منابع مشخص انجام دهید. از نصب برنامه های غیر ضروری بپرهیزید و در نصب برنامه هایی که به اطلاعات بانکی شما دسترسی دارند، دو چندان دقت داشته باشید.
از نصب اپلیکیشن از منابع نامعتبر بپرهیزید.
اطلاعات خود را فاش نکنید
به هیچ وجه از طریق پیامک، تماس تلفنی و یا ایمیل که از شما درخواستی مبنی بر وارد کردن اطلاعات کارت بانکی، حساب کاربری و یا حتی تاریخ تولد و سایر موارد می شود اعتنا نکرده و پاسخ ندهید. فراموش نکنید که بسیاری از افراد برای حساب های کاربری خود از پسوردهایی مثل تاریخ تولد یا شماره ملی استفاده می کنند که همین شماره ها نیز می تواند برای هکر ها بسیار سودمند باشد.
به هیچ وجه اطلاعات خود را در اختیار دیگران قرار ندهید.
از پسوردهای یکسان استفاده نکنید
همواره از یک پسورد برای ورود به حساب های کاربری مختلف خود استفاده نکنید. اگر فردی بتواند با حمله فیشینگ، یکی از این پسوردها را بدست بیاورد، در نتیجه به تمامی حساب های کاربری دیگری که با این پسورد محافظت شده اند نیز دست پیدا خواهد نمود.
استفاده از پسوردهای یکسان می تواند اطلاعات اکانت های شما را به خطر بیاندازد.
از شبکه های عمومی استفاده نکنید
شبکه های وای فای عمومی، کافی نت ها و سایر موارد ممکن است باعث شود تا اطلاعات شما به خطر بیفتند. پیشنهاد می شود در هنگام استفاده از این شبکه ها، به حساب های کاربری و بانکی خود حدالامکان متصل نشوید. یکی از راه های فیشینگ، کیلاگرها هستند که بعضا مشاهده شده برخی کافی نت ها از آن ها استفاده می کنند تا اطلاعات کاربران خود را به سرقت ببرند. پس هیچگاه اطلاعات بانکی خود را در سیستم های کافی نت و نا آشنا وارد نکنید.
وای فای رایگان همیشه مفید نیست!
به صورت دوره ای اطلاعات حساب خود را تغییر دهید.
بسیاری از فیشر ها ابتدا به جمع آوری اطلاعات مورد نظر خود کرده و پس از اینکه اطلاعات هزاران کارت و حساب مختلف را بدست آوردن به صورت کلی اقدام به برداشت از تمامی حساب ها می کنند. پیشنهاد می شود به صورت دوره ای اطلاعات حساب خود مثل رمز و و رمز دوم آن را تغییر دهید تا از چنین اقداماتی جلوگیری نمایید.
ربات تلگرام و فیشینگ
ربات های تلگرام این روزها به بسیاری از کارهای ما سرعت بخشیده اند، شرکت های معتبر فین‌تک هم در این خصوص خدمات خوبی را ارائه می دهند که گزارش گیری انتقال وجوه را ساده تر کرده است. اما به هر روی تلگرام بستر مناسبی برای انتقال وجه نیست و دیده شده به بهانه انتقال وجه اطلاعات بانکی افراد از این طریق سرقت شده است. از این رو لازم است تنها به شرکت های معتبر و فعال این عرصه اعتماد کنید و جهت انتقال وجه آنلاین روش های مناسب را انتخاب کنید. استفاده از خدمات بانکداری الکترونیک و شرکت های مجاز حوزه فین‌تک می تواند در وقت و پول شما صرفه جویی کرده و هزینه های شما را به میزان قابل توجهی کاهش دهد. فقط کافی است هنگام استفاده از این خدمات نکات امنیتی را رعایت کنید و همواره به سراغ مراکز معتبر و شناخته شده بروید تا عملیات انتقال وجه مطمئن و راحتی را تجربه کنید.