حملات فیشینگ؛ کلاهبرداری متداول

زمانی کمتر از دو دهه قبل حفظ اسناد و اطلاعات از دسترس سارقین کار چندان مشکلی نبود، در آن سال‌های نه چندان دور جلوگیری از دست‌اندازی مجرمین به اطلاعات با تعبیه گاوصندوق ممکن بود، اما عصر دیجیتال شرایط را به شکلی تغییر داده که دفع مخاطرات مجرمین سارق اطلاعات بسیار مشکل شده است. امروز سارقین با استفاده از ابزارهای الکترونیک و در فضای ارتباطات دیجیتال بدن آنکه دیده شده و در سکوت کامل به دنبال سرقت اطلاعات و دستیابی به دارایی‌های ارزشمند دیگران هستند.

همان‌گونه که کلاه‌برداران در دنیای حقیقی تلاش می‌کنند که با فریبکاری به اهداف خود برسند، در فضای ارتباطات دیجیتال نیز اقدامات فریبکارانه‌ای برای دستیابی به اطلاعات محرمانه مانند رمز عبور انجام می‌شود، مجموعه این نوع فعالیت‌ها فیشینگ نام گرفته است. در هر اقدامی از نوع فیشینگ تلاش می‌شود که کاربر را به نحوی فریب دهند تا اطلاعات حساس خود را در اختیار سارقین قرار دهد. در واقع فیشینگ اولین و مهم‌ترین گام از شروع عملیات مجرمانه‌ای است که بر مبنای اطلاعات دریافت شده از کاربران انجام می‌شود. همه فعالیت‌های بعدی شامل برداشت از حساب‌های بانکی، در اختیار گرفتن صندوق‌های پست الکترونیک، انتشار اطلاعات حساس و محرمانه، ... حاصل آن چیزی است که فیشینگ نامیده‌ایم. به عبارت دیگر همه آنچه که به صورتی فریبکارانه موجب می‌شود تا کاربران اطلاعات حساس و محرمانه خود را در اختیار سارقین قرار دهند فیشینگ نامیده می‌شود.

فیشینگ چیست؟

عملیات فیشینگ در مقایسه با سایر روش‌های جاری خرابکارانه فضای ارتباطات دیجیتال، ساده اما بسیار کارآمد است. فیشینگ عموماً ترکیبی از فرآیندهای الکترونیک و رفتارشناسی کاربران است که همچون کلاه‌برداری های متداول بر مبنای کسب اعتماد کاربر یا قانع کردن او به دنبال کردن دستورالعمل‌های سارقین شکل گرفته. در مجموعه عملیاتی که به آن فیشینگ می‌گوییم، سارقین با روش‌های مختلفی خود را به جای خدمات دهنده مورد اعتماد کاربر معرفی کرده و اطلاعات حساس کاربر را دریافت و سرقت می‌کنند. یکی از متداول‌ترین این روش‌ها طراحی صفحات جعلی ورود اطلاعات کاربران است. در این روش صفحه جعلی دقیقاً با همان شکل و شمای صفحه اصلی طراحی شده و کاربر به این صفحه ارجاع داده می‌شود.

نگاهی مختصر به گزارش‌های سالیانه فعالیت‌های فضای دیجیتال که نشان می‌دهد فیشینگ بخش بزرگی از جرائم رایانه‌ای را به خود اختصاص داده، روشن می‌سازد که تلاش سارقین برای استفاده از روش‌های فیشینگ در عین سهولت بسیار مؤثر واقع شده است.
(جدول ۱ – گزارش کامل APWG را در اینجا ببینید.)

همچنین (شکل ۱) نشان می‌دهد که حملات فیشینگ در همه مواردی که کاربران اطلاعات حساس و ارزشمندی داشته‌اند، با گستردگی زیاد صورت گرفته است.
(اطلاعات بیشتر در این مورد را در اینجا ببینید)

انواع فیشینگ

کارکرد مؤثر فیشینگ، سارقین را به استفاده گسترده از این روش تشویق کرده است. برای مقابله مناسب و مفید با فیشینگ لازم است که انواع آن را بشناسیم.

۱- دست‌کاری نشانی‌های اینترنتی [۲]: در این روش که بسیار متداول است، نشانی‌های اینترنتی از طریق پست الکترونیک برای کاربران ارسال شده و آنها را تشویق به مراجعه به این نشانی‌ها می‌کند. محتوای این نوع پست‌های الکترونیک خود را از طرف بانک، موسسه مالی، خدمات دهنده پست الکترونیک،... معرفی کرده و کاربر را برای انجام تغییرات، دریافت خدمات جدید، لزوم تأیید یا بررسی مشخصات، و موارد مشابه تشویق به مراجعه به نشانی درج شده در متن می‌نماید. اما متن این نشانی‌ها که تلاش می‌شود تشابه ظاهری زیادی با نشانی اصلی داشته باشد، کاربر را به صفحه مورد نظر سارقین ارجاع می‌دهد. این نوع نشانی‌ها ممکن است با نشانی اصلی در یک یا چند حرف تفاوت داشته و به‌گونه‌ای انتخاب شود که توجه کاربر را جلب ننماید. در برخی موارد متن نشانی به شکلی نوشته شده که به نظر می‌رسد به محلی که مورد انتظار کاربر است ارجاع می‌دهد اما در عمل به محل دیگری می‌رود. به‌عنوان نمونه انتظار می‌رود که این نشانی http://en.wikipedia.org/wiki/Genuine کاربر را به صفحه‌ای با عنوان Genuine ارجاع دهد در حالی که کاربر با کلیک کردن روی آن به صفحه‌ای با عنوان Deception هدایت می‌شود.

۲- تصویر به جای متن [۳]: در بسیاری موارد سارقین برای فریب کاربران و گریز از نرم‌افزارهای ضد فیشینگ، متن مورد نظر خود را به نحو که حاوی همه نکات فریبنده ظاهری باشد به‌صورت یک تصویر درآورده و در صفحه مقابل کاربر جاسازی می‌کنند. به این ترتیب تلاش می‌شود که ضمن فریب کاربر، نرم فزارهای مقابله کننده را نیز فریب دهند.

۳- جعل وب سایت [۴]: در این روش کاربر به نشانی جعلی هدایت می‌شود که مورد نظر سارقین بوده و در این وب‌سایت اطلاعات حساس او را دریافت می‌کنند. سارقین حتی در مواردی با نفوذ به وب‌سایت اصلی به گونه‌ای رفتار می‌کنند که اطلاعاتی که کاربر در صفحه سایت وارد می‌کند به سایت جعلی ارسال شود، در حالی که از نظر کاربر همه چیز به‌ظاهر درست به نظر می‌آید. نمونه این نوع عملیات [۵] در سال ۲۰۰۶ بر علیه سایت پی پال [۶] انجام شد.

همچنین در مواردی کاربر در جریان فعل و انفعالات متداول خود با سایت اصلی، به سایت جعلی ساخته شده توسط سارق هدایت شده و اطلاعات حساس وی دریافت می‌شود[۷]. (نخستین نمونه‌های این نوع فیشینگ در سال ۲۰۰۷ شناسایی شد)

۴- هدایت مخفیانه به سایت: در این روش به جای استفاده از نشانی‌های جعلی سایت‌های سارقین، کاربر به‌صورت مخفیانه به سایت جعلی ارجاع داده می‌شود. هدایت مخفیانه به سایت‌ها اغلب از صفحات ورود کاربران شروع می‌شود و سارقین با دست‌کاری صفحه اصلی ورود به سایت، کاربر را به صفحات مورد نظر خود هدایت می‌کنند. صفحه‌ای با عنوانی که شامل facebook است را در نظر بگیرید که بلافاصله پس از کلیک کردن بر روی لینک مربوطه، کاربر را با یک پنجره جدید مواجه می‌سازد که به شکل صفحه ورود کاربران فیس‌بوک طراحی شده و درخواست ورود نام کاربری و رمز عبور کاربر را می‌کند.

۵- فیشینگ تلفنی [۸]: همه سارقین اطلاعات حساس نیاز به ایجاد وب‌سایت جعلی ندارند بلکه برخی از آنها با استفاده از تلفن کاربران را فریب می‌دهند. در نظر بگیرید که کاربری برای رفع مشکل خود به جای سامانه تلفنی بانک به سامانه تلفنی سارقین ارجاع داده شده و از او درخواست شود که نام کاربری و رمز عبور خود را در سامانه تلفنی رایانه‌ای [۹] وارد کند. پس از این سارقین به همه آنچه برای کارهای خود نیاز دارند رسیده‌اند.

برای مطالعه یک نمونه واقعی که از روش‌های فیشینگ اشاره شده در بالا استفاده کرده است به مطلب «فیشینگ رمز عبور دو مرحله‌ای از ایران» مراجعه کنید.

چطور با فیشینگ مقابله کنیم؟

مؤثرترین راه برای مقابله با فیشینگ افزایش آگاهی‌های عمومی است. بهتر است هرگاه با نمونه‌ای از اقدامات فیشینگ مواجه شدیم، دیگران را از آن مطلع سازیم تا افراد کمتری در معرض فریب‌کاری سارقین قرار گیرند. اما علاوه بر آگاه‌سازی عمومی لازم است که هرکدام از ما رفتار خود در حین فعالیت در اینترنت را اصلاح کنیم. مواردی که لازم است در این زمینه مورد توجه قرار دهیم عبارت است از:

الف) هر نوع درخواست مبنی بر «تأیید حساب کاربری» یا «برای پیش‌گیری از مسدود شدن حساب به این صفحه وارد شوید» یا «نام کاربری و کلمه عبور خود را وارد کنید» باید با دقت مورد بررسی قرار گرفته و در صورت مشکوک بودن به آن اعتنا نکنید.

ب) نشانی‌های ارسال کننده پست الکترونیک را بررسی کرده و تا یقین نکرده‌اید که از جانب موسسه طرف حساب شما صادر شده به دستورات آن توجه نکنید.

ج) مراقب باشید که درخواست‌های معرفی شده از جانب موسسه طرف حساب شما با رفتار عمومی و سایر درخواست‌های قبلی وی سازگاری دارد؟ (به‌عنوان نمونه اگر بانک شما جایزه‌ای را برایتان در نظر گرفته چه نیازی به وارد کردن اطلاعات کاربری خود برای مشاهده جزئیات جایزه دارید؟)

د) آیا متن پست الکترونیک دریافتی که از شما اطلاعات بیشتری را درخواست می‌کند، به‌صورت عمومی نوشته شده یا با ذکر مشخصات شما، این درخواست را ارائه کرده؟ درخواست‌های عمومی که نشان از بی‌اطلاعی از مشخصات اولیه شماست، از منبع ناشناس صادر می‌شود. درخواست‌های مشکوک عموماً شامل عباراتی چون «مشترک گرامی» یا «کاربر عزیز» است.

ه) به نشانی‌های سایت خدمات دهنده اصلی که از آن استفاده می‌کنید دقت کرده و اگر بر اثر کلیک کردن به صفحه جدید ارجاع داده می‌شوید، نشانه صفحه را با نشانی شناخته شده قبلی مقایسه کنید. تغییر در نشانی‌ها به معنای ارجاع به صفحه جدیدی است که باید از صحت و اصالت آن مطمئن شوید.

و) اگر به‌عنوان اینترنتی صفحه‌ای که وارد شده یا به آن هدایت شده‌اید مشکوک هستید، می‌توانید مشخصات صاحب این نشانی اینترنتی را از اینجا بررسی کنید.

ز) توجه داشته باشید بخش‌های ورود به صفحه کاربران و بخش‌هایی که عملیات حساس دریافت و پرداخت و موارد مشابه را انجام می‌دهند به‌جای قرارداد ارتباطی http از ارتباط مبتنی بر قرارداد https استفاده می‌کنند. (شکل ۲)

ابزارهای مقابله خودکار با فیشینگ

برخی از مرورگرهای جدید حاوی بخش‌هایی برای شناسایی حملات فیشینگ هستند. این ابزارها که از سال ۲۰۰۶ مورد سنجش قرار گرفته‌اند پس از انجام بررسی‌های مختلف در مرورگرهای Internet Explorer و Firefox به کار گرفته شد، اما بر اساس گزارش بررسی‌ها موفق‌ترین ابزار نیز در بهترین حالت قادر به شناسایی ۹۶% از حملات فیشینگ بوده است. (برای جزئیات بیشتر به اینجا مراجعه کنید.)

به‌طور کلی ابزارهای مقابله با فیشینگ چه در قالب مبتنی بر سامانه کاربر [۱۰] بوده و چه اینکه مبتنی بر خدمات دهنده [۱۱] باشند با بهره‌گیری از بانک اطلاعاتی نشانی سایت‌های فیشینگ کار می‌کنند. توانایی این نرم‌افزارها در تشخیص بخش‌های کلیدی نشانی سایت‌ها و یا نشانی‌های پست الکترونیک، و تطبیق دادن آنها با محتویات بانک‌های اطلاعاتی، میزان موفقیت در شناسایی موارد مشکوک را تعیین می‌کند.

در بین این برنامه‌ها می‌توان گروهی را دید که به نوار ابزار [۱۲] مرورگر اضافه می‌شوند و در زمانی که کاربر به صفحه‌ای مراجعه می‌کند، آن را بررسی و اخطارهای لازم را می‌دهند. اما دسته دیگری از این نرم‌افزارها به‌عنوان بخشی از نرم‌افزار دیواره آتش [۱۳] یا امنیت اینترنت [۱۴] فعالیت می‌کنند. در هر صورت این نرم‌افزارها به کاربر کمک می‌کنند تا موارد مشکوک را بهتر شناسایی کرده و از افتادن به دام سارقین پرهیز کند.

نکته مهم این است که عملیات فیشینگ در عین سادگی (در قیاس با سایر روش‌های خرابکارانه رایانه‌ای) به میزان بسیار زیادی به رفتارهای کاربران وابسته است و به همین دلیل کارکرد مؤثری دارد. شناسایی روان‌شناسانه رفتار کاربران در مواجهه با پیغام‌ها و موقعیت‌های خاص، به سارقین کمک کرده که پیام‌های خود برای کاربران را بسیار ماهرانه تهیه کنند. در واقع کلید اصلی موفقیت سارقین شناخت رفتار عمومی کاربران در زمان ورود با سایت‌ها و یا خواندن نامه‌های الکترونیک و یا دیدن پیغام‌های حاوی اخطار است. به همین دلیل لازم است کاربران ضمن استفاده از ابزارهای شناسایی فیشینگ، رفتارهای خود در هنگام فعالیت در فضای اینترنت را بررسی و اصلاح کنند.

پی‌نوشت‌ها:

[۱] Phishing ارسال پست الکترونیک به کاربران و ادعای دروغین نسبت به اینکه از جانب سازمان واقعی است

[۲] Link Manipulation

[۳] Filter Evasion

[۴] Website Forgery

[۵] cross-site scripting

[۶] PayPal

[۷] Man-in-the-middle

[۸] Vishing (voice phishing)

[۹] VOIP (Voice Over IP)

[۱۰] Client-based anti-phishing programs

[۱۱] Server-based anti-phishing services

[۱۲] Toolbar

[۱۳] FireWall

[۱۴] Internet Security

برای دسترسی به آرشیو بخش امن گذر اینجا را کلیک کنید.