کلمهی Phishing برگرفته از عبارت Password Harvesting Fishing به معنای “به درست آوردن گذرواژه از طریق طعمه” میباشد و نوعی از حملات مبتنی بر مهندسی اجتماعی بوده که در آن حملهکننده با فریب دادن هدف (تارگت) اطلاعات حساس و مهمی مانند رمزهای عبور، اطلاعات کارتهای بانکی، اطلاعات شخصی حساس و… هدف یا اهداف مورد نظر خود را بهدست میآورد.
در این مقاله از همیار آیتی در ابتدا اندکی با مهندسی اجتماعی آشنا شده و در ادامه حملات فیشینگ، انواع آنها و روشهای محافظت از اطلاعات خود در برابر این گونه حملات را بررسی خواهیم کرد.
مهندسی اجتماعی چیست؟
به زبان ساده، توانایی بهدست آوردن اطلاعات حساس افراد با استفاده از روابط عاطفی، اجتماعی و روانشناسی انسانها، بدون استفاده از روشهای مستقیم هک و نفوذ را مهندسی اجتماعی یا Social Engineering میگویند.
به عنوان مثال فرض کنید فردی با ادعای اینکه پشتیبان بخش آیتی یک سازمان است، با استفاده از شیوههای ارتباط انسانی یکی از کارمندان شرکت را فریب داده و اطلاعات ورود به سیستمهای شرکت را به دست آورده و بدین ترتیب بدون نیاز به بهکارگیری تکنیکهای فنی هک به راحتی کنترل سیستم را در دست میگیرد، برای مثال به گفتگوی رد و بدل شده در تماس تلفنی زیر توجه کنید:
مهاجم: سلام، وقتون بخیر، بنده حسینی، مسئول آیتی شرکت هستم، ما درحال ارتقای سیستمها هستیم، لطفا کلمهی عبور خودتون رو به newsystem123 تغییر بدید و ضمنا تا ۱ ساعت وارد سیستم نشید.
کارمند: سلام، خوب هستید آقای حسینی، من الان در حال ارسال یک فایل هستم، امکان داره، ۱۰ دقیقهی دیگه اینکار رو انجام بدم؟ راستی چند وقتی هست، فلش مموری من داخل کامپیوترم باز نمیشه، میتونم از شما بخوام اون رو هم برای من درست کنید؟
مهاجم: اوه، بله، شما را درک میکنم، اشکالی نداره، چند دقیقهی دیگه ارتقای سیستم رو انجام میدیم تا کار شما هم تمام شده باشه، در مورد فلش مموری هم، بله با کمال میل :) لطفا اسمتون رو به من بگید تا در فرصت مناسبی بیام و مشکلتون رو حل کنم، فرمودید شما آقای؟
کارمند: واقعا ممنون از همکاری شما، من سامانی هستم، راستی شرکت ارتقای سیستمها رو به من اطلاع نداده بود، ولی به هرحال ممنون که برای من صبر میکنید.
مهاجم: خواهش میکنم جناب سامانی عزیز :) پس شما رمز رو تغییر بدید، من هم تا ۱۰ دقیقهی دیگه ارتقای سیستم رو شروع میکنم، راستی گفتید نام کاربریتون چی بود؟
کارمند: واقعا متشکرم ازتون، اسم کاربریم، فامیلیم هست: samani
مهاجم: آهان، ممنون :)
همانگونه که در گفتگوی بالا دیدید، مهاجم به راحتی و با فریب کارمند شرکت، کلمهی عبور او را بهدست آورد و از کارمند خواست تا رمزعبور خود را مطابق خواستهی وی تغییر دهد.
به عبارتی مهندسی اجتماعی کاملا به فریب دادن افراد مبتنی بوده و روشی ناجوانمردانه به شمار میرود، از اینرو لازم است به منظور حفظ اطلاعات مهم خود یا دیگران با هوشیاری کامل ارتباطات اطراف خود را زیر نظر داشته باشیم.
مهاجمی که قصد دارد با روش مهندسی اجتماعی به سؤ استفاده بپردازد، در حقیقت باید ۳ مرحله را پشت سر بگذارد، که عبارتند از:
- تحقیقات اولیه
- جلب اعتماد هدف
- بهدست آوردن اطلاعات
یک هکر مبتنی بر مهندسی اجتماعی با طی کردن مراحل بالا میتواند به راحتی اطلاعات مورد نظر خود را بهدست آورده و در ادامه اقدام به سؤ استفاده از آنها بپردازد، در حقیقت خود فرد قربانی بدون هیچ اطلاعی این موارد را در اختیار مهاجم قرار داده.
تکنیکهای مختلفی برای انجام اینگونه حملات (مبتنی بر مهندسی اجتماعی) وجود دارد، در این مقاله قصد داریم حملات فیشینگ را مورد بررسی قرار دهیم.
فیشینگ (Phishing) چیست؟
فیشینگ یکی از تکنیکهای رایج در مهندسی اجتماعی است که در آن هکر با استفاده از جعل صفحات وب، تماسها، ایمیلها و… سعی در فریب کاربر و بهدستآوردن اطلاعات حساس وی، شامل نامهای کاربری، کلمات عبور، اطلاعات حساب بانکی و… دارد، به زبان سادهتر میتوان فیشینگ را نوعی سرقت آنلاین به حساب آورد.
همانطور که گفتیم، فیشینگ نوعی از حملات مبتنی بر مهندسی اجتماعی میباشد، در این گونه حملات، هکر، که در اینجا Phisher نامیده میشود هیچگونه نفوذی به صورت فنی انجام نمیدهد، بلکه با جعل صفحات وبسایتها، ارسال ایمیل، تماسهای تلفنی، پیامک و… اطلاعات حساس و مهم هدف مورد نظر خود را بهدست آورده و به راحتی به سیستم نفوذ میکند، در حقیقت کاربر خودش بدون اینکه متوجه جعلی بودن این موارد باشد اطلاعات مورد نیاز هکر (فیشر) را در اختیار وی قرار میدهد.
راهکارهای متفاوتی برای انجام یک حملهی فیشینگ وجود دارد، که برخی از معروفترین آنها عبارتند از:
- وبسایتهای جعلی
- ایمیلهای فیشینگ
- بد افزارهای فیشنگ
- فیشینگ از طریق پیام
- تماسهای تلفنی ساختگی
- بهکارگیری رخنههای امنینی
- فیشینگ از طریق تغییر لینک
چگونه در برابر حملات فیشینگ ایمن بمانیم؟
سعی کنید، همیشه قبل از وارد کردن اطلاعات حساس خود در یک وبسایت، آدرس URL آن که در آدرسبار مرورگز نوشته شده است را به درستی بررسی کرده و از صحت آن اطمینان حاصل کنید، هر لحظه این موضوع را به یاد داشته باشید که شاید سایتی که در حال دیدن آن هستید واقعا آن چیزی نیست که به دنبالش بودهاید و امکان جعلی بودن آن وجود دارد، بنابراین همیشه آدرس سایت را به دقت بررسی کرده و به این موضوع توجه داشته باشید که امکان دارد سایت تقلبی و سایت واقعی تنها در یک حرف با هم تفاوت داشته باشند.
به عنوان مثال دامنهی (Hamyarit.com) را در نظر بگیرید، یک فیشر میتواند دقیقا چنین سایتی را با آدرسی مانند (Hamyiarit.com) یا هر آدرس مشابه دیگری در اختیار شما قرار دهد، در صورتی که با دقت آدرس را بررسی نکنید و اطلاعات حساسی را در سایت جعلی وارد کنید، دچار دردسر بزرگی خواهید شد!
همیشه سعی کنید قبل از اینکه لینکی را باز کنید به دقت آدرس آنرا بررسی کنید، به عنوان مثال آدرس https://www.yahoo.com را در نظر بگیرید، در ظاهر شما آدرس یاهو را میبینید، اما اگر روی لینک کلیک کنید وارد وبسایت گوگل خواهید شد!
به عنوان مثالی دیگر تصویر زیر را ببینید:
برای بررسی این موارد کافیست، قبل از کلیک کردن روی لینکها موس خود را روی آنها نگاه دارید، گوشهی پایین مرورگر آدرس لینکی که موس روی آن قرار گرفته را برای شما نمایش میدهد.
همیشه قبل از وارد کردن اطلاعات حساس و مهم خود آدرس صفحه و دامنهی سایت را به دقت بررسی کنید، به خصوص در درگاههای پرداخت اینترنتی، صفحات لاگین و هرجایی که قرار است اطلاعاتی حساس را در آن وارد کنید.
سعی کنید تا زمانی که به یک ایمیل یا پیام اطمینان ندارید و از صحت ارسال کنندهی آن مطمئن نیستید، به هیچ وجه روی لینکهای موجود در پیام کلیک نکرده و پیوستهای آنرا دانلود نکنید.
همیشه برنامههای تلفن همراه خود را از فروشگاههای رسمی آنها دانلود کنید (Play Store برای اندروید و App Store برای آیاواس) در غیر اینصورت احتمال آلوده شدن دستگاه شما به بدافزار وجود خواهد داشت.
آیا شما نیز تا بهحال با چنین مواردی برخورد داشتهاید؟ نظرات و تجربیات خود را در بخش دیدگاهها با ما در میان بگذارید، مطمئنا تجربیات شما کمک میکند تا سایر کاربران با روشهای متنوع فیشینگ آشنا شده و کمتر تحت خطر یا سؤ استفادهی این گونه حملات قرار بگیرند.