مهندسی اجتماعی – فیشینگ (2 – عمومی)

در این مطلب قصد داریم خلاصه سرفصل‌ها و موضوعاتی که در جلسه دوم اتاق کلاب‌هاوس به بحث گذاشته بودیم را در اختیار خوانندگان قرار دهیم. در جلسه فوق به مبحث فیشینگ پرداخته شده بود که در ادامه به موضوعات بررسی شده حول این محور اشاره خواهیم کرد.

فیشینگ (Phishing) چیست؟
حتما درباره سرقت اطلاعات شخصی بانکی افراد که به فیشینگ معروف است چیزهایی شنیده‌اید. به زبان ساده فیشینگ به روشی برای جمع آوری اطلاعات شخصی افراد گفته می‌شود که می‌تواند با استفاده از ایمیل‌ها، شبیه‌سازی غیرقانونی اپلیکیشن‌های قانونی و همچنین سایت‌های فریبنده‌ای که برای این موضوع طراحی شده‌اند، به دست آید.

فیشینگ در واقع نوعی حمله پر خطر در فضای سایبری به شمار می‌آید که امنیت اطلاعات شما را به خطر می‌اندازد. تفاوتی نمی‌کند این حملات می‌تواند متوجه افراد عادی و یا افرادی که در حوزه‌های سیاسی و اقتصادی از جایگاه بالایی در اجتماع برخوردارند نیز بشود.

اگر با هر یک از موارد و سناریوهای متداولی که در ادامه به آن‌ها اشاره می‌کنیم، برخورد کردید بدانید که تحت حملات فیشینگ قرار گرفته‌اید.

ایمیل فیشینگ (Email Phishing)
دریافت ایمیل از میل سرور (Mail Server) با دامنه‌های ناشناس یا سرورهایی که مورد هک قرار گرفته و دستکاری شده‌اند به افرادی که با این دامین‌ها در حال کار هستند. اجازه دهید با بیان یک مثال ساده موضوع را روشن کنیم. فرض کنید در یک شرکت نفتی با دامنه sample-oil.com پس از هک کردن میل سرور توسط هکرها، ایمیلی به مدیران شرکت ارسال می‌شود که لینک آلوده در آن قرار داشته و با باز کردن آن هکرها می‌توانند به مقاصد مخرب خود دست یابند.

برای جلوگیری از قرار گرفتن در این موقعیت چه باید کرد؟
برای جلوگیری از مخاطراتی که به این روش شما را تهدید می‌کند، پیشنهاد می‌کنیم هیچگاه ایمیل‌هایی که نمی‌شناسید و فرستنده آن برای شما شناخته شده نیست را باز نکنید.

ممکن است در ایمیلی که برای شما فرستاده شده، لینک‌هایی گذاشته باشند و یا فایل‌هایی را قرار داده باشند که شما از آن‌ها بازدید کرده و یا آن‌ها را دانلود نمایید، در این موارد نیز لازم است دست نگه داشته و پیش از باز کردن لینک‌ها و فایل‌ها با سازمان یا فردی که ایمیل را فرستاده است هماهنگ کنید. زیرا در غیر این صورت با باز کردن اکسپلویت (Exploit) یا باز شدن ایمیل، میل سرور و سیستم شما مورد حملات هک یا فیشینگ قرار خواهد گرفت.

• نکته: اکسپلویت (Exploit) به معنای كد مخربی است که برای سوءاستفاده و آسیب زدن طراحی شده است.

جهت کاهش مخاطرات و تامین امنیت سرور چه باید کرد؟
برای اینکه امنیت سرور خود را تضمین کنید لازم است موارد امنیتی مربوطه را در میل سرور سازمانی لحاظ کنید.

استفاده از DNS Configuartion نادرست و یا عدم استفاده از SPF Record یا DKIM نامناسب می‌تواند شرایط سو استفاده هکرها از میل سرور سازمان شما و همچنین فرستادن اسپم از میل سرور شما را برای مقاصد مهندسی اجتماعی فراهم نماید.

از جمله کارهای دیگری که می‌توان برای حفظ امنیت سرور انجام دارد استفاده از سایت mxToolBox به عنوان چک لیست میل سرور است. همچنین می‌توانید از افزونه Mitaka برای گوگل کروم جهت شناسایی میل سرور اسپمر استفاده نمایید. به کارگیری افزونه Netcraft نیز برای شناسایی صفحات فیشینگ مناسب و کارآمد بوده و تا حد زیادی به حفظ امنیت سرور و کاهش خطرات احتمالی کمک خواهد کرد.

ویشینگ (Vishing) چیست؟
ویشینگ به عنوان یکی از متداول‌ترین اعمال کلاهبردارانه در ایران شناخته شده که در این روش شخص کلاهبردار با استفاده از حملات مهندسی اجتماعی، سعی می‌کند از طریق سیستم‌های تلفنی و صوتی، به طور غیرمجاز اطلاعات شخصی و همچنین اطلاعات حساس مالی افراد مختلف را به دست آورد.

در روش ویشینگ، لیستی از شماره تلفن افراد مختلف که بعضا همراه با نام آن‌هاست آماده می‌شود و با آن‌ها تماس تلفنی برقرار شده و گفته می‌شود که برنده جایزه‌ای نقدی شده‌اند و طی ترفندی رمز دوم کارت بانکی را از آن‌ها طلب می‌کنند.

در روشی دیگر خود را به عنوان کارمند اداره یا نهادی خاص جا زده و اقدام به دریافت اطلاعات محرمانه از افراد مختلف می‌کنند. گاهی کلاهبرداران با دسترسی به شبکه داخلی، بسیاری از VOIP سرورها در سرتاسر جهان را که از نظر امنیتی دچار ضعف هستند به راحتی هک می‌کنند و سپس با طراحی یک سناریوی مهندسی اجتماعی به کاربران نشان می‌دهند که تماس از جای معتبری گرفته شده است. طبیعتا اگر فرد اطلاعات کمی در این حوزه داشته باشد در دام این کلاهبرداران گرفتار می‌شود.

راه حل اصولی برای کاهش اینگونه مخاطرات چیست؟
تا جایی که برایتان مقدور است از پاسخ دادن به تماس‌های ناشناس بپرهیزید. حتی اگر تماسی که با شما گرفته می‌شود نشان می‌دهد که از شرکت، اداره و یا ارگانی خاص است از رد و بدل کردن اطلاعات محرمانه خود در حین تماس تلفنی اجتناب کنید و یا پیش از ارائه کردن اطلاعات شخصی خود، از هویت و اعتبار شخصی که با شما تماس گرفته است، مطمئن شوید.

اسمیشینگ (Smishing) چیست؟
اسمیشینگ به روشی با استفاده از پیام متنی (SMS) گفته می‌شود که در این روش کلاهبرداران با فرستادن یک متن افراد را به بازدید از یک سایت، دانلود یک فایل مخرب و یا تماس با یک شماره تلفن جعلی ترغیب می‌کنند. عموما SMS Server یکی از حساس‌ترین سرورها در زیرساخت مخابراتی کشورها به شمار می‌آید. چنانچه هکرها بتوانند به سرور پیامک نفوذ کنند، می‌توانند با ارسال پیامک به میزان انبوه نوعی از مهندسی اجتماعی را ترتیب دهند که در آن متن پیام مبتنی بر برنده شدن در مزایده یا مسابقه و … برای افراد ارسال شود و با این روش اقدام به دریافت اطلاعات شخصی بر روی صفحات قلابی و فیشینگ نمایند.

روش درست برخورد برای کاهش این نوع خطر داشتن اطلاعات کافی است. زیرا هیچ یک از شرکت‌های زیرساخت و یا نهادهای گوناگون از شما درخواست پر کردن فرم در سایت‌های ناشناس را نخواهند کرد. به این ترتیب لازم است از ورود به لینک‌های ناشناس جهت پر کردن اطلاعات بپرهیزید.

فارمینگ (Pharming) چیست؟
فارمینگ از ترکیب دو کلمه فیشینگ و فارمینگ به دست آمده که هکرها با استفاده از آن اقدام به ایجاد یک سایت جعلی کرده و در این روش مبتکرانه برای قانونی نشان دادن کلاهبرداری خود اقدام به دستکاری در فایل DNS Client سیستم عامل و تعریف A Record سایتی که قصد فیشینگ آن را دارند می‌کنند. به این ترتیب اشخاص را به جای استفاده از درگاه اصلی مثل شاپرک که در سایت اصلی قرار دارد به درگاه‌های جعلی دیگر وارد کرده و اقدام به سرقت اطلاعات بانکی کاربران می‌کنند.

برای آن که در دام خطرات فارمینگ نیفتید به شما پیشنهاد می‌کنیم از دانلود فایل‌های ناشناس خودداری کنید و هر برنامه‌ای را بر روی سیستم عامل شخصی و یا اداری خود نصب نکنید. همچنین در صورت انجام خرید اینترنتی حتما پیش از پرداخت مبلغ، در صفحه پرداخت‌های اینترنتی، دامنه یا آدرس سایت را مشاهده کنید. سایت‌های بانکی هیچگاه از چندین حرف کنار هم مانند bankmmelat یا پسوندهای .ga یا .xyz استفاده نمی‌کنند.

همچنین با توجه به پیشرفت در زمینه Certificate اکنون بسیاری از سایت‌ها به راحتی از HTTPS (SSL) استفاده می‌کنند، بنابراین توجه به عبارت https پیش از آدرس سایت نشان می‌دهد که این سایت از امنیت بالایی برخوردار است و امکان دسترسی هکرها به آن وجود ندارد. بنابراین هکرها می‌توانند با طراحی درگاه‌های بانکی به ظاهر طبیعی شما را گمراه کرده و به جای استفاده از درگاه شاپرک شما را به صفحات قلابی که طراحی کرده‌اند، ارجاع دهند.

اسپیر فیشینگ (Spear Phishing) چیست؟
اسپیر فیشینگ یا فیشینگ نیزه‌ای نوعی از فیشینگ است که کمی پیچیده‌تر از سایر روش‌های فیشینگ بوده و یک نوع کلاهبرداری هدفمندانه به شمار می‌آید. زیرا در این روش هکرها قربانیان و طعمه‌های خود را به صورت هدفمند و برنامه‌ریزی شده انتخاب می‌کنند.

این نوع از فیشینگ عموما به منظور حمله به شرکت‌های بزرگ نفتی یا ارگان‌های خاص اقتصادی، سیاسی و نظامی انجام می‌گیرد. در روش Spear Phishing ارسال ایمیل به گروه‌ها یا نهادهای خاص در کشورهای مختلف صورت می‌گیرد و هکرها برای به دست آوردن ایمیل‌های سازمانی اقدام به ساخت چندین سناریوی از پیش تعیین شده کرده و سپس آن را پیاده سازی می‌کنند.

برای به دست آوردن ایمیل‌های یک شرکت خاص نیز از شبکه اجتماعی LinkedIn و سایر شبکه‌های اجتماعی استفاده کرده و یا از دیتابیس‌های افشا شده‌ای که در سطح اینترنت عمومی یا دارک وب (Dark Web) در دسترس هست و می‌توانند آن‌ها را با صرف هزینه یا بدون هزینه به دست آورند استفاده می‌کنند.

برای اینکه بتوانید از خطرهای احتمالی اسپیر فیشینگ دور بمانید لازم است همان طور که پیشتر اشاره کردیم، امنیت میل سرور سازمانی را به منظور جلوگیری از حملات تقویت نمایید. اما نکته مهم آن است که سناریوهای مهندسی اجتماعی زمانی موفق می‌شوند که افراد احساس می‌کنند با دیدن ایمیل یا لینک یک سایت می‌توانند متوجه بدافزار بودن آن شوند و آن را تشخیص دهند. بنابراین هکرها از این احساس امنیت کاربران که خود یک آسیب پذیری به شمار می‌آید، به راحتی در جهت ضربه زدن به آن‌ها استفاده می‌کنند. پس بهتر است به این موارد شک کنید. همچنین افرادی که در سمت‌های شغلی مختلف یک سازمان کار می‌کنند گاهی از دانش امنیتی برخوردار نیستند و یا اطلاعات کمی در این زمینه دارند به همین دلیل هکرها از این عدم آگاهی در جهت طراحی سناریو‌های مهندسی اجتماعی استفاده می‌کنند. زیرا هکرها شانس موفقیت خود را در اشتباهات کوچک افراد می‌بینند و با کلیک کردن آن‌ها بر روی لینک یا دادن اطلاعات حتی کوچک در شبکه‌های اجتماعی شرایط نفوذ به حریم شخصی فرد و در ابعاد بزرگ‌تر امکان نفوذ به سازمان‌های بزرگ را به دست خواهند آورد.

والینگ (Whaling) چیست؟
والینگ هم نوعی از روش‌های فیشینگ محسوب می‌شود که به معنای شکار وال است. در این شیوه از فیشینگ عمدتا قربانی از بین افرادی انتخاب می‌شود که در شرکت یا ارگان مورد نظر از دسترسی بالایی به سیستم‌های امنیتی و آی‌تی و … برخوردار است. بنابراین اگر هدف مورد نظر از بین افراد با رتبه‌های بالا و خاص سیاسی، نظامی، اقتصادی انتخاب شده باشد، می‌گوییم عملیات Whaling صورت گرفته است.

برای افرادی که جزء High Profile Target محسوب می‌شوند، سناریوهای خاص طراحی می‌شود و به دلیل آن که افراد فوق نیز از سیستم‌های ایمن استفاده می‌کنند لازم است هکرها برای حمله به آن‌ها سناریو‌های بسیار دقیق طراحی کنند و از اکسپلویت‌های روز صفر (Zero Day) که در سیستم عامل‌های خاص مانند اندروید، iOS، ویندوز و مک و یا حتی از اکسپلویت‌هایی که در سمت مرورگرهای آن‌ها وجود دارد، استفاده کنند. به همین جهت است که شناسایی این حملات بسیار پیچیده‌تر از موارد قبلی است.

برای اینکه بتوانید خود را از این حملات مصون نگه دارید لازم است جهت حفظ اطلاعات شخصی و سازمانی از کلیک کردن بر روی لینک‌هایی که از طرف افراد ناشناس فرستاده شده خودداری نمایید.

Angler Phishing
انگلر فیشینگ نوعی دیگر از حملات فیشینگ است که کشور ایران تا حدودی با آن درگیر است. در این روش هکرها با جا زدن خود به عنوان یک نهاد، بانک و یا شرکت خاص یا حتی یک شبکه اجتماعی خاص، از افراد برای ورود به صفحه‌هایی دعوت می‌کنند تا در این صفحات با ارسال ایمیل و پسورد خود یا حتی اطلاعات بانکی، اطلاعات قبلی خود را تایید نمایند.

برای دور ماندن از چنین مخاطراتی بهتر است هرگز در شبکه‌های اجتماعی به دیگران اعتماد نکنید و از به اشتراک گذاشتن اطلاعات شخصی خود در شبکه‌های اجتماعی دوری کنید.

چه نوع حملاتی در سطح پیشرفته انجام می‌شود؟
پس از بررسی موارد مختلفی از فیشینگ که در مطالب قبل به آن‌ها اشاره کردیم، لازم است این نکته را ذکر کنیم که ممکن است حملات تنها به این موارد خلاصه نشود و هکرها بتوانند در سطح پیشرفته‌تر و گسترده‌تری اقدامات کلاهبردارانه انجام دهند. در ادامه به این موارد اشاره خواهیم کرد.

• هک CA سرور: در این روش اگر CA سروری مورد حمله قرار گیرد امکان شنود تمامی مکالمات اینترنتی وجود خواهد داشت.
• استفاده از VPN وی پی ان‌‌های پابلیک: چنانچه شما از VPN استفاده می‌کنید باید بدانید که اکثر VPN Protocol ها برای احراز هویت یا رمز کردن داده شما از Certificate استفاده می‌کنند و کلید خصوصی سرور، نزد ادمین سرور قرار دارد. بنابراین قادر به شنود اطلاعات نیز خواهد بود.
• SSL Offloading: اگر از مکان‌های عمومی یا لپتاپ شخص دیگری برای انجام کاری استفاده می‌کنید، باید بدانید که حتی اگر در سایت‌هایی با پیشوند https در حال رد و بدل کردن اطلاعات هستید در صورت SSL Offloading اطلاعات شما می‌تواند قابل شنود باشد.

در گذشته که نسل‌های قدیمی شبکه‌های اجتماعی مانند NimBuzz وجود داشت، هکرها با طراحی برنامه‌ای شبیه به شبکه اجتماعی اصلی و پخش آن در سطح عمومی و پس از نصب برنامه توسط کاربر روی گوشی و وارد کردن نام کاربری و پسورد، می‌توانستند به اطلاعات کاربر که از طریق پیامک و ایمیل برای هکر ارسال می‌شد، به اطلاعات دسترسی پیدا کنند.

در خصوص بسیاری از بازی‌های آنلاین نیز همین موضوع وجود داشت، به طوری که هکرها برای بازی‌هایی که در بین کاربران از محبوبیت بالایی برخوردار بودند رباتی طراحی کرده و حتی یک Addons خاص برای بازی طراحی می‌کردند که با نصب بر روی سیستم قربانی می‌توانستند از آن‌ها دزدی کنند.

در روشی دیگر نیز با هک کردن اکانت افراد برجسته در شبکه‌های اجتماعی یا گیت‌هاب و با جای‌گذاری بدافزارها یا خبرهای دروغ، باعث به وجود آمدن ضرر برای کاربران و نفوذ به آن‌ها می‌شدند.

در آخر این نکته لازم به ذکر است که شبکه‌های اجتماعی سهم بسیار زیادی در بالا رفتن سطح آگاهی دارند و استفاده از آن‌ها در بین بسیاری از کاربران مرسوم است. بنابراین بهتر است با ورود به شبکه‌های اجتماعی مختلف، کاربران به خوبی با این فضا آشنا شوند و راستی‌آزمایی‌های لازم را انجام دهند، زیرا ممکن است روشی که هکرها برای قرار دادن عکس در اینستاگرام Instagram قرار می‌دهند یا روشی که برای به اشتراک گذاشتن متن‌های مختلف در توئیتر (Twitter) انتخاب می‌کنند و یا شیوه‌ای که برای صحبت کردن در کلاب هاوس (ClubHouse) دارند مانند شیو‌ه‌های اصلی و معمول نباشد.