فیشینگ نوعی حمله مهندسی اجتماعی است که عموماً از طریق ایمیل و با هدف سرقت اطلاعات ورود به سیستم و سایر اطلاعات حساس مانند اطلاعات کارت اعتباری برای سرقت هویت افراد انجام میشود.
یکی از ویژگیهای قابل توجه فیشینگ، عنصر سورپرایز است! این ایمیلها زمانی دریافت میشوند که قربانی انتظارش را ندارد. مهاجمان میتوانند ایمیلها را زمانبندی کنند تا قربانیان در شرایط حواس پرتی با چیزهای دیگر مانند کار، آنها را دریافت کنند. تمرکز و توجه دائمی به ایمیلهای مشکوک غیرممکن است و کلاهبرداران این را خوب میدانند.
بر اساس گزارش سالانه جرایم اینترنتی FBI در سال ۲۰۲۰، حملات فیشینگ ۳۲.۳۵ درصد از کل حملات سایبری سال گذشته را شامل میشود که در واقع بیشترین حمله بوده است و ۲۴۱ هزار و ۳۴۲ مورد فیشینگ رخ داده است. این رقم در پنج سال گذشته بیش از ده برابر شده است، در حالی که در سال ۲۰۱۵ این رقم ۱۹۴۶۵ بود.
در حمله فیشینگ، هکرها از ارتباطات نوشتاری (به عنوان مثال ایمیل یا پیام فوری) برای سرقت اطلاعات شخص به عنوان یک منبع معتبر استفاده میکنند. در واقع هدف این است که گیرنده ایمیل فریب بخورد و با تصور اینکه پیام مورد نظر چیزی است که او میخواهد، روی لینک کلیک کرده و یا پیوست را بارگیری کند. معمولا این روند مراحل زیر را طی میکند:
هکر به یک وب سایت معتبر دسترسی پیدا کرده یا یک دامنه جعلی ایجاد میکند.
مهاجم پیامی را طراحی میکند که دریافت کنندگان را به کلیک بر روی لینک ارسالی به آن سایت ترغیب کرده و این پیام را به ایمیلهای متعددی ارسال میکند.
اگر شخصی روی لینک کلیک کند، یا از آنها خواسته میشود نام کاربری و رمزعبور خود را وارد کنند و یا سایت بدافزاری را بارگیری میکند که اطاعات ذخیره شده در دستگاه یا حافظه مرورگر را جمع آوری میکند.
حمله ویشینگ چیست؟
حمله ویشینگ (Vishing= Voice + phishing)، نوعی یورش سایبری و کلاه برداری اینترنتی مبتنی بر مهندسی اجتماعی و مهندسی ذهن است که از طریق تماس صوتی تلفنی انجام میشود.
سازوکار حملات ویشینگ چگونه است؟
سازوکار حملات ویشینگ، برقراری تماس تلفنی با قربانی، استفاده از قوه قهریه، ایجاد فضای ترس از خطر قریب الوقوع و اتمسفر اضطراب است تا قربانی به هر آنچه که مهاجم میگوید عمل کند و مورد فیشینگ قرار گیرد.
نقطه قوت ویشرها (Vishers) در حملات ویشینگ، استفاده از تاکتیکهای روانشناسی و مهندسی ذهن برای فریب قربانیان در جهت ارائه اطلاعات حساس یا انجام اقدامات مورد نظر ویشر است. یکی از این تاکتیکهای رایج، استفاده از قدرت و ایجاد فضای ترس است. به عنوان مثال، مهاجم با کسب اطلاعات شخصی در مورد شرایط قربانی، محل کار و مسائل مرتبط به شرایط پیرامون کاربر، با وی تماس تلفنی برقرار کرده و وانمود میکند که به طور مثال از سازمان امور مالیاتی یا اداره بیمه یا یکی از مراکز خدمات عمومی، درمانی و... برای پیگیری دریافت مالیات پرداخت نشده یا حق بیمه پرداخت نشده یا پرداخت بخشی از هزینه پزشکی بستگان بستری در بیمارستان و. تماس میگیرد. ترس از جریمه شدن، مسدود شدن حساب بانکی یا حساب کاربری، ترس از انجام دیرهنگام هر عملی که منجر به خطر افتادن وضعیت عمومی و سلامتی خود و بستگانش شود میتواند باعث شود قربانیان آنچه را که ویشر به آنها میگوید انجام دهند.
تفاوت بین ویشینگ و فیشینگ عمومی چیست؟
در حالی که ویشینگ و فیشینگ هر دو نوعی از حملات سایبری مبتنی بر مهندسی اجتماعی هستند و از بسیاری از تاکتیکهای مشابه استفاده میکنند، اما تفاوت اصلی آنها، در رسانه مورد استفاده برای انجام حملات است.
همانطور که در بالا ذکر شد، حملات ویشینگ از تماس تلفنی برای انجام یک حمله استفاده میکند. مهاجم با قربانی تماس میگیرد و با مکالمه صوتی تلفنی سعی میکند او را فریب دهد تا وی را مجبور به انجام عملی کند. اما در حملات فیشینگ عمومی، فیشرها از اشکال ارتباط الکترونیکی مختلفی مانند ایمیل، پیامهای متنی در سامانهی SMS، برنامههای ارتباطی شرکتی (Slack، Microsoft Teams و ...)، برنامههای پیام رسانی (Telegram، Signal، WhatsApp و ...) یا رسانههای اجتماعی (فیس بوک، اینستاگرام و ...) برای حملات خود استفاده میکنند.
انواع حملات ویشینگ
حملات ویشینگ میتوانند به اندازه انواع حملات فیشینگ عمومی متنوع باشند. برخی از رایجترین اشکال مورد استفاده در حملات ویشینگ عبارتند از:
تماس تلفنی برای رفع مشکلات حساب بانکی، حساب اعتباری یا حساب کاربری
ویشر وانمود میکند که از یک بانک یا سایر مراکز ارائه خدمات بخش خصوصی تماس میگیرد و ادعا میکند که مشکلی در حساب مشتری وجود دارد. سپس اطلاعات شخصی را برای "تأیید هویت مشتری" درخواست میکند.
تماس تلفنی از سمت دولت یا یک سازمان دولتی
ویشر خود را به عنوان نماینده دولت یا یک سازمان دولتی، مانند اداره مالیات، اداره بیمه تامین اجتماعی یا سایر مراکز ارائه خدمات بخش عمومی معرفی میکند. این حملات معمولاً برای سرقت اطلاعات شخصی یا فریب قربانی برای ارسال پول به حساب تحت نظر مهاجم طراحی شده اند.
تماس تلفنی از سمت مرکز پشتیبانی فنی
ویشر ممکن است خود را نمایندهای از مرکز پشتیبانی فنی شرکتهای بزرگ حوزه فناوریهای مبتنی بر وب مانند دیجی کالا، اسنپ، تپسی و... معرفی کند و وانمود کند که به منظور رفع مشکل در رایانه یا مرورگر یا حساب کاربری قربانی میخواهد به او کمک کند.
چگونه از حملات ویشینگ جلوگیری کنیم؟
مانند سایر حملات فیشینگ، آگاهی کاربر از سازوکارهای حملات سایبری و کلاه برداریهای اینترنتی برای پیشگیری و محافظت از حملات ویشینگ ضروری است. برخی از نکات مهمی که باید در آموزش آگاهی از امنیت سایبری حوزه ویشینگ لحاظ شود عبارتند از:
هرگز دادههای شخصی خود را ارائه ندهید
حملات ویشینگ معمولاً برای فریب دادن قربانی جهت به دست آوردن اطلاعات حسابهای کاربری و شخصی طراحی شده اند؛ لذا هرگز رمز عبور، کد احراز هویت چند عاملی (MFA)، دادههای مالی یا اطلاعات مشابه را از طریق تماس تلفنی به کسی ارائه ندهید.
همیشه از صحت شماره تلفنها اطمینان حاصل کنید
ویشرها همیشه وانمود میکنند که از یک سازمان قانونی دولتی یا خصوصی تماس میگیرند. قبل از دادن هر گونه اطلاعات شخصی یا انجام هر کاری که مهاجم میگوید، نام تماس گیرنده را دریافت کرده و با استفاده از شماره تلفن موجود در وب سایت رسمی آن سازمان با او تماس بگیرید. اگر تماس گیرنده سعی به منصرف کردن شما از انجام این کار داشته باشد، احتمالاً در معرض یک کلاهبرداری اینترنتی قرار دارید.
هرگز اجازه دسترسی به رایانه از طریق نرم افزارهای ریموت دسکتاپ را فراهم نکنید
ویشرها ممکن است به بهانهی رفع مشکلات نرم افزازی یک کامپیوتر، اما در واقع برای نصب بدافزار یا دسترسی به اطلاعات رایانه شما، درخواست ورود از راه دور از طریق نرم افزارهای ریموت دسکتاپ یا کنترل از راه دور کامپیوتر (نظیر AnyDesk، TeamViewer، RemotePC و...) کنند. هرگز اجازه دسترسی به رایانه خود را به هیچکس به جز اعضای تأیید شده بخش فناوری اطلاعات سازمان ندهید.
گزارش وقایع و اقدامات مشکوک به مقامات ذیصلاح
هرگونه حمله مشکوک به ویشینگ را به بخش فناوری اطلاعات یا مرکز امنیت سایبری سازمان یا مقامات ذیصلاح گزارش دهید تا بتوانند برای محافظت از دیگران در برابر آن اقدام کنند.
حمله اسمیشینگ چیست؟
حملات اسمیشینگ (smishing) نوعی حمله فیشینگ است که از طریق پیامک به دستگاههای تلفن همراه، کاربر را هدف قرار میدهد. در این حمله به جای ارسال محتوای فیشینگ از طریق ایمیل، اسمیشرها (smishers) از پیامهای متنی SMS یا MMS برای حملات خود استفاده میکنند.
سازوکار حملات اسمیشینگ چگونه است؟
سازوکار حملات اسمیشینگ بر ارسال پیامهای متنی از طریق SMS یا MMS به دستگاههای تلفن همراه سازمانی و شخصی استوار است. از آنجایی استفاده از دستگاههای تلفن همراه در حوزههای تجاری و سازمانی رایج هست، رسانهای پرکاربرد در حملات اسمیشینگ محسوب میشود.
استفاده از دستگاههای تلفن همراه برای اقدامات کسب و کاری به ویژه در زمان کرونا و پس از آن به سرعت رشد کرده است. موبایل اغلب کاربران همیشه روشن است و نسبت به پیامهای تلفن همراه، واکنش سریع نشان میدهند. این مسئله برای اسمیشرها بسیار ارزشمند است؛ زیرا دستگاههای تلفن همراه به چندین کانال ارتباطی (ایمیل، رسانههای اجتماعی و غیره) دسترسی دارد و همین موضوع باعث میشود پیامهای متنی مزایای متعددی برای مهاجمان در پی داشته باشد.
در حمله اسمیشینگ، مهاجم یک پیام متنی دارای اتمسفر فوریت، هیجان، ترس یا اضطراب را برای قربانی ارسال میکند و از وی میخواهد بر روی لینک موجود در پیام و یا پیوست موجود در MMS، به یک وبسایت جعلی تحت کنترل اسمیشر وصل شده و اطلاعات کاربری یا هویتی شخصی یا سازمانی خود را برای دریافت یک منفعت جذاب یا برای جلوگیری از وقوع یک حادثه برای حساب کاربری یا بانکی خود ارائه دهد.
یکی از مسائل خطرناک و چالش برانگیز در حوزه حملات اسمیشینگ این است که در یک پیامک، استفاده از لینک کوتاه یک امر عادی است و این مسئله، دیدن هدف یک لینک را از قبل دشوار میکند.
علاوه بر این، تلفنهای همراه به کاربران اجازه نمیدهند که ماوس را روی یک لینک برای مشاهده مقصد آن نگه دارند. هر دوی این عوامل فیشینگ از طریق پیامک را برای مهاجمان آسانتر و موثرتر میکند.
انواع حملات اسمیشینگ
مانند حملات فیشینگ مبتنی بر ایمیل، حملات اسمیشینگ نیز از تاکتیکهای مختلفی برای فریب کاربران استفاده میکنند. برخی از نمونههای رایج آن عبارتند از:
پیامک رفع مشکل حساب کاربری
برندها به طور فزایندهای از پیامک برای اطلاع رسانی و ارائه خدمات به مشتریان استفاده میکنند و کاربران نسبت به دریافت پیامک در مورد مسائل مختلف یا اعلانهای مربوط به حسابهای کاربری خود عادت دارند. اسمیشرها از همین عادت سوء استفاده کرده و پیامکی ارسال میکنند و وجود مشکل در حساب کاربری شما را اعلام میکنند و از شما میخواهند با کلیک بر روی پیوند جعلی موجود در پیامک و انجام دستورالعملهای گفته شده در آن، مشکل حساب کاربری خود را برطرف کنید؛ در حالیکه این پیام میتواند یک حملهی اسمیشینگ بوده و در پی سرقت اطلاعات کاربری شما در پلتفرمهای مختلف باشد.
ارائه خدمات غیرحضوری مربوط به کرونا:
همه گیری کرونا فرصتهای متعددی را برای مجرمان سایبری فراهم کرده است. اسمیشرها ممکن است در قالب یک پیامک، اطلاعات شخصی شما را برای ارائه خدمات جعلی درمانی یا پیشگیری رایگان کرونا درخواست کنند.
پیامک رفع مشکل حساب بانکی و خدمات مالی
اسمیشر ممکن است یک پیامک جعلی از طرف یک بانک یا موسسه اعتباری که شما در آن حساب دارید ارسال کند و از شما بخواهد با کلیک بر روی لینک موجود در پیامک و پس از آن، انجام برخی اقدامات، به رفع مشکل حساب بانکی خود کمک کنید. در این حالت، اسمیشر در بخشی از فرآیند تأیید سعی میکند اعتبار ورود به سیستم یا سایر اطلاعات شخصی شما را به سرقت ببرد.
پیامک کدهای احراز هویت چند عاملی
از آنجایی که پیامک یکی از متداولترین روشهایی است که برای احراز هویت چند عاملی (MFA) استفاده میشود، برخی از حملات اسمیشینگ برای سرقت این کدها طراحی شده اند. اسمیشر ممکن است به کاربر بگوید که باید هویت خود را با گفتن کد MFA ارسال شده به وی، تأیید کند. مهاجم پس از دریافت کد از شما، به عنوان کاربر فعال به حساب کاربری شما دسترسی پیدا میکند.
پیامک تأیید سفارش
پیامکهای اسمیشینگ ممکن است حاوی تأییدیه یک سفارش جعلی و همچنین لینکی برای تغییر یا لغو آن سفارش باشد. هنگامی که کاربر بر روی پیوند کلیک میکند به یک وبسایت جعلی هدایت شده و اطلاعات اعتباری ورود به سیستم آنها سرقت میشود.
چگونه از حملات اسمیشینگ جلوگیری کنیم
از کلیک روی پیوندهای مشکوک موجود در پیامک اجتناب کنید.
هرگز اطلاعات شخصی خود را در جواب یک پیامک مشکوک، ارسال نکنید.
هیچ اپلیکیشنی را با کلیک بر روی لینکهای موجود در پیامکها دانلود نکنید. برنامههای کاربردی را از فروشگاههای اینترنتی معتبر نصب کنید.
هرگز کدهای احراز هویت چند عاملی را به اشتراک نگذارید.
فیشینگ، کرونا و دور کاری در سازمانها
همه گیری کرونا، رویکرد کاری اکثر سازمانها را تغییر داد. دورکاری به استاندارد جهانی تبدیل شد و سازمانهای دولتی و خصوصی به سمت این رویکرد با سرعت بالا قدم برداشتند. مدیران مجبور شدند دسترسیهای دورکاری سازمانی را به سرعت راهاندازی کنند، بنابراین امنیت سایبری محیط نادیده گرفته شده تا امکان پیشبرد اهداف سازمانی فراهم شود. این فوریت اجباری، بستر مناسبی برای حملات موفقیت آمیز فیشینگ و به خطر انداختن امنیت سایبری در سطح جهان ایجاد کرد.
امنیت پیامهای الکترونیک کمتر شد و به مهاجمان شانس بیشتری برای یک کمپین فیشینگ موفق داد. جعل هویت مدیران عامل، مدیران اجرایی رده بالا و فروشندگان مورد اعتماد سازمانها پس از همه گیری کرونا افزایش یافت و خطاهای انسانی کارکنان به شدت بالا رفت. از آنجایی که کارکنان هنوز نیاز به دسترسی به سیستمهای سازمانی از راه دور دارند، فیشرها میتوانند هر کارمندی را در خانه هدف قرار داده تا از راه دور به محیط کاربری سازمان دسترسی پیدا کنند. ترکیب امنیت سایبری ضعیف و افزایش خطای انسانی کارکنان سازمان ها، مزایای زیادی برای حملات فیشینگ در سراسر جهان ایجاد میکند و به مرور زمان با افزایش استفاده از دستگاههای الکترونیکی نظیر رایانه و تلفن همراه به دلیل افزایش نظامهای دورکاری تجاری و سازمانی، این حملات رایجتر و پیچیدهتر خواهند شد؛ بنابراین ارائه آموزشهای لازم و ضروری ضد فیشینگ برای کارکنان سازمانها در این دورهی جدید از اهمیت بالایی برخوردار است.