ماهی‌‌گیری یا ماهی‌گیری؛ کدامیک؟

 تا این‌جای کار همه چیز خوب پیش رفته و ماهی‌گیری (Fishing) یک فعالیت بسیار خوب و لذت‌بخش به شمار می‌رود؛ اما واژه فیشینگ همیشه یادآور خاطرات خوش نیست. زمانی‌که به دنیای دیجیتال وارد می‌شوید، یک تفاوت بزرگ مابین fishing و Phishing وجود دارد؛ به عبارت دیگر هیچ‌کس دوست ندارد واژه Phishing در اطراف زندگی‌اش قرار داشته باشد. 

ماهی‌گیران دنیای آنلاین، خلاف‌کاران سایبری هستند که این روزها به قصد صید اطلاعات شخصی، اطلاعات کارت‌های اعتباری و ...  بلای جان کاربران و سازمان‌های بزرگ شده‌اند. متأسفانه برای حملات فیشینگ هیچ راه‌کار جامعی وجود ندارد و دفاع در برابر این‌گونه حملات بر پایه هوش کاربران به ویژه کاربرانی که در سازمان‌های بزرگ و حساس کار می‌کنند قرار دارد. تهدید فیشینگ همانند بیماری آنفولانزا است و به‌طور مداوم در حال تغییر است و همواره مکانیزم خود را تغییر می‌دهد. بازی‌گران تهدید به راحتی این توانایی را دارند تا یک کمپین شخصی راه‌اندازی کنند و برای هفته‌ها یا ماه‌ها در انتظار کارمندان یک شرکت بشینند. آن‌ها به خوبی می‌دانند که سرانجام صیدی را به تور خواهند انداخت.

این دام‌گستران سایبری همواره سعی می‌کنند طعمه‌های اغفال‌کننده‌ای پیش روی کاربران قرار دهند. دسترسی به یک وای‌فای عمومی، ورود به سایت‌‌های جعلی همراه با لینک‌های فریبنده، وعده تخفیف به مناسبت اعیاد مختلف تنها چند مورد از روش‌های بی‌شمار هکرها به شمار می‌رود. عجیب است در میان این هجمه سنگین حملات سایبری، قلاب من ناگهان فیشینگ را صید کرد! از اواسط اکتبر سال جاری میلادی تقریبا یک ماه پیش، موج گسترده‌ای از حملات فیشینگ کاربران فضای مجازی را تهدید کرد. این موج عمدتا گوگل و اطلاعات کاربران سرویس‌های گوگل را تحت الشعاع خود قرار داده است و به نظر می‌رسد هر روز دامنه این موج بلندتر می‌شود. اولین موج این حمله به کمتر از یک ماه پیش باز می‌گردد؛ زمانی که صفحات آلوده به فیشینگ در سرورهای ابری گوگل‌درایو شناسایی شدند. ساختار فنی این صفحات شباهت بسیار زیادی به صفحاتی دارد که در مارس سال گذشته میلادی موفق شد گذرواژه و شناسه بسیاری از کاربران را در صفحه خدمات آنلاین گوگل، به دست آورد.

در حملات ماه اکتبر، ساز و کار همانند سال قبل نبود و هکرها دیگر از صفحات جعلی که تحت پروتکل انتقال ابر متن ایمن HTTPS کاربران را فریب دادند استفاده نکردند. در حملات اکتبر یک ترفند جدید مورد استفاده قرار گرفت. ایمیلی با عنوان document کاربران را به صفحات جعلی هدایت می‌کرد. طراحی کدها و کدنویسی این صفحات به گونه‌ای بوده که حتی کارشناسان فنی به راحتی توانایی شناسایی این صفحات جعلی را نداشتند. به هر ترتیب این حمله شناسایی شد و گوگل صفحات جعلی را از روی سایت خود حذف کرد. اما به فاصله کوتاهی از این حمله، در تاریخ 17 نوامبر باگ غیر معمول دیگری دامن‌گیر سرویس‌های گوگل شد. باگ جدید به هکرها اجازه می‌دهد تا ایمیل‌هایی را به‌طور ناشناس برای کاربران ارسال کنند. عجیب است که چنین باگی تاکنون در برنامه آندرویدی جی‌میل شناسایی نشده بود. شاید غیرمعمول بودن این رخنه دلیل مستتر بودن باشد. در این رخنه، اگر هکری نام کاربری خود را در Settings حذف و اقدام به ارسال ایمیلی کند، آدرس ایمیل واقعی او پنهان باقی می‌ماند و دریافت کننده، هیچ‌گاه اطلاع پیدا نخواهد کرد که ایمیل از سوی چه کسی برای او ارسال شده است.

یک رخنه مؤثر، یک ساز و کار بسیار ساده اما در عین حال قدرتمند را برای پیاده‌سازی حملات فیشینگ در اختیار هکرها قرار می‌دهد. اما بخش جالب‌تر داستان این است که گوگل حاضر نشد این رخنه را به عنوان یک آسیب‌پذیری امنیتی بپذیرد. البته گوگل به دلایل بسیار زیادی مورد توجه مجرمان سایبری قرار دارد. سازوکار گوگل بر پایه Single Sign On عمل می‌کند. به این معنی که شما با وارد کردن نام کاربری و گذرواژه خود به راحتی به تمامی سرویس‌هایی که از سوی گوگل ارائه می‌شود دسترسی خواهید داشت و نیازی نیست برای هر سرویس، فیلدهای امنیتی را مجددا مقداردهی کنید. همان‌گونه که مشاهده می‌کنید، در برابر حملات فیشینگ، کار چندانی از دست ما ساخته نیست. به ویژه آن‌که ماهیت متغیر آن‌ها به ما اجازه نمی‌دهد یک سیستم دفاعی جامع در برابر آن‌ها اتخاذ کنیم؛ اما همواره می‌توانیم به نشانه‌ها توجه داشته باشیم. در بسیاری از این مدل حملات، سایت‌های جعلی شباهت بسیار زیادی به سایت‌های اصلی دارند. سایت‌های بزرگ و مهم برای دریافت اطلاعات حساس از پروتکل‌های ایمن استفاده می‌کنند. در نهایت همواره سعی کنید برای ورود به سایت‌های حساسی همچون سایت بانک‌ها یا سرویس‌های مشابه، هیچ‌گاه از شبکه‌های وای‌فای عمومی که عمدتا در خیابان‌ها یا کافه‌ها قرار دارد، استفاده نکنید. مثل همیشه پیشنهاد می‌کنم از بسته‌های امنیتی به‌روز استفاده کنید تا هیچ‌گاه شکار یک قلاب ماهی‌گیری آنلاین نشوید!