آموزش رایگان سکیوریتی پلاس: آشنایی با انواع حمله‌های فیشینگ

برای مطالعه بخش قبل روی این آدرس کلیک کنید.

فیشینگ (Phishing)

یکی دیگر از سناریوهای محبوب برای حمله مهندسی اجتماعی، حمله فیشینگ است. با حمله فیشینگ، هکر معمولاً برای کاربر ایمیلی می‌فرستد و وانمود می‌کند که نماینده یک بانک یا شرکتی معروف مثل دیجی‌کالا است. ایمیل معمولاً به کاربر می‌گوید که یک حادثه امنیتی رخ داده است و کاربر باید برای رفتن به سایت و بررسی وضعیت حساب خود، روی پیوند ارائه شده در ایمیل کلیک کند. به عنوان مثال، ایمیل در ظاهر این‌گونه به نظر می‌رسد که از طرف مدیر امنیتی یک بانک ارسال شده و از کاربر می‌خواهد پیوند ارائه شده را دنبال کند و برای بررسی حساب خود به سایت بانک وارد شود. این ایمیل با درخواست از قربانیان برای گزارش هرگونه تراکنش مشکوک به مدیر امنیتی ادامه می‌یابد و برای معتبر جلوه داده ایمیل اطلاعات تماسی نیز در اختیار کاربر قرار می‌گیرد.

در این مثال، لینکی که کاربر فریب خورده و روی آن کلیک می‌کند به سایتی اشاره دارد که هکر طوری تنظیم کرده است که شبیه سایت بانک باشد. هکر منتظر است تا کاربر سعی کند با شماره حساب و رمز عبور خود وارد سیستم شود تا بتواند آن اطلاعات را ضبط کرده و سپس در یک پایگاه داده ذخیره کند. شکل زیر ایمیلی را نشان می‌دهد که ممکن است هر کاربری آن‌را دریافت کند. در این ایمیل هکر سعی می‌کند تا قربانی را فریب دهد تا روی پیوندی که به نظر می‌رسد از بانک آمده است کلیک کند.

یکی از کارهایی که می توانید برای جلوگیری از رفتن کاربران به سایت‌های فیشینگ انجام دهید این است که به آن‌ها اعلام کنید همیشه قبل از کلیک کردن روی پیوند، آدرس اینترنتی را بررسی کنند. به‌عنوان مثال، در اکثر برنامه‌های ایمیل، اگر ماوس را روی یک لینک نگه دارید، URL واقعی را مشاهده می‌کنید که نشان می‌دهد با کلیک روی لینک مذکور به چه سایتی خواهید رفت. کاربران همچنین باید نام ارسال‌کننده ایمیل را با نام و آدرس ایمیل واقعی که نشان داده می‌شوند بررسی کنند و آیا با هم تطابق دارند یا خیر. همچنین به اشتباهات املایی و گرامر بد به عنوان نشانه دیگری مبنی بر اینکه پیام ممکن است یک حمله مهندسی اجتماعی باشد، دقت کنید.

اگر ایمیل فیشینگ دریافت کردید، می‌توانید این موضوع را به کارگروه ضد فیشینگ (APWG) در سایت زیر گزارش دهید تا کاربران دیگری در جهان قربانی حمله فیشینگ نشوند.

 www.antiphishing.org/report-phishing/

صید نهنگ و ویشینگ (Whaling and Vishing)

نوعی از حمله فیشینگ که در چند سال اخیر رایج شده است، حمله به نهنگ است. حملات صید نهنگ شبیه حملات فیشینگ هستند، زیرا هدف ارسال یک ایمیل برای فریب کسی است که حساب کاربری در سایت‌هایی مثل بانک یا eBay دارد. اما تفاوت شکار نهنگ در این است که هکر به جای ارسال ایمیل برای همه، ایمیل را برای شخص خاصی ("ماهی بزرگ") می‌فرستد که ممکن است چیزهای زیادی برای از دست دادن داشته باشد. قربانی شکار نهنگ معمولاً یک مدیر اجرایی یک شرکت است و هکر معمولاً نام آن‌ها را از وب‌سایت شرکت می‌گیرد و ایمیل را با استفاده از نام مدیر اشد یا هئیت مدیره ارسال می‌کند.

یکی دیگر از انواع محبوب حملات فیشینگ، حمله ویشینگ است. مانند فیشینگ، ویشینگ نیز سعی می‌کند مردم را فریب دهد و از آن‌ها پول بدزدد. با این تفاوت که با vishing، تماس به جای پیام ایمیل با تلفن برقرار می‌شود. اصطلاح vishing از این واقعیت ناشی می‌شود که هکر از تکنیک‌های "صدا" و "فیشینگ" استفاده می‌کند. یک مثال رایج از vishing زمانی است که از یک شرکت تماس تلفنی دریافت می‌کنید که ادعا می‌کند در صورت پرداخت مقدار مشخصی می‌توانید گارانتی خودرو خود را تمدید کنید، بررسی کنید که آیا شرکت اصلی در دنیای واقعی چنین کاری انجام می‌دهد و آیا دسترسی فیزیکی به این شرکت وجود دارد یا خیر. در این مثال، شما پول را می‌دهید، اما گارانتی طولانی مدت خودرو دریافت نمی‌کنید!

سایر حملات مهندسی اجتماعی

چند نوع دیگر از حمله‌های مهندسی اجتماعی و اصطلاحات مرتبط با آن وجود دارد که باید برای آزمون سکیوریتی پلاس از آن‌ها مطلع باشید.

■   Smishing : نوعی حمله فیشینگ است که شامل ارسال پیام‌های متنی توسط هکر برای قربانی احتمالی است. هکر معمولاً  نام شرکتی را جعل می‌کند که قربانی مورد نظر به آن اعتماد می‌کند تا اطلاعات حساس مانند رمز عبور یا شماره کارت اعتباری را در اختیار او قرار دهد.

■   Spim:  اسپیم نام خود را از «هرزنامه از طریق پیام‌رسانی فوری» گرفته است و اغلب به‌صورت spim نوشته می‌شود. به‌طور معمول، شناسه‌های پیام‌رسان فوری توسط هکر با استفاده از یک ربات (یک نرم‌افزار در حال خزیدن در اینترنت به دنبال نام‌های ورود پیام‌رسان‌ها) پیدا می‌شوند. سپس ربات یک پیام فوری برای کاربر ارسال می‌کند و از او می‌خواهد که روی لینک ارسال شده کلیک کند.

■   Spear phishing: نوعی از حملات فیشینگ (شکل مهندسی اجتماعی) است که در آن پیام ایمیل ارسالی جعلی است و به نظر می‌رسد که از یک منبع قابل اعتماد مانند یک کارمند ارسال شده است. ایمیل سعی می‌کند گیرنده را ترغیب کند تا اطلاعات حساس را فاش کند.

■   ‌Spam: هرزنامه شامل ارسال پیام ایمیل ناخواسته برای تعدادی از افراد است. پیام‌های هرزنامه معمولاً به این امید ارسال می‌شوند که گیرنده پیام هرزنامه محصول یا خدماتی را از فرستنده پیام بخرد. اکثر سرورهای ایمیل در حال حاضر دارای فیلترهای هرزنامه هستند که به محافظت از سیستم در برابر دریافت تعداد زیادی از پیام‌های ایمیل ناخواسته کمک می‌کنند.

■   Eliciting information: به دست آوردن اطلاعات استخراج اطلاعات زمانی اتفاق می‌افتد که مهاجم از تکنیک‌های مهندسی اجتماعی برای به دست آوردن اطلاعاتی از کاربر استفاده می‌کند که می‌تواند در حمله آینده از آن‌ها استفاده شود.

■   Prepending : زمانی است که اطلاعات به ابتدای داده‌های مخرب اضافه می‌شود. برای مثال، مهاجم ممکن است شما را وادار کند که روی پیوندی کلیک کنید که www.banksite.com@192.168.2.1 است، جایی که مرورگر همه اطلاعات قرار گرفته در سمت چپ علامت @ را نادیده می‌گیرد.

■    Identity fraud: جعل هویت زمانی است که مهاجم بتواند اطلاعات هویتی، مانند شماره تأمین اجتماعی یا شماره کارت اعتباری را بدزدد و سپس از آن اطلاعات استفاده کند. به عنوان مثال، پس از سرقت شماره کارت اعتباری قربانی، مهاجم از آن برای خرید استفاده کند.

■    Invoice scams : کلاهبرداری فاکتور زمانی است که مهاجم یک پیام الکترونیکی ارسال می‌کند که به شما اطلاع می‌دهد پرداخت فاکتورتان عقب افتاده است و پرداخت فوری لازم است. وقتی روی لینک پرداخت فاکتور کلیک می‌کنید یا به یک سایت مخرب هدایت می‌شوید یا یک سند فاکتور باز می‌شود که کدهای مخرب را اجرا می‌کند.

■   Credential Harvesting: دستکاری اعتبار زمانی است که مهاجم اطلاعات ورود به سیستم را جمع‌آوری می‌کند و بعداً از آن اطلاعات برای دسترسی به حساب شما استفاده می‌کند.

■    Reconnaissance : شناسایی زمانی است که مهاجم زمان خود را صرف تحقیق و جمع‌آوری اطلاعات در مورد هدف مورد نظر قبل از تصمیم‌گیری در مورد نحوه حمله می‌کند. شناسایی شامل جست‌وجوی اطلاعات عمومی موجود در اینترنت در مورد یک شرکت و همچنین انجام پینگ‌سوئیپ و اسکن پورت برای کشف سیستم‌هایی که در حال اجرا و سرویس‌های در حال اجرا در هر سیستم می‌شود.

■   Influence campaigns/hybrid warfare Influence campaigns: کمپین‌های نفوذ/جنگ ترکیبی عمدتا در ارتباط با رسانه‌های اجتماعی و با هدف ایجاد حساب‌های جعلی و پست‌های جعلی که برای تحت تأثیر قرار دادن دیدگاه‌های عموم طراحی شده‌اند، استفاده می‌شوند. جنگ ترکیبی شامل استفاده از تاکتیک‌های نظامی سنتی و تاکتیک‌های نظامی غیرسنتی، مانند جنایات سازمان‌یافته، تروریسم و استفاده از غیرنظامیان برای کارهایی مانند تبلیغات، در زمان رای‌گیری‌ها است.

نکته: برای آزمون حتماً تفاوت بین انواع مختلف فیشینگ مثل smishing، vishing، spim، spear phishing، credential harvesting و spam را بررسی کنید. بدون شک در ارتباط با این حمله‌ها سوالاتی را مشاهده می‌کنید.

Shoulder Surfing  و Dumpster Diving

نکته کلیدی که باید در مورد حملات مهندسی اجتماعی به خاطر بسپارید این است که آن‌ها معمولاً شامل فناوری نیستند. نمونه‌هایی از حملات مهندسی اجتماعی که شامل فناوری نمی‌شوند، موج‌سواری روی شانه و غواصی در زباله‌دان هستند.

موج‌سواری روی شانه زمانی است که هکر سعی می‌کند اطلاعات محرمانه یا اطلاعاتی را مشاهده کند که ممکن است به مهاجم کمک کند امنیت را از زاویه دید کارکنان بخش‌های مختلف یک سازمان مثل میز کار آن‌ها یا صفحه کامپیوتر مشاهده کند.

غواصی در زباله‌ها یک حمله محبوب است که در آن هکر از زباله‌های قربانی به دنبال اسناد یا اطلاعاتی می‌رود که می‌تواند حمله را تسهیل کند. هکر ممکن است اطلاعاتی را بیابد که می‌تواند از طریق یک تماس تلفنی یا گفت‌وگوی حضوری به او در انجام یک حمله مهندسی اجتماعی کمک کند یا هکر به سادگی می‌تواند رمز عبوری را که شخصی نوشته و در زباله انداخته است پیدا کند.

Tailgating

یکی دیگر از حملات مهم مهندسی اجتماعی است، اما بیشتر یک حمله علیه امنیت فیزیکی است. Tailgating زمانی است که هکر از طریق یک فرد مجاز که قفل در را با استفاده از کارت یا رمز عبور خود باز کرده است از یک منطقه امن عبور می‌کند. هکر ممکن است با شخصی که در حال پیگیری کارهای او است گفت‌وگو کند تا حواس کارمند را از این واقعیت منحرف کند که هکر (در واقع، ما فردی را که امنیت فیزیکی را به خطر می‌اندازد یک مزاحم می‌گوییم) بدون کشیدن کارت یا وارد کردن شماره رمز عبور یا شماره شناسایی شخصی (PIN) خود به مرکز وارد شده است.

آموزش دادن به کارمندان در مورد این نوع حمله و اطمینان از این نکته که آن‌ها می‌دانند اگر فردی مشکوک پیرامون درهای ورودی در حال پرسه زدن است، مشکوک است و باید مراقب ورود او به سازمان باشند اهمیت زیادی دارد. به کارمندان اطلاع دهید که اگر کارت خود را تند بکشند یا رمز عبور خود را برای باز کردن قفل در وارد کنند و فرد دیگری همزمان با آن‌ها به سازمان وارد شود، مسئولیت این اتفاق با آن‌ها است.

اکثر مردم احساس راحتی نمی‌کنند که بگویند: «متاسفم، شما باید منتظر بمانید تا در بسته شود و سپس کارت خود را بکشید»، بنابراین به عنوان یک متخصص امنیتی ممکن است از شما خواسته شود که کنترل‌های امنیتی را برای پیشگیری از بروز این مدل حمله بررسی کرده یا در صورت لزوم نصب کنید. موثرترین راه برای پیشگیری از بروز این مشکل، درهایی است که اجازه می‌دهند در هر مرتبه تنها یک نفر به ساختمان وارد شود.

Hoaxes

وقتی صحبت از امنیت به میان می‌آید، مطمئن شوید که کارمندان خود را در مورد حقه‌های مربوط به پست الکترونیکی به خوبی آموزش داده‌اید. حقه‌های ایمیلی، پیام‌هایی هستند که کاربران دریافت می‌کنند و در آن یک داستان تحریک‌کننده را مشاهده می‌کنند که از کاربر می‌خواهد کاری انجام دهد. به عنوان مثال، هکری می‌تواند بگوید که یک فایل خاص باعث نقص جدی در سیستم‌عامل می‌شود. ایمیل می‌تواند به خواننده بگوید که باید فایل را حذف کند، اما در واقع هیچ مشکلی با فایل وجود ندارد و ممکن است با حذف این فایل، اطلاعات مهمی در ارتباط با سیستم‌عامل و نرم‌افزارهایی که کاربر از آن‌ها استفاده می‌کند در اختیار هکر قرار گیرد.

اگر ایمیلی دریافت کردید که مدعی است باید کارهای خاصی را انجام دهید که مطمئن نیستید، حتماً در اینترنت تحقیق کنید تا ببینید اطلاعات ارائه شده در ایمیل مورد تایید هستند یا خیر.

حملات فیزیکی

حملات فیزیکی شامل دسترسی به یک سیستم یا دستگاه و دسترسی به دستگاه یا انجام اقدامات مخرب روی آن است. موارد زیر برخی از اشکال رایج حملات فیزیکی هستند:

■   Malicious Universal Serial Bus (USB) cable: کابل گذرگاه سریال جهانی یواس‌بی یک کابل USB مخرب نوعی کابل است که هکر به سیستم متصل می‌کند و سپس می‌تواند دستورات را از هکر به عنوان مکانیزمی برای سوء استفاده از سیستم دریافت کند.

■   Malicious flash drive: درایو فلش مخرب یک درایو USB است که حاوی بدافزاری است که پس از اتصال درایو فلش به درگاه USB سیستم، روی سیستم قربانی اجرا می‌شود.

■   Card cloning: شبیه‌سازی کارت زمانی است که مهاجم اطلاعات کارت را از نوار مغناطیسی کارت کپی می‌کند و آن‌را روی یک کارت خالی قرار می‌دهد تا بتواند از کارت جدید برای خرید یا کارهای دیگر استفاده کند.

■   Skimming : زمانی است که کارت خود را در دستگاه می‌کشید و مهاجم اطلاعات را از نوار مغناطیسی استخراج می‌کند و در ادامه از شما درخواست رمزعبور را می‌کند. در ادامه هکر اطلاعات گرفته شده را به فروش رسانده یا از آن برای خریدهای خود استفاده می‌کند.

هوش مصنوعی حریف (Adversarial Artificial Intelligence)

هوش مصنوعی (AI) امروزه یک زمینه رو به رشد است که در آن سیستم هوش مصنوعی به طور مداوم در حال یادگیری و تصمیم‌گیری بر اساس اهداف و اطلاعات به‌دست آمده است. از نقطه نظر امنیتی، هوش مصنوعی با ردیابی لحظه‌ای فعالیت‌ها سعی می‌کنند نفوذها را تشخیص داده و هرگونه ناهنجاری در سیستم را به کارشناسان گزارش دهد. با این‌حال، فناوری‌های یادگیری ماشین (ML) ممکن است در برابر حملات هوش مصنوعی متخاصم آسیب‌پذیر باشند، جایی که مهاجم ورودی مخربی را به سیستم یادگیری ماشین ارسال می‌کند تا آن را به خطر بیاندازد. موضوع مهم در اینجا این است که سیستم یادگیری ماشین از مدل‌هایی از داده‌ها برای آموزش سیستم استفاده می‌کند و اگر مهاجم بتواند ورودی مخربی را به سیستم یادگیری بدهد، ممکن است بر اساس داده‌های آموزشی آلوده مدل کارهای اشتباهی انجام دهد. البته رویکرد فوق می‌تواند توسط تسترهای امنیتی برای آزمایش امنیت الگوریتم یادگیری ماشین نیز استفاده شود.

در شماره آینده مبحث فوق را ادامه می دهیم.

برای مطالعه تمام قسمت‌های آموزش سکوریتی پلاس اینجا کلیک کنید.

معرفی آموزشگاه شبکه و امنیت

• تهران: آموزشگاه عصر رایان شبکه
• مهندس اطلاعات 

تلفن: 02188549150           کانال: Asrehshabakeh@

تبلیغات لینکی: 

استخدام