در حملات فیشینگ هدفمند، مهاجمان اغلب از اطلاعات جمعآوریشده از منابع مختلف سوء استفاده میکنند و ایمیلی حاوی پیوندی به بدافزار برای قربانی ارسال میکنند. در این حملات، گیرنده باید متقاعد شود که ایمیل مخرب توسط یک فرستنده معتبر ارسال شده و بر روی لینک مورد نظر کلیک کرده یا پیوست ایمیل را دانلود کرده است. هکرها همچنین می توانند قربانی را فریب دهند تا اطلاعات یا پول خاصی به او بدهد.
ایمیل های فیشینگ هدفمند معمولا با کمک تکنیک های مهندسی اجتماعی حرفه ای و با دقت بسیار بالا طراحی می شوند و امکان محافظت در برابر آنها تنها با استفاده از ابزارهای فنی امکان پذیر است.
جی آر کانینگهام، مدیر ارشد فناوری در شرکت امنیت سایبری Nuspire مستقر در شیکاگو، گفت: “توجه داشته باشید که هدف نهایی مهاجمان از انجام حملات فیشینگ هدفمند، نصب بدافزار در تجارت گیرنده است، نه فقط در سیستم های شخصی قربانی.”
تفاوت ها و شباهت های فیشینگ، فیشینگ هدف و دیوار
هر سه نوع حملات فیشینگ، فیشینگ هدفمند و حملات دیواری، حملات ایمیلی محسوب می شوند. فیشینگ شامل طیف گسترده ای از حملات سایبری است که شامل هرگونه استفاده از ایمیل یا سایر سیستم های پیام رسانی الکترونیکی برای فریب دادن مردم می شود. در حالی که فیشینگ هدف و دیوار زیر گروه حملات فیشینگ هستند.
حملات فیشینگ معمولاً پیامهای عمومی هستند که به طور خودکار برای هزاران گیرنده ارسال میشوند. متن این پیام ها فریبنده و فریبنده است. ایمیل های ضمیمه ممکن است با عنوان “گزارش حقوق و دستمزد” یا حاوی پیوند جعلی به وب سایت قرعه کشی باشد. مجرمان سایبری در این روش معمولا متن پیام را به طور خاص برای یک گیرنده طراحی نمی کنند. نام این حمله از کلمه انگلیسی fishing به معنای ماهیگیری گرفته شده است. دلیل این نامگذاری این است که ماهیگیر طعمه را به یک قلاب (ایمیل فیشینگ) می چسباند و به امید اینکه توسط قربانی گرفتار شود، آن را در آب می اندازد. در نهایت قربانی قربانی ماهیگیر می شود.
حملات فیشینگ هدفمند، همانطور که از نام آن پیداست، شامل تلاش برای گرفتن یک ماهی خاص نیز می شود. ایمیل های مورد استفاده در فیشینگ هدفمند حاوی اطلاعات خاصی در مورد گیرنده هستند. در این حملات، قربانی باید متقاعد شود تا کاری را که مهاجم طراحی کرده انجام دهد و در نهایت به هدف نهایی خود دست یابد. این ایمیلها از نام گیرنده در طراحی استفاده میکنند و حتی ممکن است حاوی اطلاعاتی در مورد زندگی شخصی یا شغل او باشند. مهاجمان داده ها را از منابع مختلف و شبکه های اجتماعی مانند اینستاگرام دریافت کردند.
ترم بعدی Walling است. این حملات نوع خاصی از فیشینگ هدفمند هستند. مهاجمان در Walling Attacks به دنبال یک ماهی بسیار بزرگ هستند. به گفته جیکوب انصاری، مشاور امنیتی و تحلیلگر نوظهور امنیت سایبری، “نام والینگ برای این نوع حملات به این دلیل است که هدف نهایی مهاجمان هدف قرار دادن شخصیت های شناخته شده، مدیران ارشد یا سایر اهداف بزرگ است.” گاهی اوقات فیشینگ هدفمند بر روی اهداف بی اهمیت اما یک طرفه تمرکز می کند. “در چنین مواردی، شخصی در بخش مالی یا فناوری اطلاعات که دسترسی و اختیارات قابل توجهی دارد باید مجوز دسترسی را برای مصرف کننده (مهاجمین) صادر کند یا فاکتور (کاذب) را تایید کند.”
حملات فیشینگ هدفمند چگونه کار می کنند؟
کل فرآیند حمله و اجرای موفقیت آمیز آن به صحت پیام ارسال شده بستگی دارد. بنابراین جمع آوری اطلاعات شخصی حساس قربانی یکی از مراحل مهم فیشینگ هدفمند است.
خیلی راه ها برای انجام دادن این وجود دارد. برای مثال، مهاجمان میتوانند ایمیل یا سیستم پیامرسان قربانی را از طریق فیشینگ معمولی یا تشخیص آسیبپذیری هک کنند.
البته حملات فیشینگ هدفمند شامل مراحل دیگری نیز می شود. اوری آربل، مدیر ارشد فناوری در CYREBRO، ارائهدهنده پلتفرمهای عملیات امنیتی، میگوید: مهاجمان معمولاً ایمیل یکی از کارکنان سازمان مورد نظر را هک میکنند و سپس مکالمات او را زیر نظر دارند. زمانی که زمان حمله فرا می رسد، یک پیام هدفمند با متن معتبر همراه با اطلاعات داخلی شرکت (مانند ارجاع به تماس های قبلی یا مبالغی که قبلاً منتقل شده است) را برای قربانی ارسال می کنند.
مهاجمان همچنین می توانند از اطلاعات اینترنت، شبکه های اجتماعی یا ارتباطات شرکتی برای فریب کاربر استفاده کنند بدون اینکه سیستم های ارتباطی را به خطر بیندازند. خورخه ری، مدیر امنیت سایبری در شرکت مشاوره کافمن راسین گفت: فرض کنید کاربری حساب کاربری لینکدین خود را تغییر داده و ادعا می کند که کارمند شرکتی به نام کافمن راسین است. در عرض چند ساعت یا حتی چند دقیقه، کاربر یک ایمیل جعلی دریافت خواهد کرد که ظاهراً توسط مدیر عامل شرکت ارسال شده است.» ری گفت: «همه رباتهای هکر لینکدین را زیر نظر دارند و همه چیز را اسکن میکنند. آنها این پیام ها را به امید فریب حتی یک نفر ارسال می کنند.
مهاجم سعی دارد از اطلاعاتی که از طریق شبکه های اجتماعی جمع آوری کرده است سوء استفاده کند. کانینگهام گفت: مدتی پیش، یکی از مشتریان ما ایمیلی از شرکت بیمه خود دریافت کرد. ظاهراً این ایمیل حاوی اطلاعاتی در مورد تغییرات در بیمه نامه خودروی مشتری است. مشتری نیز پس از کلیک بر روی پیوند موجود در ایمیل، قربانی یک حمله فیشینگ شد. مدت کوتاهی قبل از حمله، گیرنده پیامی تصادفی دریافت کرد و عکسی از ماشین خود را در شبکه های اجتماعی منتشر کرد. قربانی زیر عکس نوشته است که بیمه ای که با آن قرارداد دارد (با ذکر نام شرکت) در اسرع وقت به درخواست او پاسخ داده است. این مرحله ساده به مهاجمان اجازه داد تا اطلاعات لازم را در مورد شرکت بیمه قربانی جمعآوری کرده و از آن برای طراحی فیشینگ هدفمند استفاده کنند.»
نشانه های فیشینگ هدفمند
کلاهبرداران معمولاً روی کارمندان جدید تمرکز می کنند زیرا با محیط آشنا نیستند. با فرض اینکه مهاجم اطلاعات شخصی یک کارمند را جمع آوری کرده است، درخواست از او برای انجام عملیات غیرعادی در خارج از کانال های ارتباطی شرکت یکی از بارزترین نشانه های حملات فیشینگ است. به یاد داشته باشید که انجام کارهای غیرعادی معمولا تنها راه هکرها برای اخاذی از شما یا سازمانتان است. اگرچه شناسایی درخواست های غیرعادی برای کارمندان جدید کار آسانی نیست، اما در چنین مواقعی افراد باید همیشه به ندای درون خود گوش دهند!
Wojciech Sirkiewicz-Trepiak، مهندس امنیت سایبری در این شرکت که پلتفرم مدیریت زیرساخت با اسم رمز spacelift.io را ارائه می دهد، گفت: ظاهراً یک ایمیل جعلی توسط مدیر عامل تعدادی از کارمندان به شرکت سابق من ارسال شده است. در این حمله مهاجمان از یک آدرس ایمیل واقعی استفاده کردند و در نتیجه مکانیسم های امنیتی را دور زدند. البته دامنه این آدرس ایمیل گوگل بود (نه دامنه شرکت). «این بیانیه از کارکنان خواسته شده است که اقدامات فوری مانند دور زدن سیاستهای شرکت و انجام کارهای اشتباه را انجام دهند.
فوریت چنین پیام هایی یک علامت هشدار دهنده است. اگرچه در یک محیط حرفه ای معمولاً از افراد خواسته می شود که فوراً یک سری درخواست ها را مطرح کنند، عموماً خجالت زده شدن توسط افراد دیگر به معنای محروم کردن آنها از فرصت فکر کردن است. ماسیمو مارینی، افسر ارشد امنیتی شرکت Kuma LLC گفت: «در یکی از این کلاهبرداریها، قربانی باید براساس دستور مهاجم کارت هدیه صادر میکرد. او کارت ها را خرید و سپس کد را برای مهاجم فرستاد. در این حمله، هکر قربانی را خجالت میکشد تا بلافاصله و سریع دستورات مدیر خود را اجرا کند. «خوشبختانه در آخرین لحظه، زمانی که کارمند به طور تصادفی با رئیس واقعی خود صحبت کرد، حمله متوقف شد.
نمونه هایی از فیشینگ هدفمند
ایمیل های فیشینگ مشابه ایمیل های واقعی هستند. در اینجا چند نمونه از ایمیل های فیشینگ هدفمند آورده شده است.
ویلیام مندز، مدیر عملیات CyZen گفت: در یکی از این حملات، مهاجمان یک شرکت حسابداری را هدف قرار دادند. آن ها در ایمیل خود به فناوری خاصی به نام CCH اشاره کردند که در این گونه شرکت ها بسیار مورد استفاده قرار می گیرد.
وی گفت: این ایمیل در دوره مالیاتی ارسال می شود که شلوغ ترین زمان سال برای شرکت های حسابداری است و مصرف کنندگان معمولاً توجه کافی به ایمیل های دریافتی خود ندارند. در این پیام قربانی تهدید می شود که در صورت عدم اقدام سریع، از دسترسی محروم می شود. در این حمله، مهاجم قصد دارد روی اتصال مخرب قربانی کلیک کند. با کلیک بر روی لینک، کاربر به وب سایتی هدایت می شود که به مهاجم اجازه می دهد نام کاربری، رمز عبور و سایر اطلاعات حساس خود را جمع آوری کند.
نمونه دیگری از چنین حملاتی، مشابه هشدارهای امنیتی توییتر، توسط تایلر موفیت، تحلیلگر ارشد امنیت سایبری در OpenText Security Consulting ارائه شده است.
در این حمله به کاربر دستور داده می شود تا برای محافظت از اکانت خود راه را طی کند و در یکی از مراحل رمز عبور خود را در اختیار مهاجمان قرار دهد. موفیت گفت: “هدف از ارسال چنین ایمیلی حمله به روزنامه نگاری است که رویدادهای اوکراین/روسیه را پوشش می دهد.” در این پیام به کاربر اطلاع داده می شود که به حساب کاربری وی در روسیه دسترسی پیدا کرده است و باید با استفاده از لینک ارسال شده رمز عبور خود را تغییر دهد. این پیوند کاربر را به صفحه تنظیم مجدد رمز عبور جعلی هدایت می کند. «در این صفحه، نام کاربری و رمز عبور فعلی قربانی از او گرفته میشود و در اختیار مهاجمان قرار میگیرد.
هنگامی که چنین پیام هایی را دریافت می کنید، باید مطمئن شوید که صفحه ای که وارد آن می شوید معتبر است. در این حمله کاربر به twitter-supported.com هدایت شد که دامنه واقعی توییتر نیست.
چگونه از حملات فیشینگ هدفمند جلوگیری کنیم؟
متأسفانه هیچ ابزار و روش فنی کامل و مؤثری برای توقف حملات فیشینگ هدفمند وجود ندارد. به گفته نیک سانتورا، بنیانگذار شرکت آموزشی امنیت درسی، «در امنیت سایبری، همان مفاهیم حفاظت از نمونه کارها در فعالیتهای آنلاین اعمال میشود. واضح است که هیچ کاربری نمی خواهد قربانی چنین حملاتی شود. بنابراین کاربران باید بدانند چرا باید کارهایی مانند فعال کردن احراز هویت در دو یا چند مرحله، استفاده از رمزهای عبور قوی و متفاوت برای هر حساب و استفاده از ابزار مدیریت رمز عبور را انجام دهند.
Ray استدلال می کند که اگرچه راه حل های فنی، راه حل های امنیتی ایمیل، و استفاده از راه حل های شخص ثالث برای فیلتر کردن هرزنامه ها و پیوست های مخرب بسیار مهم هستند، اما در نهایت بهترین راه برای محافظت در برابر حملات مهندسی اجتماعی، مانند فیشینگ هدفمند، هستند. استفاده از خرد انسان است.آگاهی مصرف کننده نیز به یادگیری منظم و مستمر بستگی دارد.
ری می گوید: «شبیه سازی فیشینگ نیز بسیار مؤثر است. در عملیات شبیه سازی، ایمیل های فیشینگ شبیه سازی شده برای کاربر ارسال می شود. کاربران همچنین با کلیک بر روی لینک های موجود در این پیام ها به صفحات به ظاهر جعلی هدایت می شوند. تأثیر این گونه دروس که بر اساس سناریوهای واقعی است، بسیار بیشتر از یک سری فایل های ارائه و محتوای آموزشی مکتوب است که در اختیار کاربر قرار می گیرد. کاربرانی که چنین شرایطی را تجربه می کنند در تشخیص حملات واقعی دقت بیشتری خواهند داشت. این روشهای آموزشی عملیاتی قدرتمندتر از یک سال آموزش کارکنان کلاس درس و ارائه نتایج هستند.» یک کارمند ممکن است فریب یک حمله شبیهسازی شده را بخورد و در نهایت خجالت بکشد، اما غارت به یک حمله واقعی تبدیل نمیشود.
در نهایت، بهترین راه برای جلوگیری از حملات فیشینگ هدفمند این است که ناخودآگاه خود را مشغول نگه دارید.» مهاجمان اغلب از تمایل افراد برای کمک به دیگران و این دیدگاه که مردم شریف و صادق هستند استفاده می کنند، مگر اینکه خلاف آن ثابت شود. شما باید در ساعات کاری و دنیای دیجیتال جلوی چنین روندهایی را بگیرید، مگر در موارد خاص».
منبع: csoonline