حمله هاي فيشينگ يا سرقت هويت
حمله هاي فيشينگ يا سرقت هويت :از این حمله برای ربایش هویت قربانیان به کمک شبکههای رایانهای استفاده میشود.اين گونه حمله ها عموما به قصد دسترسی به شناسهها و رمزهای عبور افراد طراحی شده است.
در واقع سرقت با متد فيشينگ یک تهدید اینترنتی است که در آن مهاجم با روشهایی کاربر را متقاعد میکند تا اطلاعات شخصی و مهم خود را در اختیار او قرار دهد.
این اطلاعات میتواند هویت فردی، یعنی مشخصات قربانی و یا هویت بازرگانی او همچون شماره حساب بانکی و رمز عبور آن باشد که به کمک آن سارقِ هویت، امکان سوءاستفاده از آن را پیدا میکند.
اما به طور کلی هر اطلاعات ارزشمندی که استفاده غیرقانونی از آن ،منافعی برای هکرها و کلاهبرداران به دنبال بیاورد را شامل میشود.
نکتهای که باید در اینجا مورد توجه قرار گیرد، این حقیقت است که رفتار و برنامهریزی مهاجم به گونهای اجرا میشود که کاربر از دادن اطلاعات مهم خود به فردی که قصد استفاده غیرقانونی از آنها را دارد، مطلع نمیشود.
بلکه تصور او در تمام مراحلِ حمله آن است که اطلاعات مهمِ شخصی و یا حسابهای بانکیاش در اختیار افراد یا سازمانهای قانونی مانند یک بانک یا شرکت بیمه قرار میگیرد.بنابراین اطمینان دارد که هیچگونه سوءاستفادهای از آنها نخواهد شد.
از این رو سارق خود را زیر پوشش افراد یا شرکتهای قانونی پنهان نموده و به روشهایی همچون ایجاد وب سایتی مشابه شرکت واقعی و کشاندن کاربران به آن و یا با ارسال تعداد بسیار زیادی ایمیل و هرزنامه کاربر را وادار به واردکردن اطلاعات مطلوب مینماید.
شدت اثر این حمله گاه به حدی است که کاربر تا مدتها از وقوع و عواقب آن بیخبر مانده و دچار مشکلات بسیاری میگردد. به همین دلیل قربانی حمله ممکن است دچار خسارت هنگفتی، همچون خالی شدن حساب بانکیاش گردد.
همانطور که پیش از این اشاره شد، سرقت فيشينگ یک تهدید امنیتی است که مهاجم به کمک آن سعی در فریب کاربر به روشهای گوناگون دارد تا وی را مجاب به ارائه اطلاعاتی نماید که بهرهبرداری غیرقانونی توسط مهاجم را امکانپذیر نماید.
این حملات به روشهای مختلفی انجام میشود. اما مهمتر از این گوناگونی روشها و انواع حملات مرتبط با آن، دلایلی که سبب موفقیت مهاجم میگردند، مورد توجهاند. در حقیقت یکی از نخستین گامهای رویارویی با هر حملهای شناخت نقاط ضعفی است که منجر به اجرای موفقیتآمیز آن حمله میگردد.
فقدان دانش کافی
نه تنها در این حمله بلکه در بسیاری از حملات، یکی از مهمترین عواملی که زمینهساز رخداد یک حمله موفق میگردد، دانش ناکافی کاربران در مواجه با این حملات و یا پیشگیری از آن است.
فقدان دانش مناسب کاربر از رایانه، اینترنت و کاربری صحیح آن آرزوی هر مهاجمی برای رخنه در رایانه و یا اطلاعات مهم آن است و میتواند درستی انجام یک حمله موفق را برای سارق اطلاعات هویتی شما تضمین نماید.
اما این مساله تنها به حیطه کارکرد سیستمهای رایانهای منتهی نمیشود، بلکه مساله مهمتر و حیاتیتر ،موضوع امنیت در شبكه هاي رايانه اي است که در اغلب موارد توجه بسیار کمی به آن میشود و غالبا اولویت بالایی نزد کاربران ندارد.منظور از شبكه هاي رايانه اي (تمامي تجهيزاتي كه قابليت شبكه چه Wireless و يا wired را پشتيباني و ارائه مي كنند .مانند اكثر گوشي هاي موبايل ،تبلت ها ،لوازم آشپزخانه و بسياري از وسايل ديگر)
از این رو به طور کلی دانش کاربران در زمینه امنیت سیستمهای شبكه اي در اغلب موارد بسیار کم و ناچیز است.
فریب ظاهر
همه وب سایتها دارای نشانیهایی جهت دسترسی کاربران به آنها هستند. از این رو سارقِ هویت از این موضوع بهرهبرداری نموده و ترفند زیر را بکار میگیرد.
او ابتدا یک سایت مانند یک فروشگاه اینترنتی را به عنوان سایت هدف انتخاب نموده و دامنهای را با نامی نزدیک به نام آن سایت خریداری و ثبت میکند. به نحوی که دامنه خریداری شده تنها در یک یا دو کاراکتر با دامنه سایت اصلی تفاوت داشته و تا حد امکان مشابه آن انتخاب شده باشد.
دلیل این موضوع کاملا روشن است. چرا که معمولا کاربران توجه زیادی به این تفاوتها نمیکنند و در واقع دچار نوعی خطای دید خواهند شد. اما این به تنهایی کافی نیست و باید صفحه سایتِ شبیهسازی شده نیز مشابه سایت اصلی طراحی شود که این موضوع نیز حتی در صورت وجود اندک تفاوتهایی باز از چشم کاربران به دور خواهد ماند.
بنابراین کاربر با اطمینان از معتبر بودن سایت، اطلاعات هویتی خود را وارد نموده و بدون آنکه آگاه باشد، در دامی که برای او پهن شده است قرار میگیرد.
این اطلاعات به دست آمده توسط سارق میتواند به طور مستقیم مورد استفاده قرارگرفته و یا برای استفادههای بعدی طبقهبندی شود.
مهاجم میتواند از فریب مشاهدات کاربر بهره دیگری نیز ببرد. به طور نمونه میتواند از یک تصویر برای پیوند به سایت جعلی خود استفاده کند و در نتیجه کاربر را گمراه نماید و یا تصاویری را در صفحه وب سایت خود قرار دهد که مشابه پنجرههای مرورگر کاربر باشند.
به این ترتیب کاربر گمان میکند در حال تعامل با بخشی از مرورگر اینترنتی خود است. در روشی مشابه، سارق میتواند در هنگام تعامل کاربر با سایت اصلی، صفحهای را بر روی آن بازنماید که در واقع به سایت جعلی سارق پیوند خورده است.
به این ترتیب، کاربر به دلیل شباهتهای بسیار زیاد این دو صفحه تصور میکند، این صفحه جدید نیز بخشی از همان سایت اصلی است و در واقع هر دو متعلق به یک منبع هستند.
به همین ترتیب سارق میتواند با تقلید نوع زبان، گفتار و هر ویژگی دیگری که در سایت اصلی بکار رفته است، این اطمینان کاذب را در کاربرِ به دام افتاده، بیشتر نماید.
بیتوجهی به هشدارهای امنیتی
یکی دیگر از مواردی که زمینهساز وقوع یک حمله سرقت فيشينگ و موفقیت آن است، بیحوصلگی و یا عدم توجه کاربران به هشدارهای امنیتی است.
متاسفانه در اکثر موارد کاربران دقت و توجه کافی برای خواندن متن پیامهای هشداری که به آنها داده میشود را به کار نمیبرند و این به نوبه خود این امکان را به سارق میدهد تا حمله خود را عملی سازد.
بنابراین در نبود هشدارهای امنیتی، استفاده از یک تصویر پیوند خورده به سایت جعلی که مشکل امنیتی آن برای کاربران قابلتشخیص نباشد، آسانتر خواهد بود.از اينرو هميشه به كارشناسان امينت اطلاعات پيشنهاد مي شود اگر خسته شده ايد تمامي كارهايي كه در زمان خستگي انجام مي دهيد مي تواند ريسك بالاي امنيتي را بهمراه داشته باشد .شما هم مي توانيد از اين هشدار استفاده كنيد .
فرآیند سرقت فيشنيگ
اما پس از ذکر مواردی پیرامون سرقت فيشنيگ و علتهای وقوع موفقیتآمیز آن، اکنون نوبت آن است تا فرآیند سرقت فيشنيگ را در سه مرحله ساده بصورت زیر دستهبندی و ارائه نماییم.
مرحله اول: ثبت یک دامنه جعلی
مهاجم در آغاز فرآیند سرقت فيشينگ نیازمند آن است تا یک آدرس اینترنتی، مشابه با سایت شرکت یا سازمان رسمی و واقعی را برای خود تهیه و ثبت نماید.
گرچه الزامی به شباهت اسمی بین سایت اصلی و سایت جعلی وجود ندارد، اما این کار در ایجاد خطای چشمی برای کاربران نقش به سزایی را ایفا میکند.
به این موضوع در سطرهای بالایی پرداخته شد. اما آنچه بهر صورت در مرحله اول قطعی و ضروری است، ثبت یک دامنه(دامنه : همان آدرسي كه براي بازديد از يك سايت در مرورگر خود وارد مي كنيد است) برای سایت جعلی، جهت سرقت فيشينگ، توسط سارق هویت است.
مرحله دوم: ایجاد یک سایت جعلی با ظاهری مشابهه سایت اصلی
این موضوع نیز از منظر دیگری پیش از این بررسی گردید. در این مرحله سارق برای فریب کاربران، صفحه پیش روی سایت خود را مشابه صفحه متناظر سایت اصلی طراحی میکند.
بدین ترتیب از خطای چشمی بوجود آمده در کاربر برای حصول نتیجه در فرآیند سرقت فيشينگ خود، بهترین بهره را می برد. این طراحی یکسان و مشابه، تنها به صفحه اصلی سایت محدود نمیگردد و تا حد امکان فرمهای ورود اطلاعات، صفحات داخلی و پیوندها را نیز پوشش می دهد.
دقت در پیادهسازی، ریزهکاریها و حتی انتخاب فونتهای مشابه سایت اصلی میتواند در فریب کاربران موثر بوده تا کاربر دچار کوچکترین شک و تردیدی نگردند.
مرحله سوم: فرستادن ایمیل به تعداد زیادی از کاربران
پس از انجام مراحل یک و دو، سارق باید قربانیان خود را به طریقی به سمت این سایت جعلی جذب نماید.
مرسومترین روش برای این کار استفاده از ارسال تعداد زیادی ایمیل برای میلیونها آدرس پست الکترونیکی در سراسر جهان است. البته روشهای دیگری هم برای این کار وجود دارد.
مثل قرار دادن بنر تبلیغاتی یا پیوندهای جعلی در صفحات سایتهای دیگر که کاربر را به سایت فراهم شده برای سرقت فيشينگ هدایت کنند. در نهایت زمانی که کاربر به سایت سرقت فيشينگ هدایت شد، سارق میتواند به طریقی وی را وادار به واردکردن اطلاعات حیاتی در محلهای موردنظر خود نماید.
بطور مثال با ظاهرسازی خوب و مناسب سایت، سبب شود تا کاربر با اعتماد به اینکه وارد سایت یک شرکت یا سازمان معتبر و رسمی شده است، اطلاعات خود را ارائه کند. در این صورت سارق میتواند این اطلاعات را برای استفادههای بعدی گردآوری و دسته بندی نماید.
جمع بندی
در این مقاله مقدمهای پیرامون سرقت فيشينگ بیان گردید و علاوه بر معرفی دلایل موفقیت این حمله یک نمونه عمومی از فرایند اجرای این سرقت نیز بیان شد.
با آنکه استفاده از نامههای الکترونیکی، روشی مرسوم و معمول برای سرقت فيشينگ است، اما، این تنها راهکار ممکن برای صیادی اطلاعات قربانیان توسط سارقان و هکرها نیست.
توصيه نهايي :
در صورتي كه قرار است اطلاعات حساس بانكي خود را در فرم هاي انلاين ثبت نماييد قبل از وارد كردن نسبت به علت درخواست اين اطلاعات كمي تامل كرده و به صورت دقيق آدرس سايت را با آدرس بانكي خود چك نماييد .براي پرداخت هاي اينترنتي خود سقف تعيين كنيد و در صورتي كه قرار شد بيش از مقدار معيني از حساب شما به صورت اينترنتي پرداخت شود ، نياز به تاييد مجدد شما باشد