حملات فیشینگ و روشهای پیشگیری از آنها
افزایش چشمگیر کلاهبرداریهای اینترنتی در سالهای اخیر و آسیبهای فراوان مالی و روانی تحمیل شده به سازمانها و افراد زنگ خطری جدی است که تصمیم گیران حوزههای مختلف را درگیر خود کرده است. در این میان بهرهگیری از انواع حملات فیشینگ (Phishing) جزو قدیمیترین، موثرترین و پرکاربردترین روشهایی است که کلاهبرداران و خرابکاران اینترنتی برای رسیدن به اهداف خود از آنها بهره میجویند. در این نوشتار در بیتسک به صورت اجمالی با انواع حملات فیشینگ و روشهای پیشگیری از آنها خصوصا در بخش سازمانی آشنا میشویم.
به عبارت ساده حملات فیشینگ (Phishing) به نوعی از حملات اطلاق میشود که هکر یا به تعبیری صحیح تر کلاهبردار اینترنتی با بهره گیری از روشهای فنی و روشهای مهندسی اجتماعی (Social Engineering) و فریب و اقناع مخاطب، اطلاعات حساسی همچون اطلاعات هویتی و شخصی، گذر واژهها و اطلاعات مالی مانند مشخصات کارتهای اعتباری و رمز عبور آنها را به دست میآورد.
از شایعترین این روشها که کلاهبرداران اینترنتی در حملات فیشینگ از آنها بهره میبرند میتوان به مواردی همچون طراحی صفحات بانکی تقلبی (Website Phishing)، ارسال ایمیل حاوی اطلاعات مخرب (Email Phishing)، برقراری تماس تلفنی (Vishing) و ارسال پیام های کوتاه (Smishing) که در ذیل به صورت مختصر توضیح داده خواهند شد اشاره کرد:
- طراحی صفحهای تقلبی نظیر دروازه پرداخت اینترنتی به پرداخت ملت https://bpm.shaparak.ir با ظاهری کاملا مشابه و اختلاف جزیی در آدرس مانند https://bpm.shapaarak.ir و یا https://bpm.shapparak.ir و فریب قربانی برای وارد کردن اطلاعات مالی.
- ارسال ایمیلهای فریب دهنده و متقاعد کننده حاوی لینکهای مخرب با موضوعاتی در مورد بلایای طبیعی یا موضوعات سیاسی و اجتماعی روز و یا ایمیلهای سازمانی تقلبی برای کارکنان یک سازمان یا یک موسسه مانند “بخشنامه ۷۶۷ تبدیل نیروهای قراردادی به رسمی مصوب هیئت دولت”، ” بخشنامه افزایش حقوق شماره ۳۴۷ مصوب هیئت مدیره شرکت”، ” بخشنامه شماره ۷۲۴ تعدیل نیرو مصوب سال ۱۳۹۸” و غیره.
- برقراری تماس تلفنی و درخواست از قربانی برای اعلام مشخصات کارت بانکی و یا مراجعه به دستگاه خود پرداز به بهانههایی همچون پرداخت جایزه مسابقات تلویزیونی و غیره.
- ارسال پیامهای کوتاه (SMS)با محتوا و شماره تماس شبیه به مراجع قانونی و قضایی و درخواست از مخاطب برای کلیک برروی لینک یا نصب برنامهای خاص.
با توجه به افزایش نگران کننده آمار کلاهبرداریهای اینترنتی و شانس موفقیت بالای روشهای ذکر شده در بالا برای کلاهبرداران اینترنتی، آموزش و افزایش سطح آگاهی در مورد انواع حملات فیشینگ و روشهای پیشگیری از آنها برای اقشار مختلف جامعه خصوصا در بخش سازمانی که موضوع این نوشتار است از اهمیت فوق العادهای برخوردار است. در کنار تهدیدات حملات فیشینگ که عموم افراد جامعه را تهدید میکند، رقابتهای تجاری بین کسب و کارهای مختلف و تلاش برای دستیابی به اطلاعات محرمانه تجاری رقیب جزو عواملی است که کارکنان سازمانهای هدف را بیش از دیگر افراد جامعه در معرض خطر حملات فیشینگ قرار میدهد.
طراحی و ایجاد برنامه آگاهی بخشی امنیتی (Security Awareness Program) برای سازمانها و موسسات تجاری مختلف بدون شک بهترین راهکار برای آموزش و آگاهسازی کارکنان برای مقابله با انواع تهدیدات امنیتی از جمله تهدیدات حملات فیشینگ است. برنامه آگاهی بخشی امنیتی با برگزاری دورههای مستمر آموزشی منطبق بر سناریوها و تهدیدات دنیای واقعی میتواند ضمن افزایش دانش کارکنان، ریسک تهدیدات امنیتی را کاهش داده و امنیت دادههای حساس سازمان و عدم نشت این اطلاعات را تا حد قابل قبولی تضمین کند.
انجام تستهای امنیتی کنترل شده برای ارزیابی دانش امنیتی و نقاط قوت و ضعف کارکنان یک موسسه یا سازمان از دیگر مزایای برنامه آگاهی بخشی امنیتی است. بخشی از این برنامه به ارزیابی دانش کارکنان در نحوه تعامل با تهدیدات حملات فیشینگ است. در این ارزیابی که با هماهنگی مدیریت و به وسیله متخصصین امنیت و آیتی سازمان انجام میگردد کارکنان به وسیله روشهایی که در بالا توضیح داده شد تحت ارزیابیهای امنیتی مختلف قرار گرفته و خروجی و نتایج این آزمونها برای شناسایی نقاط ضعف امنیتی سازمان و شکلدهی به آموزشهای مورد نیاز کارکنان مورد استفاده قرار میگیرند.
به طور مثال ایمیلی با عنوانی فریبنده حاوی اطلاعات جذاب در مورد افزایش حقوق و پاداش در زمانی مشخص برای تمام کارکنان تحت ارزیابی شده ارسال گشته و از آنها برای دریافت مزایای محتوای این ایمیل تقاضا میشود برروی یک لینک کلیک کرده و اطلاعات هویتی و کاری خود را در یک سامانه وارد کنند.
نحوه واکنش کارکنان به این ایمیل و بررسی و یا عدم بررسی صحت و اصالت ایمیل دریافتی قبل از کلیک برروی لینک و وارد کردن اطلاعات درخواستی توسط آنها و نتایج و خروجی نهایی این ارزیابی، دسته بندی شده و برای شناسایی کارکنانی که نیاز به آموزشهای امنیتی دارند و طراحی نوع و محتوای آموزش مورد استفاده قرار خواهند گرفت.
ذکر این نکته ضروری است که تنها دلیل این ارزیابیها آموزش و افزایش دانش امنیت کارکنان است و نباید نتایج این آزمون به صورت تنبیهی برعلیه کارکنان استفاده گردیده و موجبات عدم اطمینان به مدیریت و بخش آیتی سازمان را در آینده فراهم آورد.
در پایان لازم به ذکر است همچون دیگر کشورها، طبق قوانین جرایم رایانهای ایران کلاهبرداریهای اینترنتی جرم بوده و مجازاتی از قبیل حبس و جرایم نقدی برای مجرمین در نظر گرفته شده است.
سلام وقت شما بخیر
انصافا مقاله عالی بود و جا داره ازشماتشکر ویژه کنیم
به امید موفقیت های روز افزون شما
سلام و وقت شما هم بخیر
ممنون بابت حسن توجهتون…خوشحالیم که دوست داشتید…لطفا باز هم به ما سر بزنید.
سلام جناب دکترمحسنی
واقعا مطلب جالب و مفیدی بود متاسفانه این روزها بیشتر مردم از این موضوع رنج می برند وشکوائیه تنظیم میشود که پیگیری آن متاسفانه زمانبر است طبق قانون مجازات کلاهبرداری های اینترنتی شامل یک تا سه سال حبس و پرداخت جزای نقدی معادل مال ماخوذه و رد مال به صاحبان اموال می باشد اما این رد مال چقد وقت میبرد فقط خدا میداند !هیچ روشی نیست که این سایت ها رو قبل از زیان رساندن به افرادپیدا کنند و یا جلوگیری از ایجاد این گونه سایت ها ازنظر امنیتی وجود ندارد؟بازهم از نوشتن مطلبی این چنین مفید از شما بزرگوار تشکر می نمایم
سلام خانم جلالی وکیل و دوست محترم
خوشحالیم که این نوشتار مورد پسند شما قرار گرفته است. همانطور که قطعا مطلع هستید متاسفانه قوانین و مجازات تعیین شده قدرت بازدارندگی کافی نداشته و متاسفانه آمار فیشینگ و کلاهبرداری های اینترنتی نه تنها در ایران بلکه در سراسر دنیا رو به گسترش است. در این میان در جواب سوال شما باید عرض کنیم که گرچه از نظر تکنیکی و فنی امکان رهگیری و پیگیری کلاهبرداران اینترنتی در حملات فیشینگ تا حدودی عملی است ولی متاسفانه از نظر فنی امکان جلوگیری از وقوع این نوع جرایم ممکن نیست. اینترنت بستری وسیع و امکانات مفید فراوانی برای همه ما ایجاد کرده که البته اقلیتی از این ابزار برای پیشبرد اهداف مجرمانه خود سوء استفاده میکنند. همانطور که در این نوشتار اشاره شد بهترین روش آموزش و آگاهی بخشی امنیتی عموم مردم برای مقابله با این نوع جرایم است.
ممنونم جناب دکتر محسنی بابت توضیحات شما با آرزوی موفقیت های بیشتر برای شما