افزایش چشمگیر کلاهبرداریهای اینترنتی در سالهای اخیر و آسیبهای فراوان مالی و روانی تحمیل شده به سازمانها و افراد زنگ خطری جدی است که تصمیم گیران حوزههای مختلف را درگیر خود کرده است. در این میان بهرهگیری از انواع حملات فیشینگ (Phishing) جزو قدیمیترین، موثرترین و پرکاربردترین روشهایی است که کلاهبرداران و خرابکاران اینترنتی برای رسیدن به اهداف خود از آنها بهره میجویند. در این نوشتار در بیتسک به صورت اجمالی با انواع حملات فیشینگ و روشهای پیشگیری از آنها خصوصا در بخش سازمانی آشنا میشویم.
به عبارت ساده حملات فیشینگ (Phishing) به نوعی از حملات اطلاق میشود که هکر یا به تعبیری صحیح تر کلاهبردار اینترنتی با بهره گیری از روشهای فنی و روشهای مهندسی اجتماعی (Social Engineering) و فریب و اقناع مخاطب، اطلاعات حساسی همچون اطلاعات هویتی و شخصی، گذر واژهها و اطلاعات مالی مانند مشخصات کارتهای اعتباری و رمز عبور آنها را به دست میآورد.
از شایعترین این روشها که کلاهبرداران اینترنتی در حملات فیشینگ از آنها بهره میبرند میتوان به مواردی همچون طراحی صفحات بانکی تقلبی (Website Phishing)، ارسال ایمیل حاوی اطلاعات مخرب (Email Phishing)، برقراری تماس تلفنی (Vishing) و ارسال پیام های کوتاه (Smishing) که در ذیل به صورت مختصر توضیح داده خواهند شد اشاره کرد:
- طراحی صفحهای تقلبی نظیر دروازه پرداخت اینترنتی به پرداخت ملت https://bpm.shaparak.ir با ظاهری کاملا مشابه و اختلاف جزیی در آدرس مانند https://bpm.shapaarak.ir و یا https://bpm.shapparak.ir و فریب قربانی برای وارد کردن اطلاعات مالی.
- ارسال ایمیلهای فریب دهنده و متقاعد کننده حاوی لینکهای مخرب با موضوعاتی در مورد بلایای طبیعی یا موضوعات سیاسی و اجتماعی روز و یا ایمیلهای سازمانی تقلبی برای کارکنان یک سازمان یا یک موسسه مانند “بخشنامه ۷۶۷ تبدیل نیروهای قراردادی به رسمی مصوب هیئت دولت”، ” بخشنامه افزایش حقوق شماره ۳۴۷ مصوب هیئت مدیره شرکت”، ” بخشنامه شماره ۷۲۴ تعدیل نیرو مصوب سال ۱۳۹۸” و غیره.
- برقراری تماس تلفنی و درخواست از قربانی برای اعلام مشخصات کارت بانکی و یا مراجعه به دستگاه خود پرداز به بهانههایی همچون پرداخت جایزه مسابقات تلویزیونی و غیره.
- ارسال پیامهای کوتاه (SMS)با محتوا و شماره تماس شبیه به مراجع قانونی و قضایی و درخواست از مخاطب برای کلیک برروی لینک یا نصب برنامهای خاص.
با توجه به افزایش نگران کننده آمار کلاهبرداریهای اینترنتی و شانس موفقیت بالای روشهای ذکر شده در بالا برای کلاهبرداران اینترنتی، آموزش و افزایش سطح آگاهی در مورد انواع حملات فیشینگ و روشهای پیشگیری از آنها برای اقشار مختلف جامعه خصوصا در بخش سازمانی که موضوع این نوشتار است از اهمیت فوق العادهای برخوردار است. در کنار تهدیدات حملات فیشینگ که عموم افراد جامعه را تهدید میکند، رقابتهای تجاری بین کسب و کارهای مختلف و تلاش برای دستیابی به اطلاعات محرمانه تجاری رقیب جزو عواملی است که کارکنان سازمانهای هدف را بیش از دیگر افراد جامعه در معرض خطر حملات فیشینگ قرار میدهد.
طراحی و ایجاد برنامه آگاهی بخشی امنیتی (Security Awareness Program) برای سازمانها و موسسات تجاری مختلف بدون شک بهترین راهکار برای آموزش و آگاهسازی کارکنان برای مقابله با انواع تهدیدات امنیتی از جمله تهدیدات حملات فیشینگ است. برنامه آگاهی بخشی امنیتی با برگزاری دورههای مستمر آموزشی منطبق بر سناریوها و تهدیدات دنیای واقعی میتواند ضمن افزایش دانش کارکنان، ریسک تهدیدات امنیتی را کاهش داده و امنیت دادههای حساس سازمان و عدم نشت این اطلاعات را تا حد قابل قبولی تضمین کند.
انجام تستهای امنیتی کنترل شده برای ارزیابی دانش امنیتی و نقاط قوت و ضعف کارکنان یک موسسه یا سازمان از دیگر مزایای برنامه آگاهی بخشی امنیتی است. بخشی از این برنامه به ارزیابی دانش کارکنان در نحوه تعامل با تهدیدات حملات فیشینگ است. در این ارزیابی که با هماهنگی مدیریت و به وسیله متخصصین امنیت و آیتی سازمان انجام میگردد کارکنان به وسیله روشهایی که در بالا توضیح داده شد تحت ارزیابیهای امنیتی مختلف قرار گرفته و خروجی و نتایج این آزمونها برای شناسایی نقاط ضعف امنیتی سازمان و شکلدهی به آموزشهای مورد نیاز کارکنان مورد استفاده قرار میگیرند.
به طور مثال ایمیلی با عنوانی فریبنده حاوی اطلاعات جذاب در مورد افزایش حقوق و پاداش در زمانی مشخص برای تمام کارکنان تحت ارزیابی شده ارسال گشته و از آنها برای دریافت مزایای محتوای این ایمیل تقاضا میشود برروی یک لینک کلیک کرده و اطلاعات هویتی و کاری خود را در یک سامانه وارد کنند.
نحوه واکنش کارکنان به این ایمیل و بررسی و یا عدم بررسی صحت و اصالت ایمیل دریافتی قبل از کلیک برروی لینک و وارد کردن اطلاعات درخواستی توسط آنها و نتایج و خروجی نهایی این ارزیابی، دسته بندی شده و برای شناسایی کارکنانی که نیاز به آموزشهای امنیتی دارند و طراحی نوع و محتوای آموزش مورد استفاده قرار خواهند گرفت.
ذکر این نکته ضروری است که تنها دلیل این ارزیابیها آموزش و افزایش دانش امنیت کارکنان است و نباید نتایج این آزمون به صورت تنبیهی برعلیه کارکنان استفاده گردیده و موجبات عدم اطمینان به مدیریت و بخش آیتی سازمان را در آینده فراهم آورد.
در پایان لازم به ذکر است همچون دیگر کشورها، طبق قوانین جرایم رایانهای ایران کلاهبرداریهای اینترنتی جرم بوده و مجازاتی از قبیل حبس و جرایم نقدی برای مجرمین در نظر گرفته شده است.