واحد دانش و تکنولوژی تبیان زنجان
Phishing از جمله واژه هايي است که توسط مهاجمان در عرصه ادبيات اينترنت مطرح و به ترغيب توام با نيرنگ کاربران به افشاي اطلاعات حساس و شخصي آنان ، اشاره دارد . مهاجمان به منظور نيل به اهداف مخرب خود در اولين مرحله درخواست موجه خود را براي افراد بيشماري ارسال مي نمايند و در انتظار پاسخ مي مانند . آنان اميدوارند که حتي اگر بتوانند تعداد اندکي از افراد را ترغيب به افشاي اطلاعات حساس و شخصي خود نمايند در رسالت خود موفق بوده اند . اميدواري آنان چندان هم بي دليل نخواهد بود چراکه با توجه به گستردگي تعداد قربانيان اوليه احتمالي ، شانس موفيقت نهايي آنان از لحاظ آماري نيز افزايش مي يابد .
مهاجمان به منظور افزايش ضريب موفقيت حملات سعي مي نمايند خود را بگونه اي عرضه نمايند که مردم به آنان اعتماد نموده و آنان را به عنوان نمايندگان قانوني مراکز معتبري نظير بانک ها قبول نمايند . ماهيت و يا بهتر بگوييم رمز موفقيت اين نوع از حملات بر قدرت جلب اعتماد مردم استوار است و بديهي است که مهاجمان از هر چيزي که بتواند آنان را موجه تر جلوه نمايد ، استقبال خواهند کرد . مهاجمان پس از جلب رضايت و اعتماد کاربران از آنان درخواست اطلاعات حساس و مهمي نظير شماره کارت اعتباري را مي نمايند .
اکثر عمليات اشاره شده به صورت اتوماتيک انجام و با توجه به اين که کاربران گسترده اي هدف اوليه قرار مي گيرند و درصد بسيار زيادي از آنان داراي آگاهي لازم جهت تشخيص و مقابله با اين نوع حملات نمي باشند ، شانس موفقيت مهاجمان به منظور سرقت هويت کاربران افزايش مي يابد .
سرقت هويت چيست ؟
سرقت هويت ، استفاده از هويت شخص ديگر ( اطلاعات حساس و يا شخصي ) براي سوء استفاده مالي و يا ساير اهدف مخرب است . سوء استفاده يا کلاهبرداري با استفاده از کارت اعتباري ديگران ، يک نمونه از سرقت هويت است . در واقع Phishing ، روشي است که مهاجمان از آن به منظور سرقت هويت استفاده مي نمايند .
آيا سرقت هويت صرفا" گريبانگير افرادي مي گردد که اقدام به ارسال اطلاعات online مي نمايند ؟ در صورتي که هرگز از کامپيوتر استفاده نکرده باشيد ، ممکن است از جمله قربانيان سرقت هويت باشيد . مهاجمان مي توانند با بکارگيري روش هاي متعدد به اطلاعات شخصي شما نظير شماره کارت اعتباري ، شماره تلفن ، آدرس و … دستيابي پيدا نمايند . اکثر شرکت ها و موسسات ، اطلاعات مربوط به مشتريان خود را در بانک هاي اطلاعاتي ذخيره مي نمايند و در صورت دستيابي سارقين به بانک هاي اطلاعاتي ، اطلاعات شخصي تعداد زيادي از افراد افشاء مي گردد .اينترنت فضاي لازم براي سارقين را فراهم نموده است تا بتوانند در زماني مطلوب و در گستره اي وسيع تر به اطلاعات شخصي و مالي کاربران دستيابي نمايند . اينترنت ، همچنين امکانات مناسبي به منظور فروش و مبادلات تجاري اطلاعات سرقت شده را در اختيار مهاجمان قرار مي دهد .
چرا مي بايست از خود در مقابل حملات Phishing حفاظت نمود؟
در يک سازمان ، افراد متفاوت اطلاعاتي را نزد خود نگهداري مي نمايند که ممکن است حساس و يا براي ساير افراد و يا سازمان ها حايز اهميت باشد . در حملات Phishing ، مهاجمان عموما" از روش هاي غير فني ( نظير مهندسي اجتماعي ) براي دستيابي به اطلاعات حساس و مهم اشخاص و يا سازمان ها استفاده نموده و موارد زير را هدف قرار مي دهند :
اطلاعات بانکي نظير کارت هاي اعتباري و يا حساب هايي نظير paypal
اطلاعات مربوط به نام و رمز عبور
اطلاعات بيمه همگاني و …
مهاجمان پس از دستيابي به اطلاعات فوق از آنان به منظور نيل به اهداف زير استفاده مي نمايند :
برداشت از حساب بانکي
سرويس هاي online متفاوتي نظير eBay و يا Amazon
يک نمونه از حملات phishing
تعداد زيادي از حملات Phishing از طريق email انجام مي شود . مهاجمان email موجه خود را براي ميليون ها قرباني احتمالي ارسال مي نمايند . اين نوع نامه هاي الکترونيکي بسيار مشابه وب سايت شرکتي مي باشند که email ادعا مي نمايد ، نامه از آنجا براي کاربران ارسال شده است .
مهاجمان به منظور فريب کاربران از روش هاي متعددي استفاده مي نمايند :
استفاده از logo و ساير علايم تجاري شناخته شده و معتبر
ساختار و طراحي email تقلبي مشابه وب سايت واقعي است ، بگونه اي که در اولين مرحله تشخيص جعلي بودن آن براي بسياري از کاربران غيرممکن است .
بخش from نامه الکترونکيي ارسالي ، مشابه ارسال يک email معتبر از شرکت مربوطه است .
در متن email ممکن است فرمي تعبيه شده باشد که از کاربران خواسته شود به دلايل خاصي ( مثلا" account شما در معرض تهديد است و ممکن است مورد سوء استفاده قرار گيرد و يا به دليل بروز اشکالات فني ) ، مجددا" اطلاعات خود را در فرم درج و آن را ارسال نمايند .
در برخي موارد ، مهاجمان به منظور افزايش اعتماد کاربران و معتبر نشان دادن email ارسالي از روش هايي فني تري استفاده مي نمايند . مثلا" ممکن است آنان از روشي موسوم به URL spoofing استفاده نمايند و با ايجاد يک لينک در متن email از کاربران بخواهند که جهت ادامه عمليات بر روي آن کليک نمايند . با کليک کاربران بر روي لينک فوق ، آنان در مقابل هدايت به يک سايت معتبر که انتظار آن را دارند به وب سايتي هدايت مي گردند که مهاجمان آن را مديريت مي نمايند . شکل ظاهري وب سايت بگونه اي طراحي مي گردد که کاربران نتوانند جعلي بودن آن را تشخيص دهند .
کلاهبرداران اينترنتي بي شک از بهترين استفاده کنندگان مهندسي اجتماعي به شمار مي روند . آنها ابتکارات بسياري در اين خصوص از خود نشان داده اند .
به تازگي کلاهبردان اينترنتي سعي مي کنند با بهره گيري از اوضاع نابسامان صنعت بانکداري ، با به کار بردن ترفندهايي ، کاربران را به لو دادن اطلاعات مالي خود وادارند .
به گزارش the register نسل جديد ايميل هاي فيشينگ با تقليد کردن از اطلاعيه هاي رسمي مربوط به ادغام بانک ها ، مي کوشد نظر کاربران را به خود جلب کند.
اگرچه ايميل هاي جعلي قدمتي حداقل پنج ساله دارد ( اگر نگوييم بيشتر ! ) اما باز هم به عنوان يک شيوه مفيد و پربازده ، مي تواند کاربران ساده لوح بسياري را که نگران و پيگير بحران اخير بانکي در جهان هستند ، به دام اندازد.