آنچه درباره فيشينگ بايد بدانيم: تاخت و تاز در دنياي كاربران ناآگاه

نویسنده: رسول قربانی در تاریخ 25 مرداد سال 1391 ساعت 12:31 0

امروزه فن‌آوري، انجام امور را تا به حدي تسهيل نموده است كه رفته رفته هر فردي با هر سطح آگاهي به برخورداري از اين خدمات تمايل نشان مي‌دهد و در اين بين آنچه اين امكانات ارزشمند را به ابزاري پرخطر تبديل مي سازد، بيش از هر چيز عدم اطلاع كاربر نسبت به اصول استفاده مناسب و بهينه از اين خدمات و همچنين خطرات احتمالي استفاده ناآگاهانه از آنهاست.

اگر روزنامه خوان باشيد يا عادت داشته باشيد هنگام عبور از خيابان نگاهي گذرا به تيتر آن‌ها در كيوسك روزنامه فروشي بيندازيد، هر از چند گاهي با اخباري در خصوص هك مواجه مي‌شويد و اغلب نيز تنها علتي كه در تحليل دلايل بروز اين رخدادها به ذهنتان خطور نمي‌كند اين موضوع است كه شايد ما نيز به عنوان كاربر نقشي در بروز اين گونه رخدادها داشته‌ايم.

فيشينگ (Phishing) يكي از چندين شيوه مرسوم سرقت اطلاعات است كه بر اساس سوء استفاده از عدم آگاهي كاربر طراحي شده است.قطعا برخي از ما معناي دقيق آنرا نمي‌دانيم اما كم كم به جهت تكرار آن در روزهاي اخير به واژه اي بدل شده است كه گوشمان با آن آشناست. فيشينگ در واقع راهي است كه خلافكاران اينترنتي، اطلاعات محرمانه و ارزشمند كاربر را سرقت نموده و در حوزه بانكداري مثلا اطلاعاتي نظير كلمه كاربري، رمز عبور، شماره 16 رقمي كارت، رمز دوم و CVV2 را از طريق ابزارهاي الكترونيكي ارتباطات همچون شبكههاي اجتماعي، سايت هاي حراج و درگاه هاي پرداخت آنلاين و …. به سرقت مي برند.

در همين خصوص آقاي مهندس عليرضا كيان‌پور، رئيس گروه كنترل و ارزيابي امنيت اطلاعات شركت خدمات انفورماتيك در تعريف فيشينگ مي گويد: فيشينگ را مي‌توان در گروه روش‌ها و تكنيك‌هاي مهندسي اجتماعي براي فريب كاربران اينترنتي دانست كه طي آن هكر علاوه بر شناسايي و استفاده از ضعف‌هاي امنيتي يك وب سايت، با بهره گيري از عدم آگاهي كاربران، عمليات مجرمانه خود را به انجام مي رساند. براي اولين بار اين قبيل حقه‌ها در سال 1987 مطرح شد و اولين باري كه واژه فيشينگ براي نام گذاري اين رخداد استفاده گرديد، سال 1996 بود. به هر حال قبل از آنكه اين نوع حملات تحت نام فيشينگ شناخته شوند هكرها از طريق تلفن و با برخورداري از تكنيك‌هاي روانشناختانه به جهت فقدان مكانيزم احراز هويت مناسب، مخاطب خود را مجاب به ارائه اطلاعات حساس و محرمانه مي‌كردند كه غالبا نيز در درون سازمان‌ها اين نوع نشت اطلاعات موفقيت‌آميز بود. واژه فيشينگ را مي‌توان نشات گرفته از مفهوم به دام انداختن طعمه از طريق تلفن دانست. بعدها با ايجاد بانكداري اينترنتي هكرها فضاي وب را نيز ابزار مناسبي براي اين گونه حملات يافتند. اين كه چرا فيشينگ در زمره مهندسي اجتماعي قرار مي‌گيرد از آن جهت است كه هكر با بهره گيري از امكانات فني به گونه اي عمل مي‌كند كه مخاطب كاملا به صحت عمل او اعتماد مي‌نمايد و بدون آنكه با ابزار دقيق، هويت پيام دهنده را احراز كند به سادگي به مسيري هدايت مي‌شود كه هكر براي او طراحي كرده است و در نهايت با در اختيار گذاشتن اطلاعات محرمانه خود، امكان سوء استفاده را فراهم مي‌كند.

مهندس كيان‌پور پر رنگ شدن اخبار مربوط به فيشينگ در رسانه‌ها در هفته‌هاي اخير را با اخبار مربوط با بدافزار DNS Changer در دنيا و نيز شايعاتي مبني بر وقوع حمله فيشينگ در درگاه بانكداري اينترنتي برخي از بانك‌ها مرتبط دانست و افزود، فيشينگ از ابتداي راه‌اندازي بانكداري اينترنتي مطرح بوده است و در ايران نيز همگام با رشد استفاده از سامانه‌هاي بانكداري اينترنتي و استفاده مردم از درگاه‌هاي پرداخت براي واريز پول به حساب فروشندگان، احتمال حملات فيشينگ افزايش پيدا كرده و از طرفي عدم اطلاع دقيق كاربران عادي با اصول امنيت اطلاعات در فضاي مجازي، تهديد ناشي از اين نوع حملات را بيش از پيش مطرح نموده است. اما تاكنون گزارشي در مورد موفقيت‌آميز بودن حمله فيشينگ بر روي سامانه‌هاي بانكداري اينترنتي و يا درگاه‌هاي پرداخت بانك‌هاي تحت پوشش شركت خدمات انفورماتيك دريافت نكرده‌ايم.

وي در مورد بدافزار DNS Changer گفت: اين بدافزار پس از آنكه بر روي PC كاربر منتقل مي‌‌شد، با اعمال تغييراتي بر روي آدرس DNS كامپيوتر كاربر، سايت‌هاي فراخواني شده توسط Browser را به سمت يك سايت جعلي هدايت مي‌كرد و متعاقبا اطلاعات حساب كاربر اعم از شماره كارت، رمز عبور، CVV2 و تاريخ انقضاء را در اختيار مي‌گرفت و كاربر در پايان كار تنها يك پيام دريافت مي‌نمود كه تراكنش انجام نشده است؛ به اين ترتيب هكر با اطلاعات لو رفته به سادگي خريد اينترنتي انجام مي‌داد. البته در مورد بدافزار DNS Changer، اين بد افزار صرفا براي بانكداري اينترنتي به كار نرفته و در انواع كلاهبرداريهاي اينترنتي كاربرد داشته است. در حال حاضر عوامل توليد اين بدافزار شناسايي شدند و به جهت تاثيري كه اين بدافزار در تغيير DNS كاربران آلوده در سطح جهان گذاشته بود امكان از دور خارج كردن يكباره آن وجود نداشت. به همين منظور به محض كشف بدافزار، پس از اطلاع رساني، زماني براي كاربران آلوده جهت بازگرداندن DNSها به وضعيت قبلي تعيين شد و با پايان يافتن آن در تاريخ 19/04/1391 سرورهاي كنترل اين بدافزار غيرفعال شدند كه البته به دليل بيتوجهي برخي از كاربران به توصيهها، ارتباط برخي كاربران در برخي كشورها با قطعي مواجه شد.

رئيس گروه كنترل و ارزيابي امنيت اطلاعات شركت خدمات انفورماتيك در زمينه ساير اشكال فيشينگ مي‌گويد: اخيرا وب سايت‌هايي براي كاربران ايراني طراحي شده كه كاربر با مراجعه به آن با برنامه‌هاي كاربردي جذاب همچون شارژ رايگان تلفن همراه، به دست آوردن Password پست الكتروينك يا شبكه‌هاي اجتماعي دوستان و يا هر چيزي كه ممكن است براي مخاطب جذاب باشد مواجه مي‌شود و به محض دريافت و نصب هر يك از اين برنامه‌هاي كاربردي، يك بدافزار مانند تروجان بر روي كامپيوتر كاربر عمل كرده و درصورتيكه كاربر آدرس درگاه‌ پرداخت برخي بانك‌ها را فراخواني مي‌نمود، Browser را به سمت سايت‌هاي جعلي هدايت مي‌كرد كه دقيقا عملكردي مشابه بدافزار DNSChanger انجام مي‌دهد. خوشبختانه اين سايت‌ها سريعا توسط پليس فتا شناسايي و فيلتر شده‌اند و هم‌اكنون تهديدي مشخص و شناخته شده‌اي در زمينه حملات فيشينگ كاربران بانكي را تهديد نمي‌كند. مهندس كيان پور افزود در مقوله امنيت اطلاعات هيچ‌گونه نمي‌توان به قطعيت سطح تهديد را صفر دانست و با وجود تمهيداتي كه از سوي بانك‌ها و شركت‌ها براي امن نمودن سامانه‌هاي بانكداري اينترنتي و درگاه‌هاي پرداخت شده است، باز هم هوشياري كاربر مهمترين ابراز مقابله با تهديدات فضاي سايبري و از جمله حملات فيشينگ است.

وي افزود، چنين رويدادهايي خاص ايران نبوده و غالبا شبكه‌هاي بانكي در سراسر دنيا بطور روزانه با حملات مختلف و متعددي دست به گريبانند. به عنوان مثال بزرگترين حمله به سامانه‌هاي بانكي مربوط به بانك هارتلند امريكا بوده است كه طي آن اطلاعات 130 ميليون كارت مشتريان لو رفته است.

وي در خصوص آنچه كاربران بايد رعايت كنند به موارد ذيل اشاره مي كند:

1-ابتدا كاربران دقت داشته باشند كه درگاه بانكداري اينترنتي با پروتكلhttps شروع شود. هرچند به اين مورد اكتفا نكنند چراكه برخي سايت‌هاي جعلي نيز در ابتداي آدرس خود واژه https را دارند اما به محض ورود كاربر با اين سايت‌ها، پيغامي مبني بر جعلي بودن گواهينامه (Certificate) سايت نمايش داده مي‌شود.

2- در گوشه سمت راست Toolbar حتما آيكون با تصوير قفل را مشاهده كنند .در اين مرحله نيز متوقف نشوند.

3-با كليك بر روي قفل بايد گزينه ViewCertificates را بررسي كرده كه طي آن اصلي بودن گواهينامه سايت و زمان اعتبار آن از سوي شركت صادر كننده گواهينامه ارايه شده است.

4- درصورتي كه سايت بانك به صفحه كليد مجازي مجهز است، حتما از اين صحفه كليد استفاده شود.

5- پس از پايان عمليات بانكي حتما از سايت خارج شده (SignOut كنند) و تنها به بستن Browser خود اكتفا نكنند.

وي در خصوص نوع ديگري از اين حملات مي گويد: كاربر ايميلي با اين مضمون دريافت ميكند كه شما مبلغ زيادي پول برنده شدهايد لطفا اطلاعات شماره حساب خود را اعلام كنيد تا بخشي از پول را به حساب شما واريز كنيم. براي اين موارد نيز كاربران به خاطر داشته باشند اگر بانكي قرار باشد اطلاعي را به كاربر خود بدهد قطعا بخشي از شماره حساب يا نام دقيق كاربر را درج مي‌كند و تنها به واژه “كاربر گرامي” اكتفا نمي‌كند. از طرفي ارسال ايميل از سمت بانك قطعا با درخواست قبلي كاربر صورت مي‌گيرد و اگر فردي درخواست اطلاع‌رساني از طرق ايميل را در هنگام افتتاح حساب به بانك نداده باشد و با اين حال ايميلي از بانك خود دريافت كند، احتمالا با فيشينگ مواجه شده است. از طرفي ارسال پيامك نيز صرفا براي فراخوان و اطلاع‌رساني صورت مي‌گيرد و دريافت اطلاعات حساس كاربران به هيچ عنوان توسط پيامك صورت نمي‌گيرد.

وي در مورد وظايف بانك‌ها نسبت به كاهش احتمال وقوع حملات فيشينگ افزود: بانك‌ها موظفند علاوه بر اخذ دامنه‌هاي .ir براي سامانه‌هاي بانكداري اينترنتي خود، نسبت به دريافت گواهينامه معتبر براي ارتباطات SSL اقدام نموده و علاوه بر آن نسبت به اطلاع‌رساني و آموزش به مشتريان از طريق پورتال و يا وب سايت خود اقدام نمايند. از طرفي پيادهسازي و رعايت استانداردهاي امنيتي بانكداري الكترونيك نيز نقش بسيار مهمي در كاهش حملات در اين حوزه خواهد داشت.

از منظر مهندس كيان پور شركتهاي ارائه دهنده خدمات بانكداري اينترنتي نيز بايد علاوه بر مشاوره فني به موقع و پيشگيرانه به بانك‌ها، به طور مداوم آزمون تست نفوذ را بر روي سايت‌ها و درگاه‌هاي پرداخت انجام داده تا هرگونه احتمال نفوذ را شناسايي و به بانك مربوطه اعلام نمايند تا موارد رفع شود. در پايان باز هم متذكر مي شويم؛ فراموش نكنيم آنچه باعث مي شود چنين حملاتي نتيجه اي در بر نداشته باشد هوشياري و آگاهي ارائه دهنده خدمت و كاربر است.

منبع: شرکت خدمات انفورماتیک