ایتنا- فیشینگ نوعی سرقت هویت است که از طریق شبکههای رایانهای انجام میشود.
سیدمحمدرضا موسوی پور در مقالات پیشین، حملات مهندسی اجتماعی و خطرات پیش روی افراد را بررسی نموده و پس از آن یکی از چالش برانگیزترین دردسرهای دنیای دیجیتال را به نام سرقت هویت، مرور نمودیم. برخی مطالب ارائهشده، با توجه به ویژگیهای مهندسی اجتماعی، به سرقت هویت اشاره مینمود که نمونههایی نیز جهت درک بهتر موضوع بیان شد.
همچنین از برخی حملات مهم برای سرقت هویت نام بردیم که یکی از مهمترین آنها فیشینگ یا سرقتبرخط میباشد. از این حمله برای ربایش هویت قربانیان به کمک شبکههای رایانهای استفاده میشود.
در این شماره قصد داریم اطلاعاتی را درباره این حمله پرهزینه با شما به اشتراک بگذاریم که عموما به قصد دسترسی به شناسهها و رمزهای عبور افراد طراحی شده است.
در واقع سرقتبرخط یک تهدید اینترنتی است که در آن مهاجم با روشهایی کاربر را متقاعد میکند تا اطلاعات شخصی و مهم خود را در اختیار او قرار دهد.
این اطلاعات میتواند هویت فردی، یعنی مشخصات قربانی و یا هویت بازرگانی او همچون شماره حساب بانکی و رمز عبور آن باشد که به کمک آن سارقِ هویت، امکان سوءاستفاده از آن را پیدا میکند.
اما به طور کلی هر اطلاعات ارزشمندی که استفاده غیرقانونی از آن منافعی برای هکرها و کلاهبرداران به دنبال بیاورد را شامل میشود.
نکتهای که باید در اینجا مورد توجه قرار گیرد، این حقیقت است که رفتار و برنامهریزی مهاجم به گونهای اجرا میشود که کاربر از دادن اطلاعات مهم خود به فردی که قصد استفاده غیرقانونی از آنها را دارد، مطلع نمیشود.
بلکه تصور او در تمام مراحلِ حمله آن است که اطلاعات مهمِ شخصی و یا حسابهای بانکیاش در اختیار افراد یا سازمانهای قانونی مانند یک بانک یا شرکت بیمه قرار میگیرد. بنابراین اطمینان دارد که هیچگونه سوءاستفادهای از آنها نخواهد شد.
از این رو سارق خود را زیر پوشش افراد یا شرکتهای قانونی پنهان نموده و به روشهایی همچون ایجاد وب سایتی مشابه شرکت واقعی و کشاندن کاربران به آن و یا با ارسال تعداد بسیار زیادی ایمیل و هرزنامه کاربر را وادار به واردکردن اطلاعات مطلوب مینماید.
شدت اثر این حمله گاه به حدی است که کاربر تا مدتها از وقوع و عواقب آن بیخبر مانده و دچار مشکلات بسیاری میگردد. به همین دلیل قربانی حمله ممکن است دچار خسارت هنگفتی، همچون خالی شدن حساب بانکیاش گردد.
دلایل موفقیت یک سرقتبرخط همانطور که پیش از این اشاره شد، سرقتبرخط یک تهدید امنیتی است که مهاجم به کمک آن سعی در فریب کاربر به روشهای گوناگون دارد تا وی را مجاب به ارائه اطلاعاتی نماید که بهرهبرداری غیرقانونی توسط مهاجم را امکانپذیر نماید.
این حملات به روشهای مختلفی انجام میشود که برخی از مهمترین آنها را در شمارههای بعدی شرح خواهیم داد. اما مهمتر از این گوناگونی روشها و انواع حملات مرتبط با آن، دلایلی که سبب موفقیت مهاجم میگردند، مورد توجهاند. در حقیقت یکی از نخستین گامهای رویارویی با هر حملهای شناخت نقاط ضعفی است که منجر به اجرای موفقیتآمیز آن حمله میگردد.
فقدان دانش کافی نه تنها در این حمله بلکه در بسیاری از حملات، یکی از مهمترین عواملی که زمینهساز رخداد یک حمله موفق میگردد، دانش ناکافی کاربران در مواجه با این حملات و یا پیشگیری از آن است.
فقدان دانش مناسب کاربر از رایانه، اینترنت و کاربری صحیح آن آرزوی هر مهاجمی برای رخنه در رایانه و یا اطلاعات مهم آن است و میتواند درستی انجام یک حمله موفق را برای سارق اطلاعات هویتی شما تضمین نماید.
اما این مساله تنها به حیطه کارکرد سیستمهای رایانهای منتهی نمیشود، بلکه مساله مهمتر و حیاتیتر موضوع امنیت در سیستمهای رایانه است که در اغلب موارد توجه بسیار کمی به آن میشود و غالبا الویت بالایی نزد کاربران ندارد.
از این رو به طور کلی دانش کاربران در زمینه امنیت سیستمهای رایانهای در اغلب موارد بسیار کم و ناچیز است.
فریب ظاهر همه وب سایتها دارای نشانیهایی جهت دسترسی کاربران به آنها هستند. از این رو سارقِ هویت از این موضوع بهرهبرداری نموده و ترفند زیر را بکار میگیرد.
او ابتدا یک سایت مانند یک فروشگاه اینترنتی را به عنوان سایت هدف انتخاب نموده و دامنهای را با نامی نزدیک به نام آن سایت خریداری و ثبت میکند. به نحوی که دامنه خریداری شده تنها در یک یا دو کاراکتر با دامنه سایت اصلی تفاوت داشته و تا حد امکان مشابه آن انتخاب شده باشد.
دلیل این موضوع کاملا روشن است. چرا که معمولا کاربران توجه زیادی به این تفاوتها نمیکنند و در واقع دچار نوعی خطای دید خواهند شد. اما این به تنهایی کافی نیست و باید صفحه سایتِ شبیهسازی شده نیز مشابه سایت اصلی طراحی شود که این موضوع نیز حتی در صورت وجود اندک تفاوتهایی باز از چشم کاربران به دور خواهد ماند.
بنابراین کاربر با اطمینان از معتبر بودن سایت، اطلاعات هویتی خود را وارد نموده و بدون آنکه آگاه باشد، در دامی که برای او پهن شده است قرار میگیرد.
این اطلاعات به دست آمده توسط سارق میتواند به طور مستقیم مورد استفاده قرارگرفته و یا برای استفادههای بعدی طبقهبندی شود. این موضوع پیش از این در مقاله "سرقت هویت – به نام من، به کام تو" بررسی گردید.
مهاجم میتواند از فریب مشاهدات کاربر بهره دیگری نیز ببرد. به طور نمونه میتواند از یک تصویر برای پیوند به سایت جعلی خود استفاده کند و در نتیجه کاربر را گمراه نماید و یا تصاویری را در صفحه وب سایت خود قرار دهد که مشابه پنجرههای مرورگر کاربر باشند.
به این ترتیب کاربر گمان میکند در حال تعامل با بخشی از مرورگر اینترنتی خود است. در روشی مشابه، سارق میتواند در هنگام تعامل کاربر با سایت اصلی، صفحهای را بر روی آن بازنماید که در واقع به سایت جعلی سارق پیوند خورده است.
به این ترتیب، کاربر به دلیل شباهتهای بسیار زیاد این دو صفحه تصور میکند، این صفحه جدید نیز بخشی از همان سایت اصلی است و در واقع هر دو متعلق به یک منبع هستند.
به همین ترتیب سارق میتواند با تقلید نوع زبان، گفتار و هر ویژگی دیگری که در سایت اصلی بکار رفته است، این اطمینان کاذب را در کاربرِ به دام افتاده، بیشتر نماید.
بیتوجهی به هشدارهای امنیتی یکی دیگر از مواردی که زمینهساز وقوع یک حمله سرقتبرخط و موفقیت آن است، بیحوصلگی و یا عدم توجه کاربران به هشدارهای امنیتی است.
متاسفانه در اکثر موارد کاربران دقت و توجه کافی برای خواندن متن پیامهای هشداری که به آنها داده میشود را به کار نمیبرند و این به نوبه خود این امکان را به سارق میدهد تا حمله خود را عملی سازد.
بنابراین در نبود هشدارهای امنیتی، استفاده از یک تصویر پیوند خورده به سایت جعلی که مشکل امنیتی آن برای کاربران قابلتشخیص نباشد، آسانتر خواهد بود.
فرآیند سرقتبرخط اما پس از ذکر مواردی پیرامون سرقتبرخط و علتهای وقوع موفقیتآمیز آن، اکنون نوبت آن است تا فرآیند سرقتبرخط را در سه مرحله ساده بصورت زیر دستهبندی و ارائه نماییم.
مرحله اول: ثبت یک دامنه جعلی مهاجم در آغاز فرآیند سرقتبرخط نیازمند آن است تا یک آدرس اینترنتی، مشابه با سایت شرکت یا سازمان رسمی و واقعی را برای خود تهیه و ثبت نماید.
گرچه الزامی به شباهت اسمی بین سایت اصلی و سایت جعلی وجود ندارد، اما این کار در ایجاد خطای چشمی برای کاربران نقش به سزایی را ایفا میکند.
به این موضوع در سطرهای بالایی پرداخته شد. اما آنچه بهر صورت در مرحله اول قطعی و ضروری است، ثبت یک دامنه برای سایت جعلی، جهت سرقتبرخط، توسط سارق هویت است.
مرحله دوم: ایجاد یک سایت جعلی با ظاهری مشابهه سایت اصلی این موضوع نیز از منظر دیگری پیش از این بررسی گردید. در این مرحله سارق برای فریب کاربران، صفحه پیش روی سایت خود را مشابه صفحه متناظر سایت اصلی طراحی میکند.
بدین ترتیب از خطای چشمی بوجود آمده در کاربر برای حصول نتیجه در فرآیند سرقتبرخط خود، بهترین بهره را می برد. این طراحی یکسان و مشابه، تنها به صفحه اصلی سایت محدود نمیگردد و تا حد امکان فرمهای ورود اطلاعات، صفحات داخلی و پیوندها را نیز پوشش می دهد.
دقت در پیادهسازی، ریزهکاریها و حتی انتخاب فونتهای مشابه سایت اصلی میتواند در فریب کاربران موثر بوده تا کاربر دچار کوچکترین شک و تردیدی نگردند.
مرحله سوم: فرستادن ایمیل به تعداد زیادی از کاربران پس از انجام مراحل یک و دو، سارق باید قربانیان خود را به طریقی به سمت این سایت جعلی جذب نماید.
مرسومترین روش برای این کار استفاده از ارسال تعداد زیادی ایمیل برای میلیونها آدرس پست الکترونیکی در سراسر جهان است. البته روشهای دیگری هم برای این کار وجود دارد.
مثل قرار دادن بنر تبلیغاتی یا پیوندهای جعلی در صفحات سایتهای دیگر که کاربر را به سایت فراهم شده برای سرقتبرخط هدایت کنند. در نهایت زمانی که کاربر به سایت سرقتبرخط هدایت شد، سارق میتواند به طریقی وی را وادار به واردکردن اطلاعات حیاتی در محلهای موردنظر خود نماید.
بطور مثال با ظاهرسازی خوب و مناسب سایت، سبب شود تا کاربر با اعتماد به اینکه وارد سایت یک شرکت یا سازمان معتبر و رسمی شده است، اطلاعات خود را ارائه کند. در این صورت سارق میتواند این اطلاعات را برای استفادههای بعدی گردآوری و دسته بندی نماید.
جمع بندی در این مقاله مقدمهای پیرامون سرقتبرخط بیان گردید و علاوه بر معرفی دلایل موفقیت این حمله یک نمونه عمومی از فرایند اجرای این سرقت نیز بیان شد.
با آنکه استفاده از نامههای الکترونیکی، روشی مرسوم و معمول برای سرقتبرخط است، اما، این تنها راهکار ممکن برای صیادی اطلاعات قربانیان توسط سارقان و هکرها نیست.
در شمارههای آینده روشهای متعدد شناخته شده برای سرقت برخط، نظیر حملات بر پایه وب، تزریق محتوا و یا استفاده از میزبانهای آلوده را بررسی خواهیم نمود.