تصور کنید که یک روی صندوق پستی email خود را بررسی کرده و این پیام را در داخل inbox خود مشاهده می کنید:
شما یک حساب در بانک HSW دارید و یک e-mail را از این بانک دریافت کرده اید. با این حال، وضعیت کمی مشکوک به نظر می رسد، خصوصاً اینکه تهدید کرده است در صورت عدم پاسخگویی فوری، حساب شما بسته خواهد شد. در چنین حالتی چه کاری باید انجام دهید؟
این پیام و سایر پیامهای با محتوای مشابه آن، مثالهایی از Phishing هستند:
شیوه ای آنلاین برای سرقت هویت علاوه بر سرقت داده های مالی و شخصی، Phisher ها می توانند کامپیوترها را با ویروسهایی آلوده نموده و مردم را قانع کنند تا بطور غیرعمدی در فرایند «پول شوئی» شرکت نمایند. در این مقاله به بررسی خصوصیات مشترک الگوهای Phishing و حیله های تکنولوپیکی که Phisher ها از آنها برای فریب مردم و نرم افزارها استفاده می کنند، خواهیم پرداخت.
تصویر بزرگ
اکثر مردم، Phishing را به پیامهای email که هویت بانکها، شرکتهای کارت اعتباری و یا سایر بنگاههای تجاری نظیر eBay, Amazon را تقلید می کنند، مرتبط می دانند. این پیامها ظاهری معتبر دارند و تلاش میکنند تا قربانیان خود را برای فاش نمودن اطلاعات شخصی خود، متقاعد نمایند. اما پیامهای e-mail تنها یک بخش کوچک از یک تقلب Phishing را تشکیل می دهند. این فرآیند از ابتدا تا انتها شامل مراحل زیر است:
1- برنامه ریزی: Phisher ها در مورد بنگاه تجاری هدف خود تصمیم گیری کرده و شیوه بدست آوردن آدرسهای e-mail مشتریان بنگاه تجاری مورد نظر را تعیین می نمایند. آنها غالباً از همان تکنیکهای جمع آوری آدرس و mass-mailing مورد استفاده spammer ها، بهره برداری می نمایند.
2- تدارکات: پس از آنکه بنگاه تجاری که باید هویت آن جعل شود مشخص گردیده و قربانیان آنها نیز شناسایی شدند. Phisher ها شیوه هایی را برای تحویل پیام و جمع آوری داده ها ایجاد می کنند. در اکثر موارد، این فرایند شامل ایجاد آدرس e-mail و یک صفحه وب است.
3- حمله: این همان مرحله ای است که مردم بیشترین آشنایی را با آن دارند. Phisher یک پیام ساختگی را ارسال می کند که ظاهر آن نشان می دهد توسط یک منبع قابل اطمینان فرستاده شده است.
4- جمع آوری: Phisher ها، اطلاعاتی که قربانیان در صفحات وب و یا پنجره های pop-up وارد کرده اند را ضبط می نمایند.
5- جعل هویت و کلاهبرداری: Phisher ها از اطلاعات جمع آوری شده برای انجام خریدهای غیرقانونی و یا ارتکاب سایر جرائم استفاده می کنند. یک چهارم از قربانیان این حملات، هیچ گاه قادر به بازیابی وضعیت طبیعی خود نیستند. اگر Phisher بخواهد حمله دیگری را ترتیب دهد، موفقیت و یا شکست تقلب تکمیل شده قبلی خود را بررسی کرده و مجدداً این چرخه را آغاز می نماید. تقلبهای Phishing از نقاط ضعف امنیتی و نرم افزاری در هر دو سمت سرور و کلاینت، بهره گیری می کنند. اما حتی پیشرفته ترین تقلبهای Phishing نیز همانند کلاهبرداریهای به سبک قدیمی عمل می کنند که در آنها، یک فرد کلاهبردار هدف خود را متقاعد می نماید که فردی قابل اعتماد و امین است. در ادامه به بررسی مراحلی می پردازیم که Phisher ها برای متقاعد نمودن قربانیان خود در رابطه با مشروعیت پیامهایشان، طی می کنند.
فریب قربانی
از آنجایی که اکثر مردم هیچ تمایلی به فاش کردن شماره حسابهای بانکی و شماره یا کلمه عبور کارت اعتباری خود برای سایرین ندارند، Phisher هاباید مراحل بیشتری را برای فریب قربانیان خود در زمینه آشکار کرن اطلاعات خصوصیشان طی کنند. این نوع تلاشهای فریب آمیز، با عنون مهندسی اجتماعی (Social engineering) شناخته می شوند.
Phisher ها غالباً از لوگوی شرکت واقعی استفاده کرده و پیامهای e-mail مشروع را کپی می کنند. با این حال، لینکهای موجود در این پیامها را به گونه ای تغییر می دهند تا قربانیان را به سمت صفحات جعلی خودشان هدایت نمایند. آنها در فیلدهای “from:” و ” Reply- to ” در پیامهایی که برای قربانیان ارسال می کنند، از آدرسهای e-mail جعلی استفاده می نمایند. آنها همچنین لینکها را به گونه ای مبهم می نمایند تا ظاهر آنها را قانونی جلوه دهند. اما بازسازی ظاهر یک پیام رسمی، تنها بخشی از این فرآیند است.
اکثر پیامهای Phishing دلیلی را برای پاسخدهی فوری قربانی ارائه کرده و آنها را ترغیب می کنند که ابتدا کاری را انجام داده و بعداً فکر کنند. پیامها غالباً قربانیان خود را با مواردی نظیر لغو حسابهایشان در صورت عدم پاسخدهی فوری، تهدید می کنند. بعضی از آنها، بخاطر خریدهایی که قربانی هیچگاه انجام نداده است، از او تشکر می کنند. از آنجایی که قربانی نمی خواهد پولی که واقعاً پرداخت نکرده است را از دست بدهد، لینک تعبیه شده در پیام را دنبال کرده و دقیقاً همان اطلاعاتی که در مرحله اول نگران فاش شدن آنها بود را در اختیار phisher ها قرار می دهد.
بعلاوه، بسیاری از مردم (بطور ناخودآگاه) به فرآیندهای اتوماتیک اعتماد می کنند و معتقد هستند که اینگونه فرآیندها فاقد خطاهای انسانی هستند. به همین دلیل است که بسیاری از پیامها ادعا می کنند که یک حسابرسی کامپیوتری و یا یک فرآیند خودکار دیگر نشان داده است که مشکلی در رابطه با حساب قربانی وجود دارد. احتمال آنکه قربانی بپذیرد شخصی تلاش کرده به حساب وی نفوذ کند، بسیار بیشتر از احتمال ایجاد این تردید در وی است که شاید کامپیوتر مسئول حسابرسی در این زمینه اشتباه کرده باشد.
Phisher ها برای تصدیق اعتبار خود باید از حیله های تکنیکی استفاده کرده و همچنین از **********های Phishing و Spam عبور نمایند. در ادامه به بررسی نحوه انجام این فرآیندها خواهیم پرداخت.
حیله گری تکنیکی
هرچه یک مرورگر وب و یا یک کلاینت e-mail پیچیده تر باشد، phisher ها می توانند نقطه ضعفها و منافذ بیشتری را در آن بیابند، این بدان معنی است که با پیشرفته تر شدن برنامه ها، phisher ها نیز حیله های بیشتری را به مجموعه خود اضافه می کنند. برای مثال، وقتی یک ********** Phishing و Spam کارآمدتر می شود، phisher ها بهتر می توانند در پشت آنها مخفی شوند.
رایج ترین حیله، جعل آدرس است. بسیاری از برنامه های e-mail به کاربران اجازه می دهند که اطلاعات مورد نظر خود را در فیلدهای From و Replay- to وارد نمایند. در حالیکه این شیوه باعث راحتی کاربرانی خواهد شد که از چند آدرس پست الکترونیک استفاده می نمایند. اما ایجاد پیامهایی که وانمود می کنند از طرف منابع قانونی ارسال شده اند را نیز برای phisher ها آسانتر خواهند نمود. بعضی از سرورهای e-mail همچنین به کامپیوترها امکان می دهند که بدون استفاده از یک کلمه عبور، با درگاه (Simple Mail Transfer Protocol) SMPT ارتباط برقرار نمایند. این وضعیت به phisher ها امکان می دهد تا مستقیماً با سرور e-mail ارتباط برقرار کرده و آن را وادار به ارسال پیامها برای قربانیان خود نمایند.
سایر حیله ها عبارتند از:
- لینکهای مبهم: این URL ها ظاهراً واقعی به نظر می رسند اما قربانی را به سایت وب phisher هدایت می کنند. برخی از تکنیکهای ایجاد ابهام در لینکها عبارتند از:
1- استفاده از نسخه های جعلی URL شرکت تقلید شده با املای غلط و یا استفاده از ثبت نام (International Domain Name)IDN برای ایجاد مجدد URL هدف، با بهره گیری از کاراکترهایی به سایر زبانها.
2- درج نام شرکت هدف در داخل یک URL که از نام حوزه (Domain) دیگری استفاده می کند.
3- استفاده از فرمتهای جایگزین (نظیر هگزادسیمال) برای نمایش URL.
4- درج دستوراتی برای هدایت قربانی به URL غیرقانونی.
5- استفاده از HTML برای نمایش لینکها بصورت فریب آمیز.
- گرافیکها: با تعیین مرورگر و کلاینت e-mail مورد استفاده قربانی، phisher می تواند تصاویری از نوارهای آدرس و قفلهای امنیتی (Security Padlocks) را بر روی نوارهای آدرس و وضعیت (Status) واقعی قرار دهد.
- فریم ها و پنجره های pop-up: پنجره های pop-up بدخواهانه می توانند بر روی سایت ظاهر شوند. از سوی دیگر، فریم های نامرئی در اطراف آن می توانند حاوی کدهای بدخواهانه ای باشند.
- HTML : برخی از e-mail های phishing ظاهراً متن ساده به نظر می رسند اما در واقع شامل نشانه گذاریهای HTML حاوی عبارات و دستورالعمل های نامرئی هستند که به عبور پیام از نرم افزار anti-spam کمک می نمایند.
- مسموم کردن کاشه DNS: این شیوه که با نام phishing نیز شناخته می شود هنگامی صورت می گیرد که یک phisher، اطلاعات سرور DNS را تغییر می دهد. این وضعیت باعث می گردد تا هر کسی که تلاش می کند به سایت وب شرکت تقلید شده دسترسی پیدا نماید، به سایت دیگری هدایت شود. تشخیص phishing می تواند بسیار دشوار باشد ودر عین حال قادر است قربانیان متعددی را بطور همزمان به دام بیندازد.
Phisher ها می توانند از کامپیوترهای Proxy که مابین قربانی و سایت قرار گرفته اند، برای ضبط تعاملات قربانی استفاده نمایند. آنها همچنین می توانند از امنیت ضعیف صفحه وب یک شرکت بهره برداری نموده و کدهای بدخواهانه ای را در داخل صفحات خاصی تعبیه نمایند. Phisher هایی که از این شیوه ها استفاده می کنند، الزامی برای استتار لینکهای خود نخواهند داشت زیرا هنگامی که اطلاعات مشتریان سرقت می شود، آنها در یک سایت وب قانونی �
شما یک حساب در بانک HSW دارید و یک e-mail را از این بانک دریافت کرده اید. با این حال، وضعیت کمی مشکوک به نظر می رسد، خصوصاً اینکه تهدید کرده است در صورت عدم پاسخگویی فوری، حساب شما بسته خواهد شد. در چنین حالتی چه کاری باید انجام دهید؟
این پیام و سایر پیامهای با محتوای مشابه آن، مثالهایی از Phishing هستند:
شیوه ای آنلاین برای سرقت هویت علاوه بر سرقت داده های مالی و شخصی، Phisher ها می توانند کامپیوترها را با ویروسهایی آلوده نموده و مردم را قانع کنند تا بطور غیرعمدی در فرایند «پول شوئی» شرکت نمایند. در این مقاله به بررسی خصوصیات مشترک الگوهای Phishing و حیله های تکنولوپیکی که Phisher ها از آنها برای فریب مردم و نرم افزارها استفاده می کنند، خواهیم پرداخت.
اکثر مردم، Phishing را به پیامهای email که هویت بانکها، شرکتهای کارت اعتباری و یا سایر بنگاههای تجاری نظیر eBay, Amazon را تقلید می کنند، مرتبط می دانند. این پیامها ظاهری معتبر دارند و تلاش میکنند تا قربانیان خود را برای فاش نمودن اطلاعات شخصی خود، متقاعد نمایند. اما پیامهای e-mail تنها یک بخش کوچک از یک تقلب Phishing را تشکیل می دهند. این فرآیند از ابتدا تا انتها شامل مراحل زیر است:
1- برنامه ریزی: Phisher ها در مورد بنگاه تجاری هدف خود تصمیم گیری کرده و شیوه بدست آوردن آدرسهای e-mail مشتریان بنگاه تجاری مورد نظر را تعیین می نمایند. آنها غالباً از همان تکنیکهای جمع آوری آدرس و mass-mailing مورد استفاده spammer ها، بهره برداری می نمایند.
2- تدارکات: پس از آنکه بنگاه تجاری که باید هویت آن جعل شود مشخص گردیده و قربانیان آنها نیز شناسایی شدند. Phisher ها شیوه هایی را برای تحویل پیام و جمع آوری داده ها ایجاد می کنند. در اکثر موارد، این فرایند شامل ایجاد آدرس e-mail و یک صفحه وب است.
3- حمله: این همان مرحله ای است که مردم بیشترین آشنایی را با آن دارند. Phisher یک پیام ساختگی را ارسال می کند که ظاهر آن نشان می دهد توسط یک منبع قابل اطمینان فرستاده شده است.
4- جمع آوری: Phisher ها، اطلاعاتی که قربانیان در صفحات وب و یا پنجره های pop-up وارد کرده اند را ضبط می نمایند.
5- جعل هویت و کلاهبرداری: Phisher ها از اطلاعات جمع آوری شده برای انجام خریدهای غیرقانونی و یا ارتکاب سایر جرائم استفاده می کنند. یک چهارم از قربانیان این حملات، هیچ گاه قادر به بازیابی وضعیت طبیعی خود نیستند. اگر Phisher بخواهد حمله دیگری را ترتیب دهد، موفقیت و یا شکست تقلب تکمیل شده قبلی خود را بررسی کرده و مجدداً این چرخه را آغاز می نماید. تقلبهای Phishing از نقاط ضعف امنیتی و نرم افزاری در هر دو سمت سرور و کلاینت، بهره گیری می کنند. اما حتی پیشرفته ترین تقلبهای Phishing نیز همانند کلاهبرداریهای به سبک قدیمی عمل می کنند که در آنها، یک فرد کلاهبردار هدف خود را متقاعد می نماید که فردی قابل اعتماد و امین است. در ادامه به بررسی مراحلی می پردازیم که Phisher ها برای متقاعد نمودن قربانیان خود در رابطه با مشروعیت پیامهایشان، طی می کنند.
فریب قربانی
از آنجایی که اکثر مردم هیچ تمایلی به فاش کردن شماره حسابهای بانکی و شماره یا کلمه عبور کارت اعتباری خود برای سایرین ندارند، Phisher هاباید مراحل بیشتری را برای فریب قربانیان خود در زمینه آشکار کرن اطلاعات خصوصیشان طی کنند. این نوع تلاشهای فریب آمیز، با عنون مهندسی اجتماعی (Social engineering) شناخته می شوند.
Phisher ها غالباً از لوگوی شرکت واقعی استفاده کرده و پیامهای e-mail مشروع را کپی می کنند. با این حال، لینکهای موجود در این پیامها را به گونه ای تغییر می دهند تا قربانیان را به سمت صفحات جعلی خودشان هدایت نمایند. آنها در فیلدهای “from:” و ” Reply- to ” در پیامهایی که برای قربانیان ارسال می کنند، از آدرسهای e-mail جعلی استفاده می نمایند. آنها همچنین لینکها را به گونه ای مبهم می نمایند تا ظاهر آنها را قانونی جلوه دهند. اما بازسازی ظاهر یک پیام رسمی، تنها بخشی از این فرآیند است.
اکثر پیامهای Phishing دلیلی را برای پاسخدهی فوری قربانی ارائه کرده و آنها را ترغیب می کنند که ابتدا کاری را انجام داده و بعداً فکر کنند. پیامها غالباً قربانیان خود را با مواردی نظیر لغو حسابهایشان در صورت عدم پاسخدهی فوری، تهدید می کنند. بعضی از آنها، بخاطر خریدهایی که قربانی هیچگاه انجام نداده است، از او تشکر می کنند. از آنجایی که قربانی نمی خواهد پولی که واقعاً پرداخت نکرده است را از دست بدهد، لینک تعبیه شده در پیام را دنبال کرده و دقیقاً همان اطلاعاتی که در مرحله اول نگران فاش شدن آنها بود را در اختیار phisher ها قرار می دهد.
بعلاوه، بسیاری از مردم (بطور ناخودآگاه) به فرآیندهای اتوماتیک اعتماد می کنند و معتقد هستند که اینگونه فرآیندها فاقد خطاهای انسانی هستند. به همین دلیل است که بسیاری از پیامها ادعا می کنند که یک حسابرسی کامپیوتری و یا یک فرآیند خودکار دیگر نشان داده است که مشکلی در رابطه با حساب قربانی وجود دارد. احتمال آنکه قربانی بپذیرد شخصی تلاش کرده به حساب وی نفوذ کند، بسیار بیشتر از احتمال ایجاد این تردید در وی است که شاید کامپیوتر مسئول حسابرسی در این زمینه اشتباه کرده باشد.
Phisher ها برای تصدیق اعتبار خود باید از حیله های تکنیکی استفاده کرده و همچنین از **********های Phishing و Spam عبور نمایند. در ادامه به بررسی نحوه انجام این فرآیندها خواهیم پرداخت.
حیله گری تکنیکی
هرچه یک مرورگر وب و یا یک کلاینت e-mail پیچیده تر باشد، phisher ها می توانند نقطه ضعفها و منافذ بیشتری را در آن بیابند، این بدان معنی است که با پیشرفته تر شدن برنامه ها، phisher ها نیز حیله های بیشتری را به مجموعه خود اضافه می کنند. برای مثال، وقتی یک ********** Phishing و Spam کارآمدتر می شود، phisher ها بهتر می توانند در پشت آنها مخفی شوند.
رایج ترین حیله، جعل آدرس است. بسیاری از برنامه های e-mail به کاربران اجازه می دهند که اطلاعات مورد نظر خود را در فیلدهای From و Replay- to وارد نمایند. در حالیکه این شیوه باعث راحتی کاربرانی خواهد شد که از چند آدرس پست الکترونیک استفاده می نمایند. اما ایجاد پیامهایی که وانمود می کنند از طرف منابع قانونی ارسال شده اند را نیز برای phisher ها آسانتر خواهند نمود. بعضی از سرورهای e-mail همچنین به کامپیوترها امکان می دهند که بدون استفاده از یک کلمه عبور، با درگاه (Simple Mail Transfer Protocol) SMPT ارتباط برقرار نمایند. این وضعیت به phisher ها امکان می دهد تا مستقیماً با سرور e-mail ارتباط برقرار کرده و آن را وادار به ارسال پیامها برای قربانیان خود نمایند.
سایر حیله ها عبارتند از:
- لینکهای مبهم: این URL ها ظاهراً واقعی به نظر می رسند اما قربانی را به سایت وب phisher هدایت می کنند. برخی از تکنیکهای ایجاد ابهام در لینکها عبارتند از:
1- استفاده از نسخه های جعلی URL شرکت تقلید شده با املای غلط و یا استفاده از ثبت نام (International Domain Name)IDN برای ایجاد مجدد URL هدف، با بهره گیری از کاراکترهایی به سایر زبانها.
2- درج نام شرکت هدف در داخل یک URL که از نام حوزه (Domain) دیگری استفاده می کند.
3- استفاده از فرمتهای جایگزین (نظیر هگزادسیمال) برای نمایش URL.
4- درج دستوراتی برای هدایت قربانی به URL غیرقانونی.
5- استفاده از HTML برای نمایش لینکها بصورت فریب آمیز.
- گرافیکها: با تعیین مرورگر و کلاینت e-mail مورد استفاده قربانی، phisher می تواند تصاویری از نوارهای آدرس و قفلهای امنیتی (Security Padlocks) را بر روی نوارهای آدرس و وضعیت (Status) واقعی قرار دهد.
- فریم ها و پنجره های pop-up: پنجره های pop-up بدخواهانه می توانند بر روی سایت ظاهر شوند. از سوی دیگر، فریم های نامرئی در اطراف آن می توانند حاوی کدهای بدخواهانه ای باشند.
- HTML : برخی از e-mail های phishing ظاهراً متن ساده به نظر می رسند اما در واقع شامل نشانه گذاریهای HTML حاوی عبارات و دستورالعمل های نامرئی هستند که به عبور پیام از نرم افزار anti-spam کمک می نمایند.
- مسموم کردن کاشه DNS: این شیوه که با نام phishing نیز شناخته می شود هنگامی صورت می گیرد که یک phisher، اطلاعات سرور DNS را تغییر می دهد. این وضعیت باعث می گردد تا هر کسی که تلاش می کند به سایت وب شرکت تقلید شده دسترسی پیدا نماید، به سایت دیگری هدایت شود. تشخیص phishing می تواند بسیار دشوار باشد ودر عین حال قادر است قربانیان متعددی را بطور همزمان به دام بیندازد.
Phisher ها می توانند از کامپیوترهای Proxy که مابین قربانی و سایت قرار گرفته اند، برای ضبط تعاملات قربانی استفاده نمایند. آنها همچنین می توانند از امنیت ضعیف صفحه وب یک شرکت بهره برداری نموده و کدهای بدخواهانه ای را در داخل صفحات خاصی تعبیه نمایند. Phisher هایی که از این شیوه ها استفاده می کنند، الزامی برای استتار لینکهای خود نخواهند داشت زیرا هنگامی که اطلاعات مشتریان سرقت می شود، آنها در یک سایت وب قانونی �