ناآگاهی کاربران؛ عامل اصلی حملات فیشینگ
این روزها خبرهای زیادی درباره فیشینگ میشنویم که بهعلت کلاهبرداری و تقلب، فردی حساب بانکیاش خالی شده یا بهپای ایتیامهای بانکی کشانده شده و به بهانه برنده شدن در مسابقه و… مبلغی بهحساب کلاهبردار واریز کرده است. اما فیشینگ چیست؟ چرا عدهای از کاربران در دام فیشینگ میافتند و برای مقابله با آنچه باید کرد؟ ما درباره این موضوع بهسراغ دو نفر از کارشناسان حوزه امنیت رفتیم و نظر آنها را جویا شدیم.
افشای اطلاعات حساس با فیشینگ
«حمله فیشینگ در واقع تلاش نفوذگرها و متقلب هاست برای بهدست آوردن اطلاعات شخصی، مالی، تجاری افراد و سازمانها با فریب و هدایت کاربر به صفحه جعلی، که شبیه صفحات اصلی نظیر درگاه پرداخت بانک، صفحه ورود بهسامانه بانکداری، صفحه ورود بهسرویس ایمیل یا موارد مشابه ساخته شده است.»
امید توکلی، طراح و راهبر امنیت راهکارهای فناوری اطلاعات و عملیات با بیان مطلب فوق به «ایران» گفت: روشهای فریب شامل سوءاستفاده از مسائل روزمره افراد در حوزههای اجتماعی، اقتصادی و سرگرمی می شود و ابزارهای فریب نیز شامل پیامکهای جعلی، پیامهای فریب در شبکههای اجتماعی و ایمیلهای آلوده به لینکهای جعلی و بدافزارها و… است.
توکلی با اشاره به اینکه براساس گزارش سایت Verizon، در سال 2018 میلادی حدود 92 درصد نشت و افشای اطلاعات حساس از طریق حملات فیشینگ انجام شده است، افزود: رخدادهای فیشینگ مانند دیگر تهدیدات سایبری تحت تأثیر مستقیم و قابل مدلسازی از سوی سه عامل فرد یا کاربر، فرآیند و فناوری هستند. «فرد یا کاربر» تحت تأثیر فریب یا ناآگاهی، در یک «فرآیند» معیوب و در نبود «فناوری» که کاربر را مصون کند، دچار افشای اطلاعات و حمله فیشینگ میشود.
اما در ادامه این سؤال پیش میآید که آیا امنیت سایبری سایتهای معتبر (مانند درگاههای بانکی، یا سایتهایی مانند همتا کارت سوخت و…) پایین است که کلاهبرداران بیشتر با این روش اقدام به کلاهبرداری میکنند؟ توکلی طراح و راهبر امنیت در پاسخ به این سؤال گفت: هیچ سایتی صددرصد امن نیست، اما در خصوص موضوع فیشینگ سایت اصلی مسئولیتی در این زمینه برعهده ندارد. بهعنوان مثال اگر کاربری فریب یک صفحه جعلی را خورد و اطلاعات کارت بانکیاش را در یک درگاه پرداخت جعلی وارد کرد، مسئولیتی متوجه بانک صادرکننده یا درگاه پرداخت معتبر نیست. تنها اگر فرد تراکنش خود را در سایت اصلی و معتبر انجام داده باشد و زمانی که در سایت اصلی بسر میبرد اتفاقی بیفتد، نقص سایت معتبر قابل ارزیابی خواهد بود.
نوری دیگر کارشناس امنیت اطلاعات نیز معتقد است که فیشینگ ارتباطی با امنیت سایتهای معتبر ندارد. نوری گفت: در واقع فرد سارق با جعل کردن یک صفحه مرتبط با یک سایت معتبر افراد را فریب داده و اطلاعات آنها مثل رمزهای عبور و اطلاعات بانکی و… را سرقت میکند. اما اکثر سرویسهای معتبر در دنیا با تمهیداتی مثل ورود دو مرحلهای و استفاده از رمزهای یکبار مصرف از طریق پیامک و نرمافزار رمزساز امکان سوءاستفاده از این اطلاعات را کاهش میدهند. روشی که برخلاف تذکرات پیدرپی کارشناسان کماکان جای خالی آن در سیستم بانکی ما همچنان احساس میشود.
تغییر شیوههای حملات فیشینگ
«کلاهبرداری به روش فیشینگ بسته به شرایط روز تغییر میکند و معمولاً بر پایه سناریوهای مهندسی اجتماعی انجام میشود.» توکلی با بیان این مطلب گفت: متقلب شرایط جذابی برای فریب قربانی فراهم میکند تا کاربر وارد سایت جعلی شود. مثلاً تماس، پیام در شبکههای اجتماعی یا پیامک جعلی برنده شدن در یک برنامه رادیویی، برنده شدن در قرعهکشی بانک و مواردی از این دست، سناریوهای معمول فیشینگ هستند.
وی افزود: این پیامها ممکن است بهصورت تصادفی برای عده زیادی از افراد ارسال شود. سناریوهای پیچیدهتر به شکل هدفدار و با شناسایی دقیقتر قربانی رخ میدهد. مثلاً متقلب با دنبال کردن اخبار، اطلاعات تماس کارآفرین برتر، کارمند نمونه یک سازمان و مواردی از این دست را یافته و با دستاویز کردن اطلاعاتی که بهدست آورده، به بهانه تحویل جایزه، اعطای وام و… وی را در دام فیشینگ میاندازد.
نوری نیز معتقد است در دنیا روشهای کلاهبرداری و فیشینگ با توجه به افزایش آگاهی کاربران و اعمال برخی مراحل امنیتی توسط سیستمهای مختلف برای به دام انداختن کاربران، دائماً در حال تغییر است.
آموزش و افزایش آگاهی کاربران
اما برای اینکه کاربران در دام فیشینگ نیفتند و حسابهای بانکی آنها خالی نشود چه باید کرد؟ توکلی و نوری کارشناسان امنیت در پاسخ به این سؤال آموزش و بالا بردن آگاهی کاربران را راه جلوگیری از به دام افتادن در تلههای فیشینگ عنوان کردند.
نوری معتقد است ریشه کلاهبرداری در درجه اول به ناآگاهی کاربر بر میگردد، چرا که در فیشینگ، صفحات درخواستکننده اطلاعات حساس مثل صفحات پرداخت اینترنتی جعل میشوند و هدف نهایی آنها فریب کاربر است. این کارشناس امنیت گفت: اگر کاربران در این زمینه آموزش ببینند و آگاهی آنها افزایش یابد، کاربران کمتری در دام این صفحات میافتند. در کنار افزایش آگاهی، برخی تغییرات زیرساختی نیز باید اعمال شود که در صورت ناآگاهی و دانش کافی بین کاربران، امکان سوءاستفاده از اطلاعات سرقت شده از طریق فیشینگ و صفحات جعلی به حداقل برسد.
توکلی نیز با اشاره به اینکه آگاهی نقش مهمی در فریب نخوردن کاربران دارد، گفت: دو عامل مهم برای جلوگیری از فیشینگ، انجام «فرآیند» صحیح پرداختهای مبتنی بر کارت و «فناوری» قابل اتکا است بهطوری که اگر این دو مورد رعایت شود کاربر از حملات فیشینگ مصونسازی خواهد شد. وی افزود: بهعنوان مثال کاربران باید به املای درگاهها آگاه باشند و دقت کنند تا بتوانند سایتهای جعلی را از واقعی تشخیص دهند. مثلاً آدرس درگاه پرداخت بهجای sep.shaparak.ir ممکن است چیزی شبیه sep.shaqarak.ir یا sep.shaperak.ir باشد. یا اینکه به پیامها و ایمیلهایی که دریافت میکنند توجه کرده و به افراد ناشناسی که از وی اطلاعات درخواست میکنند، پاسخ ندهند. توکلی کارشناس ارشد امنیت چندین راه حل برای جلوگیری از بهدام افتادن درحملات فیشینگ توصیه میکند. وی معتقد است در سطح فناوری آسیبپذیری که موجب میشود تا کلاهبرداران در سناریوهای فیشینگ موفق عمل کنند، ثابت بودن اطلاعات حساس هویتی و مالی کاربر است. بهعنوان مثال وقتی کاربر همیشه از یک رمز دوم کارت بانکی خود استفاده میکند بیشتردر دام حملات فیشینگ میافتد بنابراین باید رمز دوم دائماً تغییر کند. توکلی در ادامه گفت: ابزارهای فناورانه بهکاربر کمک میکند تا سایتهای فیشینگ را تشخیص دهند. معمولاً این ابزارها بهشکل افزونههایی در مرورگرهای Chrome و Firefox با عنوان Anti-Phishing add-ons، یا در محصولات امنیتی مثل ضدبدافزارها، دیوارههای آتش برنامههای کاربردی تحت وب و…. وجود دارند.
وی با بیان اینکه نحوه تعامل «کاربر» و «فناوری» در یک سناریوی فیشینگ، «فرآیند» انجام کار را شکل میدهد، افزود: این فرآیند در لایههای مختلف نیازمند بازبینی و اصلاح است. مثلاً فرآیندهای «تصدیق هویت دو عامله» افراد در سامانههای اینترنت بانک، ایمیل و دیگر سیستمهای نیازمند هویتسنجی منجر به شکست فیشینگ میشود.
این طراح و راهبر امنیت بار دیگر برافزایش آگاهی در سطح «کاربر» برای کاهش فیشینگ تأکید کرد و گفت: برخی از این آگاهیها در خصوص پرداختهای اینترنتی شامل مجوزهای کسر وجه از حساب کاربر در پرداختهای اینترنتی، تاریخ انقضا، شماره CVV2 و رمز دوم کارت کاربر است. کاربران برای انجام تراکنش مالی باید این اطلاعات را فقط در صفحه درگاه پرداختی که به اصالت آن اطمینان دارند، وارد کنند. از سوی دیگر شمارهای که بانک بهکاربر پیامک میزند ثابت و مشخص است. کاربران باید آن را شناخته و ذخیره کنند و به پیامکهای جعلی توجه نکنند. هر نوع کد تأییدی که از سامانههای مورد تأیید نظیر اینترنت بانک یا موبایلبانک برای کاربر ارسال میشود؛ صرفاً برای کاربرد کاربر ارسال شده و نباید آن را با هیچکس حتی شخصی که خود را کارمند بانک معرفی میکند به اشتراک بگذارند.
وی در پایان به کاربران توصیه کرد برای واریز پول بهحساب کاربر، صرفاً ارائه شماره کارت بانکی یا شماره حساب کافی است. هر کس از کاربر رمز اول یا دوم کارت، تاریخ انقضا، شماره CVV2، شماره مشتری یا هر اطلاعات دیگری درخواست کرد؛ یا از کاربر خواست به نزدیکترین دستگاه خودپرداز مراجعه کنند، به وی شک کنند.