آشنایی با والینگ، پدیده‌ای فراتر از فیشینگ/روش های جدید مهندسی اجتماعی

 مجرمان به‌سرعت در حال تغییر شیوه‌های فریبکارانه خود هستند. اول فیشینگ آمد و پخش شد و حالا هم والینگ و دیگر روش‌های جدید و پیچیده مهندسی اجتماعی رو به رواج دارند. در اینجا آنچه که لازم است در این مورد بدانید آورده شده‌‌است. 

تنها زمانی می‌توانید متوجه چنین حملاتی شوید که تمامی روش‌های مهندسی اجتماعی را در کنار رایانامه‌ها، تماس‌های تلفنی و پیام‌های متنی و حتی نسخه‌های چاپی دستگاه فکس فریب‌دهنده را دیده‌باشید. این روش‌های مهندسی اجتماعی جدید به مجرمان سایبری سوخت‌رسانی می‌کنند. 

برخط بودن برای افراد و شرکت‌ها، شرط مهمی محسوب می‌شود. فیشینگ روی شهرت و نام برند، شغل‌های شخصی و سودهای مالی تأثیر می‌گذارد. نکته مهم و وحشتناک این است که مهاجمان اغلب از حساب‌های رایانامه به خطر افتاده و دیگر کانال‌های شغلی قانونی استفاده می‌کنند. هدف مجرمان فریب متخصصان برای انجام جرایم اینترنتی است. 

جدیداً خبرهایی از «والینگ» منتشر شده‌ که به کلیک کاربران بر روی لینک‌ها یا به آلوده شدن سامانه‌ها با بدافزار نیازی ندارد و به جای آن، مجرمان ابتدا نظارت گسترده‌ای بر روی سامانه‌ها انجام می‌دهند و اعتبارات اینترنتی مورد نیاز را به‌دست می‌آورند، سپس کاربر انتهایی مورد نظر را فریب می‌دهند تا بر اساس ایمیلی از جانب حساب ایمیل شخصی مدیرعامل، پولی انتقال دهد یا تراکنشی را شناسایی کند. 

برای مثال داستان جدید در مورد Alpha Payroll نشان می‌دهد که چگونه کاربر فریب درخواستی را خورده که به ظاهر از جانب مدیرعامل Alpha Payroll بوده‌‌است. متن این ایمیل جعلی به شرح زیر است: 

«تهیه نسخه کپی از تمامی فرم‌های ۲۰۱۵ W-۲ تولید شده توسط Alpha Payroll به‌عهده مشتریان است». 

روز ۸ آوریل، پس از اینکه یکی از مشتریان Alpha Payroll گزارش داد که کارمندان این شرکت با وجود تعدادی روش‌های امنیتی، اظهارنامه‌ای مالیاتی جعلی ثبت کرده‌اند، یک بررسی داخلی، حمله فیشینگ موفقی را تایید کرد. 

چندین متخصص گزارش داده‌اند که یک روش داخلی علیه به اشتراک‌گذاری اطلاعات W-۲ در حال حاضر در جریان است که می‌تواند دلیلی برای پایان شخص باشد. 

در آوریل سال ۲۰۱۶، Phoenix Division متعلق به FBI به‌طور رسمی به مشاغل و شرکت‌ها درباره افزایش چشم‌گیر سوءاستفاده از ایمیل‌ها (BEC) هشدار داد. 

طبق هشدار منتشر شده‌ی FBI، کلاهبرداران درصدد کلاهبرداری از ایمیل شرکت‌ها هستند یا به‌دنبال این هستند که با استفاده از مهندسی اجتماعی، اطلاعات شناسایی مدیرعامل، وکیل شرکت یا فروشنده معتبری را جعل کنند. این کلاهبرداران به‌دنبال کارکنانی می‌گردند که پول‌های شرکت را مدیریت می‌کنند. آنها از زبان مخصوص شرکتی که هدف قرار داده‌اند استفاده می‌کنند، سپس شروع به انتقال غیرقانونی پول می‌کنند. 

چند نوع کلاهبرداری در جریان است. قربانیان از شرکت‌های بزرگ تا شرکت‌های فناوری و شرکت‌ها کوچک و سازمان‌‌های غیرانتفاعی متغیر هستند. بیشتر مواقع کلاهبرداران شرکت‌هایی را هدف قرار می‌دهند که با تأمین‌کنندگان خارجی کار می‌کنند یا به‌طور مرتب تراکنش‌های انتقال پول را انجام می‌دهند. 

مجریان قانونی به‌طور جهانی شکایت‌های بسیاری از قربانیان در هر ایالت آمریکا و حداقل ۷۹ شرکت دیگر دریافت کرده‌‌است. از اکتبر ۲۰۱۳ تا فوریه ۲۰۱۶، مجریان قانون ۱۷۶۴۲ گزارش از قربانیان دریافت کرده‌اند. این قربانیان بیش از ۲.۳ میلیارد دلار از دست داده‌اند.

از ژانویه سال ۲۰۱۵، FBI افزایش ۲۷۰ درصدی در تعداد قربانی‌های شناسایی شده و پول از دست رفته مشاهده کرده‌است. در ایالت آریزونا میانگین از دست رفتن پول در هر‌بار حمله بین ۲۵۰۰۰ دلار تا ۷۵۰۰۰ دلار است. 

کلا‌هبرداری‌های فیشینگ برخط به‌سرعت در حال گسترش است. تمامی چیزی که برای مقابله با آنها نیاز داریم این است که مراقب روش‌های حفاظتی خود باشیم. 

قبل از اینکه به راه‌حل‌های عملی بپردازیم، به‌طور خلاصه نگاهی به تفاوت انواع حملات فیشینگی می‌پردازیم که در جریان هستند و بسیاری از آن‌ها سال‌هاست در اطراف ما وجود دارند. 

توجه داشته‌‌باشید که عملیات فیشینگ به چند شکل مختلف و از چند کانال مختلف قابل‌انجام است. بیشتر افراد روی به‌روزرسانی ایمیل‌‌ها، به‌روزرسانی پیام‌های متنی، فکس‌های فیس‌بوک یا Linkedin و یا حتی روی تماس‌های تلفنی تمرکز می‌کنند تا با استفاده از آنها عملیات فیشینگ را ترتیب دهند. چنین حملاتی طی یک پیام از شما می‌خواهد که روی پیوندی کلیک کنید، با یک شماره تلفن تماس بگیرید و یا تراکنش‌های دیگری انجام دهید. 

ابتدا ما فیشینگ سنتی را داریم. طبق گفته Security Mentor، فیشینگ همان‌طور که از نامش پیداست ماهی می‌گیرد؛ از طعمه استفاده می‌کند تا قربانی را به قلاب بیندازد. در فیشینگ، طعمه، یک پیام زیرکانه و شما یک ماهی هستید. از آنجایی که ماهی‌گیرها استادان خوبی در تغییر قیافه هستند، ما هم به دام آنها می‌افتیم. این کلاهبرداران با احساس و آرزوهای ما بازی می‌کنند. 

بیشتر کلاهبرداری‌های فیشینگ به نت گسترده‌ای نیاز دارند تا بتواند افراد بیشتری را به دام بیندازد. آ‌نها این کار را با جعل برندهای معروفی مثل Walmart ،PayPal ،eBay، گوگل و مایکروسافت و غیره انجام می‌دهند. 

دوم، این شبکه گسترده با عملیات فیشینگ پیچیده‌تر هم می‌شود و پخش حملات فیشینگ رایج‌تر. فیشینگ هدف‌دار بسیار شبیه به فیشینگ است، به جز اینکه این نوع حملات (فیشینگ هدف‌دار) هدفمندتر، پیچیده‌تر است و اغلب به نظر می‌رسد که از جانب کسی است که شما می‌شناسید مانند همکار شرکت‌تان، بانک شما، اعضای فامیل یا دوستان‌تان. پیام‌ها ممکن است شامل اطلاعات شخصی شما باشد مانند نام‌تان، محل کارتان و شاید حتی شماره تلفن یا دیگر اطلاعات شخصی‌تان. 

حملات فیشینگ هدف‌دار چالش بزرگ‌تری برای سازمان‌های جهانی هستند. کلیک کردن بر روی این پیوندها می‌تواند در سازمان را بر روی بدافزارها باز کند که منجر به از دست رفتن اطلاعات، سرقت اطلاعات هویتی و حتی می‌تواند باعث ورود باج‎افزارها شود که تا زمانی که باج به مهاجم پرداخت شود، می‌توانند اطلاعات سامانه را رمزنگاری کنند. 

طی چند سال گذشته مجرمان سایبری حملات فیشینگ هدف‌دار را برای نفوذ به سازمان‌ها ترجیح می‌داده‌اند. آنها به‌دست آوردن اعتبار کاربر از طریق فیشینگ، رخنه‌های گسترده بسیاری هم صورت داده‌اند. فهرستی که در وب‌گاه منتشر شده ۱۰ حمله برتر فیشینگ هدف‌دار را نشان می‌دهد و این نوع فیشینگ را مرموزترین اسلحه در بدترین حملات سایبری می‌نامد. وب‌گاه دیگری به ۳۰۰ شرکت آلوده شده به حملات فیشینگ هدف‌دار در آمریکا و انگلستان اشاره می‌کند که در واقع ۳۸ درصد حملات سایبری را در ۱۲ ماه گذشته تشکیل داده‌اند. 

سوم، اکنون روش جدیدی داریم که «والینگ» نامیده می‌شود، چرا که مهاجمان و کلاهبرداران به‌دنبال بزرگ‌ترین ماهی در حملات فیشینگ هدف‌دارشان هستند. طبق گفته‌ FBI در هشداری که منتشر کرد، هدف این است: جعل هویت مدیرعامل، وکیل شرکت یا فروشنده‌‌ی معتبر. 

این نوع حملات می‌تواند با روش‌های بسیاری انجام شوند، ازجمله استفاده از افراد داخل شرکت که باعث دسترسی به اطلاعات حساس، فرآیند یا فناوری موردنیاز برای موفقیت در کلاهبرداری می‌شوند. 

برای کاهش خطر والینگ و دیگر روش‌های جدید مهندسی اجتماعی که طی چند سال اخیر افزایش یافته‌اند، ۵ روش ذکر شده‌است که در ادامه می‌خوانید.

افزایش هشدارهای امنیتی و آموزش به کارکنان. مطمئن شوید که برنامه آموزش هشدارهای امنیتی گسترده‌ و پیشرفته‌‌ای داشته‌باشید که به‌طور مرتب هم به‌روزرسانی می‌شود و بتواند هم حملات فیشینگ عمومی و هم حملات فیشینگ هدف‌دار و خطرات جدید سایبری نوظهور را شناسایی کنند. یادتان باشد که تنها کلیک نکردن روی پیوندها کافی نیست. 

والینگ و جدیدترین روش‌های کلاهبرداری اینترنتی را برای کارکنان کلیدی و مهم توضیح دهید؛ ازجمله متخصصان و مسئولان ارشد. البته افرادی را که جابه‌جایی پول‌ها و دیگر تراکنش‌های مالی را انجام می‌دهند را فراموش نکنید. توجه کنید که بسیاری از حملات کلاه‌برداری با کارمندان سطح پایینی صورت می‌گیرند که باور می‌کنند مسئولی از او خواسته که کاری فوری و ضروری انجام دهد. معمولاً دور زدن روش‌ها یا کنترل‌های معمولی. 

روش‌ها و فرآیندها و تمایز وظایف برای انتقالات مالی و دیگر تراکنش‌های مهم مانند ارسال اطلاعات حساس به بیرون از مجموعه را بررسی کنید. در صورت نیاز کنترل‌کننده‌های دیگری هم اضافه کنید. به یاد داشته‌باشید که تمایز وظایف و دیگر محافظت‌ها ممکن است در بعضی نقاط توسط تهدیدهای داخلی به خطر بیفتند، بنابراین بررسی خطر ممکن است برای بررسی خطرهای مشخصی لازم باشد. 

به روش‌های جدید مربوط به تراکنش‌های خارج از محدوده یا درخواست‌های ضروری توجه کنید. ایمیلی از حساب جیمیل مدیرعامل به‌طور خودکار پرچم قرمزی برای کارمندان محسوب می‌شود، اما در عین حال آنها باید به آخرین روش‌های به‌کاررفته توسط وب تاریک هم توجه کنند. کارکنان باید روش‌های ضروری که همه آنها را به‌خوبی می‌شناسند، شناسایی کنند. 

مدیریت بحران و سامانه‌ گزارش‌دهنده حملات فیشینگ را بررسی، تصحیح و آزمایش کنید. با مدیریت و با کارکنان مهم و کلیدی تمرین کنید. کنترل‌‌ها و نقاط آسیب‌پذیر مستعد مهندسی معکوس را آزمایش کنید. کارکنان باید با حملات فیشینگ تمرینی آزمایش شوند البته نه‌تنها با کلیک کردن یا نکردن بر روی پیوندها. مهاجمان می‌دانند که پیوندها هشدارها را برای بسیاری از حملات والینگی تنظیم می‌کنند که نیازی به کلیک کردن بر روی پیوندها ندارند. مهاجم می‌خواهد که اعتماد کارکنان را جذب کند و اغلب شیوه حمله آنها ترکیبی از روش‌هایی است که درنهایت کارمندان را راضی به اقدام می‌کنند. از کارمندان خود بپرسید: «اگر شما یک مهاجم بودید برای دسترسی به اطلاعات چه می‌کردید؟» 

هرچقدر هم که ما روش‌های محافظتی و هشدارهای جدیدی را بسازیم، مهاجمان دوباره و دوباره خودشان را با آنها وفق می‌دهند. این همان جنگ سایبری است. به نظر من والینگ همان نسخه ۳.۰ فیشینگ است و نسخه ۴.۰ و ۵.۰ آن نیز سعی در نفوذ به پردازش‌های سازمانی دارند. 

نکته مهم آموزش به کارکنان برای تشخیص این نوع خطرات سایبری و مواجه شدن با خطرات است. چالش بزرگی که سازمان‌ها با آن مواجه‌ هستند ادامه راهنمایی کارکنان برای افزایش کارآمدی و کاهش کاغذبازی‌ها است در عین حال سازمان‌ها باید دید بسیار مناسبی در مورد خطرات به کارکنان‌شان بدهند. همچنین کارکنان باید یاد بگیرند که هنگام مواجه شدن با فعالیت‌های مشکوک چه باید بکنند. 

همان‌طور که آبراهام لینکلن در نامه‌ای در تاریخ ۱۸۴۸ نوشت: «شما هرگز به دام عملیات فریبکارانه نمی‌افتید مگر اینکه خودتان ذهن‌تان را به آن سمت هدایت کنید».