جدیداً خبرهایی از «والینگ» منتشر شده که به کلیک کاربران بر روی لینکها یا به آلوده شدن سامانهها با بدافزار نیازی ندارد.
مجرمان بهسرعت در حال تغییر شیوههای فریبکارانه خود هستند. اول فیشینگ آمد و پخش شد و حالا هم والینگ و دیگر روشهای جدید و پیچیده مهندسی اجتماعی رو به رواج دارند. در اینجا آنچه که لازم است در این مورد بدانید آورده شدهاست.
شما به قایق بزرگتری نیاز دارید!
تنها زمانی میتوانید متوجه چنین حملاتی شوید که تمامی روشهای مهندسی اجتماعی را در کنار رایانامهها، تماسهای تلفنی و پیامهای متنی و حتی نسخههای چاپی دستگاه فکس فریبدهنده را دیدهباشید. این روشهای مهندسی اجتماعی جدید به مجرمان سایبری سوخترسانی میکنند.
برخط بودن برای افراد و شرکتها، شرط مهمی محسوب میشود. فیشینگ روی شهرت و نام برند، شغلهای شخصی و سودهای مالی تأثیر میگذارد. نکته مهم و وحشتناک این است که مهاجمان اغلب از حسابهای رایانامه به خطر افتاده و دیگر کانالهای شغلی قانونی استفاده میکنند. هدف مجرمان فریب متخصصان برای انجام جرایم اینترنتی است.
حالا چهچیزی جدید است؟
جدیداً خبرهایی از «والینگ» منتشر شده که به کلیک کاربران بر روی لینکها یا به آلوده شدن سامانهها با بدافزار نیازی ندارد و به جای آن، مجرمان ابتدا نظارت گستردهای بر روی سامانهها انجام میدهند و اعتبارات اینترنتی مورد نیاز را بهدست میآورند، سپس کاربر انتهایی مورد نظر را فریب میدهند تا بر اساس ایمیلی از جانب حساب ایمیل شخصی مدیرعامل، پولی انتقال دهد یا تراکنشی را شناسایی کند.
برای مثال داستان جدید در مورد Alpha Payroll نشان میدهد که چگونه کاربر فریب درخواستی را خورده که به ظاهر از جانب مدیرعامل Alpha Payroll بودهاست. متن این ایمیل جعلی به شرح زیر است:
«تهیه نسخه کپی از تمامی فرمهای ۲۰۱۵ W-۲ تولید شده توسط Alpha Payroll بهعهده مشتریان است».
برخی از جزئیات این روش در زیر آورده شده است:
روز ۸ آوریل، پس از اینکه یکی از مشتریان Alpha Payroll گزارش داد که کارمندان این شرکت با وجود تعدادی روشهای امنیتی، اظهارنامهای مالیاتی جعلی ثبت کردهاند، یک بررسی داخلی، حمله فیشینگ موفقی را تایید کرد.
چندین متخصص گزارش دادهاند که یک روش داخلی علیه به اشتراکگذاری اطلاعات W-۲ در حال حاضر در جریان است که میتواند دلیلی برای پایان شخص باشد.
در آوریل سال ۲۰۱۶، Phoenix Division متعلق به FBI بهطور رسمی به مشاغل و شرکتها درباره افزایش چشمگیر سوءاستفاده از ایمیلها (BEC) هشدار داد.
طبق هشدار منتشر شدهی FBI، کلاهبرداران درصدد کلاهبرداری از ایمیل شرکتها هستند یا بهدنبال این هستند که با استفاده از مهندسی اجتماعی، اطلاعات شناسایی مدیرعامل، وکیل شرکت یا فروشنده معتبری را جعل کنند. این کلاهبرداران بهدنبال کارکنانی میگردند که پولهای شرکت را مدیریت میکنند. آنها از زبان مخصوص شرکتی که هدف قرار دادهاند استفاده میکنند، سپس شروع به انتقال غیرقانونی پول میکنند.
چند نوع کلاهبرداری در جریان است. قربانیان از شرکتهای بزرگ تا شرکتهای فناوری و شرکتها کوچک و سازمانهای غیرانتفاعی متغیر هستند. بیشتر مواقع کلاهبرداران شرکتهایی را هدف قرار میدهند که با تأمینکنندگان خارجی کار میکنند یا بهطور مرتب تراکنشهای انتقال پول را انجام میدهند.
مجریان قانونی بهطور جهانی شکایتهای بسیاری از قربانیان در هر ایالت آمریکا و حداقل ۷۹ شرکت دیگر دریافت کردهاست. از اکتبر ۲۰۱۳ تا فوریه ۲۰۱۶، مجریان قانون ۱۷۶۴۲ گزارش از قربانیان دریافت کردهاند. این قربانیان بیش از ۲.۳ میلیارد دلار از دست دادهاند.
از ژانویه سال ۲۰۱۵، FBI افزایش ۲۷۰ درصدی در تعداد قربانیهای شناسایی شده و پول از دست رفته مشاهده کردهاست. در ایالت آریزونا میانگین از دست رفتن پول در هربار حمله بین ۲۵۰۰۰ دلار تا ۷۵۰۰۰ دلار است.
انتقال از فیشینگ به والینگ
کلاهبرداریهای فیشینگ برخط بهسرعت در حال گسترش است. تمامی چیزی که برای مقابله با آنها نیاز داریم این است که مراقب روشهای حفاظتی خود باشیم.
قبل از اینکه به راهحلهای عملی بپردازیم، بهطور خلاصه نگاهی به تفاوت انواع حملات فیشینگی میپردازیم که در جریان هستند و بسیاری از آنها سالهاست در اطراف ما وجود دارند.
توجه داشتهباشید که عملیات فیشینگ به چند شکل مختلف و از چند کانال مختلف قابلانجام است. بیشتر افراد روی بهروزرسانی ایمیلها، بهروزرسانی پیامهای متنی، فکسهای فیسبوک یا Linkedin و یا حتی روی تماسهای تلفنی تمرکز میکنند تا با استفاده از آنها عملیات فیشینگ را ترتیب دهند. چنین حملاتی طی یک پیام از شما میخواهد که روی پیوندی کلیک کنید، با یک شماره تلفن تماس بگیرید و یا تراکنشهای دیگری انجام دهید.
ابتدا ما فیشینگ سنتی را داریم. طبق گفته Security Mentor، فیشینگ همانطور که از نامش پیداست ماهی میگیرد؛ از طعمه استفاده میکند تا قربانی را به قلاب بیندازد. در فیشینگ، طعمه، یک پیام زیرکانه و شما یک ماهی هستید. از آنجایی که ماهیگیرها استادان خوبی در تغییر قیافه هستند، ما هم به دام آنها میافتیم. این کلاهبرداران با احساس و آرزوهای ما بازی میکنند.
بیشتر کلاهبرداریهای فیشینگ به نت گستردهای نیاز دارند تا بتواند افراد بیشتری را به دام بیندازد. آنها این کار را با جعل برندهای معروفی مثل Walmart ،PayPal ،eBay، گوگل و مایکروسافت و غیره انجام میدهند.
دوم، این شبکه گسترده با عملیات فیشینگ پیچیدهتر هم میشود و پخش حملات فیشینگ رایجتر. فیشینگ هدفدار بسیار شبیه به فیشینگ است، به جز اینکه این نوع حملات (فیشینگ هدفدار) هدفمندتر، پیچیدهتر است و اغلب به نظر میرسد که از جانب کسی است که شما میشناسید مانند همکار شرکتتان، بانک شما، اعضای فامیل یا دوستانتان. پیامها ممکن است شامل اطلاعات شخصی شما باشد مانند نامتان، محل کارتان و شاید حتی شماره تلفن یا دیگر اطلاعات شخصیتان.
حملات فیشینگ هدفدار چالش بزرگتری برای سازمانهای جهانی هستند. کلیک کردن بر روی این پیوندها میتواند در سازمان را بر روی بدافزارها باز کند که منجر به از دست رفتن اطلاعات، سرقت اطلاعات هویتی و حتی میتواند باعث ورود باجافزارها شود که تا زمانی که باج به مهاجم پرداخت شود، میتوانند اطلاعات سامانه را رمزنگاری کنند.
طی چند سال گذشته مجرمان سایبری حملات فیشینگ هدفدار را برای نفوذ به سازمانها ترجیح میدادهاند. آنها بهدست آوردن اعتبار کاربر از طریق فیشینگ، رخنههای گسترده بسیاری هم صورت دادهاند. فهرستی که در وبگاه منتشر شده ۱۰ حمله برتر فیشینگ هدفدار را نشان میدهد و این نوع فیشینگ را مرموزترین اسلحه در بدترین حملات سایبری مینامد. وبگاه دیگری به ۳۰۰ شرکت آلوده شده به حملات فیشینگ هدفدار در آمریکا و انگلستان اشاره میکند که در واقع ۳۸ درصد حملات سایبری را در ۱۲ ماه گذشته تشکیل دادهاند.
سوم، اکنون روش جدیدی داریم که «والینگ» نامیده میشود، چرا که مهاجمان و کلاهبرداران بهدنبال بزرگترین ماهی در حملات فیشینگ هدفدارشان هستند. طبق گفته FBI در هشداری که منتشر کرد، هدف این است: جعل هویت مدیرعامل، وکیل شرکت یا فروشندهی معتبر.
این نوع حملات میتواند با روشهای بسیاری انجام شوند، ازجمله استفاده از افراد داخل شرکت که باعث دسترسی به اطلاعات حساس، فرآیند یا فناوری موردنیاز برای موفقیت در کلاهبرداری میشوند.
سازمانها چگونه خود را آماده کنند؟
برای کاهش خطر والینگ و دیگر روشهای جدید مهندسی اجتماعی که طی چند سال اخیر افزایش یافتهاند، ۵ روش ذکر شدهاست که در ادامه میخوانید.
افزایش هشدارهای امنیتی و آموزش به کارکنان. مطمئن شوید که برنامه آموزش هشدارهای امنیتی گسترده و پیشرفتهای داشتهباشید که بهطور مرتب هم بهروزرسانی میشود و بتواند هم حملات فیشینگ عمومی و هم حملات فیشینگ هدفدار و خطرات جدید سایبری نوظهور را شناسایی کنند. یادتان باشد که تنها کلیک نکردن روی پیوندها کافی نیست.
والینگ و جدیدترین روشهای کلاهبرداری اینترنتی را برای کارکنان کلیدی و مهم توضیح دهید؛ ازجمله متخصصان و مسئولان ارشد. البته افرادی را که جابهجایی پولها و دیگر تراکنشهای مالی را انجام میدهند را فراموش نکنید. توجه کنید که بسیاری از حملات کلاهبرداری با کارمندان سطح پایینی صورت میگیرند که باور میکنند مسئولی از او خواسته که کاری فوری و ضروری انجام دهد. معمولاً دور زدن روشها یا کنترلهای معمولی.
روشها و فرآیندها و تمایز وظایف برای انتقالات مالی و دیگر تراکنشهای مهم مانند ارسال اطلاعات حساس به بیرون از مجموعه را بررسی کنید. در صورت نیاز کنترلکنندههای دیگری هم اضافه کنید. به یاد داشتهباشید که تمایز وظایف و دیگر محافظتها ممکن است در بعضی نقاط توسط تهدیدهای داخلی به خطر بیفتند، بنابراین بررسی خطر ممکن است برای بررسی خطرهای مشخصی لازم باشد.
به روشهای جدید مربوط به تراکنشهای خارج از محدوده یا درخواستهای ضروری توجه کنید. ایمیلی از حساب جیمیل مدیرعامل بهطور خودکار پرچم قرمزی برای کارمندان محسوب میشود، اما در عین حال آنها باید به آخرین روشهای بهکاررفته توسط وب تاریک هم توجه کنند. کارکنان باید روشهای ضروری که همه آنها را بهخوبی میشناسند، شناسایی کنند.
مدیریت بحران و سامانه گزارشدهنده حملات فیشینگ را بررسی، تصحیح و آزمایش کنید. با مدیریت و با کارکنان مهم و کلیدی تمرین کنید. کنترلها و نقاط آسیبپذیر مستعد مهندسی معکوس را آزمایش کنید. کارکنان باید با حملات فیشینگ تمرینی آزمایش شوند البته نهتنها با کلیک کردن یا نکردن بر روی پیوندها. مهاجمان میدانند که پیوندها هشدارها را برای بسیاری از حملات والینگی تنظیم میکنند که نیازی به کلیک کردن بر روی پیوندها ندارند. مهاجم میخواهد که اعتماد کارکنان را جذب کند و اغلب شیوه حمله آنها ترکیبی از روشهایی است که درنهایت کارمندان را راضی به اقدام میکنند. از کارمندان خود بپرسید: «اگر شما یک مهاجم بودید برای دسترسی به اطلاعات چه میکردید؟»
تفکرات نهایی
هرچقدر هم که ما روشهای محافظتی و هشدارهای جدیدی را بسازیم، مهاجمان دوباره و دوباره خودشان را با آنها وفق میدهند. این همان جنگ سایبری است. به نظر من والینگ همان نسخه ۳.۰ فیشینگ است و نسخه ۴.۰ و ۵.۰ آن نیز سعی در نفوذ به پردازشهای سازمانی دارند.
آیا شما آمادهاید و برنامه آموزش آگاهی امنیتی را دارید؟
نکته مهم آموزش به کارکنان برای تشخیص این نوع خطرات سایبری و مواجه شدن با خطرات است. چالش بزرگی که سازمانها با آن مواجه هستند ادامه راهنمایی کارکنان برای افزایش کارآمدی و کاهش کاغذبازیها است در عین حال سازمانها باید دید بسیار مناسبی در مورد خطرات به کارکنانشان بدهند. همچنین کارکنان باید یاد بگیرند که هنگام مواجه شدن با فعالیتهای مشکوک چه باید بکنند.
همانطور که آبراهام لینکلن در نامهای در تاریخ ۱۸۴۸ نوشت: «شما هرگز به دام عملیات فریبکارانه نمیافتید مگر اینکه خودتان ذهنتان را به آن سمت هدایت کنید».