معرفی کامل انواع حملات اسمیشینگ و راهکارهای مقابله با آنها

کمیته رکن چهارم – اسمیشینگ که به آن «فیشینگ اس‌ام‌اسی» هم گفته می‌شود، نوعی حمله فیشینگ است که از طریق پیامک انجام می شود. در این حمله، مهاجم با ایجاد یک هویت جعلی برای خود تلاش می‌کند کاربران را فریب داده و اطلاعات حیاتی و مهم آنها را به دست آورد. این حمله از طریق گوشی های تلفن همراه قابل انجام بوده و مجرمان سایبری با اجرای آن، کاربران را به سمت وب‌سایت‌های مخرب و گاهاً آلوده به بدافزار هدایت می کنند.

اسمیشینگ چیست؟

اسمیشینگ ترکیبی از دو کلمه اس‌ام‌اس (پیامک) و فیشینگ است. این حمله در واقع یکی از حملات مهندسی اجتماعی است که متکی بر سوءاستفاده از اعتماد انسان‌ها می‌باشد. در این حمله، مجرمان اقدام به ارسال پیامک های جعلی به تعداد زیادی از افراد می‌کنند تا بتوانند دریافت‌کنندگان آنها را به کلیک بر روی لینک‌های مخرب ترغیب کنند.

مهاجمان با اجرای حمله اسمیشینگ به دنبال سرقت اطلاعات شخصی افراد هستند تا از آنها برای کلاهبرداری و ارتکاب سایر جرایم سایبری استفاده کنند. این حمله در بیشتر وقت ها برای سرقت پول افراد انجام می شود. مجرمان برای سرقت اطلاعات کاربران عموماً از یکی از روش های زیر استفاده می‌کنند:

1. بدافزار: لینک ارسالی از طریق پیامک، کاربر را به سمت دانلود یک بدافزار یا نرم‌افزار مخرب هدایت می کند که قابلیت نصب بر روی گوشی وی را دارد. چنین بدافزارهایی معمولاً با ظاهر برنامه‌های کاربردی سالم طراحی می‌شوند تا فرد را تشویق به ورود اطلاعات حساب‌ کاربری خود (نام کاربری و کلمه عبور) نموده تا این اطلاعات در اختیار مجرمان قرار گیرد.
2. وب سایت‌های مخرب: لینک ارسالی از طریق پیامک، کاربر را به سمت یک وب‌سایت جعلی هدایت می کند که در آنجا اطلاعات شخصی حساس، با مهندسی اجتماعی کاربر از وی دریافت می‌شود. مجرمان از وب‌سایت‌های مخربی که به صورت مخصوص برای انجام این کار طراحی شده استفاده می‌کنند تا اطلاعات افراد را سرقت کنند.

در اسمیشینگ معمولاً چنین وانمود می‌شود این پیامک‌ها از سوی بانک یا سایر نهادهای معتبر مشهور ارسال شده‌اند که یکسری اطلاعات شخصی مالی همچون شماره حساب و اطلاعات ورود به سامانه بانکداری اینترنتی را از کاربر درخواست می‌کنند. همچنان که اشخاص بیشتری از تلفن همراه برای انجام فعالیت های کاری روزمره خود استفاده می‌کنند (گرایش جدیدی که به آن «دستگاه خودتان را به سرکار بیاورید (BYOD)» گفته می‌شود)، خطر اسمیشینگ هم برای کسب‌وکارها جدی‌تر می‌شود. بنابراین جای تعجب نیست که این روزها اسمیشینگ به مهمترین نوع پیامک‌های مخرب تبدیل شده است. همچنان که میزان استفاده از گوشی‌های تلفن همراه افزایش می یابد، هدف قرار دادن آنها نیز توسط مجرمان سایبری روند صعودی پیدا کرده است.

نحوه عملکرد حملات اسمیشینگ
فریب و کلاهبرداری، از جمله عناصر اصلی برای اجرای حملات اسمیشینگ هستند. از آنجا که مهاجم از هویتی استفاده می‌کند که ممکن است به آن اعتماد داشته باشید، احتمال اینکه به درخواست او پاسخ دهید بسیار زیاد است. مهاجمان در این حملات از اصول مهندسی اجتماعی استفاده می‌کنند تا بتوانند بر فرایند تصمیم‌گیری قربانی تأثیر بگذارند.

عوامل مهم و تأثیرگذار در فرایند فریب قربانیان عبارتند از:

1. اعتماد: مجرمان با جعل هویت اشخاص یا سازمان‌های مورد اعتماد، شک و تردید قربانی را کاهش می‌دهند. همچنین استفاده از پیامک که یک روش ارتباطی شخصی‌تر است، احتمال ایجاد تردید را در قربانیان از بین می‌برد.
2. شرایط: مهاجمان، شرایطی متناسب با اهداف‌شان را ایجاد نموده تا بتوانند از یک هویت جعلی کارآمد استفاده کنند. پیام‌هایی که توسط مهاجمان ارسال می‌شود حس و حال شخصی داشته و در نتیجه به عدم ایجاد شک و تردید درباره مخرب بودن آنها کمک می‌کند.
3. احساسات: مهاجمان می‌توانند از طریق بازی با احساسات قربانی، با تفکر انتقادی او مقابله نموده و وی را وادار به انجام اقدامات فوری کنند.

مجرمان با به کارگیری این روش‌ها پیامک هایی می فرستند که دریافت‌کننده را تشویق به اقدام سریع می‌کند. هدف آنها معمولاً این است که گیرنده پیام را ترغیب به باز نمودن لینک ارسالی از طریق پیامک نمایند. قربانیان با کلیک بر روی این لینک، به یک وب سایت جعلی هدایت می‌شوند که در آنجا ناخودآگاه اطلاعات شخصی‌شان دریافت می‌شود.

قربانیان این حملات هم به روش‌های مختلفی انتخاب می‌شوند. گزینش آنها عموماً بر اساس وابستگی به یک سازمان یا منطقه‌ای ویژه صورت می‌گیرد. کارمندان یا مشتریان یک نهاد خاص، مشترکان یک شبکه تلفن همراه، دانشجویان یا حتی افراد ساکن در منطقه‌ای خاص می‌توانند هدف چنین حملاتی قرار گیرند. هویت انتخابی مهاجمان بستگی به مؤسسه‌ای دارد که قصد دسترسی به آن را دارند. با این حال ممکن است آنها از هر پوششی که برای دستیابی به اطلاعات مالی یا هویتی اشخاص کمک می‌کند، استفاده نمایند.

مهاجمان می‌توانند با استفاده از روشی به نام جعل (Spoofing) شماره تلفن اصلی‌شان را در پشت شماره‌ای جعلی مخفی کنند. آنها همچنین می‌توانند از خطوط ارزان قیمت و یکبار مصرف خاصی استفاده کنند که به مخفی نمودن هر چه بیشتر منشأ حمله کمک می‌نماید. گاهی وقت ها مجرمان از سرویس‌های ارسال پیامک از طریق ایمیل هم برای پنهان کردن شماره‌شان استفاده می‌کنند.

مهاجم برای اجرای حمله اسمیشینگ، مراحل زیر را انجام می دهد:

• ارسال پیامک برای به دام انداختن اهداف
• دریافت اطلاعات خصوصی قربانی از طریق فریب وی
• انجام سرقت مدنظر، با استفاده از اطلاعات به دست آمده.

حمله اسمیشینگ زمانی با موفقیت اجرا می‌شود که مهاجمان بتوانند از اطلاعات خصوصی شما برای سرقت آنچه به دنبالش بوده اند، استفاده کنند. ممکن است این هدف سرقت مستقیم پول از یک حساب بانکی، جعل هویت برای افتتاح غیرمجاز یک حساب یا انتشار داده‌های خصوصی سازمان‌ها باشد.

نحوه انتشار حملات اسمیشینگ
همانطور که پیش از این هم اشاره شد، حملات اسمیشینگ از طریق پیامک و همچنین پیام‌رسان‌های اینترنتی انجام می‌شوند. این حملات معمولاً به دلیل ماهیت فریبنده‌شان به صورت بی وقفه و با امکان شناسایی بسیار کم منتشر می‌گردند. به دلیل اطمینان نابه‌جای کاربران به امنیت پیامک، متأسفانه این روش حمله موفقیت بسیار زیادی داشته است.

افراد معمولاً با خطر کلاهبرداری از طریق ایمیل آشنا بوده و می‌دانند که نباید بر روی لینک های ارسالی از طریق ایمیل کلیک کنند. عدم وجود یک پیام شخصی معتبر و موثق یکی از نشانه های مهم کلاهبرداری‌های ایمیلی است. وقتی افراد با تلفن و پیامک کار می‌کنند، توجه و دقت آنها نسبت به این خطرات کمتر است. بسیاری از کاربران تصور می‌کنند گوشی تلفن همراه هوشمند آنها نسبت به رایانه‌های شخصی یا کاری شان امنیت بیشتری دارد در حالی که این گوشی‌ها محدودیت‌هایی داشته و همیشه هم قابلیت حفاظت در برابر اسمیشینگ را ندارند.

صرف نظر از نوع ابزار مورد استفاده، این طرح‌ها معمولاً برای موفق شدن فقط نیاز به اعتماد کاربران و لحظه‌ای خطا در تصمیم‌گیری و قضاوت دارند. در نتیجه، امکان اجرای حمله اسمیشینگ بر ضد هر سازمانی که قابلیت ارسال و دریافت پیامک ها را دارد، وجود دارد. ایجاد حس امنیت کاذب می‌تواند کاربران را در هر سیستم‌عاملی آسیب‌پذیر کند. از این رو اگرچه سیستم‌عامل اندروید پرکاربردتر بوده و هدف ایده‌آلی برای پیامک‌های بدافزاری محسوب می‌شود اما دستگاه‌های iOS هم از این حملات در امان نیستند.

یکی دیگر از عوامل مخاطره این است که معمولاً از تلفن همراه در حین حرکت و رفت‌وآمد و زمانی که تمرکز زیادی نداشته و عجله داریم، استفاده می کنیم. در چنین مواقعی توجه شما به اصول امنیتی کمتر بوده و احتمال اینکه به درخواست مهاجمان برای ارایه اطلاعات شخصی پاسخ دهید، بسیار زیاد است.

انواع حملات اسمیشینگ
در حملات اسمیشینگ از روش‌های مشابهی استفاده می‌شود که تفاوت‌های جزئی با یکدیگر دارند. متأسفانه به دلیل ابتکارات و نوآوری‌های بی وقفه مهاجمان، تهیه فهرستی جامع از انواع حملات اسمیشینگ غیرممکن است ولی می‌توانیم با استفاده از یکسری مشخصات شناخته شده برای کلاهبرداری‌های آنلاین، این حملات را شناسایی کرده تا قربانی آنها نشویم.

از جمله ترفندهای پرکاربرد در حملات اسمیشینگ می‌توان به موارد زیر اشاره کرد:

اسمیشینگ با سوءاستفاده از موضوع بیماری کرونا
مهاجمان از این موضوع برای بازی با احساسات کاربران و ترس آنها از مسائل مربوط به سلامت و امور اقتصادی برای ارتکاب جرم استفاده می‌کنند. مثلاً آنها از بسته‌های کمکی ارایه‌ شده توسط دولت‌ها، خدمات مراکز بهداشتی و درمانی و همچنین مؤسسه‌های مالی سوءاستفاده می‌نمایند. نشانه‌های خطر در چنین حملاتی شامل موارد زیر است:

• درخواست اطلاعات حساس (شماره ملی، کارت بانکی و غیره)
• وعده ارایه بسته‌های معیشتی
• انتشار خبرهایی درباره سلامت عمومی
• درخواست تکمیل فرم‌های اطلاعاتی.

اسمیشینگ با موضوع خدمات مالی

در این حمله مهاجمان چنین وانمود می‌کنند که پیامک ارسالی آنها از سمت مؤسسه‌های مالی فرستاده شده است. تقریباً همه کاربرانی که از خدمات بانکی و اعتباری استفاده می‌کنند در معرض خطر حمله اسمیشینگ قرار دارند. ممکن است این حملات مخصوص کاربران یک مؤسسه مالی خاص بوده یا به طور عمومی و کلی طراحی شده باشد. وام و سرمایه‌گذاری هم جزو موضوع های متداول در این حملات هستند.

در این حمله، مهاجم در نقش یک بانک یا مؤسسه مالی ظاهر می‌شود تا پوشش مناسب برای ارتکاب جرم را پیدا کند. در اسمیشینگ با موضوع خدمات مالی احتمال دارد از کاربر درخواست شود که برای رفع مسدودی، بررسی فعالیت‌های مشکوک در حساب بانکی خود و سایر موضوعات مشابه، یک اقدام فوری انجام دهد.

اسمیشینگ با موضوع هدیه و پاداش
در این روش، به کاربر وعده داده می‌شود که محصول یا سرویسی را به صورت رایگان از یک فروشگاه یا شرکت معتبر دریافت می‌کند. دلیل دریافت چنین هدیه‌ای، پاداش خرید، برنده شدن در یک مسابقه و غیره است. هر زمان وعده تحویل محصول یا سرویس رایگانی به شما داده شد، قبل از اقدام خوب فکر کنید. از جمله نشانه‌های این حمله می‌توان به محدود بود فرصت دریافت جایزه یا انتخاب انحصاری شما برای دریافت جایزه رایگان اشاره کرد.

پیامک‌های صورتحساب یا تأیید سفارش
در این حملات به کاربر اعلام می‌شود که صورتحساب یک سرویس یا خرید اخیر خودش را تأیید کند. ممکن است برای ایجاد حس کنجاوی در کاربر یک لینک پیگیری در پیام ارسال شده یا از کاربر خواسته شود که هر چه سریع‌تر اقدام نماید. در چنین پیامک‌هایی نشانه‌هایی مثل رشته‌ای از پیامک‌های تأیید یا عدم وجود نام تجاری مشاهده می‌شود.

اسمیشینگ با موضوع خدمات پشتیبانی
در پیامک‌های اسمیشینگی که با موضوع ارایه خدمات پشتیبانی از مشتریان ارسال می‌شوند، مهاجمان در نقش نماینده بخش پشتیبانی برای حل یک مشکل با شما تماس می‌گیرند. استفاده از نام شرکت‌های بزرگ و مشهوری مثل اپل، گوگل و آمازون معمولاً مهاجمان را به هدفشان می‌رساند.

در این حمله، مهاجم ادعا می‌کند که مشکلی برای حساب کاربری شما پیش آمده و مراحل رفع آن را بیان می‌کند. ممکن است درخواست مهاجمان به سادگی ورود به حساب کاربری باشد یا برعکس از طرح‌های پیچیده‌تری استفاده کنند. مثلاً شاید آنها از شما بخواهند کد بازیابی حساب کاربری تان را وارد کرده تا کلمه عبور شما را بازیابی نمایند. در چنین طرح‌هایی نشانه های هشداری مثل دسترسی به حساب کاربری، صدور صورتحساب، فعالیت غیرمعمول یا حل مشکلی که به تازگی برای رفع آن با بخش پشتیبانی تماس گرفته‌اید، مشاهده می‌شود.

نمونه‌هایی از حمله اسمیشینگ
با توجه به متداول بودن ارسال پیامک، امروزه حمله اسمیشینگ به یک موضوع متداول در سطح جهان تبدیل شده است. در ادامه، شما را با چند نمونه از این حملات آشنا می‌کنیم.

کلاهبرداری با وعده دسترسی زودتر از موعد به آیفون ۱۲
در سپتامبر ۲۰۲۰ میلادی، یک کمپین اسمیشینگ اجرا شد که با وعده تحویل آیفون ۱۲ رایگان، اطلاعات حساب بانکی را از کاربران دریافت می‌کرد. در این حمله، یک پیامک برای کاربر ارسال شده و در آن ادعا می‌شد بسته کاربر به آدرس اشتباهی ارسال شده است. در این پیامک، لینکی قرار داشت که کاربر را به سمت ربات چت جعلی اپل هدایت می‌کرد. این ابزار، کاربر را برای گذراندن مراحل دریافت رایگان آیفون ۱۲ در طرح آزمایشی اپل هدایت نموده و به بهانه پرداخت هزینه ناچیز تحویل محصول، اطلاعات کارت بانکی کاربر را از وی دریافت می‌کرد.

کلاهبرداری با جعل هویت اداره پست آمریکا
در سپتامبر ۲۰۲۰ میلادی گزارش‌های مختلفی از یک طرح کلاهبرداری با نام اداره پست آمریکا منتشر شد. هدف این حمله اسمیشینگ، دریافت اطلاعات حساب کاربران یا کارت بانکی آنها بود.

در این پیامک‌ها ادعا می‌شد بسته کاربر به مقصد اشتباهی ارسال یا گم شده و لینک یک ابزار فیشینگ در آنها درج شده بود که وانمود می‌شد مربوط به نظرسنجی پاداشی اداره پست است. اگرچه روش اجرای این حمله در وب‌سایت‌های مختلف متفاوت است اما معمولاً در آنها سعی می‌شود اطلاعات ورود به حساب‌های کاربری مثل گوگل از کاربران دریافت گردد.

کلاهبرداری با موضوع کرونا
در آوریل ۲۰۲۰، گزارش‌های مختلفی از جعل نام دولت آمریکا با ارسال پیامک‌هایی برای اجرای اجباری آزمایش کووید ۱۹ از طریق یک وب‌سایت منتشر شد. البته از آنجا که برای کرونا آزمایش آنلاینی وجود ندارد، چنین حمله‌ای به سرعت قابل شناسایی بود. در این حملات از ترس و احساسات مردم نسبت به بیماری کرونا سوءاستفاده می‌شد.

چگونه با حملات اسمیشینگ مقابله کنیم؟
خبر خوب این است که می‌توان به راحتی با انواع حملات فیشینگ مقابله کرد. بهترین کار برای مقابله با چنین حملاتی این است که کار خاصی انجام ندهید چون این حملات تنها در صورتی موفق می‌شوند که شما جذب آنها شوید. دقت کنید که پیامک یکی از ابزارهای پرکاربرد برای برقراری ارتباط توسط مؤسسه‌ها و فروشگاه‌ها با شما محسوب می‌شود. قرار نیست همه پیامک‌ها را نادیده بگیرید بلکه فقط باید در برخورد با آنها رفتار منطقی داشته باشید.

برای مقابله با چنین حملاتی به نکات زیر توجه کنید:

• از پاسخ دادن خودداری کنید: هر گونه درخواست پاسخی از سمت کاربران می‌تواند ابزاری برای شناسایی شماره‌های فعال باشد. مهاجمان از حس اضطراب یا کنجکاوی شما درباره شرایط سوءاستفاده می‌کنند اما شما باید از برقراری تعامل با آنها خودداری نمایید.
• اگر پیامی فوری و اضطراری به نظر می‌رسد، عجله نکنید: با پیام‌های فوری که فرصت محدودی در اختیار شما قرار می‌دهند، با احتیاط و دقت برخورد کنید.
• در صورتی که دچار شک و تردید شدید، با بانک یا سازمان مربوطه تماس بگیرید: مؤسسه‌های مالی و بانک‌های واقعی هیچ وقت اطلاعات ورود به حساب بانکی را از طریق پیامک یا ایمیل از شما درخواست نمی‌کنند. این موارد را می‌توانید از طریق خطوط تلفن رسمی یا با ورود به حساب‌تان بررسی کنید.
• از به کار بردن اطلاعات تماس یا لینک‌های ارسالی در پیامک خودداری کنید: به جای این کار سعی کنید مستقیماً به کانال‌های ارتباطی رسمی مراجعه کنید.
• شماره تلفن را بررسی نمایید: شماره های عجیب مثل شماره‌های چهار رقمی می‌توانند جزو شماره‌های مورد استفاده در سرویس‌های تبدیل ایمیل به پیامک باشند. مهاجمان معمولاً از این ترفند برای مخفی نمودن شماره اصلی‌شان استفاده می‌کنند.
• هیچ وقت اطلاعات کارت بانکی‌تان را بر روی گوشی ذخیره نکنید: بهترین راه برای جلوگیری از سرقت اطلاعات مالی، خودداری از ذخیره و انتشار آنها است.
• از احراز هویت چندمرحله‌ای استفاده کنید: اگر برای ورود به حساب‌تان نیاز به عبور از چند مرحله مختلف باشد، ممکن است مهاجمان نتوانند فقط با در اختیار داشتن کلمه عبور وارد حساب‌تان شوند. مدل دومرحله‌ای، رایج‌ترین مدل احراز هویت است که معمولاً در آن علاوه بر کلمه عبور باید کد ارسالی از طریق پیامک را هم وارد کنید. روش‌های قوی‌تری مثل استفاده از ابزار رمزساز گوگل هم برای انجام این کار وجود دارد.
• هرگز کلمه عبور یا کد پیامکی را از طریق پیامک برای دیگران ارسال نکنید: مهاجمان می‌توانند با استفاده از کلمه عبور و کدهای پیامکی ارسالی برای احراز هویت دومرحله‌ای باز هم به حساب شما دسترسی پیدا کنند. هرگز این اطلاعات را در اختیار دیگران قرار نداده و فقط در وب‌سایت‌های رسمی و اصلی از آنها استفاده نمایید.
• از یک نرم‌افزار ضدبدافزار استفاده کنید: از محصولات امنیتی و نرم افزارهای ضدویروس که توسط شرکت های معتبر امنیتی ارایه می شوند می توانید برای مقابله با بدافزارها و همچنین شناسایی و مسدودسازی لینک‌های فیشینگ کمک بگیرید.
• هر گونه حمله فیشینگ احتمالی را سریعاً به پلیس فتا گزارش دهید.

دقت داشته باشید که موفقیت اسمیشینگ هم مثل فیشینگ ایمیلی وابسته به فریب کاربران برای کلیک بر روی یک لینک یا ارایه اطلاعات حساس است. ساده‌ترین راهکار حفاظتی در برابر این حملات آن است که هیچ کار خاصی انجام ندهید چون مهاجم فقط با ارسال پیامک قادر به انجام هیچ کاری نخواهد بود.

منبع: فراست