والینگ: نسل جدیدی از حملات سایبری!

کمیته رکن چهارم – به نظر می‌رسد اکنون دیگر زمان حملات فیشینگ سنتی به سر رسیده است و باید در انتظار حملات والینگ و دیگر مکانیزم‌های پیچیده مهندسی اجتماعی باشید که در نزدیکی شما قرار دارند. اما پرسش اصلی این است که اساساً والینگ چیست و چرا خطرناک‌تر از فیشینگ سنتی است. در این مقاله به واکاوی این مدل از حملات خواهیم پرداخت.

به گزارش کمیته رکن چهارم،اما به نظر می‌رسد اکنون دیگر زمان حملات فیشینگ سنتی به سر رسیده است و باید در انتظار حملات والینگ و دیگر مکانیزم‌های پیچیده مهندسی اجتماعی باشید که در نزدیکی شما قرار دارند. اما پرسش اصلی این است که اساساً والینگ چیست و چرا خطرناک‌تر از فیشینگ سنتی است. در این مقاله به واکاوی این مدل از حملات خواهیم پرداخت.

هکرها در حال ساخت قایق بزرگ‌تری هستند
بدون اغراق می‌توان گفت تنها زمانی از وجود این چنین حملاتی آگاه خواهید شد که با تمامی روش‌های مهندسی اجتماعی که در آن کلاهبرداران آنلاین از ایمیل‌ها، تماس‌های تلفنی، پیام‌های فوری و حتی چاپ سنتی از طریق دستگاه فکس کلاهبرداری‌های می‌کنند، آشنا باشید. روش‌های مهندسی اجتماعی جدید، به مجرمان سایبری حیات تازه‌ای بخشیده‌اند. امروزه، آنلاین بودن برای بسیاری از افراد و سازمان‌های بزرگ چالش سختی محسوب می‌شود؛ در بسیاری از کسب‌وکارها حتی اختلالی چنددقیقه‌ای ممکن است خسارات زیادی به همراه آورد. مکانیزم حمله فیشینگ عمدتاً بر شهرت و نام تجاری سازمان‌ها، مشاغل شخصی و سودهای مالی شرکت‌ها و سازمان‌ها تأثیرگذار است. مجرمان سایبری به دو دلیل در این مدل حملات قدرتمند ظاهر می‌شوند. اول آنکه به حساب‌های ایمیلی که در معرض خطر قرار گرفته‌اند، دسترسی پیدا کرده‌اند و دوم آنکه موفق شده‌اند به کانال‌های شغلی معتبر و قانونی دست پیدا کنند. هدف اصلی مجرمان سایبری در این مدل حملات، فریب دادن متخصصان است.

امروزه، آنلاین بودن برای بسیاری از افراد و سازمان‌های بزرگ چالش سختی محسوب می‌شود. 

والینگ چه حرف تازه‌ای برای گفتن دارد؟
به نظر می‌رسد حملات فیشینگ سنتی، هر ترفندی را که هکر نیاز دارد، در اختیارش قرار داده است. پس چرا باید از والینگ واهمه داشته باشیم؟ به‌تازگی اخباری منتشر شده است که نشان می‌دهد در سبک جدیدی از حملات، هکرها نیازی ندارند که کاربران روی لینک‌های آلوده کلیک کرده یا نرم‌افزارهای مخرب را اجرا کنند. در عوض، برای اولین بار مجرمان سایبری سیستم‌های آنلاین را به‌طور گسترده تحت نظارت قرار داده‌اند. این کار با هدف به دست آوردن اعتبار اینترنتی مورد نیاز هکرها انجام می‌شود. بعد از به دست آوردن این اعتبار، هکرها به سراغ کاربران نهایی می‌روند که ارزش زیادی دارند. آن‌ها کاربران سطح بالا را مجاب می‌کنند که مدیرعامل شرکت ایمیلی برایشان ارسال کرده و به این شکل آن‌ها را متقاعد می‌سازند که باید وجه مورد نیاز مدیرعامل را برای او انتقال داده یا اجازه یک معامله را بدهند.

بر خلاف فیشینگ سنتی که ایمیل‌هایی با آدرس‌های فریبنده برای قربانیان ارسال می‌کند، در والینگ هکرها به دنبال اعتبار هستند. این اعتبار از هر ابزار دیگری قدرتمندتر است. این موضوع را با ذکر یک نمونه واقعی تشریح  می‌کنیم.
داستان مربوط به شرکت «Alpha Payroll» است. کاربری چندی پیش فریب درخواستی را خورده بوده که در ظاهر این چنین بود که مدیرعامل شرکت برای او ایمیلی ارسال کرده است. متن ایمیلی که برای کاربر ارسال شده بود، به این شکل بود: «تهیه یک نسخه کپی از تمامی فرم‌های ۲۰۱۵ W-2 که شرکت Alpha Payroll تولید کرده، بر عهده مشتریان این شرکت است.»

کالبد شکافی یک پیام
ایمیل ارسال‌شده به ظاهر درست است و هیچ‌گونه نشانه‌ای از یک حمله در آن به چشم نمی‌خورد. اما جزئیات فنی چه می‌گویند؟ بعد از دریافت این ایمیل، در روز هشتم آوریل، بعد از آنکه یکی از مشتریان این شرکت گزارش داد کارمندان آن‌ها اظهارنامه‌های مالیاتی جعلی را با شماره تأمین اجتماعی آن‌ها به ثبت رسانده‌‌اند، یک سلسله تحقیقات داخلی صورت گرفت که خبر از فیشینگ موفقی می‌داد. تعدادی از کارشناسان گزارش دادند که یک مکانیزم داخلی برای به اشتراک‌گذاری اطلاعات W-2 در داخل مجموعه به فعالیت مشغول است که می‌تواند دلیلی برای پیاده‌سازی این حمله باشد. متأسفانه در این حادثه شرکت Alpha Payroll کارمند قربانی خود را اخراج کرد! کریس توماس، کارشناس امنیتی در این باره گفت: «اگر قرار باشد هر کارمند قربانی فیشینگ را اخراج کنید، در مدت زمان کوتاهی هیچ کارمندی وجود نخواهد داشت.» متن کامل این داستان را در این آدرس مطالعه کنید.

نهادهای امنیتی هشدار می‌دهند
در آوریل سال جاری میلادی، «Phoenix Division» که یکی از واحدهای مبارزه با جرایم سایبری در پلیس فدرال است، به‌طور رسمی به سازمان‌ها و مشاغل بزرگ درباره رشد چشمگیر کلاه‌برداری و سوءاستفاده از ایمیل‌های BEC، سرنام Business Email Compromise، هشدار داد.
Phoenix Division در بخشی از گزارش خود آورده است: «کلاه‌برداران و مجرمان سایبری مترصد فرصتی هستند تا ایمیل‌های شرکت‌ها را جعل کنند یا با استفاده از روش‌های مهندسی اجتماعی اطلاعات مربوط به هویت مدیرعامل، وکیل شرکت یا فروشندگان قابل اعتماد را به سرقت ببرند یا جعل کنند. این مجرمان سایبری عمدتاً به دنبال کارمندانی هستند که در بخش‌های مالی به فعالیت اشتغال داشته و وظیفه نقل و انتقال پول شرکت‌ها را بر عهده دارند. آن‌ها به شیوه‌ای کاملاً حرفه‌ای و هماهنگ با ادبیات شرکت هدف، با افراد شاغل در بخش مالی به صحبت می‌پردازند و در ادامه به نقل و انتقال غیرقانونی پول‌ها مبادرت می‌ورزند. در حال حاضر چند مدل مختلف از این چنین کلاه‌برداری‌هایی شناسایی شده است. قربانیان این چنین حملاتی را شرکت‌های بزرگ، شرکت‌های فعال در حوزه فناوری، استارت‌آپ‌های کوچک و سازمان‌های غیرانتفاعی تشکیل می‌دهند. در بیشتر مواقع مجرمان سایبری شرکت‌هایی را به عنوان هدف خود انتخاب می‌کنند که با تأمین‌کنندگان خارجی در ارتباط هستند یا به‌طور روزانه تراکنش‌های مالی را انجام می‌دهند.

کلاه‌برداران و مجرمان سایبری مترصد فرصتی هستند تا ایمیل‌های شرکت‌ها را جعل کنند یا با استفاده از روش‌های مهندسی اجتماعی اطلاعات مربوط به هویت مدیرعامل، وکیل شرکت یا فروشندگان قابل اعتماد را به سرقت ببرند یا جعل کنند.

پلیس فدرال تاکنون شکایت‌های متعددی از قربانیانی که ساکن ایالت‌های مختلف بوده‌اند، دریافت کرده است. حداقل ۷۹ شرکت قربانی این مدل از حملات شده‌اند. از اکتبر سال ۲۰۱۳ تا فوریه سال جاری، چیزی نزدیک به ۱۷۶۴۲ مورد گزارش در این خصوص به ثبت رسیده است. این قربانیان در مجموع چیزی در حدود ۲٫۳ میلیارد دلار را از دست داده‌اند. بدتر آنکه از ژانویه سال ۲۰۱۵ تا امروز این مدل از حملات، رشدی ۲۷۰ درصدی را تجربه کرده‌اند. تنها در ایالت آریزونا حجم پول ازدست‌رفته قربانیان در هر حمله ۲۵٫۰۰۰ تا ۷۵٫۰۰۰ دلار برآورد شده است.»

فرایند انتقال سریع از فیشینگ به والینگ آغاز شده است
امروزه کلاهبرداری‌های مبتنی بر فیشینگ به‌سرعت در حال گسترش است. متأسفانه در برابر این مدل از حملات تنها باید بر ذکاوت و هوشمندی خود تکیه کرده و همواره به اصول امنیتی توجه کنیم. امروزه انشعاب‌های مختلفی از فیشینگ رخ داده است که هر یک از آن‌ها بر مبنای قاعده خاص خود عمل می‌کنند. در این قسمت نگاه کوتاهی به این انشعاب‌ها می‌اندازیم.

روش اول فیشینگ استاندارد
امروزه بسیاری از هکرها به‌طور مداوم و روزانه، ایمیل‌ها، توییت‌ها، پیام‌های متنی، پست‌های منتشرشده در فیسبوک و تماس‌های کاربران را بررسی می‌کنند تا با استفاده از آن‌ها یک حمله فیشینگ را پیاده‌سازی کنند. در این موارد هکرها درخواست می‌کنند روی لینکی کلیک کرده یا با شماره تلفنی تماس برقرار کنید یا یک تراکنش به‌ظاهر عادی را انجام دهید. این سازوکار دقیقاً همانند ماهی‌گیری است. با این تفاوت که کاربر ماهی و هکر ماهی‌گیر و طعمه پیامی است که کاربر را به دام می‌اندازد. در این مدل حملات هکرها سعی می‌کنند طعمه‌ای را پیش روی کاربر قرار دهند که متناسب با سلایق وی باشد و حس کنجکاوی او را برانگیزد. در این روش فیشینگ هکرها به شبکه‌ای گسترده نیاز دارند تا به‌راحتی بتوانند افراد بیشتری را به دام افکنند. این روش به‌طور معمول بر مبنای جعل نام شرکت‌های معروفی همچون مایکروسافت، گوگل، پی‌بال و مانند این‌ها انجام می‌شود.

فیشینگ‌ هدف‌دار
فیشینگ هدف‌دار همانند حالت قبل به شبکه گسترده‌ای نیاز دارد، با این تفاوت که معمولاً کمپین‌های فیشینگی را نیز در دل خود جای می‌دهد. فیشینگ هدف‌دار در مقایسه با حالت اول پیچیده‌تر و البته هدفمند‌تر است. در ظاهر این‌گونه نشان می‌دهد که طرف شما، فردی است که به‌خوبی با او آشنایی دارید. این فرد می‌تواند به ظاهر همکار، یکی از اعضا خانواده یا یکی از دوستان شما باشد. در این مدل پیام‌ها، با اطلاعات شخصی خودتان همچون نام و نام خانوادگی، محل کار، شماره تلفن یا هرگونه اطلاعات شخصی که درباره شما وجود دارد، روبه‌رو می‌شوید. این مدل حملات با توجه به اینکه شخص خاصی را هدف قرار می‌دهند، خطرناک‌تر است و کوچک‌ترین اشتباهی باعث خواهد شد تا در‌های یک شرکت بزرگ یا حتی یک سازمان جهانی به روی هکرها و بدافزارها باز شود. این نفوذ نه تنها به معنای از دست رفتن اطلاعات هویتی و دیگر اطلاعات مهم خواهد بود، بلکه ممکن است زمینه‌ساز ورود باج‌افزارها به یک سازمان و قفل شدن اطلاعات شود. نزدیک به ۳۸ درصد حملات سایبری که به کشورهای ایالات متحده و انگلستان انجام شده است، حملات فیشینگ قلاب‌دار بوده‌اند.

این سازوکار دقیقاً همانند ماهی‌گیری است. با این تفاوت که کاربر ماهی و هکر ماهی‌گیر و طعمه پیامی است که کاربر را به دام می‌اندازد. 

والینگ، ماهی بزرگ را به دام بینداز
جدیدترین گونه فیشینگ، والینگ (Whaling) است. همان‌گونه که از نامش مشخص است، به دنبال صید بسیار بزرگی است. این مکانیزم حمله بر مبنای جعل هویت مدیرعامل، وکیل شرکت یا فروشنده معتبر عمل می‌کند. این مکانیزم حمله هم به صورت برون‌سازمانی و هم به صورت درون‌سازمانی انجام می‌گیرد. در حالت درون‌سازمانی اطلاعات از سوی افراد داخل شرکت که به بسیاری از منابع دسترسی دارند، برای هکرها فرستاده می‌شود.

سازمان‌ها در برابر این مدل حملات چه تدابیری باید اتخاذ کنند؟
پیشنهاد می‌کنیم در برابر حملات والینگ به این نکات توجه کنید:
۱٫ به کارکنان خود آموزش‌های امنیتی لازم را ارائه کنید و به آن‌ها هشدار دهید: همواره به دنبال برنامه آموزشی هوشمند و به‌روز در زمینه حملات سایبری باشید. این برنامه آموزشی باید این ظرفیت را داشته باشد تا انواع مختلفی از حملات فیشنگ را شناسایی کند.
۲٫ والینگ و مکانیزم‌های جدید مهندسی معکوس را برای کارکنان خود تشریح کنید: در حملات والینگ سعی کنید به غیر از مسئولان ارشد، به کارکنان سطوح پایین نیز آموزش‌های لازم را ارائه دهید. کارکنان پایین‌مرتبه همواره با مشاهده ایمیلی‌ که از طرف مدیرعامل ارسال شده است، این‌گونه استنباط می‌کنند که مدیرشان کاری را از آن‌ها درخواست کرده است که باید در اسرع وقت انجام دهند.
۳٫ همواره فرایندهایی را که  مربوط به نقل‌وانتقال وجوه و دیگر تراکنش‌های مالی در جریان هستند، بررسی کنید: پیوسته به این نکته توجه کنید که ممکن است خطر درون خود سازمان باشد. در نتیجه سعی کنید نقاطی را که در زمینه تراکنش‌های برون‌سازمانی فعالیت می‌کنند، به دقت بررسی کنید.
۴٫ با گروه واکنش سریع سازمان خود در تعامل باشید: همواره سعی کنید به صورت دوره‌ای با اعضای گروه واکنش سریع امنیتی سازمان خود، مانورهای تمرینی انجام دهید. گلوگاه‌هایی را که آسیب‌پذیر به نظر می‌رسند، با روش مهندسی معکوس آزمایش کنید. در این حالت بهتر است کارکنان خود را با حملات فیشینگی که خود ترتیب داده‌اید، آزمایش کنید. در این مانور ضمن آنکه تکنیک‌های کلیک روی لینک‌ها یا بازدید سایت‌های متفرقه کارکنان خود را آزمایش می‌کنید، سعی کنید از تکنیک‌های ترکیبی نیز استفاده کنید. برای مثال از کارکنان خود سؤال کنید: «اگر هکر بودید سعی می‌کردید با چه روشی به اطلاعات دست پیدا کنید؟»

منبع:رسانه خبری امنیت اطلاعات