رصد روزانه بیش از 20 هزار حمله صیادی به شبکه های اجتماعی
عبارت «حملات صیادی» مرتبط با پدیده ای اجتماعی است که در آن فرد یا گروهی در قالب فرم قابل اعتماد و شناخته شده خود را نمایانده و به این شکل سعی در جمع آوری اطلاعات حساس از کاربر را دارند.دلیل نامگذاری این حملات به «حملات صیادی»، شباهت این روش با ماهیگیری است که در آن صیاد از طعمه برای به دام انداختن صید و شکار استفاده می کند. این فعالیت های خرابکارانه عموما در قالب حملات صیادی ساماندهی و اجرا می شوند.
در تحقیقات آزمایشگاه Kaspersky نشان می دهد که 22 درصد اهداف حملات صیادی متوجه کاربران معروف و شناخته شده شبکه های اجتماعی در دنیاست. این آمار نشان از آن دارد که کاربران شبکه های اجتماعی نیازی ضروری به برنامه های آگاهی رسانی امنیتی برای مصونیت از چنین حملاتی دارند.
شبکه های اجتماعی به دلیل گستردگی کاربران و دسترسی آسان به اطلاعات حساس افراد، نسبت به اکثر سرویس های اینترنتی، محل مناسب تری برای شناسایی و به دام انداختن قربانیان است.
شبکه های اجتماعی به عنوان ابزاری برای تسهیل ارتباطات نوین به منظور برقراری روابط شخصی و حرفه ای شناخته شده اند. با این حال، هکرها و مهاجمان دنیای مجازی از این بستر برای اهداف سوء خود بهره برداری کرده و این شبکه ها را محل مناسبی برای دست یابی به مقاصد و منافع خود یافته اند.
خطر مواجه شدن با طعمه های صیادی (نظیر صفحات جعلی وب و رایانامه های آلوده) در سراسر دنیای مجازی وجود دارد؛ به ویژه در شبکه های اجتماعی که به دلیل گستردگی کاربران و دسترسی آسان به اطلاعات حساس افراد، نسبت به اکثر سرویس های اینترنتی، محل مناسب تری برای شناسایی و به دام انداختن قربانیان است.
برخی توصیه ها و راهکارهای پیشگیرانه برای جلوگیری از افتادن کاربران در دام حملات صیادی به شرح ذیل است:
حملات صیادی فریبنده (Deceptive Phishing)
حملات صیادی فریبنده، رایج ترین نوع حملات صیادی در شبکه های اجتماعی است. در یک سناریوی متداول، مهاجم (که در حملات صیادی، اصطلاحاً صیاد نامیده می شود) با یک حساب کاربری ساختگی وارد شبکه اجتماعی شده، خود را به جای شخص دیگری جا زده و با دوستان وی در آن شبکه ارتباط برقرار می کند.
پس از آن، صیاد اقدام به ارسال پیام هائی برای این افراد می نماید که حاوی پیوندهای مخرب هستند؛ با این امید که تعداد هرچه بیشتری از آنها در دام بیفتند.
اغلب این پیوندها، حاوی مطالبی جعلی بوده که با قرار دادن قربانی در وضعیت حساس یا نگران کننده (مثل امکان ابتلا به ویروس، فرصت استثنایی برای کاهش هزینه و خرید با تخفیف و غیره)، وی را ترغیب می کند تا اطلاعات شخصی خود را وارد نماید؛ در حالی که این اطلاعات قرار است در اختیار صیاد قرار گیرند.
هدف اکثر این حملات، دسترسی صیاد به اطلاعات شخصی قربانیان (مثل اطلاعات بانکی)، برای سوء استفاده هائی مانند دزدی یا جعل هویت است. با این حال در برخی مواقع، هدف صیاد ورود خسارت به قربانیان نیست، بلکه جمع آوری اطلاعات شخصی و فروش آنها به اشخاص یا گروه های دیگر است.
استفاده از نام و شهرت افراد معروف نیز یکی از ابزارهای مهاجمین برای اجرای حملات صیادی فریبنده است. صیادان با ایجاد حساب های کاربری به نام افراد مشهور در شبکه های اجتماعی، انبوهی از کاربران را به سمت خود کشانده و به این ترتیب زمینه مناسبی برای حمله صیادی خود فراهم می کنند.
نکته جالب توجه، ساخت مجموعه ای از حساب های کاربری جعلی برای فریب بیشتر کاربران است. در این سناریو، صیاد به عنوان مجموعه ای از افراد وارد شبکه اجتماعی شده و ارتباطات میان این حساب ها را به گونه ای تنظیم می کند که از دید کاربران دیگر، رفتارها و ارتباطات عادی و باورپذیر به نظر برسد.
به این ترتیب، قربانیان ساده تر به این کاربران جعلی اعتماد کرده و به احتمال بیشتری در دام حمله صیادی خواهد افتاد.
شایان ذکر است، افراد واقعی هیچگونه کنترلی روی این حساب های جعلی که به نام آنها ساخته شده نخواهند داشت؛ مگر با همکاری متولیان شبکه های اجتماعی. به همین دلیل است که امروزه، اکثر شبکه های اجتماعی اقدام به ارائه سرویس هائی برای ارائه «نمایه های معتبر» کرده اند؛ به این صورت که افراد مشهور علاوه بر ایجاد حساب کاربری، هویت خود را برای شبکه اجتماعی احراز کرده و در مقابل، شبکه اجتماعی به کاربران اعلام می کند که صاحب این حساب کاربری، واقعاً همان فردی است که ادعا می شود.
حملات صیادی مبتنی بر بدافزارها
نوعی دیگر از انواع حملات صیادی، با استفاده از نرم افزارهای مخرب و بدافزارها انجام می شود. عموماً در این روش، صیاد ابتدا یک نرم افزار یا افزونه جعلی برای یک شبکه اجتماعی تولید کرده و پس از فریب یک قربانی به نصب آن، پیام های مخربی حاوی آگهی نصب همین برنامه برای دیگران نیز می فرستد.
بهترین راه پیشگیری در برابر این نوع از حملات، حفظ آگاهی در هنگام نصب برنامه های ناشناس است؛ به ویژه برنامه هائی که درخواست دسترسی گسترده به اطلاعات شخصی کاربر دارند.
روش متداولی که صیادان از آن برای فریب افراد به نصب نرم افزار مخرب استفاده می کنند، دادن وعده امکانات بیشتر و جذاب تر در این نرم افزارها است؛ برای مثال، امکان مشاهده اطلاعاتی که شبکه اجتماعی به صورت پیش فرض اجازه مشاهده آنها را نمی دهد.
در برخی موارد نیز، صیادان از بدافزارهای پنهان شده در دیگر برنامه ها مانند بازی های رایانه ای استفاده می کنند. برای مثال، یک بازی معروف با هدف جمع آوری شناسه های کاربری و گذرواژه کاربران در شبکه اجتماعی تولید شده بود که پس از کشف و تشخیص این هدف سوء، کلیه فروشگاه های برنامه های موبایل (نظیر Google Play)، بازی مذکور را از فهرست نرم افزارهای خود حذف کردند.
بااین حال، برنامه های مخرب مشابهی ممکن است همچنان در دسترس باشند و با نصب آنها، کاربر در معرض خطر بدافزارها قرار گیرد.
حملات صیادی به روش تزریق محتوا (Content-injection phishing)
در این روش، مطالب حاوی محتوای مخرب به نقل از کاربران قربانی در شبکه اجتماعی قرار داده می شود. این گونه مطالب، عمدتاً در قالب پیام هائی جعلی هستند که به نقل از کاربرانی منتشر می شوند که پیش تر هدف حمله قرار گرفتند؛ کاربرانی که حتی شاید از انتشار این مطالب به نام خودشان آگاه نباشند.
محتوای این مطالب، اغلب مسائلی غیرواقعی مانند درخواست کمک از سوی کاربر هستند؛ درخواستی که منجر به ورود و ثبت نام دیگران به وبگاه های جعلی می شود که با هدف جمع آوری اطلاعات شخصی آنها طراحی شده اند.
یکی از مهم ترین مثال ها از این دسته حملات، پیام هائی است که در شبکه های اجتماعی موبایل منتقل می شوند. برای مثال، پیام هائی که در شبکه هائی نظیر وایبر و تلگرام به انبوهی از کاربران ارسال می شوند، معمولا از جانب فرستنده های گمنام هستند و در میان متن های تبلیغاتی یا هشدار آمیزی که لزوما از جانب منابع موثق تایید نشده است، خواننده را ترغیب می کنند تا با مراجعه به یک آدرس اینترنتی، اطلاعات خود را وارد کند، ممکن است نمونه هایی از طعمه حملات صیادی باشند.
حتی گاهی اوقات محتوای مخرب توسط خود کاربران و با میل آنها منتشر می شود؛ بدون آنکه متوجه باشند در حال کمک به گسترش یک حمله صیادی هستند.
اغلب در چنین سناریوهایی، مهاجم ابتدا یک محتوای متنی یا چندرسانه ای (نظیر تصویر و ویدیو) تولید می کند که حاوی پیامی نگران کننده یا هیجان انگیز است که خواننده را ترغیب می کند که علاوه بر مطالعه و اجرای خواسته های پیام، آن را با دیگران نیز به اشتراک بگذارد.
صیاد در میان این پیام و در لابه لای محتوای فریبنده ای که تولید کرده است، پیوندها و دستورالعمل هائی قرار می دهد که خوانندگان را به سمت دام های صیادی هدایت می کنند. کاربرانی که فریب محتوای پیام را خورده اند و خود در دام صیادی گرفتارشده اند، با انتشار پیام باعث فریب دیگران نیز می شوند.
حملات صیادی به روش واسطه ای (Man-in-the middle phishing)
در این روش، صیاد خود را میان کاربر و وب گاه اصلی شبکه اجتماعی قرار می دهد و با روش ساده ای، به هدف خود که سرقت اطلاعات شخصی قربانی است، دست می یابد.
در سناریوهای این گونه از حملات صیادی، مهاجم قربانی را به یک صفحه وب مشابه صفحه ورود به یک شبکه اجتماعی (یا هر صفحه دیگری که اطلاعات شخصی کاربر را دریافت می کند؛ مثل صفحه درگاه پرداخت یک بانک) هدایت کرده و کاربر با واردکردن اطلاعات خود، آن ها را در اختیار صیاد قرار می دهد.
سپس صیاد با داشتن مشخصات کاربر، به سراغ وب گاه اصلی رفته، وارد حساب کاربری قربانی شده و اقدام به سرقت اطلاعات هویتی و شخصی وی استفاده می کند.
ضعف های امنیتی در ساختار نرم افزاری شبکه اجتماعی، می تواند تسهیل کننده این شیوه از حملات صیادی باشد؛ ضمن آن که نبود توجه و آگاهی کاربر نیز بیش از هر عامل دیگری باعث افزایش تهدید این حملات می شود.
برای پیشگیری از چنین حملاتی لازم است کاربران در زمان استفاده از وب گاه ها، توجه کافی به نحوه ارسال اطلاعات دسترسی خود داشته باشند و توجه داشته باشند که از برنامه ها و وب گاه های رمزگذاری شده (وبگاه هایی که از پروتکل امنیتی HTTPS استفاده می کنند.) برای تبادل اطلاعات استفاده نمایند.
توجه به آدرس وب گاه در نرم افزار مرورگر در چنین شرایطی می تواند مفید باشد؛ هم از جهت معتبربودن آدرس (و تمایز آن با آدرس های مشابهی که برای طعمه گذاری طراحی شده اند) و هم از جهت پشتیبانی از پروتکل امن HTTPS است.
صیادان دنیای مجازی همواره در جستجوی روش های جدید برای دست یابی به مقاصد سوء خود هستند و برای پیشگیری از افتادن در دام آن ها، افراد و شرکت ها می بایست آگاهی خود را از روش های جدید حملات به روز نگه داشته تا مانع از موفقیت حملات صیادی شوند.
متولیان شبکه های اجتماعی نیز وظیفه دارند، آخرین روش های مورد استفاده مهاجمان را با تولید محتوای آموزشی و قراردادن فیلم ها و مطالب مرتبط در شبکه های اجتماعی به اطلاع کاربران خود برسانند و از این راه نه تنها از کاربرانشان در قبال حملات محافظت کرده، بلکه میزان اعتماد کاربر به محصولات خود را افزایش دهند.