سايت خبری فناوری اطلاعات (ايتنا) 25 دی 1392 ساعت 0:16 https://www.itna.ir/article/29159/هکرهای-صیاد -------------------------------------------------- عنوان : هکرهای صیاد -------------------------------------------------- ایتنا- فیشینگ نوعی سرقت هویت است که از طریق شبکه‌های رایانه‌ای انجام می‌شود. متن : سیدمحمدرضا موسوی پور در مقالات پیشین، حملات مهندسی اجتماعی و خطرات پیش روی افراد را بررسی نموده و پس از آن یکی از چالش برانگیزترین دردسرهای دنیای دیجیتال را به نام سرقت هویت، مرور نمودیم. برخی مطالب ارائه‌شده، با توجه به ویژگی‌های مهندسی اجتماعی، به سرقت هویت اشاره می‌نمود که نمونه‌هایی نیز جهت درک بهتر موضوع بیان شد. همچنین از برخی حملات مهم برای سرقت هویت نام بردیم که یکی از مهم‌ترین آن‌ها فیشینگ یا سرقت‌برخط می‌باشد. از این حمله برای ربایش هویت قربانیان به کمک شبکه‌های رایانه‌ای استفاده می‌شود. در این شماره قصد داریم اطلاعاتی را درباره این حمله پرهزینه با شما به اشتراک بگذاریم که عموما به قصد دسترسی به شناسه‌ها و رمزهای عبور افراد طراحی شده است. در واقع سرقت‌برخط یک تهدید اینترنتی است که در آن مهاجم با روش‌هایی کاربر را متقاعد می‌کند تا اطلاعات شخصی و مهم خود را در اختیار او قرار دهد. این اطلاعات می‌تواند هویت فردی، یعنی مشخصات قربانی و یا هویت بازرگانی او همچون شماره حساب بانکی و رمز عبور آن باشد که به کمک آن سارقِ هویت، امکان سوءاستفاده از آن را پیدا می‌کند. اما به طور کلی هر اطلاعات ارزشمندی که استفاده غیرقانونی از آن منافعی برای هکرها و کلاه‌برداران به دنبال بیاورد را شامل می‌شود. نکته‌ای که باید در اینجا مورد توجه قرار گیرد، این حقیقت است که رفتار و برنامه‌ریزی مهاجم به گونه‌ای اجرا می‌شود که کاربر از دادن اطلاعات مهم خود به فردی که قصد استفاده غیرقانونی از آن‌ها را دارد، مطلع نمی‌شود. بلکه تصور او در تمام مراحلِ حمله آن است که اطلاعات مهمِ شخصی و یا حساب‌های بانکی‌اش در اختیار افراد یا سازمان‌های قانونی مانند یک بانک یا شرکت بیمه قرار می‌گیرد. بنابراین اطمینان دارد که هیچ‌گونه سوءاستفاده‌ای از آن‌ها نخواهد شد. از این رو سارق خود را زیر پوشش افراد یا شرکت‌های قانونی پنهان نموده و به روش‌هایی همچون ایجاد وب سایتی مشابه شرکت واقعی و کشاندن کاربران به آن و یا با ارسال تعداد بسیار زیادی ایمیل‌ و هرزنامه کاربر را وادار به واردکردن اطلاعات مطلوب می‌نماید. شدت اثر این حمله گاه به حدی است که کاربر تا مدت‌ها از وقوع و عواقب آن بی‌خبر مانده و دچار مشکلات بسیاری می‌گردد. به همین دلیل قربانی حمله ممکن است دچار خسارت هنگفتی، همچون خالی شدن حساب بانکی‌اش ‌گردد. دلایل موفقیت یک سرقت‌برخط همان‌طور که پیش از این اشاره شد، سرقت‌برخط یک تهدید امنیتی است که مهاجم به کمک آن سعی در فریب کاربر به روش‌های گوناگون دارد تا وی را مجاب به ارائه اطلاعاتی نماید که بهره‌برداری غیرقانونی توسط مهاجم را امکان‌پذیر نماید. این حملات به روش‌های مختلفی انجام می‌شود که برخی از مهم‌ترین آن‌ها را در شماره‌های بعدی شرح خواهیم داد. اما مهم‌تر از این گوناگونی روش‌ها و انواع حملات مرتبط با آن، دلایلی که سبب موفقیت مهاجم می‌گردند، مورد توجه‌اند. در حقیقت یکی از نخستین گام‌های رویارویی با هر حمله‌ای شناخت نقاط ضعفی است که منجر به اجرای موفقیت‌آمیز آن حمله‌ می‌گردد. فقدان دانش کافی نه تنها در این حمله بلکه در بسیاری از حملات، یکی از مهم‌ترین عواملی که زمینه‌ساز رخداد یک حمله موفق می‌گردد، دانش ناکافی کاربران در مواجه با این حملات و یا پیش‌گیری از آن است. فقدان دانش مناسب کاربر از رایانه، اینترنت و کاربری صحیح آن آرزوی هر مهاجمی برای رخنه در رایانه و یا اطلاعات مهم آن است و می‌تواند درستی انجام یک حمله موفق را برای سارق اطلاعات هویتی شما تضمین نماید. اما این مساله تنها به حیطه کارکرد سیستم‌های رایانه‌ای منتهی نمی‌شود، بلکه مساله مهم‌تر و حیاتی‌تر موضوع امنیت در سیستم‌های رایانه است که در اغلب موارد توجه بسیار کمی به آن می‌شود و غالبا الویت بالایی نزد کاربران ندارد. از این رو به طور کلی دانش کاربران در زمینه امنیت سیستم‌های رایانه‌ای در اغلب موارد بسیار کم و ناچیز است. فریب ظاهر همه وب سایت‌ها دارای نشانی‌هایی جهت دسترسی کاربران به آن‌ها هستند. از این رو سارقِ هویت از این موضوع بهره‌برداری نموده و ترفند زیر را بکار می‌گیرد. او ابتدا یک سایت مانند یک فروشگاه اینترنتی را به عنوان سایت هدف انتخاب نموده و دامنه‌ای را با نامی نزدیک به نام آن سایت خریداری و ثبت می‌کند. به نحوی که دامنه خریداری شده تنها در یک یا دو کاراکتر با دامنه‌ سایت اصلی تفاوت داشته و تا حد امکان مشابه آن انتخاب شده باشد. دلیل این موضوع کاملا روشن است. چرا که معمولا کاربران توجه زیادی به این تفاوت‌ها نمی‌کنند و در واقع دچار نوعی خطای دید خواهند شد. اما این به تنهایی کافی نیست و باید صفحه سایتِ شبیه‌سازی شده نیز مشابه سایت اصلی طراحی شود که این موضوع نیز حتی در صورت وجود اندک تفاوت‌هایی باز از چشم کاربران به دور خواهد ماند. بنابراین کاربر با اطمینان از معتبر بودن سایت، اطلاعات هویتی خود را وارد نموده و بدون آنکه آگاه باشد، در دامی که برای او پهن شده است قرار می‌گیرد. این اطلاعات به دست آمده توسط سارق می‌تواند به طور مستقیم مورد استفاده قرارگرفته و یا برای استفاده‌های بعدی طبقه‌بندی شود. این موضوع پیش از این در مقاله "سرقت هویت – به نام من، به کام تو" بررسی گردید. مهاجم می‌تواند از فریب مشاهدات کاربر بهره دیگری نیز ببرد. به طور نمونه می‌تواند از یک تصویر برای پیوند به سایت جعلی خود استفاده کند و در نتیجه کاربر را گمراه نماید و یا تصاویری را در صفحه وب سایت خود قرار دهد که مشابه پنجره‌های مرورگر کاربر باشند. به این ترتیب کاربر گمان می‌کند در حال تعامل با بخشی از مرورگر اینترنتی خود است. در روشی مشابه، سارق می‌تواند در هنگام تعامل کاربر با سایت اصلی، صفحه‌ای را بر روی آن بازنماید که در واقع به سایت جعلی سارق پیوند خورده است. به این ترتیب، کاربر به دلیل شباهت‌های بسیار زیاد این دو صفحه تصور می‌کند، این صفحه جدید نیز بخشی از همان سایت اصلی است و در واقع هر دو متعلق به یک منبع هستند. به همین ترتیب سارق می‌تواند با تقلید نوع زبان، گفتار و هر ویژگی دیگری که در سایت اصلی بکار رفته است، این اطمینان کاذب را در کاربرِ به دام افتاده، بیشتر نماید. بی‌توجهی به هشدارهای امنیتی یکی دیگر از مواردی که زمینه‌ساز وقوع یک حمله سرقت‌برخط و موفقیت آن است، بی‌حوصلگی و یا عدم توجه کاربران به هشدارهای امنیتی است. متاسفانه در اکثر موارد کاربران دقت و توجه کافی برای خواندن متن پیام‌های هشداری که به آن‌ها داده می‌شود را به کار نمی‌برند و این به نوبه خود این امکان را به سارق می‌دهد تا حمله‌ خود را عملی سازد. بنابراین در نبود هشدارهای امنیتی، استفاده از یک تصویر پیوند خورده به سایت جعلی که مشکل امنیتی آن برای کاربران قابل‌تشخیص نباشد، آسان‌تر خواهد بود. فرآیند سرقت‌برخط اما پس از ذکر مواردی پیرامون سرقت‌برخط و علت‌های وقوع موفقیت‌آمیز آن، اکنون نوبت آن است تا فرآیند سرقت‌برخط را در سه مرحله ساده بصورت زیر دسته‌بندی و ارائه نماییم. مرحله اول: ثبت یک دامنه جعلی مهاجم در آغاز فرآیند سرقت‌برخط نیازمند آن است تا یک آدرس اینترنتی‌، مشابه با سایت شرکت یا سازمان رسمی و واقعی را برای خود تهیه و ثبت نماید. گرچه الزامی به شباهت اسمی بین سایت اصلی و سایت جعلی وجود ندارد، اما این کار در ایجاد خطای چشمی برای کاربران نقش به سزایی را ایفا می‌کند. به این موضوع در سطرهای بالایی پرداخته شد. اما آنچه بهر صورت در مرحله اول قطعی و ضروری است، ثبت یک دامنه برای سایت جعلی، جهت سرقت‌برخط، توسط سارق هویت است. مرحله دوم: ایجاد یک سایت جعلی با ظاهری مشابهه سایت اصلی این موضوع نیز از منظر دیگری پیش از این بررسی گردید. در این مرحله سارق برای فریب کاربران، صفحه پیش روی سایت خود را مشابه صفحه متناظر سایت اصلی طراحی می‌کند. بدین ترتیب از خطای چشمی بوجود آمده در کاربر برای حصول نتیجه در فرآیند سرقت‌برخط خود، بهترین بهره را می برد. این طراحی یکسان و مشابه، تنها به صفحه اصلی سایت محدود نمی‌گردد و تا حد امکان فرم‌های ورود اطلاعات، صفحات داخلی و پیوندها را نیز پوشش می دهد. دقت در پیاده‌سازی، ریزه‌کاری‌ها و حتی انتخاب فونت‌های مشابه سایت اصلی می‌تواند در فریب کاربران موثر بوده تا کاربر دچار کوچکترین شک و تردیدی نگردند. مرحله سوم: فرستادن ایمیل به تعداد زیادی از کاربران پس از انجام مراحل یک و دو، سارق باید قربانیان خود را به طریقی به سمت این سایت جعلی جذب نماید. مرسوم‌ترین روش برای این کار استفاده از ارسال تعداد زیادی ایمیل برای میلیون‌ها آدرس پست الکترونیکی در سراسر جهان است. البته روش‌های دیگری هم برای این کار وجود دارد. مثل قرار دادن بنر تبلیغاتی یا پیوندهای جعلی در صفحات سایت‌های دیگر که کاربر را به سایت فراهم شده برای سرقت‌برخط هدایت کنند. در نهایت زمانی که کاربر به سایت سرقت‌برخط هدایت شد، سارق می‌تواند به طریقی وی را وادار به واردکردن اطلاعات حیاتی در محل‌های موردنظر خود نماید. بطور مثال با ظاهرسازی خوب و مناسب سایت، سبب شود تا کاربر با اعتماد به اینکه وارد سایت یک شرکت یا سازمان معتبر و رسمی شده است، اطلاعات خود را ارائه کند. در این صورت سارق می‌تواند این اطلاعات را برای استفاده‌های بعدی گردآوری و دسته بندی نماید. جمع بندی در این مقاله مقدمه‌ای پیرامون سرقت‌برخط بیان گردید و علاوه بر معرفی دلایل موفقیت این حمله یک نمونه عمومی از فرایند اجرای این سرقت نیز بیان شد. با آنکه استفاده از نامه‌های الکترونیکی، روشی مرسوم و معمول برای سرقت‌برخط است، اما، این تنها راهکار ممکن برای صیادی اطلاعات قربانیان توسط سارقان و هکرها نیست. در شماره‌های آینده روش‌های متعدد شناخته شده برای سرقت برخط، نظیر حملات بر پایه وب، تزریق محتوا و یا استفاده از میزبان‌های آلوده را بررسی خواهیم نمود.