حمله سایبری ویلینگ (Whaling) (بخش دوم)

قبل از اینکه عمیق تر به صید نهنگ یا نحوه عملکرد حملات نهنگ بپردازیم، احتمالاً باید به این سؤال متداول پاسخ دهیم: فیشینگ در امنیت سایبری چیست؟

به طور خلاصه، فیشینگ زمانی است که عوامل تهدید به دروغ خود را به عنوان طرف های مورد اعتماد معرفی می کنند تا اعتماد قربانی را برای سرقت پول یا اطلاعات حساس خود جلب کنند. برخلاف تصور رایج، حملات فیشینگ به ایمیل ها محدود نمی شود.

به عنوان مثال، حملات فیشینگ که از پیام های متنی استفاده می کنند، smishing و حملات فیشینگ که از ارتباطات صوتی استفاده می کنند، vishing نامیده می شوند.
ایمیل‌های فیشینگ معمولاً بسیاری از کاربران اینترنت را هدف قرار می‌دهند و به راحتی قابل شناسایی هستند، زیرا عوامل تهدید آنها را برای مخاطبان انبوه طراحی می‌کنند.

در واقع، آنها روزانه میلیاردها ایمیل فیشینگ ارسال می کنند. با این حال، حملات فیشینگ نیز می تواند هدفمندتر باشد.

تفاوت ویلینگ، فیشینگ و اسپیرفیشینگ

با اینکه ویلینگ و اسپیرفیشینگ هر دو نوعی از فیشینگ هستند، اما شاید در نگاه اول تفکیک آن ها از هم سخت باشد. فیشینگ شامل روش هایی است که در آن مهاجم سعی می کند قربانی خود را وادار کند که کاری که او می خواهد را انجام دهد.

برای مثال، مهاجم برای قربانی یک ایمیل شامل درخواست موردنظرش ارسال می‌کند در حالیکه قربانی تصور می کند ایمیل کاملا معتبر است. ایمیل می تواند شامل درخواستی باشد که از قربانی می خواهد کاری را به سرعت انجام دهد. برای اینکار قربانی باید مثلا برروی یک لینک کلیک کند یا یک فایل را برروی سیستمش دانلود و اجرا کند.

اسپیرفیشینگ نیز شباخت زیادی به موارد بالا دارد با این تفاوت که در این حمله، قربانی یک یا چند شخص بخصوص هستند نه یک جامعه عمومی. در یک حمله فیشینگ فریبنده، مهاجم حتی ممکن است از یک لیست از آدرس ایمیل ها استفاده کند. درون این لیست تعداد زیادی ایمیل قرار داده شده و مهاجم به تمام آن ها ایمیل می زند (نه به یک شخص بخصوص!).

اما در اسپیرفیشینگ مهاجم حتی ممکن است از جزییات گول زننده برای متقاعد کردن قربانی استفاده کند. با این تکنیک، قربانی راحت‌تر به دام می افتد.

برای مثال، اگر قربانی از یک خودپرداز حوالی میدان آزادی استفاده می‌کند، مهاجم ممکن است آن را درون ایمیل خود قید کند. برای مثال بگوید: “بنظر می‌رسد اطلاعات شما به هنگام استفاده از خودپرداز حوالی میدان آزادی در ساعت ۷ بعد از ظهر روز سه شنبه (تاریخ استفاده) لو رفته باشد، برای تغییر فوری رمز عبور خود، برروی این لینک کلیک کنید.”

وقتی قربانی از طریق این صفحه اطلاعاتش را وارد می‌کند، اطلاعات برای مهاجم ارسال می‌شود.

اما در ویلینگ، هدف سواستفاده از اعتبار یک کارمند ارشد است. برای مثال، سواستفاده از اعتبار مدیر بخش مالی، برای انتقال غیر مجاز پول به حساب مهاجم! به این صورت که مهاجم با جعل هویت مدیر مالی، به پرسنل بخش امورمالی دستور می‌دهد که پول را برای او واریز کنند!

جلوگیری از حملات ویلینگ (Whaling)

اولین گام برای جلوگیری از حملات ویلینگ، آموزش تمام اهداف احتمالی به پرسنل است. آموزش روش ها و اهدافی که هکر ها در ویلینگ دنبال می کنند، می تواند برای جلوگیری از این حملات بسیار مفید باشد. بطور کلی در رابطه با فیشینگ، آگاه‌سازی کارمندان بسیار مهم می باشد. چرا که فیشینگ جز حملاتی است که به شدت با تکنیک های مهندسی اجتماعی گره خورده است.

بنابراین برای جلویگری از آن، باید کاملا برروی آگاه سازی کارمندان کار کنیم. تا جایی که می توانیم باید تکنیک های مختلف مهندسی اجتماعی را بررای کارمندان توضیح دهیم. این کار باعث می شود کارمندان حداقل در موارد مشابه، عکس العمل مناسب را نشان دهند. و به راحتی در دام نیفتند.

اجتناب از حملات ویلینگ با تغییر ذهنیت شروع می شود. وقتی نامه ای را از شخصی می خوانید، باید از خود بپرسید آیا انتظار داشتید از طرف آن شخص ارتباطی دریافت کنید یا خیر. همچنین به این فکر کنید که آیا چیز عجیب و غریبی در مورد ایمیل وجود دارد، نه فقط آنچه گفته می شود بلکه نحوه بیان، استفاده از علائم نگارشی، ایموجی ها یا هر چیز دیگری که غیر معمول به نظر می رسد.

در برخی موارد، بسیار واضح است که شما مورد هدف قرار گرفته اید. به عنوان مثال، اگر آدرس ایمیل معتبر است اما ایمیلی نیست که شخص فرستنده معمولا از آن استفاده کند، این یک نشانه واضح است. به عنوان مثال، اگر شخص معمولاً از حساب ایمیل JavadAzimi@yourorganization.com استفاده می کند، اما این بار از JAZIMI1996@yourorganization.com ایمیلی دریافت می کنید، باید مراقب باشید.

اگر دلیلی وجود نداشته باشد که جواد مجبور شود از آدرس ایمیل دیگری استفاده کند، این آدرس می تواند جعلی باشد. علاوه بر این، اگر ایمیل دارای نامی منطقی است اما از خارج از سازمان آمده است، این نیز می تواند نشانه خطر باشد.

علاوه بر این، مدیران باید در مورد آنچه در رسانه های اجتماعی ارسال می کنند دقت کنند. از جزئیات زندگی آنها می توان برای اجرای حملات ویلینگ استفاده کرد. اگر یک عضو سطح بالای سازمان ایمیلی دریافت کند که مواردی را که آنها در رسانه های اجتماعی ارسال کرده اند ذکر کند، این احتمال وجود دارد که یک مهاجم در حال جلب اعتماد وال است.

 5 راه برای محافظت در برابر فیشینگ شکار نهنگ

دفاع در برابر حملات صید نهنگ شامل ترکیبی از آگاهی امنیتی کارکنان، خط مشی تشخیص داده و زیرساخت است. برخی از بهترین شیوه ها برای جلوگیری از صید نهنگ شامل موارد زیر است:

1. آگاهی کارکنان. جلوگیری از هر نوع تهدید امنیت سایبری مستلزم آن است که هر کارمند مسئولیت حفاظت از دارایی های شرکت را بر عهده بگیرد. در مورد فیشینگ شکار نهنگ، همه کارکنان - نه فقط مدیران سطح بالا - باید در مورد این حملات و نحوه شناسایی آنها آموزش ببینند. اگرچه مدیران سطح بالا هدف هستند، اما کارمندان سطح پایین می توانند به طور غیرمستقیم یک مدیر اجرایی را از طریق نقص امنیتی در معرض حمله قرار دهند. کارمندان باید بدانند که به دنبال چه تاکتیک‌های مهندسی اجتماعی باشند، مانند آدرس‌های ایمیل جعلی که یک آدرس ایمیل قابل اعتماد را تقلید می‌کنند. به عنوان مثال، اگر یک کارمند مرتباً با یک آدرس ایمیل با عنوان "bill@gmail.com" مکاتبه کند، هکر ممکن است یک ایمیل مخرب از "bil1@gmail.com" ارسال کند تا از خبرنگار مورد اعتماد تقلید کند و اعتماد قربانی را جلب کند. کارکنان همچنین باید مراقب درخواست پول از طریق ایمیل باشند.
2. تایید چند مرحله ای همه درخواست‌های انتقال سیمی و دسترسی به داده‌های محرمانه یا حساس باید قبل از مجاز شدن از چندین سطح تأیید عبور کنند. تمام ایمیل‌ها و پیوست‌های خارج از سازمان را از نظر بدافزار، ویروس‌ها و سایر مشکلات بررسی کنید تا ترافیک احتمالی مخرب را شناسایی کنید.
3. سیاست های حفاظت از داده ها برای اطمینان از اینکه ایمیل‌ها و فایل‌ها از نظر فعالیت شبکه مشکوک نظارت می‌شوند، سیاست‌های امنیتی داده‌ها را معرفی کنید. این سیاست‌ها باید یک دفاع لایه‌ای در برابر فیشینگ نهنگ و به طور کلی فیشینگ فراهم کنند تا احتمال وقوع نقض در آخرین خط دفاعی کاهش یابد. یکی از این سیاست‌ها ممکن است شامل نظارت بر ایمیل‌ها برای نشان‌دهنده حملات فیشینگ و مسدود کردن خودکار آن ایمیل‌ها از رسیدن به قربانیان احتمالی باشد.                        شاخص های ایمیل احتمالی فیشینگ شامل موارد زیر است:
                نمایشگر یا نام دامنه کمی با آدرس مورد اعتماد متفاوت است.
           متن ایمیل حاوی درخواست‌هایی برای پول یا اطلاعات است.
           سن دامنه با سن دامنه خبرنگار مورد اعتماد مطابقت ندارد.
4. آموزش رسانه های اجتماعی به عنوان گسترش آگاهی کارکنان، مدیران سطح بالا را از نقش بالقوه رسانه های اجتماعی در فعال کردن شکار نهنگ آگاه کنید. رسانه های اجتماعی حاوی اطلاعات زیادی هستند که مجرمان سایبری می توانند از آنها برای ایجاد حملات مهندسی اجتماعی مانند فیشینگ نهنگ استفاده کنند. مدیران می توانند با تعیین محدودیت های حریم خصوصی در حساب های رسانه های اجتماعی شخصی خود، دسترسی به این اطلاعات را محدود کنند. مدیران عامل اغلب در رسانه های اجتماعی به گونه ای قابل مشاهده هستند که داده های رفتاری را تلگراف می کنند که مجرمان می توانند تقلید کنند و از آنها سوء استفاده کنند.
5. ابزارها و سازمان های ضد فیشینگ. بسیاری از فروشندگان نرم افزارهای ضد فیشینگ و خدمات امنیتی مدیریت شده را برای کمک به جلوگیری از شکار نهنگ و سایر حملات فیشینگ ارائه می دهند. با این حال، تاکتیک‌های مهندسی اجتماعی همچنان رایج هستند، زیرا آنها بر بهره‌برداری از خطای انسانی، که با یا بدون فناوری امنیت سایبری وجود دارد، تمرکز می‌کنند.

نمونه هایی از حملات صید نهنگ

در طول سال‌ها حملات زیادی به صید نهنگ‌ها صورت گرفته است که برخی از سازمان‌های رسانه‌ای آن را کلاهبرداری ایمیل مدیر عامل نیز می‌نامند. در اینجا چند نمونه آورده شده است:

2015: یکی از زیرمجموعه های هنگ کنگ شرکت بی سیم Ubiquiti Networks Inc. پس از فریب دادن یک ایمیل جعلی یک کارمند مالی، از 46.7 میلیون دلار کلاهبرداری شد.
2015: یکی از مدیران مالی غول تولید اسباب‌بازی Mattel پس از دریافت درخواستی تقلبی که به نظر می‌رسید از سوی مدیرعامل جدید باشد، 3 میلیون دلار به یک کلاهبردار ارسال کرد.
2016: یک سازنده اتریشی هوافضا به نام FACC مدیر عامل خود را پس از از دست دادن 58 میلیون دلار در کلاهبرداری ایمیلی شکار نهنگ اخراج کرد.
2016: یکی از کارمندان منابع انسانی اسنپ چت اطلاعات حقوق و دستمزد کارمندان را پس از کلاهبرداری ایمیل مدیر عامل فاش کرد.
2017: هکرها از یک صاحب کسب و کار کوچک 50000 دلاری در حمله به صید نهنگ توسط انسان وسط کلاهبرداری کردند.
2020: مجرمان سایبری از یک پیوند مخرب برای حمله به یکی از بنیانگذاران یک صندوق تامینی استرالیایی با کلاهبرداری استفاده کردند و کسب و کار را مجبور به تعطیلی کردند.

HP پیش‌بینی کرده است که در سال 2021 احتمالاً شاهد افزایش حملات شکار نهنگ همراه با سایر تهدیدات امنیت سایبری مانند باج‌افزار، ایمیل‌های فیشینگ و ربودن رشته‌ها خواهیم بود. HP گفت که تغییر گسترده به سمت کار از راه دور در پاسخ به همه‌گیری COVID-19، تا حدی مسئول قرار دادن سازمان‌ها در معرض آسیب‌پذیری‌های جدید است.

چگونه حمله شکار نهنگ را مسدود کنیم؟

توقف حمله نهنگ نیازمند رویکردی چندلایه به امنیت است.

• برنامه های قوی ضد هرزنامه و ضد بدافزار ممکن است برخی از ایمیل های حمله نهنگ را در دروازه ایمیل متوقف کنند.
• سرویس‌های احراز هویت DNS که از پروتکل‌های DMARC، DKIM و SPF استفاده می‌کنند، می‌توانند تشخیص دهند که آیا ایمیل ارسال شده از یک دامنه خاص مشروع است یا تقلبی.
• فن آوری اسکن و فیلتر کردن ایمیل می تواند پیوندها و پیوست های درون ایمیل را در زمان واقعی اسکن کند تا مشکوک بودن آنها را مشخص کند و از دسترسی کاربران به آنها جلوگیری کند.
• نرم‌افزار ضد جعل هویت می‌تواند با شناسایی تکنیک‌های مبتنی بر مهندسی اجتماعی که در ایمیل‌های شکار نهنگ رایج است، حمله به نهنگ را مسدود کند.
• آموزش آگاهی از امنیت می تواند به کاربران کمک کند تا حملات صید نهنگ را شناسایی کنند و به پروتکل هایی (مانند تأیید انتقال سیم با وسیله ارتباطی دوم) که می تواند آسیب یک حمله را کاهش دهد، پایبند باشند.