آخرین مطالب
پربازدیدترین مطالب

۲۷ مرداد ۱۳۹۳

آرش کمانگیر

پادکست


امنیت سایبری با آرش کمانگیر | قسمت نهم | فیشینگ، خطر آشنایی که هم‌چنان قربانی می‌گیرد


در هفته‌های گذشته، ایمیلی حاوی یک حمله‌ی فیشینگ پیچیده به جمع بزرگی از کاربران اینترنتی ایرانی، از جمله فعالین اجتماعی، فرستاده شد و به شهادت روایت‌هایی که بعدا در شبکه‌های اجتماعی منتشر شد، این حمله در چند مورد موفقیت آمیز بود. در این حمله از روش‌های فنی پیچیده به‌همراه مهندسی اجتماعی استفاده شده‌بود. در مقایسه با نمونه‌های مشابه، این حمله بسیار ماهرانه‌تر انجام شد، اما هم‌چنان روش‌های ساده‌ای وجود دارد که می‌توان به کمک آن‌ها از حملات مشابه به سلامت گذشت.
ایمیلی برای شما آمده است که عنوان قانع‌کننده‌ای، مانند «آرش جان سلام» دارد. متن ایمیل کوتاه است. «برات یک خبر فرستادم، بخونش ببین خبر رو تائید می کنی یا نه، بهم اطلاع بده. فایل رو گذاشتم روی گوگل درایو» یا «اینخبررودیدی؟؟خبرروگذاشتمرویگوگلدرایوازاونجامیتونیببینی». زیر متن، لینکی به یک فایل pdf قرار داده شده‌است. ظاهر ایمیل و اشارات متن این‌طور نشان می‌دهد که فایل در گوگل درایو است. با کلیک کردن روی اسم فایل، گوگل از شما می‌خواهد که دوباره لاگین کنید. نشانی urlی که باز شده است از google.com است، پس احتمالا لاگین می‌کنید و به گوگل درایو می‌روید. این‌که کی متوجه شوید که جیمیل شما هک شده‌است وابسته به این است که هکر کی شروع به استفاده از اکانت شما برای آلوده کردن دوستان‌تان کند.
ایمیل از یک آشنا رسیده است و همان‌طور که توصیه‌های امنیتی می‌گویند، به‌جای ارسال فایل بصورت ضمیمه، از گوگل درایو استفاده می‌کند. شاید به همین دلیل، واکنش‌های اولیه به این حمله این سوال نگران‌کننده بود که آیا اساسا امنیت در وب ممکن است؟
کمی دقت نشان می‌دهد که شواهدی برای آلوده بودن این ایمیل وجود داشته‌اند. بعنوان شاهد اول، لینکی که در ایمیل وجود دارد، به اسم یک فایل pdf است، که با نگه‌داشتن موس روی آن متوجه می‌شویم که به محلی در دومینی به نشانی drive-google.co متصل است. نکته‌ی جالب این است که این دومین با آدرس ایمیل dns-admini@google.comثبت شده‌استکه یک i از یکی از آدرس‌های ثبت دومین توسط گوگل، یعنی dns-admin@google.com، بیشتر دارد. توجه بیشتر نشان می‌دهد که این دومین به سروری در کشور روسیه متصل است که نشانی DNS آن ارتباطی به گوگل ندارد. شباهت ظاهری دومین‌های جعلی به ابزارهایی که روزانه از آن‌ها استفاده می‌کنیم، یکی از روش‌های معمول در حملات فیشنگ است. علاوه بر این، با کلیک کردن روی لینکی که در ایمیل وجود دارد، به صفحه‌ای برده می‌شویم که بسیار شبیه صفحه‌ی لاگین گوگل است. منطق می‌گوید که با توجه به این‌که همین حالا در جیمیل بوده‌ایم، نباید احتیاجی به لاگین کردن دوباره داشته باشیم. بعنوان یک قاعده‌ی کلی، هرگز در صفحه‌ای که با کلیک کردن روی یک لینک به آن رفته‌اید لاگین نکنید. اگر از شما خواسته شد که در جیمیل، یا هر ابزار دیگری، لاگین کنید، صفحه را ببنید، و به کمک لینک اصلی، مانند gmail.com یا facebook.com لاگین کنید. اگر لینکی که با ایمیل آمده است دوباره از شما خواست که لاگین کنید، همین شاهد خوبی خواهد بود که چیزی جایی می‌لنگد.
فارغ از جزییات فنی، یکی از مهم‌ترین مولفه‌هادر فیشینگ و حملات دیگر علیه امنیت کاربران، نکات اجتماعی مرتبط با آن است. هیچ حمله و بدافزاری بدون زمینه‌ی اجتماعی و روان‌شناختی آن به نتیجه نمی‌رسد. نکته‌ی مهم در این جا است که علاوه بر این‌که دقت می‌کنیم که قربانی مهندسی اجتماعی نشویم، باید دقت مضاعفی کنیم که افراد درباره‌ی خطرات امنیتی در فضای وب آزادانه صحبت کنند. به این دلیل، هرگز نباید کسی را به این دلیل که قربانی یک حمله شده‌است تحقیر کنیم و، از طرف دیگر، قربانی شدن اتفاقی نیست که از آن خجالت بکشیم. باید فضایی ایجاد کنیم که همه بتوانند درباره‌ی خطرات و نگرانی‌هایشان صحبت کنند و تجارب خود را بصورت مستند دراختیار دیگران قرار دهند. با بستن فضا روی گفتگوی آزاد و صحبت درباره‌ی نگرانی‌ها، محیطی را ایجاد می‌کنیم که سود آن صرفا نصیب سازندگان بدافزار می‌شود.
آمادگی برای روز خطر کار مهم دیگری است که باید انجام دهیم. همه‌ی ما تلاش می‌کنیم که امنیت خود را در فضاهای دیجیتال تامین کنیم، اما امنیت یک مفهوم نسبی است و هرکسی در این خطر قرار دارد که با یک خطا، قربانی آخرین حمله و بدافزار شود. به این دلیل، در کنار یادگرفتن روش‌های حفظ امنیت، باید هرازگاهی خود را در موقعیت قربانی تصور کنیم و تخمینی از میزان خطر به دست بیاوریم. برای مثال، اگر تصاویر خصوصی‌مان را در dropbox نگهداری می‌کنیم و اسم رمز آن با دسترسی به ایمیل‌مان قابل بازیافت است، همین به معنی پذیرفتن یک خطر بزرگ و بی‌دلیل است. سوال مهم این است که در روز مبادا، که دیگری به ایمیل ما دسترسی پیدا می‌کند، چه خطراتی ما را تهدید خواهد کرد؟ آیا اساسا دلیلی دارد نامه‌های عاشقانه‌مان را در ایمیل و اطلاعات بانکی‌مان را در گوگل درایو نگه داریم؟ آیا چت‌های روی فیس‌بوک را پاک نمی‌کنیم صرفا چون حوصله‌ی این کار را نداریم؟ نکته‌ی کلیدی در این فعالیت کاهش خطر احتمالی است.
فارغ از همه‌ی نکات امنیتی و آمادگی‌ها در روزهای قبل از حادثه، یک پیشنهاد عملی، و ساده، این است که با شنیدن خبر یک حمله‌ی گسترده، اسامی رمزمان را تغییر دهیم. ما به هرحال این کار را چند ماه یک‌بار انجام می‌دهیم. چه بهتر که همین حالا، برای احتیاط، در را روی دزد احتمالی ببندیم.
پس‌نوشت – از سه دوست عزیز که این متن را پیش از انتشار مرور کردند تشکر می‌کنم.