حملات فیشینگ یا Phishing چیست و بررسی انواع آناتومی این نوع حملات – قسمت دوم

در قسمت او مقاله در مورد این مطلب که آناتومی حملات فیشینگ چیست و انواع مختلف این حملات صحبت کردیم حال در ورد این موضوع که چگونه بتوانیم از حملات فیشینک مطلع شویم خواهیم پرداخت.

چگونه بتوانیم از حملات فیشینک مطلع شویم؟

یکی از اولین سوالاتی که در این خصوص مطرح می‌شود این است که از کجا بدانیم که چه چیزی طعمه سارقین است؟ با وجود اینکه می‌توان راه‌های فنی ارزیابی Header ایمیل را برای End Userها توضیح داد، باید هشدارهای کلیدی را به آنها متذکر شد. با این حال این را هم باید متذکر شد که اگر آنها دچار تردید شدند باید حتما ایمیل را به گروه امنیتی ارجاع داده تا بررسی‌های تخصصی صورت گیرد. تردید داشتن و بدبینی اگر به اندازه باشد در این موارد بسیار کمک کننده است و باید به آن بها داد.

نشانه‌های هشداردهنده حملات فیشینگ

نشانه‌های بسیاری وجود دارند که با تغییر تاکتیک سارق تغییر می‌کنند اما بطور کلی اگر Workforce با هر یک از این موارد مواجه شد باید تدابیر امنیتی شدیدی را در پیش گیرد:

• سلام کردن و Signatureهای عمومی
• نبود اطلاعات ارسال کننده و شرکت
• عکس‌های تار و پیکسل شده
• لینک‌های وبسایت‌هایی که منطقی نیستند
• دستور زبان اشتباه و املای ضعیف

• تهدید یا درخواست‌های فوری
• پیشنهادهایی که بیش از حد سوددهی دارند
• درخواست اطلاعات شخصی یا کمک‌هزینه، انتقال پول یا تغییر اطلاعات سپرده
• ایمیل یا فایل ضمیمه غیرمنتظره
• عدم تطابق Subject و پیام ایمیل
• ارتباط بدون پشتیبانی

درصورت عدم اطمینان از واقعی بودن یک ایمیل باید مراحل زیر را انجام داد:

• عمل‌کردن براساس آموخته‌ها: باید درباره ارسال‌کننده این ایمیل در اینترنت جستجو نمود. حتی می‌توان خود آدرس ایمیل را جستحو نمود و دید که آیا دیگران نیز آن را به عنوان Scam تگ کرده‌اند یا خیر.
• قبول درخواست‌ها با استفاده از روش راستی‌آزمایی ثانویه: هرگز نباید جهت پاسخ دادن با ایمیل اصلی ایمیل داد. باید از روش ارتباطی دیگری استفاده نمود مثلا از شماره تلفن یا آدرس ایمیل یکی از صورت‌حساب‌های اخیر برای ایمیل دادن و انجام درخواست استفاده نمود.

بیشتر بخوانید: نحوه‌ی شناسایی Phishing و مقابله با آن

• رفتن بر روی لینک‌های داخل ایمیل: با انجام این کار می‌توان دید که آیا آدرس وب Hyperlink با دامین قانونی وبسایت هم‌خوانی دارد یا خیر. می‌توان درصروت عدم اطمینان Hyperlink را در مرورگر نوشت اما نباید هرگز برروی لینک کلیک کرد
• بررسی نام فایل‌های ضمیمه شده: درصورتی که انتظار فایل ضمیمه شده وجود داشته باشد باید این مورد را لحاظ نمود. هرگز نباید فایلی که انتظارش نمی‌رود یا با یک Extension خاتمه می‌یابد که شناخته شده نیست باز شود برای مثال Filename.exe درصورتی که گفته می‌شود این یک فایل Word است.
• استناد بر فضاوت خود: در بسیاری از موارد خود فرد با کمک حس خود می‌تواند درک کند که ایمیل دریافتی مشکوک است یا خیر.

درصورت راهنمایی شدن به سایتی که مشکوک است باید اقدامات زیر را انجام داد:

• استفاده از رمزعبور تقلبی: استفاده از چنین رمزی نشان می‌دهد که آیا سایت متوجه اشتباه بودن آن می‌شود یا خیر، اگر یک سایت تقلبی باشد و بخواهد رمزعبور جمع‌کند، متوجه اشتباه بودن رمزعبور نخواهد شد.
• چک‌کردن آدرس وب: آیا نام شرکت در URL به درستی نوشته شده است؟ آیا آدرس مذکور بجای http با https شروع می‌شود. اینکه با https شروع شود صرفا به معنای قانونی بودن سایت نیست و تنها بیانگر ایمن بودن اتصال است اما اگر با https شروع نشود نشان‌دهنده خط قرمزی است که نباید هیچ اطلاعاتی را در آن وارد نمود. مشابه با همین موضوع دیدن یک Padlock یا کلید قفل‌شده در Address Bar است که همیشه نشان‌دهنده قانونی بودن سایت نیست اما اگر مشاهده نشود نباید اطلاعاتی را وارد نمود.
• مشاهده تبلیغات Pop-Up: درصورت ورود به سایتی که بمباران تبلیغات Pop-Up در آن رخ می‌دهد باید بسیار مراقب بود.
• توجه به برند و نام تجاری: آیا نام تجاری سایت با آنچه که در سایت دیده و حس می‌شود در تناقض است؟

درصورت وقوع حمله فیشینگ برای سازمان چه باید کرد؟

باید به خاطر داشت که حملات فیشینگ برای فریب دادن مخاطب طراحی شده‌اند و ممکن است بهترین برنامه‌های ضدPhishing  و پیش‌گیرنده نصب و پیاده‌سازی شده باشند اما بخاطر فریب خوردن یک کاربر شکست خورد. درصورت وقوع مهم‌ترین نکته آمادگی برای واکنش است. باید این مراحل بازیابی را درنظر گرفته و با تیم امنیت سایبری هماهنگی نمود تا پاسخ و برنامه بازیابی مناسبی را برای سازمان طراحی کرد:

جلوگیری از افشای احتمالی

درصورتی که کاربری با یک ایمیل Phishing درحال تعامل باشد، باید ایزوله شده و تیم امنیت سایبری برای بررسی‌های لازم کنترل را بدست گیرد.

تغییر رمز عبور

باید کاربران را مجبور کرد تا رمزهای عبور خود را تغییر دهند. درصورتی که از چندین رمز عبور استفاده شود، توصیه می‌گردد که تمامی آنها تغییر یابند زیرا ممکن از میزان نفوذ حمله به لایه‌ها و اطلاعات داخلی آگاهی وجود نداشته باشد.

بیشتر بخوانید: بررسی چالش ها و شناسایی حملات فیشینگ GSuite در ایمیل هایی با ضمیمه‌ی مشکوک

پیروی از فرآیند پاسخگویی به حملات

حمله Phishing نوعی رویداد امنیت سایبری است و باید از فرآیند‌های پاسخگویی به حملات پیروی نمود که شامل شناسایی ایمیل Phishing، یافتن آن در صندوق Inbox سایر کاربران، حذف آنها و بررسی تاثیرات و Triage می‌شوند.

جستجوی بدافزار

باید از ابزارهای مانیتور کننده برای برای اسکن کردن کامپیوتر کاربران و شبکه برای یافتن بدافزار و نرم‌افزارهای مخرب مانند ویروس‌ها، Trojanها و … اقدامات مشکوک یا ناهنجاری‌ها استفاده نمود.

حفاظت شخصی

بسته به طبیعت حمله فیشینگ، اگر کاربری هرگونه اطلاعات شخصی را فاش کند باید هشدارهای کلاهبرداری را با مانیتورکننده‌های اطلاعات اعتباری تنظیم کند. اگر درپی یک حمله فیشینگ هویت یک شخص یا شرکت جعل شود، این اطلاعات با سایر شرکت‌ها به اشتراک گذاشته می‌شوند تا آنها نیز آگاه شده و به سایر کاربران هشدار دهند.

اختصاص زمان برای یادگیری

همانند هر حمله سایبری دیگری، درس‌هایی که از آن حمله گرفته می‌شوند با ارزش‌تر از داده‌ها یا سرمایه‌ایست که سارقین سایبری سرقت کرده‌اند. باید لیستی از دروس آموخته شده تهیه نمود و فرآیند‌ها و کنترل‌های موجود را ارزیابی نمود تا به این نتیجه رسید که آیا تغییری باید صورت گیرد یا خیر. باید این آگاهی و فرآیند‌ها را برای کاربران ارتقا داد. حملات فیشینگ از محبوب‌ترین مسیرهای حمله به لایه‌های امنیت سایبری بوده که بر پایه روان‌شناسی بنا شده است تا گیرنده پیام را مجاب به انجام کارهای مورد نظر کند. با تنظیم خطوط دفاعی و آماده‌سازی کارمندان در شناسایی این حملات می‌توان از سارقین پیشی گرفت.     

مقاله های مرتبط: