برنامه ضدفیشینگ بدافزار از آب درآمد!

برنامه ضدفیشینگ، بدافزار جدیدی است که در ابتدا عملکردی عادی داشته اما می تواند توسط مهاجم، تبدیل به برنامه‌ فیشینگ شود.
 
 یکی از اقدامات کلاهبرداران این است که با راه‌اندازی سایت‌های جعلی که شبیه به سایت‌های اصلی است، به ربودن اطلاعات افراد، اغلب برای سوءاستفاده‌های مالی اقدام می‌کنند. در این شیوه که اصطلاحاً به فیشینگ معروف است، از طریق اطلاعات واردشده توسط کاربران در صفحات جعلی حساب‌های بانکی قربانیان خالی می‌شود و کاربرانی که دارای سواد دیجیتالی کمتر هستند، یا از ابزارهای به‌روزنشده استفاده می‌کنند، بیش‌تر در معرض خطر هستند و اطلاعات آنان مورد سوءاستفاده قرار می‌گیرند.
 
روش‌های مختلفی برای فیشینگ وجود دارد؛ موضوعاتی که عمدتا کاربران را به درگاه‌های بانکی جعلی هدایت می‌کنند، شامل مواردی از جمله خرید شارژ، اینترنت هدیه، سایت‌های شرط‌بندی و پیش‌بینی، یارانه، کارت سوخت، فروشگاه‌های اینترنتی، فروش فالوئر، باشگاه مشتریان، دریافت و فعال کردن رمز دوم یک‌بار مصرف می‌شود. از طرفی به تازگی روش جدیدی توسط کلاهبرداران باب شده که از اخبار رجیستری برای فریب کاربران استفاده می‌کنند.
 
 
این در حالی است که طی هفته جاری بدافزار جدیدی در حوزه ‫فیشینگ با نام «ضدفیشینگ» شناسایی شده که ادعا می‌کند برنامه‌ای جهت تشخیص لینک‌های فیشینگ بوده و این‌گونه لینک‌ها را از سایر لینک‌ها تشخیص می‌دهد، اما با بررسی کد برنامه توسط مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) مشخص می‌شود که پس از عضوگیری، روند برنامه تغییر پیدا کرده و کاربران را به صفحات فیشینگ هدایت می‌کند. کارگزار کنترل و فرمان این بدافزار در آدرس panell.website/antipish قرار دارد و از این طریق، هر زمان که مهاجم بخواهد، رفتار برنامه تغییر می‌کند.
 
نمایی از تبلیغات تلگرامی و ظاهر برنامه در شکل زیر نمایش داده شده است.
 
 
برنامه ضدفیشینگ بدافزار جدیدی در حوزه فیشینگ است که در ابتدا عملکردی عادی داشته اما می تواند توسط مهاجم، تبدیل به برنامه‌ فیشینگ شود. از آنجا که مهاجم می‌تواند لینک فیشینگ را هر زمان که بخواهد تغییر دهد، فیلتر لینک به تنهایی کافی نبوده و مرکز ماهر نسبت به غیرفعال‌سازی کارگزار کنترل و فرمان برنامه، اقدام کرده است. این برنامه در ظاهر برنامه سالمی است که اطلاعاتی را به کاربران ارائه می‌کند.
 
اما با بررسی کد برنامه مشخص می‌شود که پس از مدتی به بدافزار فیشینگ تبدیل می‌شود. همچنین مهاجم می‌تواند با ارسال نوتیفیکیشن، کاربر را به برنامه فراخوانی و یا اینکه عملکرد فیشینگ را فعال یا غیرفعال کند.
 
 
کاربران باید توجه کنند که امنیت در فضای مجازی نسبی است. بنابراین عدم اعتماد و اطمینان به غریبه‌های آنلاین، عدم به اشتراک‌گذاری محتوای شخصی در شبکه‌های اجتماعی، دانلود نکردن فایل‌ها از سایت‌های نامعتبر و غیرمطمئن، به‌روزرسانی آنتی‌ویروس، دقت در وارد کردن نشانی درگاه‌های پرداخت الکترونیکی بانک‌ها و توجه به پروتکل امن HTTPS و عدم توجه به ایمیل یا لینک‌های ناشناس از بروز و ظهور چنین کلاهبرداری‌هایی پیشگیری کرده و ضریب امنیت را در فضای مجازی افزایش می‌دهد.

برنامه ضدفیشینگ بدافزار از آب درآمد!

برنامه ضدفیشینگ، بدافزار جدیدی است که در ابتدا عملکردی عادی داشته اما می تواند توسط مهاجم، تبدیل به برنامه‌ فیشینگ شود.
 
 یکی از اقدامات کلاهبرداران این است که با راه‌اندازی سایت‌های جعلی که شبیه به سایت‌های اصلی است، به ربودن اطلاعات افراد، اغلب برای سوءاستفاده‌های مالی اقدام می‌کنند. در این شیوه که اصطلاحاً به فیشینگ معروف است، از طریق اطلاعات واردشده توسط کاربران در صفحات جعلی حساب‌های بانکی قربانیان خالی می‌شود و کاربرانی که دارای سواد دیجیتالی کمتر هستند، یا از ابزارهای به‌روزنشده استفاده می‌کنند، بیش‌تر در معرض خطر هستند و اطلاعات آنان مورد سوءاستفاده قرار می‌گیرند.
 
روش‌های مختلفی برای فیشینگ وجود دارد؛ موضوعاتی که عمدتا کاربران را به درگاه‌های بانکی جعلی هدایت می‌کنند، شامل مواردی از جمله خرید شارژ، اینترنت هدیه، سایت‌های شرط‌بندی و پیش‌بینی، یارانه، کارت سوخت، فروشگاه‌های اینترنتی، فروش فالوئر، باشگاه مشتریان، دریافت و فعال کردن رمز دوم یک‌بار مصرف می‌شود. از طرفی به تازگی روش جدیدی توسط کلاهبرداران باب شده که از اخبار رجیستری برای فریب کاربران استفاده می‌کنند.
 
 
این در حالی است که طی هفته جاری بدافزار جدیدی در حوزه ‫فیشینگ با نام «ضدفیشینگ» شناسایی شده که ادعا می‌کند برنامه‌ای جهت تشخیص لینک‌های فیشینگ بوده و این‌گونه لینک‌ها را از سایر لینک‌ها تشخیص می‌دهد، اما با بررسی کد برنامه توسط مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) مشخص می‌شود که پس از عضوگیری، روند برنامه تغییر پیدا کرده و کاربران را به صفحات فیشینگ هدایت می‌کند. کارگزار کنترل و فرمان این بدافزار در آدرس panell.website/antipish قرار دارد و از این طریق، هر زمان که مهاجم بخواهد، رفتار برنامه تغییر می‌کند.
 
نمایی از تبلیغات تلگرامی و ظاهر برنامه در شکل زیر نمایش داده شده است.
 
 
برنامه ضدفیشینگ بدافزار جدیدی در حوزه فیشینگ است که در ابتدا عملکردی عادی داشته اما می تواند توسط مهاجم، تبدیل به برنامه‌ فیشینگ شود. از آنجا که مهاجم می‌تواند لینک فیشینگ را هر زمان که بخواهد تغییر دهد، فیلتر لینک به تنهایی کافی نبوده و مرکز ماهر نسبت به غیرفعال‌سازی کارگزار کنترل و فرمان برنامه، اقدام کرده است. این برنامه در ظاهر برنامه سالمی است که اطلاعاتی را به کاربران ارائه می‌کند.
 
اما با بررسی کد برنامه مشخص می‌شود که پس از مدتی به بدافزار فیشینگ تبدیل می‌شود. همچنین مهاجم می‌تواند با ارسال نوتیفیکیشن، کاربر را به برنامه فراخوانی و یا اینکه عملکرد فیشینگ را فعال یا غیرفعال کند.
 
 
کاربران باید توجه کنند که امنیت در فضای مجازی نسبی است. بنابراین عدم اعتماد و اطمینان به غریبه‌های آنلاین، عدم به اشتراک‌گذاری محتوای شخصی در شبکه‌های اجتماعی، دانلود نکردن فایل‌ها از سایت‌های نامعتبر و غیرمطمئن، به‌روزرسانی آنتی‌ویروس، دقت در وارد کردن نشانی درگاه‌های پرداخت الکترونیکی بانک‌ها و توجه به پروتکل امن HTTPS و عدم توجه به ایمیل یا لینک‌های ناشناس از بروز و ظهور چنین کلاهبرداری‌هایی پیشگیری کرده و ضریب امنیت را در فضای مجازی افزایش می‌دهد.

ناآگاهی کاربران؛ عامل اصلی حملات فیشینگ

این روزها خبرهای زیادی درباره فیشینگ می‌شنویم که به‌علت کلاهبرداری و تقلب، فردی حساب بانکی‌اش خالی شده یا به‌پای ای‌تی‌ام‌های بانکی کشانده شده و به بهانه برنده شدن در مسابقه و... مبلغی به‌حساب کلاهبردار واریز کرده است. اما فیشینگ چیست؟ چرا عده‌ای از کاربران در دام فیشینگ می‌افتند و برای مقابله با آن‌چه باید کرد؟ ما درباره این موضوع به‌سراغ دو نفر از کارشناسان حوزه امنیت رفتیم و نظر آنها را جویا شدیم.
افشای اطلاعات حساس با فیشینگ
«حمله فیشینگ در واقع تلاش نفوذگرها و متقلب هاست برای به‌دست آوردن اطلاعات شخصی، مالی، تجاری افراد و سازمان‌ها با فریب و هدایت کاربر به صفحه‌ جعلی، که شبیه صفحات اصلی نظیر درگاه پرداخت بانک، صفحه ورود به‌سامانه بانکداری، صفحه ورود به‌سرویس ایمیل یا موارد مشابه ساخته شده است.»
امید توکلی، طراح و راهبر امنیت راهکارهای فناوری اطلاعات و عملیات با بیان مطلب فوق به «ایران» گفت: روش‌های فریب شامل سوء‌استفاده از مسائل روزمره افراد در حوزه‌های اجتماعی، اقتصادی و سرگرمی می شود و ابزارهای فریب نیز شامل پیامک‌‌های جعلی، پیام‌های فریب در شبکه‌های اجتماعی و ایمیل‌های آلوده به لینک‌های جعلی و بدافزارها و... است.
توکلی با اشاره به اینکه براساس گزارش سایت Verizon، در سال 2018 میلادی حدود 92 درصد نشت و افشای اطلاعات حساس از طریق حملات فیشینگ انجام شده است، افزود: رخدادهای فیشینگ مانند دیگر تهدیدات سایبری تحت تأثیر مستقیم و قابل مدل‌سازی از سوی سه عامل فرد یا کاربر، فرآیند و فناوری هستند. «فرد یا کاربر» تحت تأثیر فریب یا ناآگاهی، در یک «فرآیند» معیوب و در نبود «فناوری‌» که کاربر را مصون کند، دچار افشای اطلاعات و حمله فیشینگ می‌شود.
اما در ادامه این سؤال پیش می‌آید که آیا امنیت سایبری سایت‌های معتبر (مانند درگاه‌های بانکی، یا سایت‌هایی مانند همتا کارت سوخت و...) پایین است که کلاهبرداران بیشتر با این روش اقدام به کلاهبرداری می‌کنند؟ توکلی طراح و راهبر امنیت در پاسخ به این سؤال گفت: هیچ سایتی صددرصد امن نیست، اما در خصوص موضوع فیشینگ سایت اصلی مسئولیتی در این زمینه برعهده ندارد. به‌عنوان مثال اگر کاربری فریب یک صفحه جعلی را خورد و اطلاعات کارت بانکی‌اش را در یک درگاه پرداخت جعلی وارد کرد، مسئولیتی متوجه بانک صادرکننده یا درگاه پرداخت معتبر نیست. تنها اگر فرد تراکنش خود را در سایت اصلی و معتبر انجام داده باشد و زمانی که در سایت اصلی بسر می‌برد اتفاقی بیفتد، نقص سایت معتبر قابل ارزیابی خواهد بود.
نوری دیگر کارشناس امنیت اطلاعات نیز معتقد است که فیشینگ ارتباطی با امنیت سایت‌های معتبر ندارد. نوری گفت: در واقع فرد سارق با جعل کردن یک صفحه مرتبط با یک سایت معتبر افراد را فریب داده و اطلاعات آنها مثل رمزهای عبور و اطلاعات بانکی و... را سرقت می‌کند. اما اکثر سرویس‌های معتبر در دنیا با تمهیداتی مثل ورود دو مرحله‌ای و استفاده از رمز‌های یکبار مصرف از طریق پیامک و نرم‌افزار رمزساز امکان سوء‌استفاده از این اطلاعات را کاهش می‌دهند. روشی که برخلاف تذکرات پی‌درپی کارشناسان کماکان جای خالی آن در سیستم بانکی ما همچنان احساس می‌شود.
تغییر شیوه‌های حملات فیشینگ
«کلاهبرداری به روش فیشینگ بسته به شرایط روز تغییر می‌کند و معمولاً بر پایه سناریوهای مهندسی اجتماعی انجام می‌شود.» توکلی با بیان این مطلب گفت: متقلب شرایط جذابی برای فریب قربانی فراهم می‌کند تا کاربر وارد سایت جعلی شود. مثلاً تماس، پیام در شبکه‌های اجتماعی یا پیامک جعلی برنده شدن در یک برنامه رادیویی، برنده شدن در قرعه‌کشی بانک و مواردی از این دست، سناریوهای معمول فیشینگ هستند.
وی افزود: این پیام‌ها ممکن است به‌صورت تصادفی برای عده زیادی از افراد ارسال شود. سناریوهای پیچیده‌تر به شکل هدف‌دار و با شناسایی دقیق‌تر قربانی رخ می‌دهد. مثلاً متقلب با دنبال کردن اخبار، اطلاعات تماس کارآفرین برتر، کارمند نمونه یک سازمان و مواردی از این دست را یافته و با دستاویز کردن اطلاعاتی که به‌دست آورده، به بهانه تحویل جایزه، اعطای وام و... وی را در دام فیشینگ می‌اندازد.
نوری نیز معتقد است در دنیا روش‌های کلاهبرداری و فیشینگ با توجه به افزایش آگاهی کاربران و اعمال برخی مراحل امنیتی توسط سیستم‌های مختلف برای به دام انداختن کاربران، دائماً در حال تغییر است.
آموزش و افزایش آگاهی کاربران
 اما برای اینکه کاربران در دام فیشینگ نیفتند و حساب‌های بانکی آنها خالی نشود چه باید کرد؟ توکلی و نوری کارشناسان امنیت در پاسخ به این سؤال آموزش و بالا بردن آگاهی کاربران را راه جلوگیری از به دام افتادن در تله‌های فیشینگ عنوان کردند.
نوری معتقد است ریشه کلاهبرداری در درجه اول به ناآگاهی کاربر بر می‌گردد، چرا که در فیشینگ، صفحات درخواست‌کننده اطلاعات حساس مثل صفحات پرداخت اینترنتی جعل می‌شوند و هدف نهایی آنها فریب کاربر است. این کارشناس امنیت گفت: اگر کاربران در این زمینه آموزش ببینند و آگاهی آنها افزایش یابد، کاربران کمتری در دام این صفحات می‌افتند. در کنار افزایش آگاهی، برخی تغییرات زیرساختی نیز باید اعمال شود که در صورت ناآگاهی و دانش کافی بین کاربران، امکان سوء‌استفاده از اطلاعات سرقت شده از طریق فیشینگ و صفحات جعلی به حداقل برسد.
توکلی نیز با اشاره به اینکه آگاهی نقش مهمی در فریب نخوردن کاربران دارد، گفت: دو عامل مهم برای جلوگیری از فیشینگ، انجام «فرآیند» صحیح پرداخت‌های مبتنی بر کارت و «فناوری» قابل اتکا است به‌طوری که اگر این دو مورد رعایت شود کاربر از حملات فیشینگ مصون‌سازی خواهد شد. وی افزود: به‌عنوان مثال کاربران باید به املای درگاه‌ها آگاه باشند و دقت کنند تا بتوانند سایت‌های جعلی را از واقعی تشخیص دهند. مثلاً آدرس درگاه پرداخت به‌جای sep.shaparak.ir ممکن است چیزی شبیه sep.shaqarak.ir یا sep.shaperak.ir باشد. یا اینکه به پیام‌ها و ایمیل‌هایی که دریافت می‌کنند توجه کرده و به افراد ناشناسی که از وی اطلاعات درخواست می‌کنند، پاسخ ندهند.   توکلی کارشناس ارشد امنیت چندین راه حل برای جلوگیری از به‌دام افتادن درحملات فیشینگ توصیه می‌کند. وی معتقد است در سطح فناوری آسیب‌پذیری که موجب می‌شود تا کلاهبرداران در سناریوهای فیشینگ موفق عمل کنند، ثابت بودن اطلاعات حساس هویتی و مالی کاربر است. به‌عنوان مثال وقتی کاربر همیشه از یک رمز دوم کارت بانکی خود استفاده می‌کند بیشتردر دام حملات فیشینگ می‌افتد بنابراین باید رمز دوم دائماً تغییر کند. توکلی در ادامه گفت: ابزارهای فناورانه به‌کاربر کمک می‌کند تا سایت‌های فیشینگ را تشخیص دهند. معمولاً این ابزارها به‌شکل افزونه‌هایی در مرورگرهای Chrome و Firefox با عنوان Anti-Phishing add-ons، یا در محصولات امنیتی مثل ضدبدافزارها، دیواره‌های آتش برنامه‌های کاربردی تحت وب و.... وجود دارند.
وی با بیان اینکه نحوه تعامل «کاربر» و «فناوری» در یک سناریوی فیشینگ، «فرآیند» انجام کار را شکل می‌دهد، افزود: این فرآیند در لایه‌های مختلف نیازمند بازبینی و اصلاح است. مثلاً فرآیندهای «تصدیق هویت دو عامله» افراد در سامانه‌های اینترنت ‌بانک، ایمیل و دیگر سیستم‌های نیازمند هویت‌سنجی منجر به شکست فیشینگ می‌شود.
این طراح و راهبر امنیت بار دیگر برافزایش آگاهی در سطح «کاربر» برای کاهش فیشینگ تأکید کرد و گفت: برخی از این آگاهی‌ها در خصوص پرداخت‌های اینترنتی شامل مجوزهای کسر وجه از حساب کاربر در پرداخت‌های اینترنتی، تاریخ انقضا، شماره CVV2 و رمز دوم کارت کاربر است. کاربران برای انجام تراکنش مالی باید این اطلاعات را فقط در صفحه‌ درگاه پرداختی که به اصالت آن اطمینان دارند، وارد کنند. از سوی دیگر شماره‌ای که بانک به‌کاربر پیامک می‌زند ثابت و مشخص است. کاربران باید آن را شناخته و ذخیره کنند و به پیامک‌های جعلی توجه نکنند. هر نوع کد تأییدی که از سامانه‌‌های مورد تأیید نظیر اینترنت‌ بانک یا موبایل‌بانک برای کاربر ارسال می‌شود؛ صرفاً برای کاربرد کاربر ارسال شده و نباید آن را با هیچ‌کس حتی شخصی که خود را کارمند بانک معرفی می‌کند به اشتراک بگذارند.
وی در پایان به کاربران توصیه کرد برای واریز پول به‌حساب کاربر، صرفاً ارائه شماره کارت بانکی یا شماره حساب کافی است. هر کس از کاربر رمز اول یا دوم کارت، تاریخ انقضا، شماره CVV2، شماره مشتری یا هر اطلاعات دیگری درخواست کرد؛ یا از کاربر خواست به نزدیک‌ترین دستگاه خودپرداز مراجعه کنند، به وی شک کنند.