آرشیو دو‌شنبه ۹ تیر ۱۳۹۹، شماره ۴۶۷۹
خارج از مرزها
۱۵
دریچه دیگر

مراقب قلاب ماحی گیری باشید

رامین یزدان شناس

اگر عنوان بالا را برای فردی بخوانید، متوجه اشتباه املایی موجود در این تیتر نمی شود. «ماحی گیری» یا فیشینگ (Phishing) با همان تلفظ عبارت ماهی گیری (Fishing) ساخته شده که بیانگر نوعی دام و طعمه گذاری برای شکار اطلاعات محرمانه و حساس اشخاص است. 

فیشینگ نوعی هک با تقلب و جا زدن خود به عنوان یک نهاد یا سایت معتبر برای به دست آوردن اطلاعات حساس مانند نام کاربری، گذرواژه ها، جزییات کارت بانکی و مانند آنها برای سوءاستفاده های بعدی است. 

چیزی که عموم مردم از مفهوم هک در ذهن دارند برگرفته از فیلم ها و داستان ها، تلاش یک فرد متخصص برای نفوذ به یک شبکه کامپیوتری با استفاده از دانش مهندسی کامپیوتر و شبکه است. در این تصویر، هکر یک نابغه است که از دانش فنی خود برای نفوذ به یک سیستم و شبکه الکترونیکی استفاده می کند. اما در عالم واقع در کنار هکرهای متخصص، تعداد بیشتری هکر وجود دارد که نه تنها متخصص نیستند بلکه افرادی شیاد و متقلب هستند که چیز زیادی از مسائل فنی و تخصصی نمی دانند. آنها در واقع به جای بهره بردن از نقاط ضعف شبکه و سیستم فنی از نقطه ضعف های افراد و کاربران به عنوان یک انسان استفاده می کنند. روش آنها بر پایه همان روش هایی است که یک کلاهبردار معمولی و سنتی با استفاده از القای نگرانی، هیجان، طمع یا اعتماد برای گمراه کردن، تقلب و فریب در پیش می گیرد. در مقابل نفوذ و هک هایی که با دانش فنی و تخصص براساس مهندسی نرم افزار صورت می گیرند  به این روش های غیرفنی، هک بر پایه مهندسی اجتماعی گفته می شود. 

در شبکه های مجازی و دنیای واقعی همواره در معرض سوءاستفاده توسط شبکه های اجتماعی، اقتصادی یا سیاسی قرار داریم. معمولا دام ها و فریب ها یکی از این 3 راه اصلی را برمی گزینند: 1- القای نگرانی یا ترس 2- برانگیختن طمع و ایجاد اعتماد 3- ارایه همان چیزی که دوست داریم، دریافت کنیم یا بشنویم. 

1-القای نگرانی یا ترس: چیزی که ترس و نگرانی از امنیت یا سلامت خود و اطرافیان القا می کند  به راحتی می تواند ما را هیجان زده کند تا بدون دقت، کاری شتابزده انجام دهیم. مثلا یک پیام که به ما می گوید، کسی به حساب بانکی مان وارد شده، ما را دستپاچه می کند تا سریع حساب را چک کنیم یا رمز حساب خود را عوض کنیم. منطقی است که خودمان به سایت بانک با آدرسی که از قبل داریم، وارد شویم و حساب را کنترل کنیم؛ اما حالا که دستپاچه و نگران هستیم و می خواهیم به سرعت اقدام کنیم احتمالا به جای آدرسی که از سایت بانک داریم، روی لینکی کلیک می کنیم که برای ورود به حساب بانکی یا تغییر رمز در همان پیام ساختگی برای ما ارسال شده است، این لینک ما را به جایی می برد که شبیه سایت بانک است اما سایت بانک نیست. پس از اینکه اطلاعات و رمز عبور را وارد کردیم، یا به ما می گوید که همه چیز درست است و حساب ما اکنون امن است یا اینکه می گوید، پسورد را اشتباه زده ایم و برای بار دوم، ما را به سایت واقعی بانک هدایت می کند تا پس از ورود، اطلاعات درست را مشاهده کنیم و به چیزی مشکوک نشویم.

 2-برانگیختن طمع و ایجاد اعتماد.: ارایه چیزی که زیادی خوب است مخصوصا در فرصتی اندک. ارایه یک میانبر برای پولدار شدن، دریافت سود یا دستمزد بیشتر، ارایه سرویس های امن و ارزان و به طور کلی ارایه یک فرصت «اکازیون» و محدود از نظر تعداد و مدت زمان در دسترس بودن که اگر دیر بجنبیم از دست خواهد رفت، ما را هیجان زده کرده و فرصت توجه و دقت کافی برای سنجش جوانب کار را از ما می گیرد. ما فریفته پیام دریافت شده، می شویم و دست کم چند گام اولیه و به ظاهر بی خطر برمی داریم، مثلا به حساب کاربری خود وارد می شویم. این تمام آن چیزی است که از ما به عنوان قربانی بالقوه فیشینگ توقع می رود، ممکن است اصلا صحبت کلاهبرداری مالی در میان نباشد بلکه هدف همان ورود به حساب کاربری و دسترسی به اطلاعات ما باشد. 

3-ارایه همان چیزی که دوست داریم، دریافت کنیم یا بشنویم. این روش بر علایق شخصی یا سیاسی و اجتماعی ما برای ایجاد اعتماد و القای حس درستی مطالب براساس پیش زمینه ذهنی مان تکیه دارد. اخبار یا اطلاعاتی که دوست داریم بشنویم، یک حفره کهن امنیتی برای نفوذ به ذهن آدمی است، سوءاستفاده های اینترنتی بسیاری برای نفرت پراکنی، دروغ پراکنی یا دام گذاری بر این اساس شکل گرفته اند. خبری که از تیم ها یا گروه های مورد علاقه خود می شنویم، مطلبی که در تایید اندیشه خود دریافت می کنیم به راحتی ما را برای همراه شدن چند گام یا چند دقیقه بیشتر متقاعد  می کند. 

گاهی فیشینگ به صورت فله ای با پهن کردن یک دام گسترده صورت می گیرد، مثلا ارسال یک پیام یا ایمیل جعلی از بانک الف به هزاران نفر به امید اینکه در میان این افراد، تعدادی واقعا مشتری این بانک باشند و به مطالب این پیام توجه کنند. گاهی نیز فیشینگ یا ماحی گیری به صورت نیزه ای و هدف گیری شده، صورت می گیرد. در اینجا هدف، جمع آوری اطلاعات مرتبط به یک شخص یا گروه خاص است. ممکن است دام به صورت گسترده و فله ای برای هزاران نفر پهن شود به این امید و هدف که به دست فرد یا گروهی که اطلاعات آنها مد نظر است برسد. این طعمه گذاری ممکن است به صورت موردی و فردی با هدف گیری دقیق نیز انجام شود، مثلا ارسال یک خبر یا لینک برای یک شخص که در یک زمینه خاص تحقیق می کند و مدت ها به دنبال آن بوده یا دوست دارد که به نحوی به آن اطلاعات دست یابد. ممکن است ارایه اطلاعات به ظاهر درست و مرتبط با زمینه کاری برای مدیر یک سازمان یا شرکت برای ترغیب او به کلیک کردن روی یک لینک طعمه گذاری شده یا نصب یک نرم افزار (اپ) مرتبط با حوزه کاری او باشد.

حتی ممکن است گاهی با دنبال کردن لینک، ورود به سایت یا نصب نرم افزار، تمام یا بخشی از اطلاعات یا چیزی که به دنبال آن هستیم را در اختیار ما قرار دهند اما هدف جمع آوری اطلاعات حساس، ورود به حساب کاربری یا رهگیری ما برای استفاده فوری یا سوءاستفاده های بعدی باشد. دسترسی به اطلاعات شخصی افراد، طعمه گذاری برای فیشینگ و جلب اعتماد قربانی را ساده تر می کند. اطلاعات شخصی، مکانی یا کاری ما ممکن است بی آنکه توجهی به آن داشته باشیم در شبکه های اجتماعی در دسترس باشد. دانستن اسم دوستان یا همکاران ما، خواندن خاطرات ما، مکان هایی که قبلا بوده ایم، سوابق و پروژه های کاری ما، محل تحصیل و هزاران اطلاعاتی که به ظاهر بی ارزش هستند اما به راحتی برای رهگیری ما یا دست کم جلب اعتماد ما می توانند به کار روند.

نصب نکردن برنامه های ارسال شده برای ما و کلیک نکردن روی هر لینکی که برای مان فرستاده می شود اولین قدم در راه امنیت و حفاظت از ماست. لینک مربوط به خدمات رفاهی جامعه یا الزام بانکی و مواردی از این دست غالبا از طریق کانال ها، پیام رسان و شبکه اجتماعی برای ما ارسال نخواهد شد و اگر این گونه نیز باشد، لازم است برای ورود به هر سیستمی از لینکی که از قبل داریم، استفاده کنیم نه لینکی که در این لحظه به ما ارایه شده است.

همیشه قبل از نصب یک برنامه یا کلیک روی هر لینک از صحت و اعتبار آن (حتی در پیام یک دوست) اطمینان حاصل کنیم به خصوص اگر همان چیزی است که به دنبال آن هستیم یا چیزی است که ما را هیجان زده یا دستپاچه می کند.