گوگل روزانه صدمیلیون حمله‌ی فیشینگ را مسدود می‌کند

 
خطر فیشینگ همواره در کمین کاربران اینترنت است و اکنون با گذشت مدت‌زمان طولانی، هنوز قربانیان زیادی را به‌دام می‌اندازد. در این میان، یک روش توانسته همه‌ی فیشینگ‌ها را کاملا شکست دهد.
 
کاربران سرویس‌های ایمیل باید به تمام ایمیل‌هایی حساس باشند که با هدف فیشینگ به آن‌ها ارسال می‌شوند؛ زیرا اگر نگرشی جدی‌تر به این‌گونه ایمیل‌ها داشته باشیم، این احتمال کمتر می‌شود که فریب آن‌ها را بخوریم و با دعوت این ایمیل‌ها، اطلاعات کاربری خود را دراختیارشان بگذاریم. درادامه خواهیم دید که داشتن نگرشی منفی به تمام ایمیل‌ها، چگونه احتمال به‌دام‌افتادن کاربران را کاهش می‌دهد.
 
در جلسه‌ای توجیهی در کنفرانس امنیتی Black Hat در لاس‌وگاس، الی بورزتین، محقق امنیتی گوگل و دانیلا الیویرا، استاد امنیت دانشگاه فلوریدا، درباره‌ی این نوع نگرش و سایر مسائل کلاه‌برداری ازطریق فیشینگ‌ایمیل و فریب کاربران به‌منظور دستیابی به اطلاعات آنان گفت‌وگو کردند.
 
الی بورزتین در همین نشست بیان داشت:
 
ممکن است فکر کنید ایمیل‌فیشینگ بسیار تصادفی و بدون قاعده انجام می‌شود؛ اما باید گفت در عملیات فیشینگ، طعمه‌ها انتخاب می‌شوند.
 
گوگل روزانه تقریبا صدمیلیون ایمیل‌فیشینگ را مسدود می‌کند که غالبا در سه دسته قرار می‌گیرند:
 
۱. «فیشینگ‌های نیزه‌ای» که بسیار هدفمند هستند. این فیشینگ‌ها افراد خاصی را هدف قرار می‌دهند؛ بنابراین، تعداد آن‌ها کم است؛
 
۲. «فیشینگ‌های بوتیک» که فقط ده‌ها نفر را هدف قرار می‌دهد؛
 
۳. «فیشینگ‌های انبوه خودکار» که صدها یا هزاران نفر را هدف قرار می‌دهد.
 
البته، مدت‌زمان انجام عملیات برای هریک از فیشینگ‌های یادشده متفاوت است. به‌گفته‌ی گوگل، معمولا بوتیک‌فیشینگ‌ها به‌طور میانگین حدود ۷ دقیقه و فیشینگ‌های انبوهِ خودکار هم حدودا ۱۳ ساعت زمان می‌برد. گوگل اضافه می‌کند اکثر کمپین‌های فیشینگ خدمات ارائه‌شده‌ی سرویس تجاری ایمیل (Commercial Mail Service) را هدف قرار می‌دهند. همچنین، برای این کمپین‌ها ایمیل‌های شرکت‌ها طعمه‌های بهتری هستند؛ بنابراین، تعداد ایمیل‌های فیشینگ که به ایمیل شرکت‌ها ارسال می‌شود، ۴.۸ برابر بیشتر از سایر ایمیل‌ها است.
 
 
درمجموع، سرویس‌های ایمیل، سرویس‌های ابری، مؤسسه‌های مالی، فروشگاه‌های مجازی و خدمات ارسال و تحویل محموله با ۴۲، ۲۵، ۱۳، ۵ و ۳ درصد سهم به‌ترتیب از بزرگ‌ترین قربانیان فیشینگ‌ها هستند. بورزتین خاطرنشان کرد:
 
گوگل هنوز نتوانسته بسیاری از ایمیل‌های فیشینگ را شناسایی کند و این امر با درنظرگرفتن حجم بسیار زیاد اطلاعات منطقی به‌نظر می‌آید. به همین دلیل، جیمیل سعی می‌کند علامتی نارنجی‌رنگ به مفهوم هشدار در بالای ایمیل‌های مشکوک ثبت کند؛ اما این ایمیل‌ها الزاما حملات فیشینگ نیستند.
 
شما هم در فیشینگ نقش دارید
در این نشست، به عواملی انسانی‌‌ای اشاره شد که سبب می‌شوند راه برای فیشینگ هموارتر شود. الیویرا درباره‌ی این عوامل می‌گوید:
 
زمانی‌که خوشحالیم، طبیعتا دید مثبتی داریم و توانایی ما برای تشخیص فریب کاهش می‌یابد.
 
وی همچنین تصریح کرد افزایش سطح هورمون‌هایی که سبب شادی افراد می‌شوند، ازجمله تستوسترون، استروژن، اوکسی‌توسین، سروتونین و دوپامین، خطرپذیری افراد را افزایش می‌دهند؛ اما افزایش سطح کورتیزول، هورمون استرس، سبب می‌شود محتاطانه‌تر رفتار کنیم.
 
الیویرا سه تاکتیک متداول برای ترغیب کاربران به کلیک روی ایمیل‌های فیشینگ را تشریح کرد:
 
۱. درخواست‌های مقام مافوق (واقعا کسی می‌تواند ایمیل ضروری رئیس خود را نادیده بگیرد؟)؛
 
۲. ایمیل‌هایی که بازکردن آن‌ها پیشنهاد دریافت سود مالی را به‌همراه دارد یا نادیده‌گرفتن آنان حاوی هشداری مبنی‌بر ضرر مالی است؛
 
۳. ایمیل‌هایی که احساسات دریافت‌کننده را تحت‌تأثیر قرار می‌دهند؛ مثلا به‌نظر شما ایمیلی که درباره‌ی کودکان باشد، عواطف انسان‌ها را متأثر نمی‌کند؟
 
توصیه‌ی الیویرا و بورزتین به کاربران ایمیل
حتما فکر می‌کنید توصیه‌ی آنان به کاربران ایمیل خواندن وب‌سایت‌هایی است که اطلاعاتی درباره‌ی فیشینگ ارائه می‌کنند؛ اما این‌طور نیست؛ بلکه توصیه‌ی آنان به کاربران استفاده از «تأیید هویت دومرحله‌ای» است. آن‌ها ضمن تأکید بر این مسئله افزودند نباید از هر نوع «تأیید هویت دومرحله‌ای» استفاده کرد.
 
براساس تحقیقات پیشین گوگل، استفاده از پیامک رایج‌ترین روش تأیید هویت دو‌مرحله‌ای است که برای جلوگیری از فیشینگ‌های انبوه مناسب است؛ اما استفاده از این روش در تأیید هویت دومرحله‌ای، هنگام رویارویی با فیشینگ‌های هدفمند چندان موفقیت‌آمیز نبوده است؛ مثلا در این تحقیقات، مشخص شد این روش در مقابله با ۹۶ درصد از فیشینگ‌های بوتیک و ۷۶ درصد از فیشینگ‌های نیزه‌ای موفق بوده است.
 
صفحات فیشینگ پیشرفته از قربانیان خود می‌خواهند کدی را وارد کنند که به آنان پیامک شده است و سپس، از این کد اعتباری پیش از منقضی‌شدن در تأیید هویت دومرحله‌ای استفاده می‌کنند. البته، در حملاتی دیگر نظیر حملات تعویض سیم‌کارت (SIM swapping)، شکست این سپر حفاظتی امکان‌پذیر می‌شود. در این حملات، هکرها از سیم‌کارتی دیگر در گوشی هوشمند دیگری استفاده می‌کنند و گوشی را فریب می‌دهند؛ بدین‌ترتیب که گویا در حال فعال‌سازی سیم‌کارت خود در گوشی هوشمند جدید هستید تا اطلاعات شما را به‌سرقت ببرند.
 
امکاناتی که در گوشی‌های هوشمند وجود دارند و می‌توانند اقداماتی درمقابل فیشینگ انجام دهند، نظیر برنامه‌ی تأیید اعتبار گوگل، بسیار قدرتمندتر هستند و ۹۹ درصد فیشینگ‌های بوتیک و ۹۰ درصد فیشنگ‌های نیزه‌ای را مسدود می‌کنند. بااین‌حال، بیشترین محافظت ازطریق توکن‌های امنیتی USB تأمین می‌شود که در آزمایش‌های گوگل موفق شد تمام فیشینگ‌ها را به‌طور کامل شکست دهد. این توکن‌ها، نظیر سری محبوب Yubico، باید با رمزنگاری سایت اصلی تطبیق داشته باشد؛ بنابراین، هیچ سایت دیگری حتی اگر بسیار شبیه به سایت اصلی باشد، این سیلیکان‌های تک‌بعدی‌نگر را نمی‌تواند بفریبد.
 
توکن‌های USB را بسیاری از سایت‌ها پشتیبانی نمی‌کنند. برای مثال، در مرورگر اپل سافاری هم تا اواخر امسال که به‌روزرسانی macOS Catalina از راه خواهد رسید، از پشتیبانی این توکن‌ها خبری نخواهد بود. قیمت این توکن‌ها بیش از ۲۰ دلار خواهد بود. الیویرا و بورزتین تعدادی از این توکن‌ها را برای ارائه به حضار با خود به نشست Black Hat لاس‌وگاس آورده‌اند؛ اما همه باید این توکن‌ها را تهیه کنند تا سطح امنیت خود را ارتقا بخشند.
 
شما درباره‌ی حملات مختلف فیشینگ و راه‌های مقابله با آن‌ها چه فکر می‌کنید؟ لطفا دیدگاه‌های خود را درباره‌‌ی روش‌های حفاظت از امنیت خود دربرابر فیشینگ با ما در میان بگذارید.