فیشینگ، سرقت اطلاعات حساس و مهم کاربران با استفاده از تکنیک مهندسی اجتماعی از همان روزهای اول اینترنت یکی از تهدیدهای مهم محسوب میشده و هنوز هم همانطور است. پس از همهگیری کوید-۱۹ و شروع انبوه دورکاری، هکرها و خرابکارها از این هرج و مرج استفاده و تلاشهای خودشون را برای سرقت اطلاعات حساس کاربران بیشتر کردند. همین منجر به احیای روش قدیمی ویشینگ شده است، همان حمله فیشینگ است اما در این روش خرابکار با استفاده از تماس تلفنی و مهندسی اجتماعی سعی در سرقت اطلاعات حساس کاربر را دارد.
طبق آمار، ۶۹٪ از شرکتها در سال ۲۰۲۱ حمله ویشینگ را تجربه کردند، در سال ۲۰۲۰ این تعداد ۵۴٪ بود. این حملات اغلب به شکل کلاهبرداری و پشتیبانی فنی و کاری هستند که میتوانند تا حدی قانع کننده باشند.
دور زدن 2FA با حمله ویشینگ
یکی از موضوعهای نگرانکننده در مورد Vishing، توانایی مهاجمان یا خرابکاران برای دور زدن گزینه احراز هویت دو عامله یا همان 2FA است. 2FA یکی از متداولترین روشهای احراز هویت چند عامله است، که کاربران را ملزم به ارائه
کد دوم میکند. بدین صورت که کاربر علاوه بر رمزعبور باید کد دوم -از طریق sms یا اپلیکیشن – را نیز ارائه کند. مهاجمان با جعل هویت، در قالب پشتیبانی فنی، از کاربر درخواست کد دوم را میکنند. اگر کاربر فریب بخورد، خرابکار میتواند وارد حساب وی شود.
خرابکار در قالب پشتیبانی فنی
یک نمونه رایج زمانی است که کاربر یک هشدار پاپآپ دریافت میکند مبنی بر اینکه دستگاهش آلوده به بدافزار یا ویروس شده است، و برای رفع این مشکل میتواند با این پشتیبانی تماس بگیرد. از طرف دیگر کاربر ممکن است یک تماس تلفنی دریافت کند که تماس گیرنده خودش را پشتیبانی فنی یک شرکت نرمافزاری معتبر، مانند شرکت ارائه دهنده آنتیویروس، معرفی کرده و ادعا میکند که در دستگاه کاربر یک بدافزار شناسایی کردهاند. سپس این پشتیبانی فنی تقلبی کاربر را متقاعد میکند که به او دسترسی از راه به کامپیوترش بدهد تا مشکل را رفع کند. اگر مهاجم این دسترسی را بگیرد هم ممکن است بدافزار روی دستگاه قربانی نصب کند، و هم برای رفع مشکلی که از قبل وجود نداشت از قربانی یک مبلغی را درخواست کند.
یان نوع حملات بر پایه مهندسی اجتماعی و البته سرقت هویت هستند. توجه کنید که اگر هدف خرابکار شخص، شرکت و یا گروه خاصی باشد، از قبل باید اطلاعات کافی درباره آنها بدست آورد که این امر نیز با توجه به شبکههای اجتماعی و اشتیاق مردم به انتشار اطلاعات شخصی در این رسانهها، کار سختی نیست.
پشتیبانی شرکت چگونه حمله ویشینگ را تشخیص دهد؟
همانطور که میبینید در این دوران تائید هویت کاربر بسیار حائز اهمیت است. اما چگونه این تائیدیه صورت بگیرد؟ تائید هویت شخصی که تماس گرفته، نباید فقط و فقط متکی بر دانش کارمند پشتیبانی شرکت باشد. اگر شخصی با پشتیبانی شرکت تماس گرفته و ادعا میکند یکی از همکاران و یا مشتریان است، یک راه تائید هویت ارسال یک کد در قالب پیام کوتاه به شماره همراهی است که از آن شخص در پایگاه داده شرکت وجود دارد. این کد میتواند به ایمیل ثبت شده از آن شخص نیز ارسال شود، تنها متکی بر ارائه اطلاعات اولیه از سمت تماس گیرنده به معنی تائید هویت کاربر نیست. تائید هویت کاربر از طریق چیزی صورت میگیرد که کاربر «دارد» نه چیزی که کاربر «میداند».
با تکیه بر روشهای امن و سیستماتیک است که میتوانیم جلوی ظریفترین حملههای مهندسی اجتماعی را بگیریم.
منبع: https://thehackernews.com/2023/03/does-your-help-desk-know-whos-calling.html
