ویشینگ – آیا پشتیبانی شرکت می‌داند که چه کسی تماس گرفته است؟

0
502
ویشینگ - آیا پشتیبانی شرکت می‌داند که چه کسی تماس گرفته است؟

فیشینگ، سرقت اطلاعات حساس و مهم کاربران با استفاده از تکنیک مهندسی اجتماعی از همان روز‌های اول اینترنت یکی از تهدید‌های مهم محسوب می‌شده و هنوز هم همانطور است. پس از همه‌گیری کوید-۱۹ و شروع انبوه دور‌کاری، هکر‌ها و خرابکار‌ها از این هرج و مرج استفاده و تلاش‌های خودشون را برای سرقت اطلاعات حساس کاربران بیشتر کردند. همین منجر به احیای روش قدیمی ویشینگ شده است، همان حمله فیشینگ است اما در این روش خرابکار با استفاده از تماس تلفنی و مهندسی اجتماعی سعی در سرقت اطلاعات حساس کاربر را دارد.

طبق آمار، ۶۹٪ از شرکت‌ها در سال ۲۰۲۱ حمله ویشینگ را تجربه کردند، در سال ۲۰۲۰ این تعداد ۵۴٪ بود. این حملات اغلب به شکل کلاهبرداری و پشتیبانی فنی و کاری هستند که می‌توانند تا حدی قانع کننده باشند.

دور زدن 2FA با حمله ویشینگ

یکی از موضوع‌های نگران‌کننده در مورد Vishing، توانایی مهاجمان یا خرابکاران برای دور زدن گزینه احراز هویت دو عامله یا همان 2FA است. 2FA یکی از متداول‌ترین روش‌های احراز هویت چند عامله است، که کاربران را ملزم به ارائه
کد دوم می‌کند. بدین صورت که کاربر علاوه بر رمزعبور باید کد دوم -از طریق sms یا اپلیکیشن – را نیز ارائه کند. مهاجمان با جعل هویت، در قالب پشتیبانی فنی، از کاربر درخواست کد دوم را می‌کنند. اگر کاربر فریب بخورد، خرابکار می‌تواند وارد حساب وی شود.

خرابکار در قالب پشتیبانی فنی

یک نمونه رایج زمانی است که کاربر یک هشدار پاپ‌‌آپ دریافت می‌کند مبنی بر اینکه دستگاه‌ش آلوده به بد‌افزار یا ویروس شده است، و برای رفع این مشکل می‌تواند با این پشتیبانی تماس بگیرد. از طرف دیگر کاربر ممکن است یک تماس تلفنی دریافت کند که تماس گیرنده خودش را پشتیبانی فنی یک شرکت نرم‌افزاری معتبر، مانند شرکت ارائه دهنده آنتی‌ویروس، معرفی کرده و ادعا می‌کند که در دستگاه کاربر یک بدافزار شناسایی کرده‌اند. سپس این پشتیبانی فنی تقلبی کاربر را متقاعد می‌کند که به او دسترسی از راه به کامپیوترش بدهد تا مشکل را رفع کند. اگر مهاجم این دسترسی را بگیرد هم ممکن است بدافزار روی دستگاه قربانی نصب کند، و هم برای رفع مشکلی که از قبل وجود نداشت از قربانی یک مبلغی را درخواست کند.

یان نوع حملات بر پایه مهندسی اجتماعی و البته سرقت هویت هستند. توجه کنید که اگر هدف خرابکار شخص، شرکت و یا گروه خاصی باشد، از قبل باید اطلاعات کافی درباره آن‌ها بدست آورد که این امر نیز با توجه به شبکه‌های اجتماعی و اشتیاق مردم به انتشار اطلاعات شخصی در این رسانه‌ها‌، کار سختی نیست.

پشتیبانی شرکت چگونه حمله ویشینگ را تشخیص دهد؟

همانطور که می‌بینید در این دوران تائید هویت کاربر بسیار حائز اهمیت است. اما چگونه این تائیدیه صورت بگیرد؟ تائید هویت شخصی که تماس گرفته، نباید فقط و فقط متکی بر دانش کارمند پشتیبانی شرکت باشد. اگر شخصی با پشتیبانی شرکت تماس گرفته و ادعا می‌کند یکی از همکاران و یا مشتریان است، یک راه تائید هویت ارسال یک کد در قالب پیام کوتاه به شماره همراهی است که از آن شخص در پایگاه داده شرکت وجود دارد. این کد می‌تواند به ایمیل ثبت شده از آن شخص نیز ارسال شود، تنها متکی بر ارائه اطلاعات اولیه از سمت تماس گیرنده به معنی تائید هویت کاربر نیست. تائید هویت کاربر از طریق چیزی صورت می‌گیرد که کاربر «دارد» نه چیزی که کاربر «می‌داند».

با تکیه بر روش‌های امن و سیستماتیک است که می‌توانیم جلوی ظریف‌ترین حمله‌های مهندسی اجتماعی را بگیریم.

منبع: https://thehackernews.com/2023/03/does-your-help-desk-know-whos-calling.html

 

مقاله قبلیانواع و مراحل تست نفوذ
مقاله بعدیموبایل‌های اندروید تنها با شماره تلفن قابل هک شدن هستند

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.