حمله های فیشینگ

یک تحقیق جدید نشان می‌دهد که نیمی از کاربران، با وجود مطلع بودن از خطرات حمله‌های فیشینگ، بر روی لینک‌های ناشناس کلیک می‌کنند و به راحتی به دام سایت‌های مخرب می‌افتند.با لیزارد وب همراه باشید.

حمله‌های فیشینگ,حمله‌ فیشینگ,حمله‌ی فیشینگ

کارشناسان امنیت به شکل مداوم درباره‌ی اهمیت آموزش در آگاه‌سازی مردم از خطرات پدیده‌ی «فیشینگ» صحبت می‌کنند. پدیده‌ای که در آن ایمیل‌های ناشناس با تکنیک‌های مختلف کاربران را به سایت‌های مخرب هدایت می‌کنند. هرچند یک تحقیق جدید نشان می‌دهد که در بسیاری مواقع آگاهی نیز راه حلی قطعی برای این تهدیدها نیست. این تحقیق که توسط پژوهشگرانی از آلمان صورت گرفته؛ به این نتیجه دست یافته است که تقریبا نیمی از شرکت‌کنندگان، بلافاصله بر روی لینک‌هایی که در ایمیل‌ها و پیام‌های فیسبوک خود توسط افراد ناشناس دریافت کرده‌اند کلیک می‌کنند. با این حال که اکثرشان از خطرات احتمالی فیشینگ اطلاع دارند.

پژوهشگران دانشگاه «فردریش الکساندر» واقع در «نورمبرگ» آلمان، به سرپرستی «زینیدا بنِنسون»، نتایج اولیه این آزمایش را در کنفرانس «Black Hat» به اشتراک گذاشتند. در این آزمایش پیام‌هایی شبیه‌سازی‌‌شده به شکل اسپیر فیشینگ برای ۱۷۰۰ شرکت‌کننده (از دانشجویان دانشگاه) ارسال شده است.

تمامی این پیام‌ها از اکانت‌های ساختگی ارسال شده‌اند؛ و نام این اکانت‌ها از بین محبوب‌ترین نام‌های گروه سنی شرکت‌کنند‌گان انتخاب شده است. پروفایل‌های فیسبوک ساختگی نیز دارای سطوح مختلفی از دسترسی و اطلاعات تایم‌لاین بودند. بعضی از آن‌ها تصاویر عمومی و عکس پروفایل داشتند؛ و سایرین تنها اطلاعاتی اندک را در اختیار بازدیدکنندگان قرار می‌دادند. در متن این پیام‌ها ادعا شده است که با کلیک بر روی لینک کاربران می‌توانند به تصاویری از مهمانی سال نوی دانشگاه -که چندی پیش برگذار شده- دسترسی پیدا کنند. دو نوع پیام برای شرکت‌کنندگان ارسال شده است: نمونه‌‌‌ی نخست از حاوی اسم دریافت‌کنندگان پیام است اما نوع دوم هیچ اسمی از دریافت‌کننده قرار ندارد؛ و تنها اطلاعاتی عمومی از مراسم در آن موجود است. تمامی لینک‌ها به صفحه‌‌ای منتهی می‌شوند که جمله‌ی «Access Denied» (دسترسی ممکن نیست) را در خود جای داده است. با هر کلیک، این وبسایت اطلاعات دانش‌آموزان وارد شده را ذخیره‌ می‌کند.

طبق نتایج تحقیق، پیام‌هایی که هدفِ خود را به اسم یاد کرده‌اند؛ توانسته‌اند ۵۶ درصد از کاربران ایمیل و ۳۷ درصد از کاربران فیسبوک را برای کلیک متقاعد کنند. پیام‌هایی که بدون‌ نام ارسال شده‌اند تنها توانستند ۲۰ درصد از کاربران ایمیل را به دام بیاندازند؛ اما در جذب ۴۲ درصد از کاربران فیسبوک موفق عمل کردند

دکتر بننسون در توضیح این تحقیق می‌گوید: «نتایج کلی ما را غافلگیر کرد. به این دلیل که ۷۸ درصد از شرکت‌کنندگان در فرم خود ذکر کرده‌اند که از خطرات اینگونه حملات آگاهی دارند. همچنین تنها ۲۰ درصد از شرکت‌کنندگان در تحقیق اول و ۱۶ درصد از شرکت‌کنندگان در تحقیق دوم به کلیک بر روی لینک‌ها اعتراف کرده‌اند. با این وجود ما دریافتیم که ۴۵ درصد و ۲۵ درصد از دانش‌آموزان وارد وبسایت شده‌اند.»

اکثر کسانی که به کلیک کردن اعتراف کرده‌اند؛ می‌گویند که تنها از روی کنجکاوی وارد وبسایت شده‌اند. در کنار این، نیمی از کسانی که از کلیک کردن خودداری کردند می‌گویند ناشناس بودن فرستنده‌ی لینک‌ها دلیل اصلی تصمیمشان بوده است. بخش کوچکی از این گروه نیز می‌گویند نگران امنیت شخصی فرستنده‌ی لینک بودند و حدث می‌زدند که لینک اشتباهی برای آن‌ها ارسال شده است. بننسون می‌گوید: «شخصا فکر می‌کنم با برنامه‌ریزی دقیق، می‌توان هرکسی را به کلیک بر روی اینگونه لینک‌ها وادار کرد؛ حتی اگر دلیل اصلی آن‌ها کنجکاوی بیش از حد نباشد.»

با توجه به حجم زیاد اطلاعات شخصی که در دسترس مهاجمان قرار دارد، شبیه‌سازی چنین پیام‌هایی برای جلب توجه کاربران بسیار ساده شده است. این تحقیق نشان می‌دهد که اطلاع‌رسانی صرف، جلوی به دام افتادن کاربران در مقابل حمله های فیشینگ را نخواهد گرفت.