حملات فیشینگ، نحوه تشخیص و مقابله با آنها (قسمت دوم)

  • نویسنده: سعید محمدی نیا
  • تاریخ انتشار: سه‌شنبه ، ۱۷ خرداد ماه ۰۱
  • تعداد بازدید: 2814
  • تعداد نظرها: 2
  • دسته بندی: زیرساخت

اساساً ایمیل فیشینگ یک نسخه جعلی از یک ایمیل قانونی از یک منبع قابل اطمینان است که میتواند یک فرد یا سازمان باشد. در سالهاي اخیر ایمیل هاي فیشینگ ابزار دست اول براي فریب کاربران آنلاین به منظور افشاي اطلاعات حساس بوده است. ایمیلهاي فیشینگ در حال افزایش می باشند؛ زیرا مهاجمان می توانند پیام هاي فیشینگ اعم از پیام هاي بسیار ساده تا پیام هاي پیچیده را ارسال نمایند که کاربران اینترنت را فریب می دهد تا اطلاعات اعتباري خود را ارائه دهند. به همین دلیل حفاظت از کاربران اینترنت در مقابل حملات فیشینگ در سال هاي اخیر جزء موضوع هاي تحقیقاتی مهم بوده است. مشتریان و کارمندان بانک، به ویژه کسانی که دسترسی های سطح بالا دارند، معمولا ًاهداف اصلی در رابطه با حملات فیشینگ هستند. گزارش ها نشان می دهد که سه صنعت برتر که بیشتر تحت تاثیر حملات فیشینگ قرار می گیرند، خدمات ارائه دهنده اینترنت، خدمات مالی و خدمات پرداخت می باشد. بیشتر افرادي که تحت تاثیر فیشینگ قرار می گیرند، عمدتاً نیاز به حفظ محرمانگی اطلاعات دارند.

هفت نوع رسانه ارتباطی که مورد هدف حملات فیشینگ هستند عبارتند از: ایمیل، وب سایت، IM (Instant Message) ، شبکه های  اجتماعی آنلاین، وبلاگ ها و انجمن ها، موبایل و ویشینگ (فیشینگ از طریق تماس صوتی) که در میان آن ها، ایمیل ها و وب سایت ها بیشتر مورد مطالعه توسط محققین قرار گرفته اند.

انواع ایمیل و بخش هاي مختلف آن

ایمیل ها را می توان به سه دسته هرزنامه، فیشینگ و هام (HAM: ایمیلهای غیر اسپم) تقسیم کرد. هام در واقع همان ایمیل هاي قانونی و درخواستی هستند، در حالی که هرزنامه یک ایمیل ناخواسته است.

به طور کلی، یک ایمیل شامل دو قسمت است: هدر و بدنه پیام. هدر شامل اطلاعاتی پیرامون پیام مانند ارسال کننده، موضوع، دریافت کننده، تاریخ و ... است. بدنه شامل متن پیام ایمیل است و ممکن است درون آن لینک هاي فیشینگ گنجانده شده باشد.

 در بخش هدر و بدنه یک ایمیل می تواند شامل کدهاي مخربی  باشد. همچنین بدنه ایمیل نیز میتواند شامل کد پیوست شده  و لینک هاي جعلی درون آن باشد. به عبارت ساده تر در این دسته بندي هر بخش ایمیل می تواند عوامل خطرناکی براي سرقت اطلاعات را در خود نهفته داشته باشد و باز نمودن این دسته از ایمیل ها می تواند امنیت کاربران را به خطر اندازد.

 

 

در حوزه امنیتی می توان محتواي ایمیل ها را بر اساس بدافزار درون آنها، فیشینگ ایمیل ها، هرزنامه و لینک هاي درون آنها مورد بحث و بررسی قرار داد. به طور معمول ایمیل هایي که داراي لینک هاي جعلی می باشند، از اهمیت بسزایی برخوردار می باشند؛ زیرا توسط این لینکهاست که هکر ها موفق میشوند کاربران را به صفحات جعلی و سرقت اطلاعات سوق دهند.

 

آشنایی با حملات ایمیل فیشینگ

انواع حملات ایمیل فیشینگ

انواع حملات ایمیل فیشینگ در قسمت اول این مقاله، معرفی شده است؛ اما در یک دسته بندی کلی می توان آنها را به دو دسته مبتنی برشباهت بصري و مبتنی بر بد افزار تقسیم  کرد.

فیشینگ مبتنی برشباهت بصري

این تکنیک مستلزم ارسال حجم زیادي از ایمیل هاي دروغین است و از دریافت کننده ها می خواهد تا روي لینک هاي جاسازي شده کلیک کنند. پیوندهاي هایپرلینک در یک نگاه ساده معمولاً کمتر مشکوك هستند و این موجب فریب کاربر می گردد که روي آن کلیک کند. به عنوان مثال: استفاده از فرمت نقطه چین یا عدد در URL  به جاي نام دامنه واقعی.

فیشینگ مبتنی بر بدافزار

این نوع فیشینگ معمولاً شامل نصب نرم افزارهاي مخرب در دستگاه هاي  آلوده شده و قربانی است. در این مورد، نرم افزارهاي مخرب، با کلیک روي پیوندهاي فیشینگ و گاه حتی با باز کردن  ایمیل فعال می شود.

             

چرخه حملات ایمیل فیشینگ

حملات فیشینگ عموماً شامل چندین مرحله به شرح زیر هستند:

  • مرحله یک (برنامه ریزي و راه اندازي مرحله اول): مهاجمان ابتدا سازمان هدف یا فرد را شناسایی می کنند و جزئیات مربوط به سازمان یا شبکه را بدست می آورند. سپس حملات را با استفاده از ابزارهایی مثل وب سایت و ایمیل و.. انجام می دهد.
  • مرحله دوم: ارسال ایمیل هاي جعلی است. به عنوان مثال، به عنوان یک سازمان بانکی که قربانی از آن استفاده می کند، ایمیلی را به کاربر ارسال می کنند و از کاربر می خواهند برخی اطلاعات را به صورت فوري از طریق لینک درون ایمیل به روزرسانی کند که با کلیک بر روي لینک هاي مخرب ایمیل یا بدافزار فعال می شود و یا کاربر به سایت فیشر هدایت می شود.
  • مرحله سه (شکستن / نفوذ): به زودي برخی قربانیان پیغام تقلب را باز می کنند که یک نرم افزار مخرب بر روي آن نصب شده است و به مهاجم اجازه می دهد تا به سیستم قربانیان نفوذ کند و تنظیمات آن را تغییر دهد. در موارد دیگر، ممکن است به یک صفحه جعلی منجر شود که حاوی درخواست ورود اطلاعات از کاربر قربانی است.
  • مرحله چهار (جمع آوري داده ها ): هنگامی که هکر به سیستم کاربر دسترسی پیدا کند، اطلاعات مورد نیاز را استخراج و به حساب کاربر دسترسی پیدا خواهد کرد و این ممکن است منجر به زیان مالی برای قربانی شود.
  • مرحله پنج(شکستن / خروج): پس از گرفتن اطلاعات مورد نیاز، فیشر هم اکنون تمام مدارك یعنی حساب هاي وب سایت دروغین را، حذف می کند تا ردپایی از خود به جای نگذارد.

شکل زیر چرخه حملات فیشینگ براي وب سایت ها و ایمیل ها را نشان می دهد.

 

چرخه کامل یک حمله فیشینگ در شکل زیر نشان داده شده است که با به دست آوردن ایمیل قربانیان شروع می شود و هکر ایمیلی ایجاد می کند و با هدف ابتدایی که - دریافت کننده باور کند که ایمیل ممکن است قانونی و واقعی باشد و باید باز شود - ادامه پیدا می کند. در این روش هکر آدرس هاي ایمیل را از منابع متنوعی شامل آدرس هاي تصادفی، منابع اینترنتی و  غیره بدست آورده و به صورت ایمیل خصوصی براي قربانی ارسال می کند .

 

ویژگیهاي ایمیل فیشینگ

ویژگی های ایمیل فیشینگ را می توان به سه مورد ویژگی مبتنی بر بدنه، ویژگی مبتنی بر هدر، ویژگی های مبتنی بر URL دسته بندي کرد. جدول زیر برخی از ویژگی هاي ایمیل فیشینگ را برای این سه دسته مقایسه کرده است.

 

 

تشخیص حملات ایمیل فیشینگ

با توجه به نوع پارامتر و الگوریتم در تشخیص حملات فیشینگ، از یکی از ابزارهاي شکل زیر براي ارزیابی وشناسایی فیشینگ استفاده می شود:

 

 

در جدول زیر به توصیف و بررسی این ابزارها پرداخته شده است:

 

 

یادگیري ماشین

روش هاي آن سه دسته اصلی طبقه بندي ، خوشه بندي و تشخیص ناهنجاري است.

طبقه بندي

این تکنیک با استفاده از یک تابع ریاضی به نگاشتن ورودي (ویژگی یا متغیرها) به  خروجی موردنظر (پاسخ)، ایمیلها را به ایمیل مشروع و ایمیل فیشینگ با استفاده از ویژگی هاي خاصی از ایمیل طبقه بندي می کند.

الگوریتم هاي جنگل تصادفی، ماشین بردار پشتیبان، پرسپترون چند لایه، J48 و Naïve Bayes  چند مورد از الگوریتمهای طبقه بندي معروف در زمینه تشخیص حملات فیشینگ هستند.

تشخیص حملات فیشنگ به شش دسته اصلی یادگیري ماشین، استخراج متن، تطبیق پروفایل (مشخصات)، آنتولوژي، هانی پات، موتورهاي جستجو تقسیم می شوند.

  

 تکنیک خوشه بندي

خوشه بندي اقدامات مبتنی بر پارتیشن بندي یک مجموعه از نمونه ها، به  خوشه هاي فیشینگ و قانونی هست. اگر هر شیء به عنوان یک گره نشان داده شود، شباهت بین اشیا بر اساس ویژگیهاي مشترك بین آنها اندازه گیري می شود و سپس یک الگوریتم خوشه بندي در مورد چنین ساختار خوشهاي براي تخصیص اشیا جدید به خوشه مورد استفاده قرار می گیرد. اشیا جدید بر اساس شباهت شان با سایر نمونه هاي دیگر تحت آنالیز قرار می گیرند. خوشه بندي در تشخیص حملات در رسانه هاي ارتباطی مختلف از جمله ایمیل فیشینگ و وبسایت هاي جعلی، صدا (Voice) مبتنی بر اهداف فیشینگ استفاده شده است.

تکنیک تشخیص ناهنجاري

یک الگو در داده است که سازگار با الگوهاي رفتاري نرمال نیست. وقتی یک سایت فیشینگ، یک هویت کاذب را ادعا می کند، سایت فیشینگ همیشه رفتارهاي ناهنجاري را در مقایسه با سایتهاي قانونی نشان می دهد. الگوریتمهاي تشخیص ناهنجاري به موارد مشکوك در وبسایتها امتیازی را اختصاص می دهند که اگر این امتیاز از حد مشخصی بالاتر رود، به عنوان وبسایت فیشینگ طبقه بندي می شود. جدول زیر، نشان می دهد که اقدامات متقابل مبتنی بر یادگیري ماشین براي تشخیص فیشینگ، بیشتر در مورد وبسایتها و ایمیلها مورد استفاده قرار گرفته است.

 

 

استخراج متن

استخراج متن از طریق تکنیک هاي یادگیري ماشین و داده کاوي و به وسیله آنالیز الگوهاي موارد مشکوك در محتواي ایمیل، وبسایت URL ،  پیامهاي فوري و … فیشینگ را شناسایی می کند. سه نوع تکنیک استخراج براي تشخیص فیشینگ استفاده می شود که عبارتند از LSA، RE، TF-IDF.

 

RE

ابزارهاي انعطاف پذیري را براي تطبیق رشته هاي متن فراهم می کند. در تشخیص فیشینگ، RE ها براي تولید الگوهاي URL هاي فیشینگ از صفحات موجود استفاده می شوند. این الگوها به نوبه خود می توانند براي مطابقت با URL هاي فیشینگ جدید مورد استفاده قرار گیرند. RE ها براي ایجاد پایگاه هاي داده لیست سیاه مفید هستند و در نهایت، به تغییرات مکرر جزئی در الگوهاي فیشینگ می پردازند.

 

LSA

بر شناسایی روابط پنهان بین کلمات کلیدي، از جمله مترادف ها و همنام ها متکی است. LSA و مدل هاي موضوع در بسیاري از برنامه هاي کاربردي استخراج متن استفاده شده اند و در واقع به عنوان ویژگی هاي تشخیص فیشینگ مبتنی بر طبقه بندي مورد استفاده قرار گرفته اند.

 

TF-IDF

به صورت منظم وزن یک اصطلاح معین را با توجه به یک سند خاص (به عنوان مثال یک صفحه وب یا پست الکترونیک) تعیین می کند. به عنوان مثال، اصطلاحاتی که معمولا در ایمیل هاي دروغین استفاده می شوند، داراي وزن بالاتر TF-IDF نسبت به همتایان مشروع خود هستند.

 

تطبیق پروفایل(مشخصات)

اقدامات تطبیق مشخصات با استفاده از اطلاعات در مورد نام دامنه، آدرس URL از دامنه هاي اخیر که توسط کاربر مورد دسترسی قرار گرفته و بسیاري از ویژگی هاي دیگر در تشخیص فیشینگ اقدام می کند. اقدامات فیشینگ مبتنی بر تطبیق مشخصات به چهار دسته استفاده از تطبیق تاریخچه، الگوهاي تطبیق، تطبیق بصري و ساختاري، تطبیق لیست سیاه وسفید گروه بندي می شوند.

تطبیق تاریخچه

پروفایل کاربر، اطلاعاتی در مورد رسانه و احراز هویت کاربر که براي هر رسانه استفاده میکند را ذخیره میکند هنگامی که چنین اطلاعاتی در یک محیط خاص ادعا میشود یکی از آنها که مشروع هست در مشخصات کاربر ذخیره میشود. یکی از رویکردهاي تشخیصی آن توسعه ابزار پلاگین براي ردیابی فعالیتهاي کاربران آنلاین است که هر زمان که کاربر اقدام به انتقال اطلاعات در یک مسیر غیرقابلاعتماد بر اساس ردیابی تاریخچه اطلاعات میکند این ابزار تولید هشدار میکند.

تطبیق الگو

به جاي ضبط کردن اطلاعاتی مانند فعالیتهاي کاربر این رویکرد مشخصاتی در مورد وجودهاي دیگر (اشخاص دیگر) را ایجاد میکند. براي مثال کلاهبرداري گارد، مرورگر پلاکن، صفحه نمایش براي صفحات اعتبار کاربر را به وسیله چک کردن تاریخچه مرورگر کاربر درخواست میدهد اگر کاربر وارد اعتبار کاربري ذخیره شده خود بر روي صفحه هدف ناشناخته شود، نمره ناهنجاري از طریق یک روش تطبیق الگو محاسبه میشود. بر اساس نمره صفحه به عنوان فیشینگ یا مشروع دسته بندي میشود

تطبیق بصري

شباهت بصري بر اساس جنبهاي بصري رابط وب مانند تصاویر، بلاك و طرح مقایسه میشود تا میان فیشینگ و صفحات مشروع تمایز قائل شود. صفحات وب فیشینگ به وسیله مقایسه شدن با صفحات مشروع و مشکوك بر اساس شباهت نمودار و شباهت صفحه وب بر اساس تصاویر تشخیص داده می شوند. برخی رویکردهاي تطبیق بصري بیش از یک نوع اندازه گیري شباهت را به کار میگیرند.

تطبیق لیست سیاه وسفید

این نوع از اقدامات متقابل تأکید را روي پایگاه دادههاي دامنههاي مورد اعتماد و مشکوك شناخته شده دارند. در واقع مرورگر لیست سیاه مکانیزم حفاظتی بزرگ در مقابل لیست سایتهاي مشکوك به روز شده را به صورت مداوم چک می کند که در صورت تشخیص فیشینگ بودن به لیست سیاه آنها را اضافه می کند اما اکثر لیست هاي سیاه در فیشینگ روز صفر مؤثرنیستند. جدول زیر، تشخیص فیشینگ مبتنی بر تطبیق مشخصات را خلاصه می کند و نشان می دهد که در تشخیص ایمیل فیشینگ از تطبیق تاریخچه استفاده شده است.

 

  

آنتولوژي

آنتولوژي به عنوان یک ابزار قدرتمند براي نمایش و بیان دانش مربوط به یک حوزه در یک قالب رسمی و قابل پردازش توسط ماشین مطرح است. به وسیله آنتولوژي می توان شرایط جدید که در مفاهیم واصطلاحات در ایمیلهاي فیشینگ استفاده می شود را به وسیله مدل کردن آنها به عنوان مفاهیم و روابط معناي درآنتولوژي شناخت. یکی از روشها به این صورت است که ویژگیهایي از ایمیل به وسیله آنالیز کردن متن آن استخراج می شود. اگر ویژگیهاي استخراج شده با ایمیلهاي فیشینگ شناخته شده تطبیق پیدا کند، ایمیل در یک آنتولوژي گذاشته می شود. سپس یک مجموعه از مفاهیم مرتبط در تشخیص روند ثبت می شود.

هانی پات

در واقع یک منبع سیستم اطلاعاتی با اطلاعات کاذب است که براي مقابله با هکرها و کشف و جمع آوري فعالیتهاي غیرمجاز در شبکه هاي رایانه اي بر روي شبکه قرار می گیرد. هانی پات معمولاً به عنوان تله اي براي جمع آوري داده مشکوك پیکربندي می شود. آنها پیکربندي می شوند تا داده در مورد هکرها، ایجاد پایگاه داده هاي لیست سیاه هکرها، دامنه هاي مشکوك بلاك شده را جمع آوري کنند. این رویکرد می تواند به ردیابی فعالیتهاي فیشینگ کمک کند. این رویکرد در تشخیص صداي روي IP و IM مورد استفاده قرار می گیرد.

موتورهاي جستجو

موتورهاي جستجو با تکنیک هاي دیگر فیشینگ ترکیب می شوند که به طور معمول اگر یک صفحه مشروع است آن صفحه باید ایندکس گذاري شده باشد و توسط موتورهاي جستجو به آن رتبه بندي اختصاص یابد. پیشنهاد به استفاده رتبه بندي موتورهاي جستجو به عنوان ورودي ساخت طبقه بندي فیشینگ یک تکنیک که ادعا می شود در کاهش موارد مثبت  کاذب فیشینگ مؤثر باشد جدول زیر، تشخیص فیشینگ مبتنی بر آنتولوژي،  هانی پات و موتورهاي جستجو را خلاصه می کند و نشان می دهد که در تشخیص ایمیل فیشینگ از آنتولوژي استفاده شده است.

  

 

رویکردهاي محافظتی در برابر حملات ایمیل فیشینگ

در جهت کمینه کردن حملات ایمیل فیشینگ پنج رویکرد حفاظتی ایمیل ها در برابر فیشینگ به شرح زیر در نظر گرفته می شود:

حفاظت در سطح شبکه

حفاظت در سطح شبکه معمولا با ممانعت از ورود طیف وسیعی از آدرسهاي IP یا مجموعه اي از دامنه ها به شبکه پیاده سازي می شود. این امر به مدیر وبسایت اجازه می دهد تا پیامها را از سیستم هایی که معمولاً ایمیل جعلی یا فیشینگ ارسال می کنند، مسدود کند. "لیست سیاه سیستم نام دامنه" که توسط ارائه دهندگان استفاده می شود، تولید شده و بر اساس مطالعه رفتار ترافیکی به روزرسانی می شود.

 

احراز هویت

رویکردهاي مبتنی بر احراز هویت براي فیلتر کردن ایمیل جعلی، طراحی شده اند تا تأیید  کنند که آیا ایمیل به وسیله یک مسیر معتبر ارسال شده است یا خیر و نام دامنه توسط فیشر جعل نشده باشد. احراز هویت، امنیت ارتباطات را در هر دو سطح کاربر و دامنه افزایش می دهد. احراز هویت در سطح کاربر توسط رمز عبور به عنوان یک اعتبار انجام می شود. دیگر تکنیکهاي احراز هویت ایمیل توسط ارسال رمز عبور درهم سازي شده با نام دامنه با استفاده از امضاي دیجیتالی و درهم سازي رمز عبور، پیاده سازي شده اند.

ابزارهاي سمت کلاینت

ابزارهایی که در طرف کلاینت کار می کنند شامل فیلترهاي پروفایل کاربر و نوارابزارهاي مبتنی بر مرورگر هستند. CloudMark ، CallingID ،NetCraft ، SpoofGuard ، نوار ابزار eBay  و فیلتر فیشینگ IE برخی از ابزارهاي سمت کلاینت هستند. این ابزارها دربرگیرنده مطالعه فیشینگ و حمله از طریق شناسایی مستقیم "مرورگرهاي وب" جعلی هستند. سایر تکنیکها نیز راهکارهاي را در ابزارهاي سمت کلاینت ارائه می دهند که شامل بررسی دامنه، بررسی  URL، محتواي صفحه و الگوریتمها است. این ابزارها که با استفاده از نمونه هاي اولیه متداول از URL هاي وبسایت جعلی طراحی و آموزش داده شده اند، با یک کادر محاورهاي به کاربر هشدار می دهند.

معمولا این ابزارها به لیست سیاه و لیست سفید وابسته هستند که تکنیکی براي جلوگیري از حملات فیشینگ از طریق چک کردن آدرسهاي وب جاسازي شده در ایمیلها یا چک کردن مستقیم وبسایت است، لیست سیاه می تواند مثبت کاذب (False Positive) تولید کند و بسیاري از ایمیلهاي فیشینگ را از دست بدهد، بنابراین، به طور خاص مؤثر نیست، هم چنین تکنیکهاي لیست سیاه و لیست سفید براي انطباق با تغییرات فناوري بسیار ضعیف هستند.

آموزش کاربر و راه حل هاي قانونی

فیشینگ در سال 2004 میلادي، توسط کمیسیون تجاري فدرال به لیست جرائم سایبري اضافه شد. این نهاد اطلاعات آنلاین را در مورد خطرات حملات فیشینگ و نحوه دوري از این حملات به طور مستمر از دولتها، سازمانهاي غیرانتفاعی و از بسترهاي تجاري مانند eBay، آمازون و بانکهای آمریکا دریافت و منتشر می کند. افزایش سطح آگاهی و آموزش کاربران در مورد ایمیل فیشینگ می تواند تا حد بسیار زیادي موفقیت این حملات را کاهش می دهد.

فیلترها و طبقه بنديهاي سمت سرور

معمولاً فیلترهاي سمت سرور که مبتنی بر رویکردهاي فیلترینگ محتوا محور هستند، بهترین گزینه براي مبارزه با حملات صفر روزه محسوب می شوند؛ بنابراین اکثر محققان سعی می کنند که حمله صفر روزه را از این سمت حل کنند. معمولاً این روش به مجموعه اي از ویژگیهاي ایمیل فیشینگ بستگی دارد. این ویژگیها از طریق انطباق با طبقه بندي آماري در الگوریتمهاي یادگیري ماشین آموزش داده می شوند تا بین ایمیلهاي با علامت معتبر (قانونی) یا ایمیل فیشینگ تمایز قائل شوند. پس ازآن، این طبقه بندي ممکن است براي پیش بینی کلاس ایمیلهاي تازه دریافت شده بر روي یک جریان ایمیل مورد استفاده قرار گیرد. جدول زیر  معایب این پنج رویکرد محافظتی ایمیل فیشینگ را بررسی می کند.

 

 

اگرچه حملات فیشینگ برای مدتهای طولانی توسط محققین مورد بررسی قرار گرفته اند، اما مقابله در برابر این حملات تا حد زیادی به فرهنگ امنیت سایبری کاربران وابسته است.

برای مطالعه مقالات بیشتر در حوزه امنیت سایبری، وبلاگ آشنا ایمن را دنبال کنید.

 

نویسنده: سعید محمدی نیا دسته بندی: زیرساخت
نظرات کاربران

amir abdoli

سه‌شنبه ، ۰۷ تیر ماه ۰۱

عالی بود

رامین یزدانی

چهارشنبه ، ۲۵ خرداد ماه ۰۱

خیلی عالی،کامل و جامع بود

ممنون از مقاله خوبتون