فیشینگ در مقابل کلاهبرداری: شناسایی تهدیدها و محافظت از داده‌های شما

ایمیلی از بخش فناوری اطلاعات شما به صندوق ورودی‌تان می‌رسد. از شما می‌خواهد که اعتبارنامه ورود خود را از طریق یک لینک تأیید کنید. آدرس فرستنده درست به نظر می‌رسد و قالب‌بندی آن آشنا به نظر می‌رسد. هیچ چیز نامرتبط به نظر نمی‌رسد. شما روی لینک کلیک می‌کنید، رمز عبور خود را تایپ می‌کنید و ناخودآگاه آن را مستقیماً به مهاجمی می‌دهید که یک صفحه ورود جعلی برای تقلید از سیستم شرکت شما ساخته است.

این وضعیت دو تهدید جداگانه را با هم ترکیب می‌کند: یکی پیام را مشروع جلوه می‌داد، دیگری از آن مشروعیت برای سرقت اطلاعات شما استفاده می‌کرد. کلاهبرداری در مقابل فیشینگ یکی از رایج‌ترین تمایزات اشتباه در امنیت سایبری است. مردم اغلب این اصطلاحات را به جای یکدیگر استفاده می‌کنند، اما چیزهای متفاوتی را توصیف می‌کنند: یکی یک روش است، دیگری یک هدف. دانستن اینکه کدام یک، کدام است به شما کمک می‌کند تا دفاع‌های مناسب را اعمال کنید، علائم هشدار دهنده مناسب را تشخیص دهید و بفهمید که چرا حملات حتی علیه اهداف آگاه از نظر فنی موفق می‌شوند.

کلاهبرداری چیست؟

جعل هویت به عمل جعل یک شناسه فنی مانند آدرس فرستنده ایمیل، نام دامنه، وب‌سایت، شناسه تماس‌گیرنده یا آدرس IP برای جعل هویت یک منبع معتبر گفته می‌شود.

در زمینه‌های ایمیل، جعل، فیلدهای فنی که نحوه نمایش اطلاعات فرستنده به گیرندگان را کنترل می‌کنند، دستکاری می‌کند. مهاجمان آدرس «از» را جعل می‌کنند تا یک نام و دامنه معتبر را نشان دهند، دامنه‌های شبیه به هم را ثبت می‌کنند که از بازرسی بصری معمولی عبور می‌کنند، یا هدرهای ایمیل را دستکاری می‌کنند تا پیام‌ها طوری به نظر برسند که از سرورهای قانونی که آنها کنترل نمی‌کنند، سرچشمه می‌گیرند.

جعل هویت در درجه اول یک حمله فنی است. این حمله سیستم‌ها و پروتکل‌ها را طوری دستکاری می‌کند که به نظر برسد یک پیام، دستگاه یا وب‌سایت از یک منبع قابل اعتماد ارسال شده است. در حالی که بسیاری از حملات در نهایت افراد را هدف قرار می‌دهند، خود جعل هویت با سوءاستفاده از نقاط ضعف در نحوه تأیید هویت توسط فناوری انجام می‌شود.

همچنین محدود به کلاهبرداری مستقیم نیست. در بسیاری از موارد، هدف فوری سرقت اعتبارنامه یا سود مالی نیست، بلکه شناسایی، آزمایش دفاع یا آماده شدن برای یک حمله بزرگتر است.

انواع اصلی جعل ایمیل مرتبط:

• جعل نام نمایشی: نمایش «پشتیبانی فناوری اطلاعات» به عنوان نام هنگام استفاده از یک آدرس ارسال تصادفی یا نامرتبط
• جعل دامنه: ارسال از cornpany.com یا company-support.com به جای company.com
• جعل ایمیل مستقیم: جعل فیلد «از» برای نمایش یک آدرس واقعی و مشروع با استفاده از دستکاری هدر SMTP
• جعل وب‌سایت: ایجاد سایت‌های کپی در دامنه‌های مشابه که اعتبارنامه‌های وارد شده را ثبت می‌کنند

فیشینگ چیست؟

فیشینگ یک حمله مهندسی اجتماعی هدفمند است که پیام‌های جعلی ارسال می‌کند تا گیرندگان را به انجام اقدامات مضر مانند کلیک روی لینک‌های مخرب، دانلود بدافزار، ارسال اطلاعات کاربری یا انتقال وجه ترغیب کند. این نام منعکس کننده مفهوم آن است: ایجاد یک شبکه گسترده و انتظار برای طعمه قرار دادن قربانیان.

روی 38 میلیون حمله فیشینگ تنها در سال ۲۰۲۴ در سراسر جهان شناسایی شدند و این رقم را تشکیل می‌دهند یک چهارم از کل حوادث امنیت سایبری شناسایی شده در آن سال. فیشینگ روانشناسی انسان را هدف قرار می‌دهد و از غرایزی مانند اعتماد، فوریت، ترس و اختیار برای نادیده گرفتن تفکر انتقادی و اقدام فوری قبل از اینکه گیرندگان برای تأیید مکث کنند، سوءاستفاده می‌کند.

ویژگی بارز فیشینگ، نیت و قصد آن است. هر حمله فیشینگ یک هدف خاص دارد: سرقت اطلاعات ورود به سیستم، اجرای باج‌افزار، تغییر مسیر پرداخت، سرقت اطلاعات شخصی یا دسترسی اولیه به شبکه سازمانی. پیام، کانال و تکنیک فریب، همگی در خدمت این هدف هستند.

کانال‌های رایج فیشینگ:

• فیشینگ ایمیلی: رایج‌ترین کانال؛ پیام‌های کلاهبرداری که برای مخاطبان گسترده ارسال می‌شوند
• فیشینگ نیزه: حملات ایمیلی هدفمند با استفاده از تحقیقات شخصی‌سازی‌شده در مورد افراد خاص
• فیشینگ پیامکی (اسمیشینگ): پیامک‌های حاوی لینک‌ها یا دستورالعمل‌های مخرب
• فیشینگ صوتی (ویشینگ): تماس‌های تلفنی که هویت اشخاص مورد اعتماد را جعل می‌کنند تا اطلاعات را استخراج کنند
• فیشینگ در شبکه‌های اجتماعی: پیام‌های کلاهبرداری، حساب‌های جعلی یا لینک‌های مخرب از طریق پلتفرم‌های اجتماعی
• وب‌سایت‌های جعلی: صفحات فرود طراحی‌شده برای دریافت اطلاعات ورود قربانیان

تفاوت بین فیشینگ و کلاهبرداری چیست؟

کلاهبرداری و فیشینگ مرتبط اما متمایز هستند. درک تفاوت‌های آنها در ابعاد مختلف، هم نحوه‌ی عملکرد حملات و هم روش‌های دفاعی مربوط به هر یک را روشن می‌کند.

اهداف اولیه

جعل هویت ابتدا سیستم‌ها و پروتکل‌ها و سپس انسان‌ها را هدف قرار می‌دهد. هدف اولیه، فنی است: فیلترهای ایمیل که مشروعیت فرستنده را بررسی می‌کنند، سیستم‌های DNS که نام دامنه‌ها را ترجمه می‌کنند و سیستم‌های احراز هویت که هویت‌ها را تأیید می‌کنند. با شکست دادن این بررسی‌های فنی، جعل هویت شرایط را برای فریب در سطح انسانی فراهم می‌کند.

اهداف رایج جعل هویت عبارتند از:

• سیستم‌های احراز هویت ایمیل (اعتبارسنجی SPF، DKIM، DMARC)
• سرورهای DNS و زیرساخت تفکیک دامنه
• سیستم‌های مسیریابی شبکه و تخصیص IP
• احراز هویت سیستم و کنترل دسترسی
• کلاینت‌های ایمیل شخصی که اطلاعات فرستنده را نمایش می‌دهند

فیشینگ مستقیماً روانشناسی انسان را هدف قرار می‌دهد. هدف، ایجاد یک پاسخ خاص از سوی نوع خاصی از افراد است. انتخاب هدف، نشان‌دهنده دسترسی و اعتبار است:

• مصرف‌کنندگان انفرادی (بانکداری، خرده‌فروشی، اعتبارنامه‌های پخش جریانی)
• مدیران ارشد (مسئولان مالی، دسترسی به داده‌های حساس)
• کارمندان مالی و منابع انسانی (پردازش پرداخت، کنترل حقوق و دستمزد)
• مدیران فناوری اطلاعات (دسترسی به سیستم، قابلیت تنظیم مجدد اعتبارنامه)
• کل صنایع با آسیب‌پذیری‌های مشترک (بهداشت و درمان، امور مالی)

هدف از حمله

هدف از جعل هویت، ایجاد اعتبار و دور زدن فیلترها و ایجاد شرایطی است که حمله بعدی را مؤثرتر می‌کند. پیام‌های جعلی به صندوق‌های ورودی می‌رسند که در غیر این صورت فیلتر می‌شدند. هویت‌های جعلی اعتمادی را دریافت می‌کنند که معمولاً نیاز به تأیید دارد. اهداف خاص جعل هویت عبارتند از:

• سود مالی از طریق پرداخت‌های نادرست
• سرقت داده‌ها از طریق درخواست‌های داده‌ی جعل‌شده
• توزیع بدافزار از طریق پیوست‌های ظاهراً معتبر
• دسترسی غیرمجاز از طریق تنظیم سرقت اعتبارنامه

هدف فیشینگ دستیابی به یک نتیجه مستقیم با استخراج ارزش از قربانیان است:

• برداشت اعتبارنامه برای دسترسی به حساب و فروش مجدد
• سرقت مالی از طریق پرداخت‌های جعلی یا دسترسی مستقیم به حساب
• سرقت هویت از طریق جمع‌آوری اطلاعات شخصی
• استقرار بدافزار از طریق دانلودهای آغاز شده توسط کاربر
• جاسوسی سازمانی از طریق استخراج داده‌های حساس

روش‌های کلیدی

روش‌های جعل هویت فنی هستند و در سطح زیرساخت عمل می‌کنند:

• دستکاری هدر ایمیل برای ایجاد فیلدهای From و Reply-To
• ثبت دامنه آدرس‌های مشابه (company-inc.com، c0mpany.com)
• آلوده کردن حافظه نهان DNS برای تغییر مسیر ترافیک دامنه قانونی
• جعل آدرس IP برای پنهان کردن مبدا واقعی شبکه
• دستکاری شناسه تماس‌گیرنده برای جعل هویت مبتنی بر تلفن

روش‌های فیشینگ ارتباطی هستند و در سطح انسانی عمل می‌کنند:

• صفحات ورود جعلی که سایت‌های قانونی را پیکسل به پیکسل کپی می‌کنند
• مخرب لینک‌ها در ایمیل‌ها هدایت به صفحات دریافت اعتبارنامه
• پیوست‌های حاوی بدافزار که خود را به عنوان اسناد قانونی جا می‌زنند
• درخواست‌های فوری که از اختیارات و فشار زمانی سوءاستفاده می‌کنند
• پیام‌های مخرب ایمیل‌های تجاری که خود را به جای مدیران یا فروشندگان جا می‌زنند

نکات تشخیص

کلاهبرداری و فیشینگ سرنخ‌های متفاوتی از خود به جا می‌گذارند. نشانه‌های کلاهبرداری معمولاً در جزئیات فنی ظاهر می‌شوند، در حالی که علائم هشدار فیشینگ اغلب در لحن و محتوای پیام خود را نشان می‌دهند.

تشخیص جعل هویت:

• آدرس فرستنده واقعی را فراتر از نام نمایش داده شده بررسی کنید (برای مشاهده آدرس کامل، موس را روی آن نگه دارید یا کلیک کنید)
• بررسی تغییرات دامنه: حروف جا افتاده، کاراکترهای جابجا شده، کلمات اضافی (company-support.com)
• گواهی‌های HTTPS را در وب‌سایت‌ها تأیید کنید (سازمان صادرکننده را بررسی کنید، نه فقط نماد قفل را)
• به دنبال ناسازگاری‌های سن دامنه باشید (سازمان‌های قانونی از دامنه‌های اخیراً ثبت شده استفاده نمی‌کنند)
• هدرهای ایمیل را مستقیماً برای عدم تطابق مبدا سرور بررسی کنید

تشخیص فیشینگ:

• فوریت غیرمنتظره: «فوراً اقدام کنید»، «حساب شما مسدود خواهد شد»
• احوالپرسی‌های عمومی: «مشتری گرامی»، «کاربر گرامی»، به جای نام واقعی شما
• درخواست‌های مربوط به اعتبارنامه‌ها، تغییرات پرداخت یا داده‌های حساس از طریق ایمیل
• لینک‌های مشکوکی که متن URL نمایش داده شده با مقصد واقعی مطابقت ندارد
• ناهماهنگی‌های دستوری یا قالب‌بندی کمی نامتعارف
• پیشنهادهایی که بیش از حد خوب به نظر می‌رسند یا تهدیدهایی که نامتناسب به نظر می‌رسند

چگونه کلاهبرداری و فیشینگ با هم کار می‌کنند

کلاهبرداری و فیشینگ وقتی با هم ترکیب شوند، خطرناک‌ترین حالت خود را دارند: کلاهبرداری اعتباری ایجاد می‌کند که فیشینگ را باورپذیر می‌کند، و فیشینگ انگیزه مالی ایجاد می‌کند که کلاهبرداری را ارزشمند می‌کند.

جریان حمله ترکیبی:

1. مهاجم هدف را بررسی می‌کند: مدیران، فروشندگان و الگوهای ارتباطی یک سازمان را شناسایی می‌کند.
2. کلاهبرداری مشروعیت ایجاد می‌کند: یک دامنه مشابه ثبت می‌کند یا یک حساب ایمیل را به خطر می‌اندازد.
3. فیشینگ قلاب را به کار می‌گیرد: با استفاده از هویت جعلی، پیامی متقاعدکننده به همراه یک درخواست مخرب خاص ارسال می‌کند.
4. قربانی بر اساس اعتماد عمل می‌کند: پرداختی را پردازش می‌کند، اطلاعات احراز هویت را ارسال می‌کند، یا پیوستی را باز می‌کند زیرا هویت جعلی، بررسی‌های اولیه اعتبارسنجی را با موفقیت پشت سر گذاشته است.
5. مهاجم به هدف خود دست می‌یابد: اعتبارنامه‌ها را ضبط می‌کند، پرداخت‌های جعلی دریافت می‌کند یا به سیستم دسترسی پیدا می‌کند.

مثال ۱: کلاهبرداری در فاکتور فروشنده

یک کارمند حساب‌های پرداختنی چیزی شبیه به یک ایمیل معمولی از یک فروشنده مورد اعتماد دریافت می‌کند ([ایمیل محافظت شده]) می‌گویند که اطلاعات بانکی‌شان تغییر کرده است. اما آدرس واقعی ... [ایمیل محافظت شده]یک تبادل نامه‌ی ظریف. به راحتی می‌توان از آن چشم‌پوشی کرد. درخواست عادی به نظر می‌رسد، هیچ‌کس دوباره بررسی نمی‌کند و پرداخت مستقیماً به حساب تحت کنترل مهاجم ارسال می‌شود.

مثال ۲: سرقت اعتبارنامه‌های اجرایی

یک کارمند ایمیلی دریافت می‌کند که ظاهراً از طرف مدیر ارشد فناوری‌اش ارسال شده و او را به پورتال جدید شرکت هدایت می‌کند که نیاز به تنظیم فوری اعتبارنامه دارد. آدرس فرستنده جعلی، نام واقعی مدیر ارشد فناوری را نشان می‌دهد. صفحه لینک‌شده، یک کپی پیکسلی بی‌نقص از سیستم احراز هویت شرکت است. اعتبارنامه‌های واردشده مستقیماً به مهاجمانی می‌رسد که از آنها برای دسترسی به سیستم‌های داخلی استفاده می‌کنند.

تحلیل IBM از کیت‌های فیشینگ دریافتند که بخش فناوری اطلاعات، صنعتی است که بیشترین کلاهبرداری در آن انجام می‌شود و امور مالی و بیمه در رتبه دوم قرار دارند که نشان می‌دهد ترکیب کلاهبرداری و فیشینگ، بیشترین بازده را برای مهاجمان به همراه دارد.

چگونه از کلاهبرداری و فیشینگ جلوگیری کنیم

پیشگیری مؤثر نیازمند کنترل‌های فنی است که زیرساخت‌های جعل را مورد توجه قرار می‌دهد و کنترل‌های انسانی که روانشناسی فیشینگ را مورد توجه قرار می‌دهد.

کنترل‌های فنی

پیاده‌سازی DMARC در سیاست اجرایی (p=reject یا p=quarantine) برای جلوگیری از استفاده پیام‌های غیرمجاز از دامنه شما در حملات جعل هویت. DMARC، همراه با SPF و DKIM، یک مانع فنی ایجاد می‌کند که جعل هویت در سطح دامنه را قبل از رسیدن پیام‌ها به گیرندگان متوقف می‌کند.

وزارت امور خارجه برای ایمیل حساب‌ها از تصاحب حساب جلوگیری می‌کنند: قانع‌کننده‌ترین روش جعل حساب زیرا از حساب‌های قانونی استفاده می‌کند. حتی زمانی که فیشینگ با موفقیت رمزهای عبور را به دست می‌آورد، MFA مانع از دسترسی مهاجمان به حساب‌ها برای ارسال پیام‌های جعلی از آدرس‌های واقعی می‌شود.

پلتفرم‌های فیلترینگ ایمیل که الگوهای رفتاری را تجزیه و تحلیل می‌کنند، پیام‌های جعلی را که پروتکل‌های احراز هویت از دست می‌دهند، شناسایی می‌کنند و پیام‌هایی را که از الگوهای ارسال عادی منحرف شده‌اند، حاوی زبان الگوی BEC هستند یا از زیرساخت‌های مشکوک سرچشمه می‌گیرند، علامت‌گذاری می‌کنند.

استراتژی‌های سازمانی

فناوری می‌تواند بخش بزرگی از تلاش‌های جعل و فیشینگ را مسدود کند، اما نمی‌تواند جایگزین قضاوت انسانی شود. آموزش منظمی که به کارمندان نحوه تشخیص فرستنده‌های جعلی، دامنه‌های مشکوک و درخواست‌های دستکاری‌شده را آموزش می‌دهد، مهاجمان تک‌لایه‌ای را که هنوز سعی در سوءاستفاده از آنها دارند، تقویت می‌کند. شبیه‌سازی‌های عملی، که در آن کارمندان تشخیص و پاسخ به سناریوهای واقعی فیشینگ را تمرین می‌کنند، بسیار مؤثرتر از آموزش‌های غیرفعال کلاسی هستند.

رویه‌های تأیید شفاف نیز تفاوت قابل اندازه‌گیری ایجاد می‌کنند. درخواست‌های مالی همیشه باید نیاز به تأیید خارج از باند با استفاده از شماره‌های تماس معتبر موجود در پرونده داشته باشند، نه شماره تلفن‌ها یا پیوندهایی که در خود پیام ارائه شده است. همین یک اقدام حفاظتی به تنهایی می‌تواند جلوی اکثر طرح‌های کلاهبرداری و فیشینگ را که هدفشان ایجاد پرداخت‌های جعلی است، بگیرد.

بهداشت فهرست ایمیل

حفظ یک لیست ایمیل تمیز قرار گرفتن سازمان در معرض هر دو تهدید را کاهش می‌دهد. فهرست‌های پاک با مخاطبین معتبر، از سیگنال‌های دقیق اعتبار فرستنده پشتیبانی می‌کنند که به ابزارهای امنیتی در شناسایی ناهنجاری‌ها کمک می‌کند. جعل متقاعدکننده‌ی سازمان‌هایی با اعتبار فرستنده قوی و الگوهای ارسال منسجم، دشوارتر است. اعتبارسنجی فهرست ایمیل، آدرس‌های نامعتبر، پرخطر و غیرقابل تأیید را که زیرساخت ارسال را تضعیف می‌کنند، حذف می‌کند، که مهاجمان هنگام برنامه‌ریزی کمپین‌های جعل، آنها را بررسی می‌کنند.

خوب امنیت برای بازاریابان ایمیلی احراز هویت، لیست‌های معتبر و نظارت مداوم را ترکیب می‌کند تا الگوهای ارسال ثابتی ایجاد کند که تلاش‌های جعل را از طریق تحلیل رفتاری قابل تشخیص می‌کند.

چه موقع به دنبال کمک حرفه ای باشید

برخی از موقعیت‌های کلاهبرداری و فیشینگ نیاز به پشتیبانی تخصصی فراتر از توانایی‌های داخلی دارند. در موارد زیر از کمک حرفه‌ای استفاده کنید:

• حملات هدفمند مکرر: اگر سازمان شما با کمپین‌های فیشینگ پیچیده و مداومی مواجه است که نشان‌دهنده‌ی علاقه‌ی مداوم مهاجمان است، متخصصان امنیتی می‌توانند مشخصات تهدید شما را ارزیابی کرده و دفاع‌های هدفمند را پیاده‌سازی کنند.
• خسارت مالی رخ داده است: کلاهبرداری بانکی یا انحراف در پرداخت، مستلزم تعامل فوری با بانک، نیروی انتظامی و احتمالاً متخصصان امنیت سایبری برای ردیابی و بازیابی احتمالی وجوه است.

• نقض داده‌ها مشکوک است: اگر فیشینگ منجر به افشای اطلاعات احراز هویت، دسترسی غیرمجاز به سیستم یا نشت داده‌ها شود، متخصصان واکنش به حوادث باید دامنه آن را ارزیابی کرده و خسارات را مهار کنند.
• نفوذ به سیستم شناسایی شد: بدافزارهایی که از طریق فیشینگ منتقل می‌شوند، نیاز به اصلاح حرفه‌ای دارند تا حذف کامل آنها تضمین شود و مشخص شود که به چه چیزی دسترسی پیدا شده است.
• دامنه شما جعل شده است: اگر مشتریان یا شرکا ایمیل‌های جعلی از دامنه شما دریافت می‌کنند، خدمات پزشکی قانونی DMARC و نظارت بر دامنه می‌توانند زیرساخت و دامنه حمله را شناسایی کنند.

سازمان‌هایی که پایگاه‌های داده مخاطبین آنها حاوی آدرس‌های نامعتبر، قدیمی یا پرخطر است، بیشتر در معرض خطر قرار می‌گیرند، زیرا سلامت ضعیف لیست، وضعیت امنیتی ضعیف ایمیل را به مهاجمان نشان می‌دهد. DeBounce اعتبارسنجی لیست ایمیل آدرس‌هایی را که اعتبار فرستنده را تضعیف می‌کنند و آسیب‌پذیری در برابر کمپین‌های جعل دامنه شما را افزایش می‌دهند، شناسایی و حذف می‌کند.

خط پایین

جعل هویت و فیشینگ نقش‌های متفاوتی در جعبه ابزار مهاجم ایفا می‌کنند و درک این تفاوت همان چیزی است که دفاع را مؤثر می‌سازد. جعل هویت، شناسه‌های فنی را برای دور زدن فیلترها و ایجاد اعتماد جعل می‌کند؛ فیشینگ از سوءاستفاده‌هایی استفاده می‌کند که با اعتماد، قربانیان را به اقدامات مضر سوق می‌دهد. این دو در کنار هم، رایج‌ترین و پرهزینه‌ترین ترکیب در جرایم سایبری مبتنی بر ایمیل را تشکیل می‌دهند.

دفاع در برابر جعل هویت نیازمند کنترل‌های فنی است: احراز هویت DMARC، SPF، DKIM که از جعل دامنه جلوگیری می‌کند و MFA که تصاحب حساب را مسدود می‌کند. دفاع در برابر فیشینگ نیازمند کنترل‌های انسانی است: آموزش کارکنان، رویه‌های تأیید هویت و آگاهی رفتاری که تلاش‌های مهندسی اجتماعی را که فیلترهای فنی از دست می‌دهند، شناسایی می‌کند.

همین امروز پیکربندی DMARC دامنه خود را بررسی کنید و آموزش کارمندان خود را ارزیابی کنید: تیم شما آخرین بار چه زمانی شناسایی آدرس فرستنده جعلی را در یک سناریوی واقعی تمرین کرد؟

به عنوان بخشی از وضعیت امنیتی و قابلیت تحویل طولانی مدت خود، یک زیرساخت ایمیل تمیز را حفظ کنید. استفاده از حذف کنید برای اعتبارسنجی فهرست‌های مخاطبین، حذف آدرس‌های نامعتبر و پرخطر، و حفظ اعتبار فرستنده‌ی ثابت که تشخیص و مسدود کردن تلاش‌های جعل ایمیل علیه دامنه‌ی شما را آسان‌تر می‌کند. احراز هویت قوی و فهرست‌های معتبر در کنار هم، پایه‌ای ایجاد می‌کنند که هم خطر جعل ایمیل و هم خطر فیشینگ را در تمام ارتباطات ایمیلی شما کاهش می‌دهد.