Phishing چیست ؟
Phishing از جمله واژه
هائی است که توسط مهاجمان در عرصه ادبیات اینترنت مطرح و به ترغیب توام با نیرنگ
کاربران به افشای اطلاعات حساس و شخصی آنان ، اشاره دارد . مهاجمان به منظور نیل
به اهداف مخرب خود در اولین مرحله درخواست موجه خود را برای افراد بیشماری ارسال
می نمایند و در انتظار پاسخ می مانند . آنان امیدوارند که حتی اگر بتوانند تعداد
اندکی از افراد را ترغیب به افشای اطلاعات حساس و شخصی خود نمایند در رسالت خود
موفق بوده اند . امیدواری آنان چندان هم بی دلیل نخواهد بود چراکه با توجه به
گستردگی تعداد قربانیان اولیه احتمالی ، شانس موفیقت نهائی آنان از لحاظ آماری نیز
افزایش می یابد .
مهاجمان به منظور افزایش ضریب موفقیت حملات سعی می نمایند خود را بگونه ای عرضه نمایند
که مردم به آنان اعتماد نموده و آنان را به عنوان نمایندگان قانونی مراکز معتبری
نظیر بانک ها قبول نمایند . ماهیت و یا بهتر بگوئیم رمز موفقیت این نوع از
حملات بر قدرت جلب اعتماد مردم استوار است و بدیهی است که مهاجمان از هر چیزی که
بتواند آنان را موجه تر جلوه نماید ، استقبال خواهند کرد . مهاجمان پس از جلب
رضایت و اعتماد کاربران از آنان درخواست اطلاعات حساس و مهمی نظیر شماره کارت
اعتباری را می نمایند .
اکثر عملیات اشاره شده به صورت اتوماتیک انجام و با توجه به این که کاربران گسترده
ای هدف اولیه قرار می گیرند و درصد بسیار زیادی از آنان دارای آگاهی لازم جهت
تشخیص و مقابله با این نوع حملات نمی باشند ، شانس موفقیت مهاجمان به منظور
سرقت هویت کاربران افزایش می یابد .
سرقت هویت چیست ؟
سرقت
هویت ، استفاده از هویت شخص دیگر ( اطلاعات حساس و یا شخصی ) برای سوء استفاده
مالی و یا سایر اهدف مخرب است . سوء استفاده یا کلاهبرداری با استفاده از کارت
اعتباری دیگران ، یک نمونه از سرقت هویت است . در واقع Phishing ، روشی
است که مهاجمان از آن به منظور سرقت هویت استفاده می نمایند .
آیا سرقت هویت صرفا"
گریبانگیر افرادی می گردد که اقدام به ارسال اطلاعات online می نمایند ؟
در صورتی
که هرگز از کامپیوتر استفاده نکرده باشید ، ممکن است از جمله قربانیان سرقت هویت
باشید . مهاجمان می توانند با بکارگیری روش های متعدد به اطلاعات شخصی شما نظیر
شماره کارت اعتباری ، شماره تلفن ، آدرس و ... دستیابی پیدا نمایند . اکثر
شرکت ها و موسسات ، اطلاعات مربوط به مشتریان خود را در بانک های اطلاعاتی ذخیره
می نمایند و در صورت دستیابی سارقین به بانک های اطلاعاتی ، اطلاعات شخصی تعداد
زیادی از افراد افشاء می گردد .اینترنت فضای لازم برای سارقین را فراهم نموده است
تا بتوانند در زمانی مطلوب و در گستره ای وسیع تر به اطلاعات شخصی و مالی کاربران
دستیابی نمایند .اینترنت ، همچنین امکانات مناسبی به منظور فروش و مبادلات تجاری
اطلاعات سرقت شده را در اختیار مهاجمان قرار می دهد .
چرا می بایست از خود در مقابل
حملات phishing حفاظت
نمود؟
در یک
سازمان ، افراد متفاوت اطلاعاتی را نزد خود نگهداری می نمایند که ممکن است حساس و
یا برای سایر افراد و یا سازمان ها حائز اهمیت باشد . در حملات phishing ، مهاجمان
عموما" از روش های غیرفنی ( نظیر مهندسی اجتماعی ) برای دستیابی به اطلاعات
حساس و مهم اشخاص و یا سازمان ها استفاده نموده و موارد زیر را هدف قرار می دهند :
· اطلاعات بانکی نظیر کارت های اعتباری و یا حساب هائی نظیر paypal
· اطلاعات مربوط به نام و رمز عبور
· اطلاعات بیمه همگانی
· و ...
مهاجمان پس از دستیابی به اطلاعات فوق از آنان به منظور نیل به اهداف زیر استفاده می نمایند :
· برداشت از حساب بانکی
· سرویس های online متفاوتی نظیر eBay و یا Amazonیک نمونه از حملات phishing
تعداد
زیادی از حملات phishing از
طریق email انجام می
شود. مهاجمان email موجه خود
را برای میلیون ها قربانی احتمالی ارسال می نمایند . این نوع نامه های الکترونیکی
بسیار مشابه وب سایت شرکتی می باشند که email ادعا می نماید ، نامه از آنجا برای کاربران ارسال شده است .
مهاجمان به منظور فریب کاربران از روش های متعددی استفاده می نمایند :
· استفاده از logo وسایر علائم تجاری شناخته شده و معتبر
· ساختار و طراحی email تقلبی مشابه وب سایت واقعی است ، بگونه ای که در اولین مرحله تشخیص جعلی بودن آن برای بسیاری از کاربران غیرممکن است .
· بخش from نامه الکترونکیی ارسالی ، مشابه ارسال یک email معتبر از شرکت مربوطه است .
· در متن email ممکن است فرمی تعبیه شده باشد که از کاربران خواسته شود به دلایل خاصی( مثلا" account شما در معرض تهدید است و ممکن است مورد سوء استفاده قرار گیرد و یا به دلیل بروز اشکالات فنی ) ، مجددا" اطلاعات خود را در فرم درج و آن را ارسال نمایند .
روش های حفاظت از داده
به
اعتقاد بسیاری از کارشناسان ، مهمترین و یا بهتر بگوئیم با ارزش ترین چیز بر روی
یک کامپیوتر ، داده ایجاد شده توسط کاربر است و شاید وجود همین اطلاعات است
که ضرورت استفاده از کامپیوتر و یا شبکه را توجیه می نماید . سیستم های عامل و نرم
افزارها را در بسیاری از موارد و همزمان با بروز مشکل در سیستم ، می توان
مجددا" نصب نمود ولی داده ایجاد شده توسط کاربر در نوع خود منحصربفرد بوده و
در صورت از دست دادن ، امکان استفاده مجدد از آنها با مشکل اساسی مواجه و در
برخی موارد عملا" غیرممکن خواهد بود.
برخی از داده های ذخیره شده بر روی کامپیوتر ممکن است دارای اهمیت بیشتری نسبت به
سایر اطلاعات باشند و ضمن این که هرگز علاقه مند به از دست دادن آنها نمی باشیم ،
نمی بایست امکان استفاده از آنها توسط کاربران غیرمجاز نیز وجود داشته باشد .
دستیابی به برخی از داده های مهم نظیر شماره کارت اعتباری و یا حساب بانکی می
تواند در نهایت منجر به سرقت هویت کاربران گردد . مسائل اشاره شده ، صرفا"
محدود به کاربران شخصی نبوده و سازمان ها و موسسات را نیز شامل می شود . هر سازمان
دارای داده های مهم و حساسی است که از دست دادن آنها می تواند خسارات جبران
ناپذیری را برای یک سازمان به دنبال داشته باشد .
برای حفاظت از اطلاعات می بایست از یک استراتژی خاص تبعیت نمود که ضمن کاهش احتمال
از دست دادن داده ها ، امکان استفاده از آنها توسط افراد غیرمجاز نیز وجود نداشته
باشد .
در ادامه به برخی از متداولترین روش های حفاظت از اطلاعات اشاره می گردد :
·
تهیه Backup در اولین فرصت
و به صورت مرتب
: تهیه backup
بطور مرتب و بر اساس یک استراتژی خاص ، یکی از اقدامات اساسی در جهت حفاظت از
اطلاعات می باشد . اطلاعاتی که ممکن است به هر دلیلی با مشکل مواجه و امکان
استفاده از آنان وجود نداشته باشد . برای تهیه backup ، می توان از
امکانات موجود در ویندوز نظیر برنامه ntbackup استفاده نمود . با استفاده از ویزارد ارائه شده در برنامه فوق
، می توان به سرعت و به سادگی عملیات لازم به منظور تهیه backup و یا برگرداندن
اطلاعات backup گرفته
شده را انجام داد . در صورت ضرورت ، می توان تهیه backup از داده های مهم
موجود بر روی سیستم را به صورت یک job تعریف و برای آن یک برنامه زمانبندی خاص را در نظر گرفت .
برای تهیه backup ، می
توان از نرم افزارهای متعدد دیگری نیز استفاده نمود که امکانات بمراتب بیشتری را
در مقایسه با برنامه ارائه شده در ویندوز در اختیار کاربران قرار می دهند . صرفنظر
از این که از چه برنامه ای برای تهیه backup استفاده می گردد ، می بایست از اطلاعات backup گرفته شده به
دقت حفاظت و آنها را در مکان هائی با ضریب ایمنی و حفاظتی بالا نگهداری کرد .
·
استفاده از مجوزهای امنیتی file-level و share-level : به منظور حفاظت از داده در
مقابل دستیابی افراد غیرمجاز ، اولین مرحله تنظیم مجوزها بر روی فایل ها و
فولدرهای حاوی داده می باشد .در صورتی که می بایست داده به صورت مشترک در شبکه
استفاده گردد ، می توان با تنظیم share
permissions نحوه استفاده از آنها را قانونمند نمود
. بدین منظور می توان در ویندوز 2000 و یا XP پس از انتخاب فایل و یا فولدر ، از طریق صفحه Properties گزینه Sharing و در نهایت
دکمه permission را
انتخاب نمود . تنظیمات امنیتی اشاره شده در رابطه با کاربرانی که به صورت محلی از
سیستم حاوی اطلاعات حساس استفاده می نمایند ، اعمال نخواهد شد .
در صورتی که کامپیوتر با کاربر دیگری به اشتراک گذاشته شده است ، می بایست از
مجوزهای file-level استفاده
نمود . به این نوع از مجوزها ، مجوزهای NTFS نیز گفته می شود چراکه استفاده
از آنها صرفا" برای فایل ها و فولدرهای ذخیره شده بر روی پارتیشن هائی که با
سیستم فایل NTFS فرمت شده
اند ، امکان پذیر می باشد . برای استفاده از مجوزهای فوق ، پس از انتخاب فایل و یا
فولدر مورد نظر می توان از طریق صفحه properties ، گزینه Security tab را انتخاب و مجوزها را بر اساس سیاست مورد نظر تنظیم نمود .
در هر دو مورد ( مجوزهای file-level و share-level ) می توان مجوزها را برای user
account و groups تعریف نمود . مجوزها را می توان از "فقط خواندنی"
تا " کنترل کامل " در نظر گرفت .
·
حفاظت از فایل ها و سایر مستندات توسط
رمز عبور
: تعداد زیادی از نرم افزارها ( نظیر نرم افزارهای آفیس و Adobe Acrobat ) ، امکان تعریف
رمزعبور برای استفاده از مستندات را در اختیار کاربران قرار می دهند . پس از در
نظر گرفتن یک رمز عبور ، در صورت فعال کردن ( بازنمودن ) یک مستند در ابتدا از
کاربر درخواست رمز عبور خواهد شد . به منظور انجام این کار در برنامه ای نظیر Microsoft word 2003 ، از طریق
منوی Tools گزینه options و در
ادامه Security tab را
انتخاب می نمائیم . با استفاده از امکانات فوق ، می توان یک رمز عبور و نحوه
رمزنگاری را مشخص نمود .
متاسفانه، سیستم رمز استفاده شده در محصولات مایکروسافت ، به سادگی شکسته می گردد
و کاربران غیرمجاز می توانند از برنامه های متعددی به منظور رمزگشائی مستندات
استفاده نمایند. برنامه AOPR ( برگرفته از Advanced Office Password
Recovery ) نمونه ای در این زمینه می باشد
.
در صورت لزوم می توان از نرم افزارهائی نظیر WinZip و PKZip به منظور فشرده
سازی و رمزنگاری اسناد و یا فایل ها استفاده نمود .
·
استفاده از رمزنگاری EFS : ویندوز 2000 ،
XP و 2003 از
رمزنگاری سیستم فایل موسوم به EFS ( برگرفته از Encrypting File
System ) حمایت می نمایند . از سیستم رمزنگاری فوق می
توان به منظور رمزنگاری فایل ها و فولدرهای ذخیره شده بر روی پارتیشنی که با NTFS فرمت شده است ،استفاده نمود . بدین
منظور می توان پس از انتخاب صفحه properties ، از طریق General tab گزینه Advanced button را انتخاب نمود ( بطور همزمان نمی توان از رمزنگاری EFS و مجوزهای NTFS استفاده نمود ) .
سیستم رمزنگاری EFS به منظور
افزایش امنیت و کارآئی از ترکیب رمزنگاری متقارن و نامتقارن استفاده می نماید .
سیستم فوق برای حفاظت از داده های ذخیره شده بر روی دیسک استفاده می گردد و در
صورتی که یک فایل رمز شده در طول شبکه حرکت کند و کاربران از یک sniffer به منظور capture بسته های
اطلاعاتی استفاده نمایند ، می توانند اطلاعات موجود در فایل را مشاهده نمایند .
· استفاده از رمزنگاری دیسک : با استفاده از نرم افزارهای متعددی می توان تمامی محتویات یک دیسک را رمز نمود . بدین ترتیب ، کاربران غیرمجاز قادر به مشاهده محتویات ذخیره شده بر روی دیسک نخواهند بود . داده بطور اتومانیک و در زمان نوشتن بر روی هارد دیسک رمز و قبل از استقرار درون حافظه ، رمزگشائی می گردد . از اینگونه محصولات می توان به منظور رمزنگاری درایوهای USB ، فلش درایوها و ... استفاده نمود . PGP Whole Disk Encryption و DriveCrypt نمونه هائی از اینگونه برنامه ها می باشند .
· استفاده از زیرساخت کلید عمومی : PKI ( برگرفته از public key infrastructure ) ، سیستمی برای مدیریت زوج کلید خصوصی و عمومی و گواهینامه های دیجیتال است . با توجه به این که کلید ها و گواهینامه ها توسط یک مرکز تائید شده صادر می شوند از استحکام امنیتی بیشتری برخوردار می باشند . (سرویس دهندگان گواهینامه دیجیتال ممکن است به صورت داخلی و در یک شبکه خصوصی نصب و یا در یک شبکه عمومی ، نظیر Versign ، نصب شده باشند ) . در چنین مواردی ، می توان داده را با استفاده از کلید عمومی کاربر مورد نظر رمز نمود . در ادامه، صرفا" کاربری قادر به رمزگشائی اطلاعات است که دارای کلید خصوصی مرتبط با کلید عمومی باشد .
· مخفی کردن داده درون داده دیگر : با استفاده از یک برنامه steganography می توان داده مورد نظر را درون سایر داده ها مخفی نمود . به عنوان نمونه ، می توان یک پیام متن را درون یک فایل گرافیکی JPG . و یا فایل موزیک mp3 . ، مخفی نمود . اینگونه ها برنامه ها پیام ها را رمز نمی نمایند و اغلب از آنان به همراه نرم افزارهای رمزنگاری استفاده می گردد . در چنین مواردی ، در ابتدا داده رمز و در ادامه با استفاده از نرم افزارهای steganography مخفی می گردد . برنامه StegoMagic یک نمونه از برنامه های steganography است که با استفاده از آن می توان متن مورد نظر را رمز و درون فایل هائی از نوع WAV ، . TXT . و یا BMP . ذخیره نمود .
· حفاظت داده در حال حمل : داده ارسالی در یک شبکه می تواند در زمان حرکت توسط مهاجمان شنود گردد . مهاجمان در این رابطه از نرم افزارهائی موسوم به sniffer استفاده می نمایند که امکان آنالیز پروتکل و یا مانیتورینگ شبکه را در اختیار آنان قرار می دهد. برای حفاظت داده در زمان حرکت در شبکه ، می توان از IPSec ( برگرفته از Internet Protocol Security ) استفاده نمود . در چنین مواردی ، سیستم ارسال کننده و سیستم دریافت کننده می بایست قادر به حمایت از ویژگی فوق باشند . از ویندوز 2000 به بعد ، امکانات لازم به منظور حمایت از IPSec در سایر نسخه ها تعبیه شده است .
· ایمن سازی مبادله داده در محیط های wireless : داده ئی که از طریق یک شبکه wireless ارسال می گردد ، دارای استعداد بیشتری به منظور بررسی و شنود توسط مهاجمان نسبت به سایر داده های ارسال شده بر روی یک شبکه اترنت است ، چراکه ضرورتی ندارد مهاجمان به محیط فیزیکی شبکه و یا دستگاه های مربوطه دستیابی داشته باشند . در صورت عدم پیکربندی صحیح و ایمن access point ، مهاجمان با استفاده از یک کامپیوتر قابل حمل که دارای امکانات wireless است ، می توانند به داده ذخیره شده در شبکه دستیابی داشته باشد . کاربران می بایست صرفا" اقدام به ارسال و دریافت داده بر روی شبکه هائی نمایند که از رمزنگاری WPA ( برگرفته از Wi-Fi Protected Access ) در مقابل WEP ( برگرفته از Wired Equivalent Protocol ) استفاده می نمایند ( WPA ، بمرابت دارای امنیت بیشتری نسبت به WEP است ) .
· استفاده از مدیریت حقوق به منظور حفظ کنترل : در برخی موارد ، لازم است که داده برای سایر کاربران ارسال گردد ولی نگران نحوه برخورد آنان با داده ارسالی می باشیم ( مثلا" آیا آنان می توانند داده ارسالی را حذف و یا تغییر دهند ) . در چنین مواردی می توان از RMS ( برگرفته از Rights Management Services ) در ویندوز استفاده نمود . سیستم فوق ، مشخص می نماید که دریافت کننده پس از دریافت اطلاعات قادر به انجام چه کاری خواهد بود . به عنوان نمونه ، می توان حقوق مورد نظر را بگونه ای تنظیم نمود که صرفا" دریافت کننده قادر به مطالعه فایل ارسالی باشد و نتواند در آن تغییراتی را اعمال نماید . همچنین ، با استفاده از سیستم فوق می توان مدت زمان استفاده از مستندات و یا پیام ها را مشخص نمود . بدین ترتیب پس از گذشت مدت زمان مشخص شده ، اعتبار آنها به اتمام رسیده و عملا" امکان دستیابی و استفاده از آنها وجود نخواهد داشت .