حملات اسمیشینگ و انواع راه کارهای جلوگیری از وقوع آن :

به تازگی، حملات فیشینگ در نتیجه گسترش استفاده از گوشی‌های هوشمند روند صعودی پیدا کرده است، این در حالی است که خسارات مالی ناشی از این حملات نیز در مقایسه با گذشته با رشد قابل توجهی رو‌به‌رو بوده است.

با توجه به استفاده روزمره افراد از گوشی‌های هوشمند و پیچیده‌تر شدن شیوه‌های مورد استفاده مهاجمان، حملات فیشینگ به موضوعی قابل تامل و نگران کننده تبدیل شده است. در این مقاله به بررسی جرائمی از جمله فیشینگ، فیشینگ صوتی و اسمیشینگ مرتبط با گوشی‌های هوشمند می‌پردازیم.

به طور خاص،‌ تمرکز این مقاله روی حملات اسمیشینگ و راهکار‌های جلوگیری از وقوع آن است.

با آغاز سال 2000 و ورود به قرن بیست و یکم،‌ جرائم مرتبط با حوزه ارتباطات و فناوری اطلاعات در نتیجه افزایش استفاده از گوشی‌های هوشمند، قوت گرفت. در این دوران، حملات فیشینگ هوشمندانه‌تر و سازمان یافته‌تر از گذشته شدند، که همین به سنگین‌تر شدن خسارات مالی وارده به قربانیان و در بعضی موارد به خودکشی قربانیان منجر شد.

با پیشرفت فناوری، شیوه‌های مورد استفاده در معاملات بانکی تا حد زیادی تغییر کرده‌ است. روز به روز مشتریان بیشتری به جای مراجعه فیزیکی به شعب بانک‌ها، با کمک کامپیوتر و گوشی‌های هوشمند خود به خدمات بانکی دسترسی پیدا کرده و کار‌های بانکی خود را انجام می‌دهند. با توجه به این که در این روش مراحل احراز هویت، از راه دور صورت می‌گیرد، خطر وقوع کلاهبرداری‌های مالی بیشتر خواهد بود.

انجام معاملات به صورت آفلاین تنها برای دارنده حساب امکان‌پذیر است، این در حالی است که تراکنش‌های آنلاین توسط هر فردی که به گواهی دیجیتال مورد نیاز دسترسی داشته باشد، قابل اجرا است.

اسمیشینگ که اخیراً به مساله مهمی تبدیل شده است، از دشواری شناسایی دارندگان حساب در طول معاملات مالی الکترونیکی، بهره برداری می‌کند. در این مطلب حملات فیشینگ و اسمیشینگی را که اخیراً رخ داده مورد بحث و بررسی قرار می‌دهیم. علاوه بر این، ملاحظات امنیتی علیه حملات اسمیشینگ و جزییات مربوط به مراحل شکل گیری آنها خواهیم پرداخت.

حملات اسمیشینگ

فیشینگ یکی از جرایم جاسوسی اینترنتی است که مشخصات کاربری افراد، اطلاعات مربوط به حساب آن‌ها، شماره‌ها و مولفه‌های مربوط به پرداخت الکترونیک را از روش غیر‌قانونی به دست می‌آورد و این ارتباط از طریق ایمیل یک موسسه مالی و یا یک فرد یا ارگان آشنا است. در این نوع از حمله، فرد هکر ماسک این موسسات را بر چهره خود زده و از روش‌های مخابراتی متداول استفاده می‌کند. حملات فیشینگ خسارات‌ مالی متعددی را به فرد قربانی تحمیل می‌کند و از آنجایی که روش‌های حمله فیشینگ به طور مداوم تغییر می‌کند، حفاظت و مقابله با آن دشوار است.

امروزه حمله فیشینگ با تروجان‌ها، کرم‌ها و ویروس‌ها ترکیب شده‌اند تا آسیب‌پذیری رایانه‌ها را بیشتر کنند و ترکیب این بد‌افزار‌ها با فیشینگ، سبب پیچیده‌تر شدن آن نیز شده است. تروجان از طریق یک ضمیمه ایمیل و به کمک تکنیک و روش‌های مهندسی اجتماعی برای کاربر ارسال می‌شود. تروجان روی رایانه کاربر فعال شده و  مشخصات حساب کاربری نظیر نام و رمز عبور و اطلاعات مهم دیگر را برای هکر ارسال می‌کند.

امروزه روشی ایجاد شده است که هکر با ایجاد یک مسیر یا آدرس جعلی، هنگام ورود کاربر به وب‌سایت اصلی، مسیر وب‌سایت جعلی برای کاربر نمایش داده شده و وبگاه جعلی نمایان خواهد شد. در این روش، روی فایل‌های سیستم‌عامل کاربر تغییر ایجاد می‌شود و مسیر‌های فرعی با استفاده از کرم های رایانه‌ای و یا ویروس‌ها برای ارسال اطلاعات مورد استفاده قرار می‌گیرند (اسکیمینگ). بدین ترتیب، هنگامی که کاربر مشخصه‌های حساب کاربری نظیر نام کاربری و رمز عبور، را وارد می‌کند، بد‌افزار آنها را برای هکر ارسال می‌کند.

امروزه روش جدیدی که برای فیشینگ استفاده می‌شود که بهره گیری از پیامک تلفن همراه است. با این شیوه، هکر‌ها مشخصه‌های کاربری و اطلاعات حساب را به سرقت خواهند برد. Smishing که ترکیب sms و phishing است توسط شرکت مک‌آفی نامگذاری شده است و این فیشینگ هنگامی رخ می‌دهد که آدرس وب‌سایت جعلی توسط پیامک برای فرد قربانی ارسال شود.

در این روش، با کلیک کاربر روی لینک و ورود به وب‌گاه آلوده، بد‌افزار به گوشی نفوذ کرده و گوشی تلفن همراه را آلوده می‌کند. به این ترتیب، گوشی تلفن همراه توسط فرد ثالث یا نفوذگر کنترل خواهد شد. تصاویر شماره (1) و (2) مراحل اجرای اسمیشینگ را نشان می‌دهند. این ویژگی نه تنها سبب جاسوسی پیشرفته و هوشمندانه می‌شود بلکه روشی سیستماتیک و هوشمندانه‌تر از روش‌های دیگر فراهم است که در نهایت سبب تخریب و سوءاستفاده بیشتر مهاجمان خواهد شد.

انواع حملات اسمیشینگ

در این مقاله روش‌های اسمیشینگ به دو دسته طبقه تقسیم بندی شده است. در روش اول هکر پیامکی را که حاوی جزئیات خرید، تبادل و مشخصات ارسال کالا، بازپرداخت و یا کنسل کردن محموله  است را از طریق پیامک به موبایل فرد قربانی می‌فرستد. در این روش شماره تلفن فرد هکر نیز در پیامک ادغام خواهد شد.

سپس صاحب تلفن هوشمند با هکر تماس خواهد گرفت و هکر از ایشان مشخصات پرداخت الکترونیک نظیر شماره حساب، شماره کارت رمز دوم و cvv2 را درخواست می‌کند. مشخصات کاربری و مشخصات حساب الکترونیک فرد قربانی از طریق مکالمه هکر و صاحب تلفن همراه دزدیده خواهد شد.

تصویر شماره (1)

تصویر شماره (2)

روش دوم استفاده از یک کد مخرب در درون وب‌سایت هکر است. کد مخربی که روی وب‌سایت جعلی قرار گرفته و آدرس وب‌سایت فریبنده (لینک جعلی) برای کاربر ارسال خواهد شد. بنابراین، کاربر پس از دریافت این پیامک روی آن کلیک کرده و به وب‌سایت حاوی کد جعلی متصل می‌شود و گوشی تلفن همراه فرد قربانی تحت تاثیر این کد مخرب قرار خواهد گرفت.

در زمان پرداخت‌های الکترونیکی، شناسه احراز هویت که به سرورهای مجاز ارسال شده است، توسط کدهای آلوده مورد شنود قرار خواهد گرفت و برای هکر ارسال خواهد شد. در این زمان، هکر می‌تواند اقدام به خرید توسط گوشی کاربر کند، زیرا تلفن همراه کاربر کد احراز هویت را دریافت کرده است. این کد نقش اساسی در احراز اصالت کاربر دارد.

هکر یک پیامک فریبنده را برای کاربر ارسال می‌کند و به این ترتیب، کاربر متوجه سوءاستفاده هکر نخواهد شد. پیامک حاوی آدرس URL است که کد بد‌افزار روی آن آدرس فعال شده است. هنگامی که کاربر روی آن کلیک کند، تلفن همراه آلوده خواهد شد. شکل زیر فرایند اسمیشینگ را نشان می‌دهد.

3. ملاحظات امنیتی برای جلوگیری از حمله اسمیشینگ به گوشی‌های هوشمند

در این بخش به روش‌های مختلف برای جلوگیری از اسمیشینگ می‌پردازیم، در ابتدا درباره چگونگی شناسایی URL معتبر بحث خواهیم کرد، سپس فرایند اسمیشینگ و نحوه عکس العمل در مقابل آن را ذکر می‌کنیم.

3.1 استفاده از برنامک‌های تصدیق URLهای معتبر

جعبه مدیریت اسمیشینگ که توسط برنامک روی تلفن‌های هوشمند تعبیه می‌گردد، برنامک و فایل‌های دانلود شده در جعبه‌ای به نام اسمیشینگ قرار می‌گیرد و براساس پروتکل و سیاست‌های امنیتی، این برنامک و فایل‌های دانلود شده هیچ تاثیر مخربی روی گوشی هوشمند ندارد و برای نصب باید مجوز لازم از بازارها و مارکت‌های مربوطه را داشته باشند. تصویر شماره (3) این فرایند را نشان می‌دهد. عملکرد اسمیشینگ باکس توسط گام‌های زیر صورت می‌پذیرد:

گام اول : هکر پیامکی حاوی آدرس URL ارسال می‌کند.

گام دوم : برنامک، پیامک‌های دریافتی را کنترل می‌کند که آیا حاوی آدرس URL است یا خیر، و در صورت عدم وجود این آدرس، پیامک را به صندوق مربوطه ارسال می‌کند.

گام سوم : برنامک بررسی می‌کند که آیا پیامک حاوی URLی است که کاربر قبلاً روی آن کلیک کرده است یا خیرو در صورت عدم در صورتی که قبلاً توسط کاربر کلیک نشده باشد، پیام به جعبه تاریجخچه پیامک ارسال می‌شود.

گام چهارم : در صورتی که کاربر روی آدرس کلیک کند، برنامک این آدرس را با آدرس‌های مجاز که در پایگاه داده وجود دارد، مقایسه می‌کند.

گام پنجم : برنامک صحت URL مقایسه شده را مشخص می‌کند و در صورت عدم اعتبار URL، این آدرس از پیامک پاک شده و به کاربر پیام هشدار ارسال می‌شود.

تصویر شماره (3)

3.2 مدیریت دانلود نرم افزار توسط برنامک اسمیشینگ

تلفن‌های هوشمند نسبت به حملات اسمیشینگ بسیار آسیب‌پذیر هستند، زیرا به کمک یک کد مخرب و تعبیه آن روی تلفن کاربر می‌توان اطلاعات کلیدی کاربر و اطلاعات شخصی او را نمایان کرد. آزمون تست صحت و اعتبار کد URL موجود در پیامک توسط یک برنامک امکان‌پذیر است و به کاربر می‌تواند درباره درستی و اعتبار آن لینک درون پیامک پس از کلیک روی آن اطلاع دهد.

اسمیشینگ حمله مستقیم روی تلفن همراه کاربر انجام نمی‌دهد و مستقیماً بد‌افزار را روی گوشی بارگذاری نمی‌کند. در این آزمون، پیامک دریافتی توسط برنامک بررسی شده و در صورت وجود آدرس URL، اعتبار آن با پایگاه داده سنجیده خواهد شد. تصویر شمار (4) فرایند مقایسه و اعتبار سنجی آدرس URL را نشان می‌دهد.

فرایند و الگوریتم عملکرد اعتبار سنجی آدرس URL به شرح زیر است:

گام اول: هکر پیامکی حاوی آدرس URL را برای کاربر ارسال می‌کند.

گام دوم: برنامک، پیامک‌های دریافتی را کنترل می‌کند تا مطمئن شود که آیا حاوی آدرس URL است یال خیر، و در صورت عدم وجود این آدرس، پیامک را به صندوق مربوطه ارسال می‌کند.

گام سوم: برنامک بررسی می‌کند که آیا پیام متنی حاوی یک URL است که توسط کاربر روی آن کلیک شده یا خیر. چنانچه روی URL کلیک نشده باشد، پیام را به یک جعبه تاریخچه پیغام ارسال می‌کند.

گام چهارم : در صورتیکه کاربر روی لینک کلیک کرد و دانلود آغاز شد و نهایی گردید، برنامک دانلود شده به صندوق اسمیشینگ منتقل خواهد شد.

گام پنجم : صندوق اسمیشینگ به برنامه‌های مجاز موجود در اندروید مارکت و گوگل پلی اجازه نصب داده و هرگونه برنامک غیر‌مجاز دیگر را حذف خواهد کرد.

تصویر شماره (4)