Spear Phishing یک حملهی مهندسی اجتماعی است که در آن مهاجم، خود را به جای فردی معتمد معرفی نموده و قربانی را فریب میدهد تا روی لینکی که در یک ایمیل جعلی قرار دارد، کلیک نماید. در نتیجه قربانی، اطلاعات مهم را فاش میکند و برنامه مخرب (بدافزار) را بر روی شبکه نصب مینماید یا اولین مرحله از تهدیدات مداوم پیشرفته را اجرا مینماید.
Spear Phishing شبیه به Phishing و Whaling Phishing است اما بر طبق یک روش کاملا منحصر به فرد اجرا میشود و هدف آن نیز با سایر حملات مهندسی اجتماعی متفاوت است. بنابراین، هنگام ترکیببندی استراتژی امنیتی برنامه، نیاز به توجه ویژهای دارد.
مثالی از Spear Phishing:
مثال زیر پیشرفت و عواقب احتمالی حملهی Spear Phishing را نشان میدهد:
ابتدا ایمیلی جعلی از طرف فردی که ادعا میکند از بخش مدیریت پایگاه دادهها است، ارسال میشود. این ایمیل از الگوی ایمیل شرکت اصلی به مشتریانش استفاده میکند. در این ایمیل یک پیشنهاد رایگان برای یک سرویس جدید به مدت محدود ارائه میشود و از فرد هدف درخواست میشود جهت ثبت نام بر روی لینک مورد نظر کلیک کند.
پس از کلیک بر روی آن لینک، فرد مورد نظر به صفحهی ورود به سیستم وارد میشود. این صفحه مربوط به یک وب سایت جعلی است اما از نظر ظاهر کاملا مشابه با شرکت اصلی است.
در این مرحله، یک عامل کنترل بر روی سیستم قربانی نصب میشود که با استفاده از آن میتوان به شبکهی سازمان دست پیدا کرد و یا اولین مرحله از تهدیدات پیشرفته را اجرا نمود.
تفاوت فیشینگ، Spear Phishing و Whaling Attack
حملات فیشینگ، Spear Phishing و Whaling در سطح پیچیدگی و اهداف مورد نظر با یکدیگر متفاوت هستند. در ادامه به تفاوتهای آنها اشاره شده است:
-
Phishing
فیشینگ شامل ارسال ایمیلهای مخرب از منابع به ظاهر معتبر برای افراد زیادی است که فرض بر میزان پایین پاسخگویی است. به عنوان مثال، ممکن است ایمیلی از طرف paypal ارسال شود و درخواست تایید جزییات حساب را داشته باشد. در این صورت به محض کلیک بر روی لینک ضمیمه، بدافزار مورد نظر بر روی کامپیوتر قربانی نصب میگردد.
غالبا ایمیلهای فیشینگ، به صورت انبوه ارسال شده و حاوی خطاهایی مانند اشتباه املایی یا خطاهای دیگری که نشان دهندهی سوء نیت آنها میباشد، است. موضوع مهم این است که معمولا هرکسی متوجه این نکات ظریف نمیشود. لوگو و لینکهای به ظاهر معتبر برای فریب افراد کافی است.
شناسایی ایمیلهای Spear Phishing بسیار مشکل است زیرا آنها از منابع بسیار نزدیکی به قربانی ارسال میشوند. مجرمان امنیتی، ایمیلهای شخصی را به افراد خاص یا گروههایی از افراد مشترک ارسال مینمایند مانند کارمندان یک بخش از سازمان.
-
Whaling
Whaling از ایمیلهایی فریبنده استفاده میکند و افراد رده بالای یک سازمان مانند مدیرعامل، مدیر مالی و یا سایر مدیران را مورد هدف قرار میدهد. غالبا چنین افرادی در سازمان به اطلاعات مهم و ارزشمند مانند اسرار تجارت و پسوردهای ورود به حسابهای شرکت دسترسی دارند.
مهاجم ایمیلهایی را با موضوعات مهم تجاری ارسال نموده و خود را به عنوان فرد یا سازمانی با هویت قانونی معرفی میکند. به عنوان مثال، ممکن است یک مهاجم ایمیلی را برای مدیرعامل ارسال کند و در آن، خود را به عنوان مشتری معرفی نموده و درخواست اطلاعات جهت پرداخت داشته باشد.
از آنجا که در حملات Whaling فرد خاصی مورد هدف قرار میگیرد، بنابراین از عنوان و سمت او و شماره تلفن نیز استفاده میشود. معمولا این اطلاعات را با استفاده از وبسایت شرکت، رسانههای اجتماعی یا مطبوعات به دست میآورند.
تفاوت بین Whaling و Spear Phishing
تفاوت بین این دو حمله این است که Whaling، به طور انحصاری افراد عالی رتبهی سازمان را مورد هدف قرار میدهد و Spear Phishing به طور معمول گروهی از افراد با مشخصات پایینتر را مد نظر قرار میدهد.
روشهای جلوگیری از حملات Spear Phishing
ماهیت حملات Spear Phishing به گونهای است که شناسایی آنها بسیار دشوار است. با این حال، اقداماتی مانند احراز هویت دوعاملی (2FA)، سیاستهای مربوط به مدیریت پسوردها و فعالیتهای آمورشی میتواند به کاهش آن کمک کند.
- احراز هویت دو عاملی (2FA):
2FA با الزام کاربران به داشتن دو مورد به ورود به سیستم ایمن کمک میکند. مورد اول چیزی است که کاربران از آن اطلاع دارند مانند پسورد و نام کاربری؛ مورد دوم چیزی که آنها در اختیار دارند مانند تلفن هوشمند یا رمز.
زمانی که از 2FA استفاده میشود، حتی اگر شرایطی پیش بیاید که رمز عبور در اثر تکنیکهایی مانند Spear Phishing در معرض خطر قرار گیرد، بدون در اختیار داشتن دستگاه فیزیکی، مهاجم نمیتواند به آن دسترسی داشته باشد.
- سیاستهای مربوط به رمز عبور:
سیاستهای مدیریت پسورد میبایست احتیاط لازم و کافی را رعایت نمایند. این سیاستها باید گامهایی را جهت جلوگیری از استفادهی کارمندان از پسوردهای سازمان در وبسایتهای خارجی جعلی در بر داشته باشند.
یک مثال از چنین سیاستهایی این است که به کارمندان آموزشهای لازم داده شود تا به هنگام کلیک بر روی لینکهایی که از طریق ایمیل ارسال شده، یک پسورد جعلی وارد کنند. یک وب سایت معتبر پسورد اشتباه را نمیپذیرد، در صورتی که یک سایت فیشینگ آن را قبول میکند.
- فعالیتهای آموزشی:
در سطح سازمانی، شرکتهای بزرگ میتوانند آگاهی و دانش کارکنان را افزایش دهند و حملات Spear Phishing را به عنوان یک تهدید مهم معرفی کنند. مطالب آموزشی میتوانند شامل ویژگیهای نمونههایی از حملات واقعی Spear Phishing به همراه سوالات طراحی شده برای ارزشیابی سطح دانش کارمندان باشد. احتمال قربانی شدن کارمندانی که نسبت به حملات Spear Phishing آگاه باشند، بسیار کمتر خواهد بود.