پایگاه خبری تحلیلی آریا جوان

آخرين مطالب

گوگل روزانه صدمیلیون حمله‌ی فیشینگ را مسدود می‌کند فناوري

گوگل روزانه صدمیلیون حمله‌ی فیشینگ را مسدود می‌کند

  بزرگنمايي:

آریا جوان - خطر فیشینگ همواره در کمین کاربران اینترنت است و اکنون با گذشت مدت‌زمان طولانی، هنوز قربانیان زیادی را به‌دام می‌اندازد. در این میان، یک روش توانسته همه‌ی فیشینگ‌ها را کاملا شکست دهد.

کاربران سرویس‌های ایمیل باید به تمام ایمیل‌هایی حساس باشند که با هدف فیشینگ به آن‌ها ارسال می‌شوند؛ زیرا اگر نگرشی جدی‌تر به این‌گونه ایمیل‌ها داشته باشیم، این احتمال کمتر می‌شود که فریب آن‌ها را بخوریم و با دعوت این ایمیل‌ها، اطلاعات کاربری خود را دراختیارشان بگذاریم. درادامه خواهیم دید که داشتن نگرشی منفی به تمام ایمیل‌ها، چگونه احتمال به‌دام‌افتادن کاربران را کاهش می‌دهد. مقاله‌های مرتبط:
هوش مصنوعی چگونه به امنیت سایبری کمک می‌کند؟ فروش بیش از 23 میلیون کارت نقدی و اعتباری سرقتی در دارک وب
در جلسه‌ای توجیهی در کنفرانس امنیتی Black Hat در لاس‌وگاس، الی بورزتین ، محقق امنیتی گوگل و دانیلا الیویرا ، استاد امنیت دانشگاه فلوریدا، درباره‌ی این نوع نگرش و سایر مسائل کلاه‌برداری ازطریق فیشینگ‌ایمیل و فریب کاربران به‌منظور دستیابی به اطلاعات آنان گفت‌وگو کردند.
الی بورزتین در همین نشست بیان داشت:
ممکن است فکر کنید ایمیل‌فیشینگ بسیار تصادفی و بدون قاعده انجام می‌شود؛ اما باید گفت در عملیات فیشینگ، طعمه‌ها انتخاب می‌شوند. گوگل روزانه تقریبا صدمیلیون ایمیل‌فیشینگ را مسدود می‌کند که غالبا در سه دسته قرار می‌گیرند: 1. «فیشینگ‌های نیزه‌ای» که بسیار هدفمند هستند. این فیشینگ‌ها افراد خاصی را هدف قرار می‌دهند؛ بنابراین، تعداد آن‌ها کم است؛ 2. «فیشینگ‌های بوتیک» که فقط ده‌ها نفر را هدف قرار می‌دهد؛ 3. «فیشینگ‌های انبوه خودکار» که صدها یا هزاران نفر را هدف قرار می‌دهد. البته، مدت‌زمان انجام عملیات برای هریک از فیشینگ‌های یادشده متفاوت است. به‌گفته‌ی گوگل، معمولا بوتیک‌فیشینگ‌ها به‌طور میانگین حدود 7 دقیقه و فیشینگ‌های انبوهِ خودکار هم حدودا 13 ساعت زمان می‌برد. گوگل اضافه می‌کند اکثر کمپین‌های فیشینگ خدمات ارائه‌شده‌ی سرویس تجاری ایمیل (Commercial Mail Service) را هدف قرار می‌دهند. همچنین، برای این کمپین‌ها ایمیل‌های شرکت‌ها طعمه‌های بهتری هستند؛ بنابراین، تعداد ایمیل‌های فیشینگ که به ایمیل شرکت‌ها ارسال می‌شود، 4.8 برابر بیشتر از سایر ایمیل‌ها است.
درمجموع، سرویس‌های ایمیل، سرویس‌های ابری، مؤسسه‌های مالی، فروشگاه‌های مجازی و خدمات ارسال و تحویل محموله با 42، 25، 13، 5 و 3 درصد سهم به‌ترتیب از بزرگ‌ترین قربانیان فیشینگ‌ها هستند. بورزتین خاطرنشان کرد: گوگل هنوز نتوانسته بسیاری از ایمیل‌های فیشینگ را شناسایی کند و این امر با درنظرگرفتن حجم بسیار زیاد اطلاعات منطقی به‌نظر می‌آید. به همین دلیل، جیمیل سعی می‌کند علامتی نارنجی‌رنگ به مفهوم هشدار در بالای ایمیل‌های مشکوک ثبت کند؛ اما این ایمیل‌ها الزاما حملات فیشینگ نیستند. شما هم در فیشینگ نقش دارید
در این نشست، به عواملی انسانی‌‌ای اشاره شد که سبب می‌شوند راه برای فیشینگ هموارتر شود. الیویرا درباره‌ی این عوامل می‌گوید: زمانی‌که خوشحالیم، طبیعتا دید مثبتی داریم و توانایی ما برای تشخیص فریب کاهش می‌یابد. وی همچنین تصریح کرد افزایش سطح هورمون‌هایی که سبب شادی افراد می‌شوند، ازجمله تستوسترون، استروژن، اوکسی‌توسین، سروتونین و دوپامین، خطرپذیری افراد را افزایش می‌دهند؛ اما افزایش سطح کورتیزول، هورمون استرس، سبب می‌شود محتاطانه‌تر رفتار کنیم. الیویرا سه تاکتیک متداول برای ترغیب کاربران به کلیک روی ایمیل‌های فیشینگ را تشریح کرد: 1. درخواست‌های مقام مافوق (واقعا کسی می‌تواند ایمیل ضروری رئیس خود را نادیده بگیرد؟)؛ 2. ایمیل‌هایی که بازکردن آن‌ها پیشنهاد دریافت سود مالی را به‌همراه دارد یا نادیده‌گرفتن آنان حاوی هشداری مبنی‌بر ضرر مالی است؛ 3. ایمیل‌هایی که احساسات دریافت‌کننده را تحت‌تأثیر قرار می‌دهند؛ مثلا به‌نظر شما ایمیلی که درباره‌ی کودکان باشد، عواطف انسان‌ها را متأثر نمی‌کند؟ توصیه‌ی الیویرا و بورزتین به کاربران ایمیل
حتما فکر می‌کنید توصیه‌ی آنان به کاربران ایمیل خواندن وب‌سایت‌هایی است که اطلاعاتی درباره‌ی فیشینگ ارائه می‌کنند؛ اما این‌طور نیست؛ بلکه توصیه‌ی آنان به کاربران استفاده از « تأیید هویت دو مرحله‌ای» است. آن‌ها ضمن تأکید بر این مسئله افزودند نباید از هر نوع « تأیید هویت دو مرحله‌ای» استفاده کرد. براساس تحقیقات پیشین گوگل، استفاده از پیامک رایج‌ترین روش تأیید هویت دو‌ مرحله‌ای است که برای جلوگیری از فیشینگ‌های انبوه مناسب است؛ اما استفاده از این روش در تأیید هویت دومرحله‌ای، هنگام رویارویی با فیشینگ‌های هدفمند چندان موفقیت‌آمیز نبوده است؛ مثلا در این تحقیقات، مشخص شد این روش در مقابله با 96 درصد از فیشینگ‌های بوتیک و 76 درصد از فیشینگ‌های نیزه‌ای موفق بوده است. صفحات فیشینگ پیشرفته از قربانیان خود می‌خواهند کدی را وارد کنند که به آنان پیامک شده است و سپس، از این کد اعتباری پیش از منقضی‌شدن در تأیید هویت دو مرحله‌ای استفاده می‌کنند. البته، در حملاتی دیگر نظیر حملات تعویض سیم‌کارت ( SIM swapping )، شکست این سپر حفاظتی امکان‌پذیر می‌شود. در این حملات، هکرها از سیم‌کارتی دیگر در گوشی هوشمند دیگری استفاده می‌کنند و گوشی را فریب می‌دهند؛ بدین‌ترتیب که گویا در حال فعال‌سازی سیم‌کارت خود در گوشی هوشمند جدید هستید تا اطلاعات شما را به‌سرقت ببرند.
امکاناتی که در گوشی‌های هوشمند وجود دارند و می‌توانند اقداماتی درمقابل فیشینگ انجام دهند، نظیر برنامه‌ی تأیید اعتبار گوگل، بسیار قدرتمندتر هستند و 99 درصد فیشینگ‌های بوتیک و 90 درصد فیشنگ‌های نیزه‌ای را مسدود می‌کنند. بااین‌حال، بیشترین محافظت ازطریق توکن‌های امنیتی USB تأمین می‌شود که در آزمایش‌های گوگل موفق شد تمام فیشینگ‌ها را به‌طور کامل شکست دهد. این توکن‌ها، نظیر سری محبوب Yubico، باید با رمزنگاری سایت اصلی تطبیق داشته باشد؛ بنابراین، هیچ سایت دیگری حتی اگر بسیار شبیه به سایت اصلی باشد، این سیلیکان‌های تک‌بعدی‌نگر را نمی‌تواند بفریبد. توکن‌های USB را بسیاری از سایت‌ها پشتیبانی نمی‌کنند. برای مثال، در مرورگر اپل سافاری هم تا اواخر امسال که به‌روزرسانی macOS Catalina از راه خواهد رسید، از پشتیبانی این توکن‌ها خبری نخواهد بود. قیمت این توکن‌ها بیش از 20 دلار خواهد بود. الیویرا و بورزتین تعدادی از این توکن‌ها را برای ارائه به حضار با خود به کنفرانس Black Hat لاس‌وگاس آورده‌اند؛ اما همه باید این توکن‌ها را تهیه کنند تا سطح امنیت خود را ارتقا بخشند.
شما درباره‌ی حملات مختلف فیشینگ و راه‌های مقابله با آن‌ها چه فکر می‌کنید؟ لطفا دیدگاه‌های خود را درباره‌‌ی روش‌های حفاظت از امنیت خود دربرابر فیشینگ با ما در میان بگذارید.


نظرات شما

ارسال دیدگاه

Protected by FormShield

ساير مطالب

حسن یزدانی قهرمان جهان شد

گلکسی فولد در آزمون مقاومت؛ گوشی تاشدنی سامسونگ همچنان آسیب‌پذیر است

گوگل احتمالا به برتری کوانتومی دست پیدا کرده است

فیچرفون مبتنی‌بر اندروید 8.1 نوکیا در ویدئویی کوتاه دیده شد

iOS 13 با آسیب‌پذیری صفحه قفل منتشر شده است

اوراکل از لینوکس خودمختار پرده برداشت

تصاویر فاش‌شده تلویزیون وان پلاس به‌همراه ساندبار دیده شد

بهینه‌سازی هوش مصنوعی فقط با جمع‌آوری داده‌های کاربران ممکن است؟

چاپ و نشر کتب و مقالات علمی در مؤسسه اندیشمند

خودرو الکتریکی مزدا در نمایشگاه توکیو 2019 رونمایی می‌شود

مادربوردهای Castle Peak ،Cascade Lake-X و Comet Lake-S گیگابایت فاش شدند

دانشمندان برای مقابله با پیری داروهایی کشف کرده‌اند

فیلم | ورزشگاه فوق‌العاده مدرن قطری‌ها برای جام جهانی که شبیه کره زمین است

اپلیکیشنی که برای گذراندن دقیق و سالم یک سوم از عمرتان ضروری است

آشفتگی بازار از مسدود شدن گوشی های رجیستر شده

اگر تمام درختان زمین نابود شوند، چه اتفاقی می‌افتد؟

بهترین فیلم های اکشن 2019

مدیر عامل هواوی از فروش 20 میلیونی سری میت 30 می‌گوید

نتایج تست سقوط آیفون 11

مدیریت یک مرغداری را بر عهده بگیرید و پول پارو کنید

نگاهی به محبوب‌ترین اپلیکیشن‌ها و بازی‌های هفته سوم شهریور

کار گروهی با چه شرایطی برای کارمندان مناسب است؟

آمازون نتایج جست‌وجو را برای افزایش سوددهی تغییر می‌دهد

ردمی K20 Pro Premium Edition با حافظه رم 12 گیگابایتی عرضه می‌شود

شناخته شده ترین شهر های ارواح آسیا کدامند؟

هواوی امکان آنلاک‌کردن بوت‌لودر میت 30 پرو را فراهم می‌کند

هشدار پلیس در مورد کلاهبرداری با بنزین دو نرخی

شیائومی می میکس آلفا دارای نسبت نمایشگر به بدنه بالای 100 درصد خواهد بود

MR-LINAC؛ هوشمندترین روش شناسایی تومورهای سرطانی در ترکیه

RelicHunter؛ شکارچی عتیقه‌های باستانی

Equalizer plus؛ مداحی را با کیفیت بالا گوش دهید

تجربه بازی کانتر آنلاین و آفلاین با Special Forces Group 2

Jelly Jump؛ مانع آب شدن ژله بامزه شوید

معرفی بهترین نرم‌افزار برای تغییر سرعت فیلم‌های ضبط شده

تجربه جذاب پیاده روی در مریخ با بازی Mars: Mars

Musemage؛ مثل یک حرفه ای عکاسی کنید

اپلیکیشنی که در هفته آخر تابستان به کارتان می‌آید

اگر عصبی هستید سراغ این بازی نروید

معرفی بازی اردوگاه وحشت برای آن‌‌ها که از هیچ چیز نمی‌ترسند!

Google Keep؛ برای آن‌ها که همه چیز را یادداشت می‌کنند

HiPER؛ ماشین حساب مهندسی پیشرفته ویژه دانشجویان

معروف‌ترین اپلیکیشن‌ پخش آنلاین موسیقی در جهان

Escape Funky Island؛ تجربه چالشی جذاب برای فرار از جزیره

فایل‌های فشرده را به راحتی در گوشی‌تان باز کنید

ساعت هوشمند پیکسل گوگل به‌دلیل عملکرد نامناسب ساخته نشد

پازل: پیام | سه اسپیکر بلوتوث تسکو

تعیین خط گرندپری سنگاپور 2019؛ پول پوزیشن لکلرک

چرا AMD نتوانسته پاسخگوی تقاضا برای پردازنده‌های 7 نانومتری خود باشد؟

نسل سوم پردازنده‌های تردریپر AMD با 24 هسته از راه می‌رسد

وقت‌های خالی‌تان در روز جمعه را با Orbia پر کنید