کلاهبرداری های AiTM حتی می توانند اقدامات احتیاطی امنیتی مانند احراز هویت دو مرحله ای را دور بزنند. بنابراین این تغییرات فیشینگ چگونه کار می کنند؟ چگونه می توانید ایمن بمانید؟
حملات فیشینگ در حال حاضر بسیار رایج است. این روش جرایم سایبری می تواند در سرقت داده ها بسیار موثر باشد و نیازی به حجم زیادی کار در سطح پایه ندارد. اما فیشینگ نیز اشکال مختلفی دارد که یکی از آنها حملات دشمن در وسط است. بنابراین، حملات فیشینگ Adversary-in-the-Middle چیست؟ و چگونه می توانید از آنها دور شوید؟
حملات دشمن در وسط چیست؟
حمله فیشینگ Adversary-in-the-Middle (AiTM) شامل سرقت کوکیهای جلسه برای سرقت دادههای خصوصی و حتی دور زدن لایههای احراز هویت است.
احتمالاً قبلاً نام کوکی ها را شنیده اید. امروزه، اکثر سایتهایی که روی آنها کلیک میکنید، از شما اجازه میخواهند از کوکیها استفاده کنند تا تجربه آنلاین شما را دقیقتر تنظیم کنند. به طور خلاصه، کوکیها فعالیت آنلاین شما را برای درک عادات شما دنبال میکنند. آنها فایلهای متنی کوچکی از دادهها هستند که میتوانند هر بار که روی یک صفحه وب جدید کلیک میکنید به سرور شما ارسال میشوند، که بنابراین به برخی از طرفها توانایی نظارت بر فعالیت شما را میدهد.
انواع مختلفی از کوکی ها وجود دارد. برخی ضروری هستند، و برخی دیگر به سادگی نیستند. حملات AiTM مربوط به کوکی های جلسه است. اینها کوکی هایی هستند که به طور موقت داده های کاربر را در طول یک جلسه وب ذخیره می کنند. این کوکی ها بلافاصله پس از خاموش کردن مرورگر خود از بین می روند.
مانند همیشه در مورد فیشینگ، حمله فیشینگ AiTM با برقراری ارتباط مجرم سایبری با هدف، معمولاً از طریق ایمیل، آغاز می شود. این کلاهبرداری ها همچنین از وب سایت های مخرب برای سرقت داده ها استفاده می کنند.
حملات AiTM به ویژه برای کاربران مایکروسافت 365 مسئله مهمی بوده است، زیرا مهاجمان با اهداف تماس می گیرند و از آنها می خواهند که به حساب های 365 خود وارد شوند. بازیگر مخرب در این کلاهبرداری، یک آدرس رسمی مایکروسافت را جعل خواهد کرد، که در حملات فیشینگ نیز معمول است.
هدف در اینجا فقط سرقت اطلاعات ورود نیست، بلکه دور زدن لایه احراز هویت چند عاملی (MFA) یا احراز هویت دو مرحله ای (2FA) قربانی است. اینها ویژگیهای امنیتی هستند که برای تأیید ورود به حساب کاربری با درخواست مجوز از یک دستگاه یا حساب جداگانه، مانند تلفن هوشمند یا ایمیل شما، استفاده میشوند.
مجرم سایبری همچنین از یک سرور پراکسی برای برقراری ارتباط با مایکروسافت و میزبانی صفحه ورود جعلی 365 استفاده خواهد کرد. این پروکسی به مهاجم اجازه می دهد تا کوکی جلسه و اطلاعات ورود قربانی را بدزدد. هنگامی که قربانی اطلاعات ورود خود را به سایت مخرب وارد می کند، سپس کوکی جلسه را می دزدد تا احراز هویت نادرست را ارائه کند. این به مهاجم این امکان را می دهد که درخواست 2FA یا MFA قربانی را دور بزند و به آنها دسترسی مستقیم به حساب خود می دهد.
چگونه در برابر حملات فیشینگ AiTM محافظت کنیم
در حالی که یک حمله فیشینگ AiTM با یک حمله فیشینگ معمولی متفاوت است، شما همچنان میتوانید همان شیوهها را برای اجتناب از اولی به کار بگیرید. این با هر پیوندی که در ایمیل های شما ارائه می شود شروع می شود.
اگر ایمیلی از فرستندهای که ادعا میشود قابل اعتماد است دریافت کردید مبنی بر اینکه باید از پیوند ارائه شده برای ورود به یکی از حسابهای آنلاین خود استفاده کنید، مراقب باشید. این یک ترفند فیشینگ کلاسیک است و میتوان آن را نگرانکننده آسان از دست داد، به خصوص اگر مهاجم از زبان متقاعدکننده یا فوری استفاده کند تا شما را متقاعد کند که در اسرع وقت وارد یک حساب کاربری شوید.
بنابراین، اگر ایمیلی دریافت کردید که شامل هر نوع پیوندی است، مطمئن شوید که قبل از کلیک کردن، آن را از طریق یک وبسایت بررسی پیوند اجرا میکنید. علاوه بر این، اگر ایمیل بیان می کند که باید وارد یک حساب کاربری شوید، به سادگی صفحه ورود به سیستم را در مرورگر خود جستجو کنید و به حساب خود در آنجا دسترسی پیدا کنید. به این ترتیب، می توانید بدون کلیک بر روی هر نوع پیوند ارائه شده، مشاهده کنید که آیا مشکلی وجود دارد که باید در حساب خود حل کنید.
همچنین باید از باز کردن هر پیوستی که از آدرسی ناآشنا برای شما ارسال می شود، خودداری کنید، حتی اگر فرستنده ادعا کند که فرد مورد اعتمادی است. از پیوست های مخرب می توان در حملات فیشینگ AiTM نیز استفاده کرد، بنابراین باید مراقب آنچه باز می کنید باشید.
به طور خلاصه، اگر واقعاً نیازی به باز کردن پیوست نیست، آن را به حال خود رها کنید.
از طرف دیگر، اگر فکر می کنید که باید پیوست را باز کنید، قبل از انجام این کار، چند بررسی سریع انجام دهید. برای تعیین اینکه آیا باید مشکوک تلقی شود، باید به نوع فایل پیوست نگاهی بیندازید. به عنوان مثال، فایلهای pdf.، .doc، zip و xls. شناخته شدهاند که در پیوستهای مخرب استفاده میشوند، بنابراین اگر یک پیوست معین یکی از این نوع فایلها است، محتاط باشید.
علاوه بر این، زمینه ایمیل را بررسی کنید. اگر فرستنده ادعا کند که پیوست حاوی سندی مانند صورت حساب بانکی است، اما فایل دارای پسوند mp3. سند
به آدرس فرستنده هر ایمیل مشکوکی که دریافت می کنید نگاه کنید. البته، هر آدرس ایمیل منحصر به فرد است، بنابراین مهاجم نمی تواند از آدرس ایمیل رسمی شرکت برای ارتباط با شما استفاده کند مگر اینکه هک شده باشد. در مورد فیشینگ، کلاهبرداران اغلب از آدرسهای ایمیلی استفاده میکنند که تا حدودی شبیه به آدرس رسمی یک سازمان هستند.
به عنوان مثال، اگر ایمیلی از طرف شخصی که مدعی مایکروسافت است دریافت کردید، اما متوجه شدید که آدرس آن به جای مایکروسافت، «micr0s0ft» نوشته شده است، با یک کلاهبرداری فیشینگ روبرو هستید. مجرمان همچنین یک حرف یا شماره اضافی به آدرس ایمیل اضافه می کنند تا به آدرس قانونی بسیار شبیه، اما نه یکسان به نظر برسد.
حتی می توانید با نگاه کردن به آن متوجه شوید که آیا یک لینک مشکوک است یا خیر. سایت های مخرب اغلب پیوندهایی دارند که غیرعادی به نظر می رسند. به عنوان مثال، اگر ایمیلی بیان می کند که پیوند ارائه شده شما را به صفحه ورود به سیستم مایکروسافت می فرستد، اما URL نشان می دهد که یک وب سایت کاملاً متفاوت است، از خودداری کنید. بررسی دامنه وب سایت می تواند به ویژه برای جلوگیری از فیشینگ مفید باشد.
در نهایت، اگر ایمیلی از یک منبع ظاهراً رسمی دریافت کردید که مملو از اشتباهات املایی و گرامری است، احتمالاً با یک کلاهبردار سر و کار دارید. شرکتهای رسمی اغلب مطمئن میشوند که ایمیلهایشان به درستی نوشته شده است، در حالی که مجرمان سایبری گاهی اوقات ممکن است در ارتباطات خود بیتفاوت باشند. بنابراین، اگر ایمیلی که دریافت کرده اید بسیار تنبل نوشته شده است، مراقب نحوه ادامه کار باشید.
مراقب باشید تا از حملات فیشینگ AiTM جلوگیری کنید
فیشینگ بسیار رایج است و برای هدف قرار دادن افراد و سازمان ها استفاده می شود، به این معنی که هیچ کس واقعاً از این تهدید در امان نیست. بنابراین، برای دوری از حملات فیشینگ AiTM و به طور کلی فیشینگ، نکات ارائه شده در بالا را برای ایمن نگه داشتن اطلاعات خود در نظر بگیرید.