۸ اصل برتر ضد فیشینگ برای سازمان‌ها

به گزارش خبرنگار ایبِنا، وقتی یک سازمان یا کمپانی در برابر چنین حملاتی تسلیم می‌شود، معمولاً علاوه بر کاهش سهم بازار و کاهش شهرت و اعتماد در مقابل مصرف کننده و مشتریان، زیان‌های مالی شدیدی را نیز متحمل می‌شود. بسته به دامنه‌ حمله، یک تلاش فیشینگ ممکن است به یک حادثه امنیتی برای یک سازمان تبدیل شود که بازگشت کمپانی یا سازمان به حالت اولیه خود را دچار مشکلات و دشواری‌های فراوان بکند؛ لذا شناخت سازوکار‌های مقابله با حملات فیشینگ در فرآیند‌های سازمانی از اهمیت بالایی برخوردار است. در این بخش از مجموعه مقالات " هزارتوی کلاهبرداری اینترنتی (فیشینگ) "، به تبیین رویکرد‌های ضد فیشینگ برای در امان ماندن از حملات هکری در سازمان‌ها می‌پردازیم.

۸ راه برای محافظت از سازمان‌ها در برابر حملات فیشینگ

چشم انداز امنیت سایبری به ویژه در دنیای فیشینگ به طور مداوم در حال تحول است. برای سازمان‌ها و شرکت‌ها بسیار مهم است که همیشه با کارکنان خود، ارتباطات موثر و مستمر در حوزه آگاهی بخشی حملات فیشینگ داشته باشند و آن‌ها را نسبت به آخرین تکنیک‌های حملات سایبری و مباحث مهندسی اجتماعی و مهندسی ذهن آموزش دهند. به روز نگه داشتن اطلاعات کارمندان در باب آخرین تهدیدات اینترنتی، باعث کاهش ریسک و ایجاد فرهنگ امنیت سایبری در سازمان می‌شود.

معمولاً سازمان‌ها دارای کمیته‌های ضد فیشینگ در کارگروه‌های فناوری اطلاعات خود هستند که آموزش‌های عملی ضد فیشینگ را تحت مدیریت و نظارت متخصصین خبره‌ این حوزه طراحی و اجرا می‌کنند. به طور مثال، ایمیل‌های فیشینگ شبیه‌سازی شده را برای کارکنان ارسال کرده و ردیابی می‌کنند که کدام یک از آن‌ها ایمیل را باز می‌کنند و روی پیوند‌های آلوده کلیک می‌کنند. این کارمندان را می‌توان بیشتر آموزش داد تا در حملات بعدی دچار اشتباه نشوند.

اتخاذ ۸ اصل ضد فیشینگ زیر می‌تواند به کاهش چشمگیر قرار گرفتن سازمان در معرض چنین حملاتی کمک کند:

۱. آموزش و آگاهی بخشی به کارکنان در مورد تهدیدات فیشینگ

آموزش و آگاهی بخشی به کارکنان در ارتباط با درک صحیح استراتژی‌های فیشینگ، نحوه انجام یک حمله‌ فیشینگ، شناسایی نشانه‌ها و علائم حملات فیشینگ و گزارش حوادث مشکوک به تیم امنیت سایبری سازمان، از ملزومات حیاتی یک سازمان به حساب می‌آید.
ایجاد محیط‌ها و بستر‌های عملی شبیه سازی شده برای آزمودن عملکرد کارکنان در موقع حملات فیشینگ، می‌تواند کارایی سازمانی آن‌ها را ارتقا دهد؛ یعنی هر چند وقت یکبار، تحت نظارت کمیته امنیت سایبری هر سازمان، کارمندان بخش‌های مختلف در چالش حملات فیشینگ ایمیلی یا پیامی قرار گیرند و در یک محیط تحت کنترل، نحوه رویارویی و واکنش آن‌ها در مقابل چنین وضعیتی رصد و ارزیابی شود. سپس اشکالات فنی و حفره‌هایی که در رفتار سازمانی آن‌ها در قبال این حملات وجود دارد یادداشت شده و به آن‌ها تذکر داده شود. بدین صورت مشخص می‌گردد که چه جایگاه‌های شغلی و چه افرادی در مقابل این حملات دچار چالش شده و در صورت نیاز، آموزش‌های مستمر و چندین باره برای آن‌ها برگزار گردد؛ بنابراین آزمایش حملات فیشینگ شبیه سازی شده می‌تواند به تیم‌های امنیتی کمک کند تا اثربخشی برنامه‌های آموزشی و آگاهی بخشی خود را ارزیابی کنند و به کاربران سازمانی در درک بهتر حملات کمک کنند.
همچنین سازمان‌ها باید کارکنان خود را تشویق کنند تا قبل استفاده و ورود به یک وب‌سایت، به دنبال نشان‌ها یا برچسب‌های اعتماد امنیت سایبری (مانند نماد اعتماد الکترونیک) باشند. وجود چنین نماد‌هایی نشان می‌دهد که وب سایت مذکور دارای استاندارد‌های امنیت سایبری است و احتمالاً جعلی یا مخرب نیست.

مسئله بعدی این است که کارکنان می‌بایست هرگونه فعل و انفعال مشکوک به حمله فیشینگ را در اسرع وقت به تیم امنیت سایبری سازمان گزارش دهند. اگر تیم فناوری اطلاعات و امنیت سازمان به موقع از حمله مطلع شود، می‌تواند قبل از هر اقدام مشکل آفرینی، ایمیل‌های مخرب و بدافزار‌های آلوده را خنثی کرده و از کار بیاندازد.

توجه به این نکته حائز اهمیت است که استراتژی‌های فیشینگ و رویکرد‌های مجرمان سایبری مرتباً در حال تغییر است؛ لذا تیم امنیت سایبری سازمان می‌بایست نسبت به آگاهی بخشی و آموزش مستمر کارکنان در ارتباط با روند‌های فعلی فیشینگ آماده باشد و شبیه‌سازی حملات سایبری نیز باید تکامل یابند تا احتمال شناسایی و پاسخ مناسب به حملات فیشینگ در سازمان افزایش یابد.

۲. بارگذاری "فیلتر‌های هوشمند امنیت ایمیل" در سازمان

راه‌اندازی، اجرا و بارگذاری فیلتر‌های هوشمند امنیت ایمیل می‌تواند سازمان را در مقابل بدافزارها، لینک و پیوند‌های آلوده و سایر محموله‌های مخرب موجود در پیام‌های ایمیل محافظت کند. این فیلتر‌های هوشمند می‌توانند ایمیل‌هایی که حاوی لینک‌های مخرب، پیوست‌های آلوده، محتوای هرزنامه و زبان‌های برنامه نویسی مشکوک به فیشینگ که می‌تواند نشان دهنده حمله سایبری باشد را شناسایی کنند. فیلتر‌های هوشمند امنیت ایمیل به طور خودکار ایمیل‌های مشکوک را مسدود و قرنطینه می‌کنند و از فناوری sandboxing برای "خنثی سازی" ایمیل‌ها استفاده کرده تا بفهمند که آیا آن‌ها حاوی کد‌های مخرب هستند یا خیر.

۳. محدود کردن دسترسی عمومی به برخی از سیستم‌ها و داده‌های با ارزش سازمانی

بیشتر رویکرد‌ها در حملات فیشینگ برای فریب دادن اپراتور‌های انسانی طراحی شده‌اند و برخی کاربران سازمانیِ دارای حساب‌های کاربری حساس و حیاتی، اهداف جذابی برای مجرمان سایبری خواهند بود. محدود کردن دسترسی عمومی کارکنان به سیستم‌ها و داده‌های مهم سازمانی می‌تواند به محافظت از اطلاعات با ارزش و طبقه بندی شده سازمانی در برابر نشت کمک کند. برای اجرای این فرآیند، شما می‌توانید از اصل امتیازبندی استفاده کنید و فقط به کاربرانی که برای پیشبرد اهداف سازمانی به این سیستم‌ها و داده‌های با ارزش قطعا نیاز دارند، دسترسی بدهید.

۴. الزام اجرای فرآیند احراز هویت دو مرحله‌ای در سازمان

یکی از موثرترین روش‌های مقابله با حملات فیشینگ در سازمان‌ها، الزام اجرای فرآیند احراز هویت دو مرحله‌ای است، زیرا هنگام ورود به سیستم ها، پوشه‌ها و برنامه‌های طبقه بندی شده و حساس سازمان، یک مرحله تأیید مضاعف را با خود به همراه دارد. بدین صورت هم دسترسی‌های اضافی و غیر ضرور به محتوا‌های با ارزش سازمانی کاهش می‌یابد و هم در هنگام مواجه با حملات فیشینگ، احراز هویت مرحله دوم از ادامه مسیر حمله جلوگیری کرده و زنجیره‌ی فیشینگ را قطع می‌کند.

۵. اجرای بستر‌های ضد فیشینگ بر روی دستگاه‌های تلفن همراه سازمانی

دستگاه‌های تلفن همراه سازمانی، یک هدف رایج برای فیشر‌ها در حملات سایبری هستند. موبایل‌های سازمانی به چند دلیل جذابیت برای عملیات فیشینگ دارند:

--کانال‌های ارتباطی چندگانه: تلفن‌های همراه دارای برنامه‌هایی برای ارسال ایمیل، پلتفرم‌های ارتباطی سازمان، پیام‌رسانی SMS و رسانه‌های اجتماعی سازمان هستند. همه این‌ها می‌توانند محتوا و لینک‌های مخرب را حمل کنند و گزینه‌های مختلفی را برای حمله‌های فیشینگ در اختیار مهاجمان قرار دهند.

--اتصال "همیشه روشن": اکثر کارکنان در ساعات کاری، دائماً موبایل سازمان را همراه خود دارند و اغلب پیام‌ها را در چند لحظه پس از دریافت آن‌ها بررسی می‌کنند. همین امر این احتمال را افزایش می‌دهد که یک مهاجم با حداقل زمان انتظار، یک حمله موفق فیشینگ داشته باشد.

--کوتاه شدن آدرس وبسایت در موبایل: صفحه نمایش کوچک موبایل باعث می‌شود تنها بخشی از نشانی یک وبسایت (URL) در نوار آدرس نشان داده شود. این امر پنهان کردن لینک‌های فیشینگ در نشانی وب را آسان‌تر می‌کند.

همه این عوامل به این معنی است که کاربران تلفن همراه سازمان به شدت در برابر حملات فیشینگ آسیب پذیر هستند؛ لذا تدابیر تیم ضد فیشینگ سازمان باید پشتیبانی و محافظت ویژه را برای جلوگیری از حملات فیشینگ مبتنی بر تلفن همراه در نظر داشته باشد.

۶. الزام کارکنان به استفاده از رمز عبور‌های متفاوت، پیچیده و متغیر برای پنل‌های شرکتی و عدم اشتراک‌گذاری آن

متاسفانه اکثر کارکنان سازمان‌ها معمولاً از یک رمز عبور یکسان برای چندین حساب آنلاین استفاده می‌کنند و یک رمز عبور منفرد می‌تواند به مهاجم سایبری اجازه دسترسی به بیش از یک حساب از حساب‌های کاربری آنلاین کارکنان را بدهد. همچنین بیشتر این رمز عبورها، الگویی ساده و غیر پیچیده دارند که در هنگام حمله فیشینگ، آسیب پذیری بالایی خواهند داشت؛ لذا کارمندان یک سازمان می‌بایست ملزم به استفاده از رمز‌های عبور منحصر به فرد، با کاراکتر‌های متفاوت و پیچیده برای همه حساب‌هایشان، عدم به اشتراک‌گذاری رمز‌های عبور خود برای دیگران (مخصوصاً از طریق ایمیل) و عدم تایپ و ثبت رمز عبور در صفحه‌ای که توسط لینکی از یک ایمیل مشکوک ارسال شده است، شوند.

همچنین سازمان‌ها باید سیاست‌های مدیریت رمز عبور سختگیرانه‌ای را اعمال کنند و کارمندان را ملزم کنند که هر چند وقت یکبار رمز عبور خود را تغییر دهند و اجازه استفاده مجدد از یک رمز عبور تکراری را برای چندین برنامه نداشته باشند.

۷. استفاده از هوش مصنوعی برای مقابله با حملات فیشینگ در سازمان

حتی بهترین حالت آگاهی بخشی و آموزش امنیت سایبری به کارکنان یک سازمان، لزوما محافظت کاملی در برابر حملات فیشینگ ایجاد نمی‌کند. به حداقل رساندن خطر حملات فیشینگ در یک سازمان، مستلزم استفاده و استقرار نرم افزار‌های ضد فیشینگ مبتنی بر هوش مصنوعی است که قادر به شناسایی و مسدود کردن محتوای فیشینگ در تمام سرویس‌های ارتباطی سازمان باشد.

۸. اجرای رویکرد‌های ضد فیشینگ برای برنامه‌ها و پلتفرم‌های کاربردی در سازمان

برنامه‌های کاربردی مانند نرم افزار‌های آفیس مایکروسافت (ورد، پاورپوینت، اکسل، اکسس، پابلیشر، آوت لوک، ویر چوال پی سی، وان نوت، وان درایو، مایکروسافت پروژکت و ...)، نرم افزار‌های گوگل (موتور جستجوگر گوگل، گوگل درایو، گوگل مپ، گوگل کروم، گوگل میت، جی میل و...)، نرم افزار‌های یاهو (ایمیل، یاهو مسنجر، و...)، اسکای روم و سایر برنامه‌ها و پلتفرم‌های کاربردی همه قادر به آسیب پذیری از طریق دریافت و به اشتراک گذاری لینک ها، پیوست‌ها و فایل‌های آلوده هستند؛ لذا اهتمام به اجرای رویکرد‌های ضد فیشینگ در مورد آن‌ها ضرورت دارد.

ادامه دارد...

منابع
۱. Aburrous M. , et al. (۲۰۲۲) , ”Predicting Phishing Websites Using Classification Mining Techniques with Experimental Case Studies,” in Seventh International Conference on Information Technology, IEEE Conf ,Las Vegas, Nevada, USA, pp. ۱۷۶-۱۸۱.
۲. Alkhalil, Zainab & Hewage, Chaminda & Nawaf, Liqaa & Khan, Imtiaz (۲۰۲۱) ,” Phishing Attacks: A Recent Comprehensive Study and a New Anatomy”, Frontiers in Computer Science ,Vol.۳. No.۱, pp:۱۲-۲۶.
۳. Chen ,J. & Guo ,C. (۲۰۲۰) , “Online detection and prevention of phishing attacks”, in in Proc. Fifth Mexican International Conference in Computer Science, IEEE Conf, pp. ۱-۷،
۴. Downs ,J. S. , et al (۲۰۲۱) , “Behavioural response to phishing risk”, presented at the Proc. anti-phishing working groups ۲nd annual eCrime researchers summit, ACM Conf, Pittsburgh, Pennsylvania, pp. ۳۷-۴۴.
۵. Gunter Ollmann, (۲۰۲۰) , “The Phishing Guide - Understanding & Preventing Phishing Attacks,” Press in IBM Internet Security Systems.
۶. James, Vaishnavi & Kadlak, Aditya & Sharma, Shabnam (۲۰۱۸) ,” Study on Phishing Attacks”, International Journal of Computer Applications, Volume ۱۸۲ , No. ۳۳, pp:۲۳-۳۱.
۷. Khonji ,Mahmoud & Iraqi ,Youssef & Andrew, Jones (۲۰۲۰) , “Phishing Detection: A Literature Survey”, in IEEE Communications Surveys & Tutorials, Vol.۱۵, Issue ۴, PP. ۲۰۹۱ – ۲۱۲۱.
۸. Parmar, B. (۲۰۲۰) ,” Protecting against spear-phishing”,Computer Fraud SecurityVol.۴,N۰.۳۲, pp: ۸–۱۱.
۹. Phish Labs (۲۰۱۹) ,” ۲۰۱۹ phishing trends and intelligence report the growing social engineering threat”, Available at: https://info.phishlabs.com/hubfs/۲۰۱۹ PTI Report/۲۰۱۹ Phishing Trends and Intelligence Report.pdf.
۱۰. Ramanathan ,Venkatesh, & Wechsler, Harry, (۲۰۲۲) ,” phishGILLNET - phishing detection methodology using probabilistic latent semantic analysis”, EURASIP Journal on Information Security, a Springer Open Journal, Vol.۱, PP.۱-۲۲،
۱۱. Ramzan, Z. (۲۰۱۹) , “Phishing attacks and countermeasures,” in Handbook of Information and communication security (Berlin, Heidelberg: Springer Berlin Heidelberg) , ۴۳۳–۴۴۸. doi:۱۰.۱۰۰۷/۹۷۸-۳-۶۴۲-۰۴۱۱۷-۴_۲۳،
۱۲. Shankar, Akarshita & Shetty, Ramesh & Nath K, Badari, (۲۰۱۹) ,” A Review on Phishing Attacks”, International Journal of Applied Engineering Research, Volume ۱۴, Number ۹ , pp: ۲۱۷۱-۲۱۷۵.
۱۳. Sheng, S. , Magnien, B. , Kumaraguru, P. , Acquisti, A. , Cranor, L. F. , Hong, J. and Nunge, E. (۲۰۱۹) ,” Anti-Phishing Phil: the design and evaluation of a game that teaches people not to fall for phish, Proceedings of the ۳rd symposium on Usable privacy and security, Pittsburgh, Pennsylvania, July ۲۰۱۹.
۱۴. Teh-Chung ,Chen & Scott ,Dick & James ,Miller (۲۰۱۹) , “Detecting visually similar web pages: application to phishing detection,” ACM Transactions on Internet Technology (TOIT) , Vol. ۱۰ (۲) , pp:۱۴-۳۱.
۱۵. Yeboah-Boateng, E. O. , and Amanor, P. M. (۲۰۱۸) ,” Phishing , SMiShing & vishing: an assessment of threats against mobile devices”, J. Emerg. Trends Comput. Inf. Sci. ۵ (۴). Pp: ۲۹۷–۳۰۷.