روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ طی تحلیل حملات هدف‌دار در طول دهه‌ی گذشته، همواره به یک سناریوی واحد برمی‌خوریم که مدام و مدام تکرار می‌شود: «همه‌اش از زمانی شروع می‌شود که قربانی یک ایمیل فیشینگ باز می‌کند». حال سؤال این است که چرا ایمیل‌های "فیشینگِ هدف‌دار[1]" باید تا این حد مؤثر عمل کنند؟زیرا آن‌ها برای به دام انداختن یک قربانیِ خاص طراحی شده‌اند.

شبکه‌های اجتماعی قربانیان اغلب حکم منبع اطلاعاتی برای کلاهبرداران سایبری را دارد. اما شاید با خود بپرسید آخر چگونه؟ چطور می‌شود مجرمان سایبری به این اکانت‌ها دسترسی پیدا کنند؟ این مسئله تا حد زیادی به این که قربانی تا چه حد صفحات اجتماعی خود را باز گذاشته است بستگی دارد. اگر اطلاعات فردی روی وبسایت یک شرکت نشر داده شده باشد شاید با یک بیوگرافیِ مفصل و لینکی به پروفایل لینکدین بشود خیلی راحت این کار را کرد. اما اگر کلاهبردار سایبری تنها یک آدرس ایمیل در دست داشته باشد آنوقت کار پیچیده‌تر خواهد شد. اگر هم وقتی داشتید وارد اداره‌ی شرکت مور نظر می‌شدید ازتان عکسی گرفته شده باشد آنوقت دیگر پیدا کردن پروفایل‌تان در شبکه‌های اجتماعی بسیار سخت خواهد بود.

به همین منظور دست به آزمایشی کوچک در جست‌وجوی اطلاعات بر اساس بخش‌های مختلف اطلاعاتی زدیم. در این بررسی و آزمایش از تعدادی از همکارانمان که در بخش فعالیت رسانه‌های اجتماعی تخصص‌های مختلفی دارند کمک خواستیم. آن‌ها در واقع در این آزمایش سعی کردند با استفاده از ابزارهای جست‌وجو (که می‌شود همه‌جا پیدایشان کرد) این کار را انجام دهند. 

جست‌وجو از طریق عکس

پیدا کردن فرد از طریق عکس، سناریوی چندان مرسوم و معمولی نیست. فرض را بر این می‌گیریم که این کار ابتدا با حضور مجرم سایبری شروع می‌شود؛ مجرمی که صاف جلوی قربانی جلوی در ورودی سازمان ایستاده است و دارد آشکارا از فرد عکس می‌گیرد. اما در عمل این اقدام تا چه می‌تواند اجرایی شود؟

دو سال پیش سرویسی به نام FindFace معرفی شد. با توجه به برخی شرایط خاص این سرویس می‌توانست به سرعت تصویر را با اکانت رسانه‌ی اجتماعی مطابقت دهد. با این حال، از جولای سال گذشته این سرویس برای کاربران معمولی از دسترس خارج شده است. سازندگان آن این مدت سرگرم ساخت راه‌حل‌های دولتی-سازمانی بودند و حال این سرویس، پولی شده است. علاوه بر این، سازندگان  FindFace صراحتاً اعلام داشته‌اند که نسخه‌ی عمومی این سرویس شاید حالا حالاها ساخته نشود.

با این حال این سرویس را نباید چندان هم مورد بی‌توجهی قرار داد. برخی اوقات مجرمان سایبری خود را تماماً آماده‌‌ی سرمایه‌گذاری روی ابزارهای افزونه‌ای (به منظور اعمالِ حملات هدف دار خود) می‌کنند. همه‌چیز به هدف بستگی دارد؛ گرچه این گزینه تنها در شرایطی محتمل است که قربانی ناخواسته از خود ردی به جای گذاشته باشد.

جست‌وجو از طریق عکس خیلی راحت به عنوان سرویسی در گوگل در دسترس است. همچنین افزونه‌ی مرورِ جست‌وجو توسط عکس نیز ارائه می‌دهد که به طور اتوماتیک به دنبال سرویس‌های مختلف جست‌وجوی عکس می‌گردد. با این حال، این متود تنها برای عکس‌هایی است که از پیش در فضای آنلاین پخش شده باشند. پس این گزینه برای سناریوی ما قابل اجرا نیست؛ مگر آنکه عکسی رسمی از یک وبسایت باشد؛ اما به ندرت پیش می‌آید که عکسی بدون اطلاعات اضافی منتشر شود (نام و نام خانوادگی). با این وجود سعی کردیم تا این گزینه‌ی جست‌وجو را امتحان کنیم.  فکر می‌کنیم مجرمان سایبری بدون استفاده از سرویس پولی شناسایی چهره‌ سخت بتوانند عکس را با عکس پروفایل مطابقت دهند.

نام و نام خانوادگی

وقتی در محیط آنلاین به دنبال کسی می‌گردید معمولاً قدم اول این است که نام و نام خانوادگی او را جست‌وجو کنید. بدیهی است که موفقیت شما در این جست‌وجو تا حد زیادی به رایج بودن نام او بستگی دارد. پیدا کردن یک جان اسمیتِ بخصوص نباید کار آسانی باشد. اما کسی که نام خانوادگی‌اش لوری است (شاید چندان هم نام خانوادگی نادری نباشد اما همچنان یک فامیلیِ خاص است) خیلی زودتر در گوگل پیدا می‌شود. به هر روی، آیا هیچ می‌دانستید که برخی شبکه‌های اجتماعی به شما این را اجازه را می‌دهند تا بدون آنکه ثبت نام کنید، پروفایل فرد مورد نظر را ببینید؟

ایمیل یا شماره تلفن

اگر ایمیل فرد یا شماره تلفنش را داشته باشیم چه؟ با وجود این همه تجهیزات می‌توانیم یک راست فرد مورد نظر را رصد کنیم. اما در عین حال خدمات جمع‌کننده‌ای نیز وجود دارد که به طور اتوماتیک اطلاعات لازم را برداشت می‌کنند: از همه محبوب‌تشان Pipl است که لینک‌هایی را که با استفاده از ایمیل یا آدرس به صفحات کاربران در شبکه‌های اجتماعی منتهی می‌شوند پیدا می‌کند و بیوگرافی مختصری ارائه می‌دهد (مانند محل تولد، رشته تحصیلی و شغل). اگر به تخصص سازندگان Pipl ایمان دارید باید به شما بگوییم که اطلاعات 3 میلیارد فرد در دستان این سرویس است!

اسم مستعار

برخی افراد هم برای ایمیل‌های کاری و هم شخصی از یک نام مستعار استفاده می‌کنند؛ عده‌ای دیگر نیز هم برای زندگی خصوصی آنلاین خود و هم آدرس ایمیل شرکت از یک نام استفاده می‌کنند. مجرمان سایبری به ازای هر نام مستعاری می‌توانند اطلاعات بسیاری در مورد قربانی مورد نظر بدست آورند. آن‌ها این کار را با استفاده از منابعی همچون namechk یا knowem انجام می‌دهند. namechk می‌تواند نام اکانت را در بیش از 100 سرویس و knowem نیز این کار را روی 500 سرویس پیدا کند. مطمئناً اگر نام مستعار یک جورهایی رایج و معمول باشد، هیچ تضمینی نیست که بشود فرد را به طور حتم پیدا کرد. با این حال این سرویس جولانگاه مجرمان سایبری است.

چه کار باید کرد؟ 

همانطور که مستحضر هستید، جمع‌آوری داده‌های مربوط به قربانیان احتمالی (محل زندگی‌شان، علایق‌شان و غیره) به چندان تخصص ویژه و دسترسی به سرویس‌های پیچیده و نایابی نیاز ندارد. بنابراین علاوه بر اینکه مطالعه روش‌های فیشینگ را به شما توصیه می‌کنیم، همچنین پیشنهاد می‌دهیم قوانین ساده‌ی زیر را به کارمندان خود یادآوری کنید:

1. با ایمیل یا شماره تلفنی که عمومی است در شبکه‌های اجتماعی ثبت‌نام نکنید.
2. سعی کنید عکس پروفایل کاری و شخصی‌تان با هم یکی نباشد.
3. از نام‌های مستهار مختلفی استفاده کنید تا شناختن یک پروفایل به شناختن پروفایل بعدی منجر نشود.
4. با پخش اطلاعات غیرضروری در مورد خودتان (در شبکه‌های اجتماعی) زندگی را برای مجرمان سایبری زیبا و زیباتر نکنید.

و البته از همه مهمتر اینکه ایستگاه‌های کاری کارمندان باید به راه‌حل امنیتی تماماً قابل اعتماد -با فناوری ضد فیشینگ مؤثر- مجهز باشد؛ چیزی مثل بسته‌ی کسپرسکی اندپوینت سکیوریتی برای شرکت‌ها[2].

[1] Spear-phishing

[2] Kaspersky Endpoint Security for Business