کلاهبرداری جعل هویت وب سایت به یک مشکل رو به رشد تبدیل شده است، اگرچه بسیاری از کسب و کارها از ابزارهایی که برای رسیدگی به آنها دارند راضی نیستند.
مطالعهای که روز سهشنبه توسط شرکت راهحلهای حفاظت از ریسک دیجیتال Memcyco منتشر شد، نشان داد که تقریباً سه چهارم کسبوکارها یک راهحل حفاظت از جعل هویت دیجیتالی را برای جلوگیری از کلاهبرداریهای آنلاین به کار گرفتهاند، اما ۶ درصد از این سازمانها از محافظت از آنها و مشتریانشان راضی هستند. Eran Tsur مدیر عامل شرکت Memcyco به TechNewsWorld گفت: «این واقعاً تکان دهنده است.
طبق این مطالعه، بیش از دو سوم مشاغل (68٪) می دانند که وب سایت آنها جعل هویت می شود و تقریباً نیمی (44٪) می دانند که این موضوع مستقیماً بر مشتریان آنها تأثیر می گذارد. این مطالعه بر اساس نظرسنجی از 200 کارمند تمام وقت مدیر تا C-level در صنایع امنیتی، کلاهبرداری، دیجیتال و وب در ایالات متحده و بریتانیا انجام شده است.
متیو کوروین، مدیر عامل Guidepost Solutions، یک شرکت جهانی امنیت، انطباق و تحقیقات میگوید: «یک وبسایت جعلی میتواند منجر به خسارات مالی قابلتوجهی برای مشتریان شود، اگر آنها برای ارائه اعتبارنامه ورود یا اطلاعات شخصی حساس فریب بخورند.
او به TechNewsWorld گفت: «اگر مشتریان قربانی کلاهبرداری هایی شوند که از طریق یک وب سایت جعل هویت انجام می شود، اعتبار برند می تواند به شدت آسیب ببیند.
کلاهبرداری جعل هویت وب سایت می تواند بیشتر از اعتبار یک شرکت آسیب برساند. تد میراکو، مدیرعامل Approov Mobile Security، یک شرکت جهانی امنیت اپلیکیشن موبایل، به TechNewsWorld گفت: «همچنین ممکن است زیان های مالی مستقیم ناشی از کلاهبرداری، و همچنین هزینه های غیرمستقیم مربوط به اصلاح، هزینه های قانونی، و احتمالاً برخی از غرامت مشتری وجود داشته باشد.
تکیه بر گزارش های مشتری برای تشخیص
این مطالعه همچنین نشان داد که رایجترین روشی که دو سوم (66٪) شرکتهای مورد بررسی از حملات جعل هویت وبسایت آگاه میشوند، از طریق گزارشهای رویداد از سوی مشتریان آسیبدیده بوده است. تسور گفت: «این باور نکردنی است. نه تنها راهحلهای مستقر در برابر این حملات محافظت نمیکنند یا از آن جلوگیری نمیکنند، سازمانها سرنخی ندارند که آیا این حملات صورت گرفته است یا خیر.»
کوروین از Guidepost Solutions خاطرنشان کرد که مشاغلی که عمدتاً به گزارش های مشتری برای شناسایی کلاهبرداری های جعل هویت وابسته هستند، ممکن است هشدارهای اولیه و فرصت دفاع در برابر تهدیدهای نوظهور را از دست بدهند. او گفت: «رویکرد واکنشی بار را بر دوش مشتریان میگذارد که میتواند به روابط و اعتماد مشتری آسیب برساند.
Miracco از Approov افزود: “یادگیری در مورد کلاهبرداری از مشتریان به این معنی است که حمله قبلاً افراد را تحت تأثیر قرار داده است و حتی قبل از شروع اقدامات باعث آسیب می شود.” اسکنهای منظم تنها جایگزینی است که ممکن است وبسایتهای جعلی را که از یک برند تقلید میکنند حذف کند، اما این چالش برانگیز است، زیرا باید رویدادها را قبل از وقوع پیشبینی کنید.»
او گفت: “کار بر اساس گزارش های مشتری یک رویکرد واکنشی است، نه یک رویکرد پیشگیرانه.” من مطمئن نیستم هنوز دفاع کافی وجود داشته باشد، بنابراین کاربران باید قبل از پاسخ دادن به ایمیلهایی که به نظر مشروع به نظر میرسند، آموزش ببینند و مراقب باشند.»
یافتههای نگرانکنندهتر این مطالعه این است که بیش از 37 درصد از کسبوکارها گفتند که اولین بار زمانی از وبسایتهای جعلی مطلع میشوند که مشتریان تحت تأثیر کلاهبرداریهای مربوط به فیشینگ، تجربه خود را در رسانههای اجتماعی عمومی میکنند، عملی که به نام «شرمگذاری برند» شناخته میشود.
این مطالعه این سوال را مطرح کرد که کسبوکارها چقدر میتوانند به مشتریان بهعنوان منبع اصلی اطلاعات تهدیدات خود با هوش مصنوعی و کیتهای فیشینگ که بهطور فزایندهای در دسترس هستند، تکیه کنند.
تسور Memcyco مشاهده کرد: «با این کیتها، همه چیز کاملاً خودکار است. “شما می توانید آن را راه اندازی کنید و آن را فراموش کنید.”
بدترین کابوس امنیت سایبری
کوروین توضیح داد که دسترسی به ابزارهای مبتنی بر هوش مصنوعی و کیتهای فیش از پیش بستهبندی شده به این معنی است که حتی افراد با مهارت فنی کمتر میتوانند حملات جعل هویت متقاعدکنندهای را اجرا کنند. او گفت: «ابزارهای فیشینگ تقویتشده با هوش مصنوعی میتوانند وبسایتهای قانونی را با دقت بیشتری تقلید کنند، حتی هوشیارترین کاربران را فریب دهند و چشمانداز تهدید را تقویت کنند».
او ادامه داد: «اغلب مجرمان سایبری همچنین از نامهای دامنهای استفاده میکنند که تقریباً مشابه آدرس قانونی یک شرکت یا نام تجاری است، اما حاوی تغییرات یا خطاهای جزئی است که به عنوان «combosquatting» یا «typosquatting» شناخته میشود.»
میراکو افزود: هوش مصنوعی بسیار خطرناک است. استفاده از این ابزارها، حتی برای افرادی که هیچ مهارت فنی ندارند، بسیار آسان است و تقریباً به هر کسی اجازه میدهد تا کمپینهای فیشینگ پیچیده ایجاد کند. این بدترین کابوس امنیت سایبری ما است که به حقیقت پیوسته است – توسط شرکت هایی که در مورد شگفت انگیز بودن هوش مصنوعی صحبت می کنند. متأسفانه، پذیرندگان اولیه بیشتر فناوریها، بازیگران بدی هستند.»
پاتریک هار، مدیر عامل SlashNext، یک شرکت امنیت شبکه در Pleasanton، کالیفرنیا، خاطرنشان کرد که جعل هویت وب سایت از زمان تولد وب وجود داشته است.
او گفت: «تقریباً برای هر کاربری اینها معمولاً به راحتی قابل تشخیص بود. آنچه اخیراً تغییر کرده است دو چیز است: فیشرها در دامنه های قانونی چمباتمه می زنند و فیشرها از کیت های فیشینگ و هوش مصنوعی برای ایجاد صفحات وب سایت تقریباً عالی استفاده می کنند.
او ادامه داد: “بدون اقدامات متقابل بینایی کامپیوتری هوش مصنوعی، تشخیص این اقدامات بسیار دشوار است و عاملان تهدید را موفقتر خواهد کرد، نه کمتر.”
راهکارهایی برای مبارزه با کلاهبرداری جعل هویت وب سایت
راجر گریمز، مبشر دفاعی KnowBe4، ارائهدهنده آموزش آگاهی امنیتی در کلیرواتر، فلوریدا، توصیه میکند که هر شرکتی که ایمیل ارسال میکند، DMARC، SPF و DKIM را که استانداردهای جهانی ضد فیشینگ هستند، اجرا کند. او به TechNewsWorld گفت: «آنها تلاش میکنند ایمیلهای مخرب و لینکهایی که ادعا میکنند از دامنه ارسال قانونی هستند را شکست دهند.
او توضیح داد: «به عنوان مثال، اگر ایمیلی دریافت کنم که ادعا میکند از مایکروسافت است، سرور/کلاینت ایمیل گیرنده میتواند از DMARC، SPF و DKIM استفاده کند تا ببیند آیا ایمیل واقعاً از مایکروسافت منشا گرفته است یا خیر.»
Miracco توصیه می کند که وب سایت های شرکت اطمینان حاصل کنند که تمام ترافیک وب با گواهینامه های SSL/TLS رمزگذاری شده است تا رهگیری و جعل ارتباطات برای مهاجمان دشوارتر شود.
او افزود که برنامههای کاربردی تلفن همراه باید مکانیسمهای گواهی را برای تأیید یکپارچگی خود پیادهسازی کنند و اطمینان حاصل کنند که تعاملات با APIهای پشتیبان فقط از نمونههای قانونی و بدون تغییر برنامه سرچشمه میگیرد. آنها همچنین باید سرویسهای اطلاعاتی تهدید را استخدام کنند که میتوانند کیتهای فیشینگ، دامنههای جعلی و سایر شاخصهای جعل هویت را نظارت کنند.
کوروین برای مقابله با تاکتیکهایی مانند typosquatting اشاره کرد که شرکتها میتوانند تغییرات آشکار یا غلط املایی احتمالی دامنههای موجود را ثبت کنند، از جمله نامهای خط خطی، دیگر پسوندهای دامنه محبوب، و کاراکترهای کمی نامرتب.
او گفت: «سرویسهای نظارت بر نام تجاری وجود دارند که سایتهای فیشینگ و دامنههای جدیدی را که حاوی مالکیت معنوی شرکت هستند، نظارت میکنند و برخی حتی به خدمات حذف خودکار دامنه کمک میکنند.» اینها ممکن است به برخی از شرکتها کمک کند، اما متأسفانه، به دلیل وجود تنوعهای بالقوه بسیار زیاد در نامهای دامنه و ابزارهای فعلی، ایجاد این سایتهای فیشینگ را بسیار آسان میکند، این خطر احتمالاً ادامه خواهد داشت.»
Miracco اضافه کرد که شرکت ها نه تنها باید بر روی دفاع های تکنولوژیکی تمرکز کنند، بلکه باید فرهنگ آگاهی از امنیت را در بین کارکنان و مشتریان تقویت کنند.
او گفت: «کلاهبرداری جعل هویت وب سایت یک تهدید به سرعت در حال تکامل است که نیازمند رویکردی چند وجهی است. هوش مصنوعی این مشکل را فعال کرده است و امیدواریم در آینده نزدیک راهحلهای مجهز به هوش مصنوعی را به کار بگیریم که میتواند کاربران را از اشتباهات پرهزینه با یک سایت جعلی باز دارد.