مبارزه با سیادی

حتماً فكر می‌كنید در تیتر مقاله اشتباه تایپی صورت گرفته و باید نوشته می‌شد <صیادی> یا <شیادی>. اما چنین نیست. این واژه معادل ساختگی كلمه phishing در زبان انگلیسی است كه با این كه فیشینگ خوانده می‌شود، املای صحیح آن fishing به معنای صید ماهی است. ولی این phishing با آن fishing فرق دارد؛ همان گونه كه این <سیادی> با آن <صیادی> متفاوت است. گرچه هر دو واژه بر گیرانداختن و فریب‌دادن دلالت می‌كنند، اما اولی انسان‌ها را در اینترنت گیرمی‌اندازد و دیگری ماهی‌ها را در آب.
اولین نشانه‌های افزایش حملات سیادی، در بهار سال ۲۰۰۴ مشاهده شد. دوباره از همان دوران بود كه مطبوعات شروع به اطلاع‌رسانی، كاربران شروع به یادگیری، و شركت‌ها شروع به ساخت ابزارهایی برای مبارزه با سیادی كردند. اما متأسفانه از همان سال حملات سیادی رو به فزونی رفت. اوایل سال ۲۰۰۴، فقط ۱۹۸ سایت <سیاد> وجود داشت، اما در سال ۲۰۰۵، این تعداد به سه‌هزار سایت رسید.
طبق یك گزارش، تعداد نامه‌هایی كه برنامه Brightmail محصول شركت سیمانتك جهت مبارزه با سیادی بلوكه می‌كند، در عرض شش ماه از ۹ میلیون نامه در هفته، به ۳۰ میلیون نامه افزایش یافت. واقعاً چگونه می‌توان با این سیادان مبارزه كرد؟
بالا رفتن <تعداد> حملات سیادی، صرفاً یك وجه مشكل است. وجه مهم‌تر مشكل این است كه اكنون سیادان پیشرفته‌تر شده‌اند و از تكنیك‌های <سیادی بدون طعمه> استفاده می‌كنند. آن‌ها با روش‌هایی چون فارمینگ (سوءاستفاده از نقاط ضعف سرور DNS برای تغییر جهت ترافیك یك سایت وب به سایتی دیگر)، سیادی با نیزه، سیادی گوگل، و سیادی بی‌سیم (Wi-phishing) اطلاعات حساب مشتری را به تور می‌اندازند؛ حتی بدون این كه مشتری اطلاعاتش را وارد سایت جعلی كرده باشد.
به گفته سیمانتك، به‌نظر می‌رسد نفوذگران دیگر علاقه‌ای به حذف سایت‌های وب ندارند و در عوض دوست دارند به اطلاعات محرمانه دیگران دست پیدا كنند. در نیمه دوم سال ۲۰۰۴ میزان كد مخربی كه جهت دسترسی به اطلاعات محرمانه نوشته شده بود، ۵۴ درصد از مخرب‌ترین كدهایی را تشكیل می‌دادند كه سیمانتك شناسایی كرده بود. این میزان در نیمه اول ۲۰۰۴، معادل ۴۴ درصد و در نیمه دوم سال ۲۰۰۳، معادل ۳۶ درصد بود.
دیگر این كه، فهرست مواضع مورد هدف سیادان كم‌كم دارد از صرفاً بانك‌های بزرگ فراتر می‌رود و به مؤسسات مالی كوچك و سایر سایت‌های مالی نیز كشیده شده است.
به قول مارك شول، مدیر و رئیس اجرایی شركت مبارزه با جرایم اینترنتیMarkMonitor، انگار یك روال چرخشی ایجاد شده است. سیادان به بانك الف حمله می‌كنند. بانك الف دفاع می‌كند. سیادان سپس به بانك ب حمله می‌كنند، منتها با سلاح‌های پیشرفته‌تر، و چند ماه بعد برمی‌گردند و دوباره بانك الف را مورد حمله قرار می‌دهند.
● سیاد به تور افتاد
یك هفته پس از فاجعه سونامی سال گذشته، سیادان با سوءاستفاده از فرصت به وجود آمده، سعی‌كردند پول و اطلاعات مردمی كه قصد كمك به فاجعه‌زدگان را داشتند، به چنگ بیاورند. پلیس فدرال در بخش جرایم اینترنتی، متوجه شد كه در فاصله كوتاهی پس از وقوع فاجعه، سایت‌های جعلی زیادی در رابطه با سونامی هر روز برپا می‌شوند. غالباً آژانس‌های فدرال تا زمانی كه میزان سرقت به مبلغ قابل توجهی (بیش از ۵۰ هزار دلار) نرسد، دست به كار نمی‌شوند.
اما این بار، مأموران تصمیم گرفتند قبل از این كه سیادان چنین خسارتی را به بار بیاورند، وارد عمل شوند. در اولین قدم، پلیس با صدور اطلاعیه‌ای عمومی، مردم را آگاه ساخت. این اطلاعیه در بسیاری از رسانه‌ها و سایت‌های رسمی و سازمانی منتشر شد.
در همین حال، MercyCorps در پورتلند، یك سازمان كمك‌رسانی غیرانتقاعی كه نامش جعل شده بود، برای پلیس اطلاعاتی را درباره سیادی فرستاد كه ایمیل‌هایی را با نام و نشان این سازمان به ۸۰۰ هزار نفر فرستاده بود و آن‌ها را به كمك مالی تشویق كرده بود. در این نامه‌ها لینكی به یك حساب PayPal درج شده بود كه كمك‌های مالی را دریافت می‌كرد.
ردگیری آدرسIP سایت سیادی معمولاً راه به جایی نمی‌برد. به همین دلیل پلیس تصمیم گرفت رد پول‌ها را بگیرد. پلیس با ارائه مدارك لازم مبنی بر كلاهبردار بودن دارنده حساب، PayPal را قانع كرد كه اطلاعات لازم را بدهد. مأموران با بررسی سوابق ثبت شده فعالیت كاربران در PayPal، رد كلاهبردار را از یك حساب Hotmail به دست آوردند. مایكروسافت وPayPal از طریق همكاری با پلیس توانستند ISP مورد استفاده كلاهبردار را كه در پیترسبورگ قرار داشت، پیدا كنند. بالاخره پلیس به محل سكونت شخص متقلب دست یافت و او را دستگیر كرد. سیاد بیچاره كه از این ایده‌اش فقط توانسته بود ۱۵۰ دلار گیر بیاورد، خیلی زود دستگیر و جریمه شد.
اگرچه به‌گفته كارشناسان، تعداد كاربرانی كه در دام سیادان می‌افتند امروزه كم‌تر از گذشته شده است، اما خسارات مادی آن‌ها به بانك‌های اینترنتی قابل ملاحظه است.
طی یك نظرسنجی كه مؤسسه پونمون اخیراً انجام داده‌است، دو درصد اعلام كرده‌اند كه پولشان را در این راه از دست داده‌اند. در این مطالعه تخمین‌زده‌اند كه كاربران چیزی در حدود ۵۰۰ میلیون دلار خود را در سال ۲۰۰۴ به سیادان باخته‌اند. حتی بدتر از این، در این نظرسنجی معلوم شد كه از میان ۱۳۳۵ نفر افراد مورد سؤال، ۷۰ درصد حداقل به یك سایت جعلی رفته‌اند و در این میان ۱۵ درصد گفته‌اند كه اطلاعات خصوصی خود را دراختیار سایت قرار داده‌اند.
این در حالی است كه آثار مخرب روانی این فریبكاری‌ها، برای فروشگاه‌های اینترنتی هم مشكل‌آفرین شده‌اند. در مطالعه‌ای كه روی ۶۵۵ كاربر صورت گرفته، بیش از نیمی از آن‌ها گفته‌اند كه از ترس مسائل سیادی، حاضر به انجام خرید آنلاین نیستند. یك مطالعه دیگر از طرف شركت سیمانتك نشان می‌دهد كه تقریباً یك سوم پاسخ‌دهندگان، از ترس سیادان، امور بانكی خود را به صورت اینترنتی انجام نمی‌دهند.
به اعتقاد كیم لجلیس، مدیر راه‌حل‌های خدمات بانكی و مالی در سیمانتك، اگر شما یك مؤسسه مالی باشید كه به نظرتان بانكداری الكترونیك در افزایش درآمدتان اهمیتی كلیدی داشته باشد، ولی متوجه بشوید كه بیش از ۳۱ درصد مشتریان احتمالی شما حاضر به استفاده از بانك‌الكترونیك نیستند، مجبورید به فكر عوض كردن شغلتان باشید.
براد نایتنگل، معاون محصولات نوظهور در Visa می‌گوید: سیادی بزرگ‌ترین دغدغه ذهنی من طی هشت ماه اخیر بوده است. او می‌گوید: Visa بارها مورد هدف سیادان قرار گرفته و سعی كرده از راه‌های گوناگون به مقابله با آن‌ها برخیزد.
Visa به یك شبكه مبارزه با سیادی پیوسته است و آخرین حملات را جهت تجزیه و تحلیل به این شبكه گزارش می‌دهد. آن‌ها حتی با شناسایی ISP مورد استفاده سیادان، اقدام به تعطیلی سایت آن‌ها كرده‌اند (گاهی فقط در عرض سه ساعت).
نایتنگل می‌گوید: با این كه Visa سیادی را تحت كنترل خود دارد، اما یك چیز همیشه آن را نگران می‌كند و آن این‌كه: یكی از دلایلی كه ما خیلی به این مسئله اهمیت می‌دهیم این است كه معتقدیم مردم ممكن است محیط اینترنت را بسیار خطرناك تلقی كنند.
● تو كی هستی؟
طبیعتاً شركت‌های نرم‌افزاری شروع به ابداع شیوه‌های مناسب احراز هویت كرده‌اند. اما مشكل اینجاست كه كاربران كمتر حاضر می‌شوند شیوه‌های گوناگون احراز هویت را یاد بگیرند. در واقع به همین دلیل است كه ابداع زودهنگام روش <دو راهه> احراز هویت كاربر زیاد مورد استقبال قرار نگرفت (برای آشنایی با این روش، كادر <احراز هویت دو راهه> را مطالعه كنید).
اواخر سال گذشته، شركت AOL سرویس ممتاز PassCode خود را با استفاده از ژتون‌های RSA راه‌اندازی كرد. قیمت این سرویس برای یك بار استفاده، ۱۰ دلار به ازای هر ژتون و ۲ تا ۵ دلار (بسته به تعداد كاربر) به ازای هر ماه است. با این وجود، به گفته یكی از مسئولا‌ن AOL تاكنون از این سرویس استقبال زیادی نشده است.در حال حاضر، AOL ژتون‌های مزبور را فقط برای حفاظت از كاربران در هنگام logon كردن به حسابشان مورد استفاده قرار می‌دهد. هدف نهایی این است كه از این روش برای شناساندن كاربران AOL به فروشگاه‌های طرف قرارداد AOL به كار گرفته شود.
مشكل اینجاست كه سیستم‌ها با یكدیگر سازگاری ندارند. با این حال انتظار می‌رود به مرور زمان این تكنولوژی اقبال عمومی پیدا كرده و در سیستم‌ها گنجانده شود؛ به ویژه از سوی مؤسسات مالی.
در این میان، بانك‌های خارجی، از جمله بانك‌هایی در آفریقا، آسیا و اروپا، جلوتر از بقیه در حركتند. اما آن‌ها هم با اقبال فراگیری مواجه نبوده‌اند.
● حقایقی درباره سیادی‌
به گفته رئیس بخش بانكداری اینترنتی در اولین بانك ملی آفریقای جنوبی (FSBA)، كه از یك سال پیش شروع به عرضه ژتون‌های ActivCard به مشتریانش كرده‌است، احراز هویت مرتبه دوم قطعاً مشتریان را از شر سیادان حفظ می‌كند. چرا كه سیادان نمی‌توانند رمزهای یك‌بار مصرف را ربوده و مورد سوءاستفاده قرار دهند.
تاكنون، فقط ۱۲‌درصد مشتریان بانك اینترنتی FSBA از این ژتون‌ها استفاده می‌كنند. احراز هویت دوراهه مانع از دسترسی سیادان به حساب كاربران می‌شود؛ حتی اگر كاربر تصادفاً در تور این سیادان گرفتار آید. اما با این روش هنوز هم نمی‌توان به هویت بانكی كه ادعا می‌كند معتبر است اطمینان پیدا كرد و كانال email هم به حدی غیرقابل اطمینان است كه ۷۰ درصد شركت‌كنندگان در نظرسنجی سایوتا گفته‌اند: از ترس سیادان حاضر نیستند به ایمیل‌هایی كه ادعا می‌شود از طرف بانك آمده‌است پاسخ دهند.
خوشبختانه استانداردهایی جهت احراز هویت نامه‌های الكترونیك در حال تنظیم شدن هستند. یكی از این استانداردها،Sender ID است. براساس گزارش مایكروسافت، تاكنون ۷۵۰‌‌هزار دامنه ركوردهای <چهارچوب سیاست امنیتی> خود (موسوم به SPF) را منتشر كرده‌اند. این ركوردها چیزی هستند كه هرزنامه‌فرستان و سیادان نمی‌توانند آن‌را دور بزنند.
<ائتلاف سرویس‌دهندگان ایمیل> حمایت خود را از Sender ID اعلام كرده است. این استاندارد، با هدف كاهش خطر سیادان و سایر كلاهبرداری‌ها در محصولات دیگر، از قبیل IronMail، پیاده‌سازی شده است و ISP‌هایی چونAOL آمادگی خود را برای به كار بستن Sender ID اعلام كرده‌اند. زمانی كه این استاندارد به طور كامل به اجرا درآید، می‌توان فهمید كه كدام نامه از منبعی قانونی و كدام‌یك از منبعی جعلی ارسال شده است.
در همین حال، برخی از شركت‌های بزرگ، در صدد تأسیس سیستم‌های تازه ایمیل هستند كه بتوانند مستقیماً با مشتریان خود ارتباط برقرار كنند. مثلا AOL از یك سیستم ضد تقلب استفاده می‌كند كه به خاطر رنگ و شكل متفاوت با نامه‌هایی كه از بیرون AOL فرستاده می‌شوند، به آن chrome می‌گوید. پاكت نامه آبی براق، صفحه آبی تیره دور نامه و علامت رسمی نامه AOL باعث می‌شوند كه كسی نتواند نامه‌های جعلی‌ای از سوی AOL ارسال كند.
چند ماه گذشته نیز eBay فاز اول سیستم پیام‌رسانی داخلی خود را به راه انداخت كه فقط توسط كاربرانی قابل استفاده خواهد بود كه به حساب eBay خود Login كرده باشند.
با استفاده از سیستم Identity Guard كاربر برای اثبات هویت خود به بانك، رمزی را از ابزار دیگری كه دراختیار دارد، وارد می‌نماید.
با استفاده از روش احراز هویت “دوراهه” می‌توان رمزعبور را از طریق تلفن نیز اعلا‌م كرد.
● احراز هویت دو راهه
احراز هویت دو راهه اصطلاحی است برای توصیف هر مكانیزم احراز هویتی كه برای شناسایی كاربر به بیشتر از یك چیز احتیاج دارد. دو مؤلفه اساسی در این نوع احراز هویت عبارتند از: <چیزی كه می‌دانید> و <چیزی كه در اختیار دارید>. در روش‌های سنتی احراز هویت، كاربر با استفاده از زوج <نام كاربری> و <رمز عبور> شناسایی می‌شود. اما از آنجا كه حدس زدن رمزها كار معمولاً ساده‌ای است، این روش از امنیت مناسبی برخوردار نیست.
در احراز هویت دو سنجه، رمز عبور همچنان مؤلفه <چیزی كه می‌دانید> را تأمین می‌كند و مؤلفه <چیزی كه در اختیار دارید> معمولاً یك كارت كوچك موسوم به ژتون است. این كارت یك وسیله كوچك الكترونیكی است كه شماره‌ای را روی یك نمایشگر كوچك نشان می‌دهد. كاربر با وارد كردن این شماره در سیستمی كه قصد ورود به آن را دارد، ثابت می‌كند كه مالك كارت است.
شماره‌ای كه روی كارت نشان داده می‌شوند، خیلی زود عوض می‌شود؛ معمولاً هر ۳۰ یا ۶۰ ثانیه یك‌بار.
سیستمی كه كاربر قصد ورود به آن را دارد، می‌داند كه الان چه شماره‌ای باید روی نمایشگر باشد. اگر این شماره و رمز عبور كاربر، همان چیزی باشد كه سیستم انتظار دارد، كاربر اجازه ورود می‌یابد. برای بالا بردن ضریب امنیت، دستگاه‌های الكترونیكی مزبور گاهی با یك كد PIN محافظت می‌شوند. تنها در صورتی كه كاربر كد PIN را وارد كند، دستگاه به نمایش شماره می‌پردازد.
● وقتی اتفاق بدی می‌افتد
وقتی سیادان حمله می‌كنند، شركت‌ها باید به مشتریان خود خبر بدهند كه یك كلاهبرداری دارد اتفاق می‌افتد. ماه فوریه كه سیادان اسم و نشان شركت Credit Union را جعل كردند، رئیس خدمات اطلاع‌رسانی شركت مقاله‌ای را در روزنامه DailyBruin منتشر كرد تا ۴۰‌هزار مشتری خود را از این كلا‌ه‌برداری آگاه ساخته و به آن‌ها یاد بدهد چگونه با سیادی برخورد كنند.
یامثلاً زمانی كه Banknorth در پورتلند مورد سیادان قرار گرفت، ایمیلی را برای مشتریانش فرستاد كه متن نامه سیادی در آن ذكرشده بود و Banknorth تصریح كرده بود كه به هیچ وجه از طریق ایمیل از مشتریان خود شماره شناسایی، رمز عبور و سایر اطلاعات خصوصی را نخواهد پرسید. درهرحال علا‌وه ‌بر توسعه روش‌های احراز هویت و ضدتقلب كه از سوی دنبال می‌شود، هوشیاری كاربران بهترین وسیله‌ای است كه سیادان را ناكام خواهد گذاشت.