سرقت اطلاعات از Snapchat با حمله فیشینگ
سرقت اطلاعات از Snapchat با حمله فیشینگ
به گزارش شبکه خبری NBC در روز 7 اسفند 1394، یکی از کارمندان شبکه اجتماعی Snapchat (خدمات چت و ارسال عکس) توسط یک ایمیل فیشینگ (Phishing) گول خورد و باعث نشت دادهها اطلاعاتی را فاش نمود. ایمیلهای فیشینگ معمول مقلد هستند و وانمود میکنند که از طرف مدیریت یا اعضا شرکت ارسالشدهاند و برای سرقت اطلاعات و پول طراحیشدهاند.
به نقل از NBC، کلاهبرداران آنلاین توانستند که یک کارمند Snapchat را قانع کنند که اطلاعات چندین کارمند فعلی و سابق این شرکت را به آنها ارسال دارد. در روز 7 اسفند این کارمند یک ایمیل فیشینگ دریافت نمود که به بخش مالی Snapchat ارسالشده بود و درخواست اطلاعات مالی چندین کارمند را میکرد. این کارمند به ایمیل مذکور پاسخ داد و ناخواسته اطلاعات پرداخت و دریافت حقوق آنان را لو داد.
سخنگوی شرکت اظهار داشت که این ماجرا باعث تأسف شده و این شرکت احساس شرم میکند. البته به گفته او هیچ نقضی به سیستمهای شرکت صورت نگرفته است اما اطلاعات کارمندان لو رفته است. Snapchat تعهد داده است که آموزش فراگیر تری به کارمندان خود بدهد. سخنگوی این رسانه میگوید که پس از چنین اتفاقی باید فقط اقرار کرد که چنین اشتباهی رخداده است، جبران خسارت افراد آسیبدیده را کرد و از این مورد درس گرفت. در هفتههای آینده برنامههای آموزشی، محرمانگی و امنیت در این رسانه افزایش خواهد یافت.
به نقل از کارشناسان این کلاهبرداری میتوانست بدتر از این باشد و در مواردی مبالغ بالایی پول (صدها هزار دلار) به کلاهبرداران انتقال دادهشده است. پس از حمله، Snapchat با FBI تماس گرفت و اطلاعرسانی نمود و کارمندانی که اطلاعات آنها درج شد شناسایی شدند و به آنها خدمات دوساله مانیتورینگ و خدمات بیمه سایبری ارائه گردید.
این مورد یک موفقیت برای حملات فیشینگ محسوب میشود که محبوبیت آنها در حال رشد است. اسم دیگر این نوع حملات “نقض ایمیلهای کسبوکار (business email compromise یا BEC)” و یا “کلاهبرداری مدیریتی (CEO fraud)” میباشد. این نوع حملات مهندسی اجتماعی درخواست انتقال پول یا اطلاعات حساس توسط ایمیل است که به کارمند سازمانی ارسال میگردد. فرستنده بهظاهر مدیرعامل یا مدیر مالی ارشد آن سازمان است. در اکثر مواقع هکرها حساب ایمیل مدیریت را تصاحب کردهاند.
درحالیکه شرکتهای امنیتی در حال مبارزه و دفاع از حملات پیچیده سایبری هستند که از آسیبپذیریهای نرمافزاری استفاده میکنند، حملات فیشینگ در بیشتر مواقع راهی برای ورود به شبکه مورد هدف مجرمین سایبری به شمار میرود. باوجود عوامل انسانی در چرخه هک امکان ورود و نقض یک سیستم بهمراتب راحتتر است و سرقت دادهها از کارمند Snapchat نمونهای از این میباشد.
در مورد بهترین راه برای دفاع از حملات فیشینگ هنوز بحث و گفتگو ادامه دارد. یکی از روشهای پیشنهادی آگاهی سازی و آموزش در سازمان است. به عقیده کارشناسان آموزش دادن و آگاهی دادن به کارمندان، توان دفاعی علیه این حملات را تقویت میکند. برخی از کارشناسان میگویند که عوامل حملات فیشینگ بهطور مستمر ایمیل خواهند فرستاد تاکسی به دام بیافتد و درنتیجه آموزش زیاد مفید نخواهد بود. بجای آن اگر تکنولوژی قادر به شناسایی نشت دادهها و یا حملات مخرب احتمالی باشد، ریسکها به حداقل میرسد. شرکتهای بسیار محتاط از هر دو روش استفاده میکنند.
