نحوه هک شدن ایمیل با یک حمله فیشینگ ساده

افشای برخی ایمیل‌های حساس هیلاری کلینتون و همفکرانش که چند ماه مانده به انتخابات آمریکا باعث نارضایتی دموکراتها و کاهش محبوبیتشان شد به دلیل استفاده ناامن و اشتباه کلینتون و همکارانش از ایمیل‌های شخصی‌شان بود.

در ادامه خواهید دید که شخصی مانند john Podesta رئیس کمپین انتخاباتی هیلاری کلینتون با آن موقعیت کاری مهم و کلیدی، چگونه و به چه سادگی در دام هکرها افتاد و ایمیل شخصی‌اش هک شد.

هکرها با روش بسیار ساده‌ای موسوم به فیشینگ به حساب وی دست پیدا کردند.

آنها یک ایمیل جعلی از طرف گوگل برای پادستا ارسال کردند که در آن اعلام شده بود گذرواژه‌اش به خطر افتاده است و باید با کلیک روی یک لینک “تغییر گذرواژه” آنرا تغییر دهد.

مسئول دفتر جان پادستا با دریافت این ایمیل، آنرا برای بررسی به واحد امنیت کمپین کلینتون ارسال کرد. به نظر می‌رسد شخصی که مسئول بررسی این ایمیل بود نیز متوجه فریب هکرها نشد و ایمیل را تائید کرد. در ادامه از پادستا خواست که احراز هویت دوعاملی را برای حساب جیمیل خود فعال کرده و گذرواژه خود را تغییر دهد. در نتیجه، پادستا با کلیک روی لینکی که توسط هکرها ارسال شده بود، تمام اطلاعات و گذرواژه خود را تقدیم هکرها کرد.

هکرها با ساختن سایتی جعلی که ظاهرا هیچ تفاوتی با جیمیل نداشت، اطلاعات حساب پادستا را بدست آورند.

حمله فیشینگ، یک تاکتیک بسیار ساده است که در واقع قدیمی‌تر از تاکتیک‌های هک کامپیوتری است و بر پایه مفاهیم مهندسی اجتماعی است.

بجای اینکه هکرها تمرکز خود را روی پیداکردن حفره‌های امنیتی در اینترنت شخصی پادستا کنند و یا از برنامه‌هایی برای حدس زدن گذرواژه استفاده کنند، براحتی با یک پوشش تقلبی او را فریب دادند و اطلاعاتش را مستقیم ازخودش دریافت کردند.

حتی فراتر از خود پادستا، افراد مسئول امنیت در اطراف وی هم فریب این پوشش جعلی را خوردند.

چگونه میتوان فهمید این ایمیل جعلی است؟

حال بیایید نگاهی دقیق‌تر به ایمیل ارسال شده برای پادستا بیاندازیم. در این ایمیل چند نشانه وجود دارد که با کمی دقت می‌توان آنها را پیدا کرد:

• نخستین نشانه و مهمترین آن این است که غیر ممکن است ایمیلی که از طرف گوکل ارسال می‌شود، با دامنه Googlemail ارسال شود. درست است که دامنه ذکر شده متعلق به گوگل است و در صورتی که شما وارد آدرس googlemail.com شوید، به صفحه gmail.com  هدایت می‌شوید؛ این نام با توجه به شباهتی که دارد می‌تواند در ابتدا هر کسی را فریب دهد، ولی باید بدانید که گوگل هرگز با این دامنه ایمیل ارسال نمی‌کند.

• دومین نشانه، آدرسی است که برای تغییر گذرواژه در ایمیل ارائه شده است. هرگز گوگل یک لینک کوتاه شده توسط  bit.ly را به عنوان لینک رسمی ارسال نخواهد کرد. لینک‌های خلاصه شده، در اصل لینک‌های کوتاه‌تر شده از یک لینک اصلی هستند که تعداد کاراکترهای بسیار کمتری نسبت به لینک اصلی دارند . مثلا این لینک http://bit.ly/2f0JHCC کوتاه شده لینک اصلی http://giphy.com/gifs/thank-you-robocop-for-your-cooperation-U8bDgsXcnIEFy است.

• سومین نکته این است که پس از کلیک کردن روی لینک مذکور، چیزی که باید مورد توجه پادستا قرار می‌گرفت، آدرس سایتی بود وارد آن شده بود. آدرسی که پادستا برای تغییر گذرواژه واردش شده بود، پسوند .tk داشت (پسوند یکی از مناطق نیوزلند). با توجه به این که گوگل شرکت بسیار بزرگی است مشکلی در مالکیت دامنه .com ندارد بنابراین این ایمیل نمی‌توانسته از طرف گوگل باشد.

هکرها با قرار دادن صفحه‌ای کاملا مشابه با صفحه تغییر گذرواژه جیمیل در آدرس مذکور، به راحتی هم گذرواژه قدیمی پادستا و هم گذرواژه جدید او را بدست آوردند. طراحی این صفحه کاملا مشابه با صفحه اصلی گوگل است بنابراین نمیتوان از روی ظاهر صفحه متوجه جعلی بودن آن شد.

با درنظر گرفتن این چند نشانه، که بعد از خواندن این مقاله دیگر برای شما چندان سخت هم نیست، می‌توان از بسیاری از حمله‌های موسوم به فیشینگ جلوگیری کرد و طعمه هکرها نشد.

یک توصیه مهم:

برای این که در دام این‌گونه حمله‌های فیشینگ نیافتید، هرگز از طریق لینک‌های ارسال شده از طریق ایمیل، پیام کوتاه و … وارد حساب ایمیل یا حساب مالی و بانکی خود نشوید. در صورت نیاز به ویرایش اطلاعات حساب خود یا تغییر گذرواژه، حتما خودتان آدرس سایت را وارد کرده و مستقیم وارد حساب شوید. 

نکته دوم این که، لینک‌هایی با پسوند متفاوت از طرف گوگل یا شرکتهای بزرگ نیاز به بررسی جدی تری دارند. به عنوان مثال، در ایران بیشتر سایت‌های بانکی پسوند .ir دارند و تمامی تراکنش‌های اینترنتی از طریق درگاه شاپرک انجام می‌شود. در مقاله مربوط به فیشینگ، نمونه جعلی این درگاه نشان داده شده است. توصیه می‌شود حتما به این جزئیات کوچک در مورد حساب‌های مالی و اعتباری خود حتما توجه بیشتری داشته باشید.