یک تحقیق جدید نشان میدهد که نیمی از کاربران، با وجود مطلع بودن از خطرات حملههای فیشینگ، بر روی لینکهای ناشناس کلیک میکنند و به راحتی به دام سایتهای مخرب میافتند.با لیزارد وب همراه باشید.
کارشناسان امنیت به شکل مداوم دربارهی اهمیت آموزش در آگاهسازی مردم از خطرات پدیدهی «فیشینگ» صحبت میکنند. پدیدهای که در آن ایمیلهای ناشناس با تکنیکهای مختلف کاربران را به سایتهای مخرب هدایت میکنند. هرچند یک تحقیق جدید نشان میدهد که در بسیاری مواقع آگاهی نیز راه حلی قطعی برای این تهدیدها نیست. این تحقیق که توسط پژوهشگرانی از آلمان صورت گرفته؛ به این نتیجه دست یافته است که تقریبا نیمی از شرکتکنندگان، بلافاصله بر روی لینکهایی که در ایمیلها و پیامهای فیسبوک خود توسط افراد ناشناس دریافت کردهاند کلیک میکنند. با این حال که اکثرشان از خطرات احتمالی فیشینگ اطلاع دارند.
پژوهشگران دانشگاه «فردریش الکساندر» واقع در «نورمبرگ» آلمان، به سرپرستی «زینیدا بنِنسون»، نتایج اولیه این آزمایش را در کنفرانس «Black Hat» به اشتراک گذاشتند. در این آزمایش پیامهایی شبیهسازیشده به شکل اسپیر فیشینگ برای ۱۷۰۰ شرکتکننده (از دانشجویان دانشگاه) ارسال شده است.
تمامی این پیامها از اکانتهای ساختگی ارسال شدهاند؛ و نام این اکانتها از بین محبوبترین نامهای گروه سنی شرکتکنندگان انتخاب شده است. پروفایلهای فیسبوک ساختگی نیز دارای سطوح مختلفی از دسترسی و اطلاعات تایملاین بودند. بعضی از آنها تصاویر عمومی و عکس پروفایل داشتند؛ و سایرین تنها اطلاعاتی اندک را در اختیار بازدیدکنندگان قرار میدادند. در متن این پیامها ادعا شده است که با کلیک بر روی لینک کاربران میتوانند به تصاویری از مهمانی سال نوی دانشگاه -که چندی پیش برگذار شده- دسترسی پیدا کنند. دو نوع پیام برای شرکتکنندگان ارسال شده است: نمونهی نخست از حاوی اسم دریافتکنندگان پیام است اما نوع دوم هیچ اسمی از دریافتکننده قرار ندارد؛ و تنها اطلاعاتی عمومی از مراسم در آن موجود است. تمامی لینکها به صفحهای منتهی میشوند که جملهی «Access Denied» (دسترسی ممکن نیست) را در خود جای داده است. با هر کلیک، این وبسایت اطلاعات دانشآموزان وارد شده را ذخیره میکند.
طبق نتایج تحقیق، پیامهایی که هدفِ خود را به اسم یاد کردهاند؛ توانستهاند ۵۶ درصد از کاربران ایمیل و ۳۷ درصد از کاربران فیسبوک را برای کلیک متقاعد کنند. پیامهایی که بدون نام ارسال شدهاند تنها توانستند ۲۰ درصد از کاربران ایمیل را به دام بیاندازند؛ اما در جذب ۴۲ درصد از کاربران فیسبوک موفق عمل کردند
دکتر بننسون در توضیح این تحقیق میگوید: «نتایج کلی ما را غافلگیر کرد. به این دلیل که ۷۸ درصد از شرکتکنندگان در فرم خود ذکر کردهاند که از خطرات اینگونه حملات آگاهی دارند. همچنین تنها ۲۰ درصد از شرکتکنندگان در تحقیق اول و ۱۶ درصد از شرکتکنندگان در تحقیق دوم به کلیک بر روی لینکها اعتراف کردهاند. با این وجود ما دریافتیم که ۴۵ درصد و ۲۵ درصد از دانشآموزان وارد وبسایت شدهاند.»
اکثر کسانی که به کلیک کردن اعتراف کردهاند؛ میگویند که تنها از روی کنجکاوی وارد وبسایت شدهاند. در کنار این، نیمی از کسانی که از کلیک کردن خودداری کردند میگویند ناشناس بودن فرستندهی لینکها دلیل اصلی تصمیمشان بوده است. بخش کوچکی از این گروه نیز میگویند نگران امنیت شخصی فرستندهی لینک بودند و حدث میزدند که لینک اشتباهی برای آنها ارسال شده است. بننسون میگوید: «شخصا فکر میکنم با برنامهریزی دقیق، میتوان هرکسی را به کلیک بر روی اینگونه لینکها وادار کرد؛ حتی اگر دلیل اصلی آنها کنجکاوی بیش از حد نباشد.»
با توجه به حجم زیاد اطلاعات شخصی که در دسترس مهاجمان قرار دارد، شبیهسازی چنین پیامهایی برای جلب توجه کاربران بسیار ساده شده است. این تحقیق نشان میدهد که اطلاعرسانی صرف، جلوی به دام افتادن کاربران در مقابل حمله های فیشینگ را نخواهد گرفت.