کاربران و اطلاعات محرمانه برای سایت‌های سرقت هویت

به گزارش ایسنا، شرکت امنیتی Trusteer که به سرویس‌های مرور امن می‌پردازد، در گزارشی به بررسی میزان تاثیرگذاری حملات سرقت هویت برروی کاربران اینترنت پرداخته است.

این شرکت سپس داده‌های به‌دست آمده را برای یک بانک در یک سال و در میان یک میلیون مشتری نرمال‌سازی کرده است. این روش به موسسات مالی کمک می‌کند تا بتوانند خسارات ناشی از حملات سرقت هویت را اندازه‌گیری کنند.

طبق اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌یی (ماهر)، براساس این گزارش که اخیرا منتشر شده است، اطلاعات جمع‌آوری شده از سه میلیون کاربر در مدت سه ماه نشان می‌دهد که در حدود 50 درصد از مواقع، کاربران با مشاهده یک سایت سرقت هویت، اطلاعات خود را در اختیار این سایت قرار می‌دهند. البته این مطالعه، کاربرانی را مد نظر قرار داده است که بدون دردسر وارد یک سایت سرقت هویت شده باشند و مرورگر آن‌ها این وب سایت را مسدود نکرده باشد.

• برخی نتایج اصلی این گزارش بدین شرح است:

هر حمله سرقت هویت درصد بسیار کمی از کاربران (0.000564 درصد) را فریب می‌دهد اما با توجه به حجم بالای حملات سرقت هویت، تعداد کاربرانی که تحت تاثیر این حملات قرار می‌گیرند بسیار زیاد است.

هم‌چنین 45 درصد از مشتریان بانک که به سایت‌های سرقت هویت منتقل می‌شود، اطلاعات محرمانه خود را در اختیار این سایت‌ها قرار می‌دهند و 0.47 درصد از مشتریان یک بانک در هر سال به دام حملات سرقت هویت می‌افتند. این بدان معناست که هر ساله حدود 2.4 میلیون دلار تا 9.4 میلیون دلار به این روش سرقت می‌شود (به ازای یک میلیون مشتری بانکی آنلاین).

• چه تعداد از حملات سرقت هویت به مرورگر کاربر می‌رسد؟

سرقت هویت معمولا از یک ای‌میل به همراه یک لینک آغاز می‌شود، برخی از این پیام‌ها توسط سیستم ضد هرزنامه و فیلترهای سرقت هویت مبنی بر ای‌میل مسدود می‌شوند و هرگز به مقصد خود نمی‌رسند. علاوه بر این، سرویس‌های مورد استفاده توسط بانک‌ها برای از کار انداختن سایت‌های سرقت هویت، به محض شناسایی، بسیار سریع عمل می‌کنند. در نتیجه بسیاری از این سایت‌ها حتی قبل از اینکه کاربر برروی لینک داخل ای‌میل کلیک کرده و وارد سایت خرابکار شود، از کار افتاده‌اند.

برخی مرورگرها نیز از فیلترهای سرقت هویت استفاده می‌کنند که هر زمان که یک وب سایت‌ جدید سرقت هویت گزارش می‌شود، به روز می‌شوند. در نتیجه این فیلترها از دسترسی کاربر به سایت‌های سرقت هویت جلوگیری می‌کنند.

در این مطالعه سه ماهه این نتایج به‌دست آمده‌اند که هر موسسه مالی به طور میانگین در هر هفته توسط 16 وب سایت سرقت هویت هدف قرار می‌گیرد و این بدان معناست که هر موسسه مالی سالانه هدف 832 حمله سرقت هویت قرار می‌گیرد.

براساس گزارش گروه ضد سرقت هویت H1، میانگین تعداد URLهای سرقت هویت به ازای هر موسسه در ژوئن سال جاری، 190 عدد بوده است. در مقایسه با نتایج گزارش پیش رو که صرفا رویدادهای موفق سرقت هویت را ثبت کرده است، می‌توان نتیجه گرفت که از هر 2.7 URL سرقت هویت، یک آدرس URL با هدف خود می‌رسد.

• چه تعداد کاربر به هر سایت سرقت هویت دسترسی پیدا می‌کنند؟

این سوال با این فرض مطرح می‌شود که هنوز سایت سرقت هویت مورد نظر از کار نیفتاده باشد. برای به دست آوردن جواب این سوال به فاکتورهای متعددی احتیاج داریم؛ تعداد کاربرانی که لینک‌های مربوطه را دریافت کرده‌اند، تاثیرگذاری فیلترهای سرقت هویت در زمان حمله، تاثیرگذاری پیام ارسال شده توسط ای‌میل، مدت زمانی که سایت سرقت هوایی کار می‌کند.

نتایج این مطالعه نشان می‌دهد که به طور میانگین 12.5 نفر از هر میلیون کاربر یک بانک خاص، یک سایت سرقت هویت خاص را مشاهده می‌کنند. توجه داشته باشید که این عدد، نشان‌دهنده تعداد کاربرانی است که ای‌میل سرقت هویت را دریافت کرده‌اند یا هدف حمله قرار گرفته‌اند نیست. بلکه تعداد کاربرانی است که وب سایت سرقت هویت را مشاهده کرده‌اند.

نتایج این مطالعات نشان می‌دهد که حدود 50 درصد مواقع، کاربران اطلاعات محرمانه خود را لو می‌دهند. این بدان معناست که خرابکاران سالانه از هر یک میلیون کاربر، جزییات 4700 اطلاعات login را به‌دست می‌آورند.

توجه داشته باشید که برخی ای‌میل‌های سرقت هویت بسیار ظاهر معقولی دارند و از تمامی راهکارها برای متقاعد کردن مخاطب خود استفاده می‌کنند. ظاهر وب سایت سرقت نیز معمولا شواهد بسیار کمی مبنی بر تقلبی بودن آن در اختیار کاربر قرار می‌دهد. آدرس URL سایت تقلبی نیز معمولا بسیار شبیه به سایت اصلی انتخاب می‌شود تا کاربر دچار اشتباه گردد.

• محاسبه ضررهای مالی

تخمین و محاسبه ضررهای مالی مرتبط با هر حساب بانکی آنلاین می‌تواند با فرض‌های مختلفی انجام شود برای مثال اگر تصور کنیم که به طور میانگین پول از دست رفته هر حساب 2000 دلار باشد، این بدان معناست که سالانه به ازای هر یک میلیون کاربر، 9.4 میلیون دلار از دست می‌رود.

اما اگر فرض کنیم که میانگین پول به سرقت رفته از هر حساب آنلاین 500 دلار باشد (که عدد بسیار کوچکی است)، مجموع پول از دست رفته به ازای هر یک میلیون کاربر، سالانه دو میلیون و 350 هزار دلار خواهد بود.

حملات سرقت هویت درآمد زیادی برای خرابکاران ایجاد می‌کنند. برای مثال اگر فرض کنیم هزینه ایجاد یک کمپین سرقت هویت شامل 50 میلیون ای‌میل 500 دلار باشد، اگر فقط یک کاربر فریب این حمله را خورده و قربانی شده و 501 دلار از دست بدهد، فرد خرابکار سود خود را به‌دست آورده است. البته قطعا این عدد بسیار بیش‌تر است.

با توجه به این مساله که مدت زمانی که یک سایت سرقت هویت آنلاین باقی می‌ماند، به فاکتورهای مختلفی بستگی دارد، بهترین راهکار مبارزه با این حملات، به اشتراک‌گذاری داده‌های مربوط به این حملات و آدرس سایت‌های سرقت هویت است. با این روشن می‌توان سالانه از سرقت حدود 300 میلیون دلار جلوگیری کرد.