جعل هویت چگونه اتفاق می افتد؟

جعل هویت (دزدی هویت یا سرقت هویت) باعث می‌شود تا امنیت سیستم‌های احراز هویت به خطر بیافتد. دسترسی به سیستم‌ها، سرقت اطلاعات، سرقت پول و انتشار بدافزار می‌توانند جزو اهداف حمله جعل هویت باشند. این موضوع مهم از همان ابتدای شکل‌گیری سامانه‌های احراز هویت غیر حضوری مطرح بوده است. به نظر می‌رسد که تنها تعداد اندکی از این سامانه‌ها توانسته اند تا راهکار کاربردی را برای کاهش آمار جعل هویت استفاده کنند. همراه ما باشید تا به طور کامل درباره جعل هویت در فضای مجازی و راه حل‌های آن به طور کامل صحبت کنیم.

جعل هویت چیست

جعل هویت و دزدی هویت جزو کارهای غیر قانونی است که مجازات سنگینی در پی دارد. چون در این روش، از اطلاعات شخصی و یا اطلاعات مالی آن‌ها سو استفاده می‌شود. به بیانی دیگر، افرادی که جعل هویت را انجام می‌دهند، دیگران را فریب می‌دهند و خود را به جای فرد اصلی قرار خواهند داد. جعل هویت تنها به یک روش برای سو استفاده از اطلاعات شخصی و مالی افراد منتهی نمی‌شود. برای مثال، افراد می‌توانند از کاغذهای خرید کارت‌های اعتباری هم سو استفاده کنند. در موارد پیشرفته‌تر، آن‌ها می‌توانند به پایگاه اطلاعاتی افراد نفوذ پیدا کنند و به صورت غیر قانونی به اختیارات آن‌ها دسترسی داشته باشند. خدشه‌دار کردن اعتبار فرد، خرید و فروش غیر قانونی و بهره‌مندی از خدمات و امکانات ممکن است بعد از دزدی هویت از سوی جاعلان انجام شود.

تعریف دزدی هویت

دزدی هویت یا سرقت هویت به یک جرم اطلاق می‌شوند. در این جرم، افراد جاعل برای کسب منافع مادی خود، اطلاعات فرد را به دست می‌آورند. سپس، آن‌ها به اشتباه به امکانات و خدماتی که برای او ارائه می‌شود، دسترسی دارند. در این شرایط، افراد بدون حضور فرد حقیقی دارنده اطلاعات هم می‌توانند دست به سرقت مقدار زیادی از داده‌ها بزنند.

حمله جعل هویت چیست

ماهیت حمله جعل هویت تا حدود زیادی مشخص است. با توجه به تعریف دزدی هویت و مفهوم جعل هویت می‌توان بیان کرد که حمله جعل هویت چیست. حمله جعل هویت به روشی گفته می‌شود که فرد دیگری، خود را به جای شخص اصلی معرفی کند. البته برخی از برنامه‌ها هم می‌توانند نقش بسزایی در این حمله داشته باشند. در نهایت، فرد یا برنامه غیر مجاز به مزیت‌های نامشروع دسترسی پیدا می‌کند.

Spoofing Attack چیست؟

Spoofing Attack همان حمله جعل هویت است. این نوع از حملات هم در زیرمجموعه حمله‌های سایبری قرار دارند. در این روش، افراد مهاجم در پوشش افراد مورد اطمینان می‌خواهند به داده‌ها و انبوهی از اطلاعات دسترسی پیدا کنند. اهداف افراد مهاجم از اجرای Spoofing Attack متفاوت است. برخی از آن‌ها به قصد دور زدن شبکه، گسترش بدافزارها، سرقت پول و یا دستیابی به اطلاعات شخصی حملات جعل را انجام می‌دهند. خلاصه‌ی اهداف آن‌ها به منابع مادی‌شان ختم می‌شود. این نوع جعل از طریق بسترهای متفاوتی قابل انجام است. ایمیل‌ها، وب‌سایت‌ها و حتی تماس‌های تلفنی افراد می‌توانند مورد Spoofing Attack قرار بگیرند.

Spoofing Attack چگونه اتفاق می‌افتد؟

افراد مهاجم در Spoofing Attack یا حمله جعل هویت بر روی آدرس‌های IP تمرکز دارند. به طور معمول، این افراد با استفاده از سخت افزارهایی می‌توانند بر روی تغییر IP تمرکز داشته باشند. پس از اینکه IPها تغییر پیدا کرد، به سیستم القا می‌شود که این ارتباط صحیح است. اما این شرایط بدان معنا است که سیستم هدف، فریب خورده و فرد اصلی را از فرد مهاجم تشخیص نداده است. در نهایت، سیستم به مهاجم اجازه می‌دهد تا مهاجم به منابع دسترسی داشته باشد و سیستم هدف، قربانی شود.

حمله جعل هویت چگونه کار می‌کند؟

آنچه که تا الان درباره حمله جعل هویت صحبت کردیم، رویکرد کلی Spoofing Attack بود. برای پی بردن به جزئیات حمله جعل هویت در فضای مجازی نیاز است با 2 عنصر اساسی و مهم آشنایی داشته باشید. این دو عنصر عبارت از عامل جعل و مهندسی اجتماعی هستند. با ذکر یک مثال، نقش هر دو عنصر را در سرقت هویت افراد متوجه خواهید شد. برای مثال، ایمیلی از سوی افراد قابل اعتماد که در نقش کلاهبردار هستند، برای شما ارسال می‌شود. در این ایمیل، فرد از شما می‌خواهد تا مبلغی را به حساب او واریز کنید. در این شرایط حساس، ایمیل همان عامل جعل و درخواست برای واریز حساب همان مهندسی اجتماعی است.

نتایجی که بعد از این حمله به وجود می‌آید، بسیار خطرناک است. چون افراد متقلب بعد از Spoofing Attack می‌توانند داده‌های بیشتری داشته باشند که در حملات بعدی هم از آن‌ها استفاده کنند. سرقت اطلاعات شرکت‌‎ها و زیرمجموعه‌ی آن‌ها هم جزو خطرات بعدی هستند که ممکن است امنیت پلتفرم‌ها را خدشه‌دار کنند. نوع جدید حمله‌های جعل هویت شناختی افراد این است که سرورهای Resolution Protocol (ARP) و Domain Name System (DNS) را به طور پیشرفته هک کنند.

انواع جعل هویت در فضای مجازی

سرقت هویتی و جعل داده‌ هویت در فضای مجازی به طور گسترده انجام می‌شود. برخی از این روش‌ها هنوز شناخته‌شده نیستند و برخی دیگر از آن‌ها را اکثر افراد جامعه می‌دانند.

Email spoofing

ارسال ایمیل با آدرس‌های غیر واقعی می‌تواند یکی از روش‌‎های جعل هویت در فضای مجازی باشد. برخی از کارشناسان، این روش را یک نوع فیشینگ می‌دانند. عمده درخواست‌هایی که در Email spoofing از افراد بیان شده، برای درخواست پول هستند. در حین انجام انتقال پول از سوی افراد، فعالیت بدافزارها در سیستم آن‌ها آغاز می‌شود و ادامه پیدا می‌کند.

نشانه‌های ایمیل‌های جعلی تنها به غیر واقعی بودن آدرس فرستنده آن‌ها ختم نمی‌شود. برخی از ایمیل‌ها بدون آدرس فرستنده هستند که افراد دریافت کننده به آن توجهی ندارند. سومین نشانه ایمیل جعلی می‌تواند شخصی‌سازی شده باشد. درج نام، نام خانوادگی و سمت شغلی می‌تواند اطمینان شما را از هر موضوعی کسب کند. غلط‌های املایی رایج و جملات عجیب و غریب هم جزو نشانه‌های بارز ایمیل‌های تقلبی هستند.

Website and/or URL spoofing

سایت‌های جعلی که دارای درگاهی قانونی و استاندارد همانند سایت‌‎های معتبر هستند، یک نوع عامل جعل هویت به شمار می‌روند. اگر طراحی بین این دو صفحه را مقایسه کنید، کمترین تفاوت را در طراحی تجربه کاربری آن‌ها احساس می‌کنید. بعد از استفاده از سایت جعلی، نام کاربری و رمز عبور شما ذخیره خواهد شد. به طور معمول، ایمیل افراد هم در سایت‌های جعلی ذخیره می‌شوند.

Caller ID spoofing

در این روش جعل هویت از شناسنامه تماس شما استفاده می‌کنند. برای نمونه، این افراد با شماره موبایل همان منطقه محل سکونت‌تان با شما تماس می‎گیرند و تماس‌های ورودی شما مسدود خواهد شد.

Text message spoofing

در روش جعل پیامک، پیامک تقلبی حاوی متن ارسال می‌شود. در این شرایط، افراد جعل‌کننده می‌توانند تا هویت خود را در پشت پرده‌های یک شناسه الفبایی پنهان کنند. به طوری که خود را به‌عنوان یک شرکت یا سازمان قانونی معرفی می‌کنند. پیشنهادات خوب و جذاب در همان متن هر پیامک برای افراد ارسال می‌شود که نقش برجسته‌ای در وسوسه کردن افراد دارند.

GPS spoofing

جعل مکان، نوع پیشرفته‌ی روش‌های سرقت هویتی شناختی کلاهبراداران است. تا به حال، به میزان کمتری از این روش استفاده شده است. با این حال، خطرات بسیار زیادی را به همراه دارد که جبران کردن آن‌ها سخت و دشوار است.

Man-in-the-middle attacks

جعل هویت ممکن است که در کافی‌شاپ‌های شلوغ هم دیده شود! برای مثال، کافی‌شاپ‌هایی که WIFI رایگان در اختیار مشتریان خود قرار می‌دهند، به سادگی می‌توانند تا پایه‌های نخستین سرقت هویتی را ایجاد کنند. تغییر مسیر پرداخت وجوه و ذخیره کردن اطلاعات شخصی، خطرات بعدی در کمین هستند.

Extension spoofing

اجرای Extensionهای متعدد بر روی مرورگر می‌تواند سرقت و دزدی هویت به شمار رود. با این روش، افراد جاعل به تمامی اطلاعات شما در مرورگرتان دسترسی دارند.

IP spoofing

در IP spoofing، مکان افراد مهاجم پنهان می‌شود تا پلیس سایبری نتواند به آن‌ها دسترسی پیدا کند. این موضوع، می‎تواند پیچیدگی دزدی هویت را چندین برابر کند.

Facial spoofing

جعل هویت صورت افراد در سیستم‌های احراز هویت، پیشرفته‌ترین کاری است که مجرمان می‌توانند انجام بدهند. در این روش، افراد مهاجم به دنبال ساخت تصاویر سه بعدی بسیار واقعی از افراد هدف هستند. هدف آن‌ها از این کار، دور زدن سیستم احراز هویت و خدشه‌دار کردن الگوریتم‌های تشخیص عمقیق است. بهترین راه محافظت از Facial spoofing و کاهش خطرات آن، انتخاب سیستم‌های احراز هویتی است که از الگوریتم تشخیص زنده بودن تصویر استفاده می‌کنند. برای نمونه، سیستم احراز هویت بیومتریک فراشناسا دارای چنین الگوریتمی است.

گفتار پایانی سرقت هویتی، جعل هویت و Spoofing Attack

ساده‌ترین حمله‌های دزدی هویت در وب‌سایت‎‌ها، ایمیل‌ها و تماس‌های تلفنی اتفاق می‌افتد. در موارد پیچیده‎‌تر دزدی هویت به IP، ARP و DNS افراد حمله می‌شود. با توجه به این موضوع می‌توان بیان کرد که انتخاب یک سیستم احراز هویت امن نقش بسزایی در کاهش حمله‌های سایبری داده‎‌ها و اطلاعات هویتی دارد. در پست های آینده درباره روش های جلوگیری از جعل هویت و تکنیک های پیشگیری از سرقت‌های دیجیتالی خواهیم نمود و راهکار فراشناسا را در جلوگیری از جعل هویت را به طور کامل توضیح خواهیم داد.

منبع : سایت فراشناسا