حتماً فكر میكنید در تیتر مقاله اشتباه تایپی صورت گرفته و باید نوشته میشد <صیادی> یا <شیادی>. اما چنین نیست. این واژه معادل ساختگی كلمه phishing در زبان انگلیسی است كه با این كه فیشینگ خوانده میشود، املای صحیح آن fishing به معنای صید ماهی است. ولی این phishing با آن fishing فرق دارد؛ همان گونه كه این <سیادی> با آن <صیادی> متفاوت است. گرچه هر دو واژه بر گیرانداختن و فریبدادن دلالت میكنند، اما اولی انسانها را در اینترنت گیرمیاندازد و دیگری ماهیها را در آب.
اولین نشانههای افزایش حملات سیادی، در بهار سال ۲۰۰۴ مشاهده شد. دوباره از همان دوران بود كه مطبوعات شروع به اطلاعرسانی، كاربران شروع به یادگیری، و شركتها شروع به ساخت ابزارهایی برای مبارزه با سیادی كردند. اما متأسفانه از همان سال حملات سیادی رو به فزونی رفت. اوایل سال ۲۰۰۴، فقط ۱۹۸ سایت <سیاد> وجود داشت، اما در سال ۲۰۰۵، این تعداد به سههزار سایت رسید.
طبق یك گزارش، تعداد نامههایی كه برنامه Brightmail محصول شركت سیمانتك جهت مبارزه با سیادی بلوكه میكند، در عرض شش ماه از ۹ میلیون نامه در هفته، به ۳۰ میلیون نامه افزایش یافت. واقعاً چگونه میتوان با این سیادان مبارزه كرد؟
بالا رفتن <تعداد> حملات سیادی، صرفاً یك وجه مشكل است. وجه مهمتر مشكل این است كه اكنون سیادان پیشرفتهتر شدهاند و از تكنیكهای <سیادی بدون طعمه> استفاده میكنند. آنها با روشهایی چون فارمینگ (سوءاستفاده از نقاط ضعف سرور DNS برای تغییر جهت ترافیك یك سایت وب به سایتی دیگر)، سیادی با نیزه، سیادی گوگل، و سیادی بیسیم (Wi-phishing) اطلاعات حساب مشتری را به تور میاندازند؛ حتی بدون این كه مشتری اطلاعاتش را وارد سایت جعلی كرده باشد.
به گفته سیمانتك، بهنظر میرسد نفوذگران دیگر علاقهای به حذف سایتهای وب ندارند و در عوض دوست دارند به اطلاعات محرمانه دیگران دست پیدا كنند. در نیمه دوم سال ۲۰۰۴ میزان كد مخربی كه جهت دسترسی به اطلاعات محرمانه نوشته شده بود، ۵۴ درصد از مخربترین كدهایی را تشكیل میدادند كه سیمانتك شناسایی كرده بود. این میزان در نیمه اول ۲۰۰۴، معادل ۴۴ درصد و در نیمه دوم سال ۲۰۰۳، معادل ۳۶ درصد بود.
دیگر این كه، فهرست مواضع مورد هدف سیادان كمكم دارد از صرفاً بانكهای بزرگ فراتر میرود و به مؤسسات مالی كوچك و سایر سایتهای مالی نیز كشیده شده است.
به قول مارك شول، مدیر و رئیس اجرایی شركت مبارزه با جرایم اینترنتیMarkMonitor، انگار یك روال چرخشی ایجاد شده است. سیادان به بانك الف حمله میكنند. بانك الف دفاع میكند. سیادان سپس به بانك ب حمله میكنند، منتها با سلاحهای پیشرفتهتر، و چند ماه بعد برمیگردند و دوباره بانك الف را مورد حمله قرار میدهند.
● سیاد به تور افتاد
یك هفته پس از فاجعه سونامی سال گذشته، سیادان با سوءاستفاده از فرصت به وجود آمده، سعیكردند پول و اطلاعات مردمی كه قصد كمك به فاجعهزدگان را داشتند، به چنگ بیاورند. پلیس فدرال در بخش جرایم اینترنتی، متوجه شد كه در فاصله كوتاهی پس از وقوع فاجعه، سایتهای جعلی زیادی در رابطه با سونامی هر روز برپا میشوند. غالباً آژانسهای فدرال تا زمانی كه میزان سرقت به مبلغ قابل توجهی (بیش از ۵۰ هزار دلار) نرسد، دست به كار نمیشوند.
اما این بار، مأموران تصمیم گرفتند قبل از این كه سیادان چنین خسارتی را به بار بیاورند، وارد عمل شوند. در اولین قدم، پلیس با صدور اطلاعیهای عمومی، مردم را آگاه ساخت. این اطلاعیه در بسیاری از رسانهها و سایتهای رسمی و سازمانی منتشر شد.
در همین حال، MercyCorps در پورتلند، یك سازمان كمكرسانی غیرانتقاعی كه نامش جعل شده بود، برای پلیس اطلاعاتی را درباره سیادی فرستاد كه ایمیلهایی را با نام و نشان این سازمان به ۸۰۰ هزار نفر فرستاده بود و آنها را به كمك مالی تشویق كرده بود. در این نامهها لینكی به یك حساب PayPal درج شده بود كه كمكهای مالی را دریافت میكرد.
ردگیری آدرسIP سایت سیادی معمولاً راه به جایی نمیبرد. به همین دلیل پلیس تصمیم گرفت رد پولها را بگیرد. پلیس با ارائه مدارك لازم مبنی بر كلاهبردار بودن دارنده حساب، PayPal را قانع كرد كه اطلاعات لازم را بدهد. مأموران با بررسی سوابق ثبت شده فعالیت كاربران در PayPal، رد كلاهبردار را از یك حساب Hotmail به دست آوردند. مایكروسافت وPayPal از طریق همكاری با پلیس توانستند ISP مورد استفاده كلاهبردار را كه در پیترسبورگ قرار داشت، پیدا كنند. بالاخره پلیس به محل سكونت شخص متقلب دست یافت و او را دستگیر كرد. سیاد بیچاره كه از این ایدهاش فقط توانسته بود ۱۵۰ دلار گیر بیاورد، خیلی زود دستگیر و جریمه شد.
اگرچه بهگفته كارشناسان، تعداد كاربرانی كه در دام سیادان میافتند امروزه كمتر از گذشته شده است، اما خسارات مادی آنها به بانكهای اینترنتی قابل ملاحظه است.
طی یك نظرسنجی كه مؤسسه پونمون اخیراً انجام دادهاست، دو درصد اعلام كردهاند كه پولشان را در این راه از دست دادهاند. در این مطالعه تخمینزدهاند كه كاربران چیزی در حدود ۵۰۰ میلیون دلار خود را در سال ۲۰۰۴ به سیادان باختهاند. حتی بدتر از این، در این نظرسنجی معلوم شد كه از میان ۱۳۳۵ نفر افراد مورد سؤال، ۷۰ درصد حداقل به یك سایت جعلی رفتهاند و در این میان ۱۵ درصد گفتهاند كه اطلاعات خصوصی خود را دراختیار سایت قرار دادهاند.
این در حالی است كه آثار مخرب روانی این فریبكاریها، برای فروشگاههای اینترنتی هم مشكلآفرین شدهاند. در مطالعهای كه روی ۶۵۵ كاربر صورت گرفته، بیش از نیمی از آنها گفتهاند كه از ترس مسائل سیادی، حاضر به انجام خرید آنلاین نیستند. یك مطالعه دیگر از طرف شركت سیمانتك نشان میدهد كه تقریباً یك سوم پاسخدهندگان، از ترس سیادان، امور بانكی خود را به صورت اینترنتی انجام نمیدهند.
به اعتقاد كیم لجلیس، مدیر راهحلهای خدمات بانكی و مالی در سیمانتك، اگر شما یك مؤسسه مالی باشید كه به نظرتان بانكداری الكترونیك در افزایش درآمدتان اهمیتی كلیدی داشته باشد، ولی متوجه بشوید كه بیش از ۳۱ درصد مشتریان احتمالی شما حاضر به استفاده از بانكالكترونیك نیستند، مجبورید به فكر عوض كردن شغلتان باشید.
براد نایتنگل، معاون محصولات نوظهور در Visa میگوید: سیادی بزرگترین دغدغه ذهنی من طی هشت ماه اخیر بوده است. او میگوید: Visa بارها مورد هدف سیادان قرار گرفته و سعی كرده از راههای گوناگون به مقابله با آنها برخیزد.
Visa به یك شبكه مبارزه با سیادی پیوسته است و آخرین حملات را جهت تجزیه و تحلیل به این شبكه گزارش میدهد. آنها حتی با شناسایی ISP مورد استفاده سیادان، اقدام به تعطیلی سایت آنها كردهاند (گاهی فقط در عرض سه ساعت).
نایتنگل میگوید: با این كه Visa سیادی را تحت كنترل خود دارد، اما یك چیز همیشه آن را نگران میكند و آن اینكه: یكی از دلایلی كه ما خیلی به این مسئله اهمیت میدهیم این است كه معتقدیم مردم ممكن است محیط اینترنت را بسیار خطرناك تلقی كنند.
● تو كی هستی؟
طبیعتاً شركتهای نرمافزاری شروع به ابداع شیوههای مناسب احراز هویت كردهاند. اما مشكل اینجاست كه كاربران كمتر حاضر میشوند شیوههای گوناگون احراز هویت را یاد بگیرند. در واقع به همین دلیل است كه ابداع زودهنگام روش <دو راهه> احراز هویت كاربر زیاد مورد استقبال قرار نگرفت (برای آشنایی با این روش، كادر <احراز هویت دو راهه> را مطالعه كنید).
اواخر سال گذشته، شركت AOL سرویس ممتاز PassCode خود را با استفاده از ژتونهای RSA راهاندازی كرد. قیمت این سرویس برای یك بار استفاده، ۱۰ دلار به ازای هر ژتون و ۲ تا ۵ دلار (بسته به تعداد كاربر) به ازای هر ماه است. با این وجود، به گفته یكی از مسئولان AOL تاكنون از این سرویس استقبال زیادی نشده است.