امنیت

فناوری اطلاعات

August 10, 2020
14:15 دوشنبه، 20ام مردادماه 1399
کد خبر: 115031

نکاتی درباره اسکنر جعلی ایمیل

در سال‌های اخیر، مرتباً اخباری پیرامون آلودگی مبتنی بر ایمیلِ شبکه‌های سازمانی (به طور کلی همیشه یک سر ماجرا به باج‌افزار ربط پیدا می‌کند) به گوشمان می‌رسد. بنابراین، جای تعجبی نیست که اسکمرها به صورت دوره‌ای از این موضوع برای استخراج داده‌های محرمانه‌ -مخصوص اکانت‌های ایمیل سازمانی- استفاده کنند. آن‌ها در واقع این کار را با قانع کردن کارمندان شرکت برای اجرای اسکن میل‌باکسشان انجام می‌دهند.
به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ هدف از این طرح، به دام انداختن آن دسته از افرادی است که از تهدید بالقوه‌ی بدافزار در ایمیل خبر دارند اما طریقه‌ی دست و پنجه نرم کردن با آن را نمی‌دانند. پرسنل امنیت اطلاعات در خصوص ترفندهایی که با آن، کارمندان به دام می‌افتند توضیحات بسیار خوبی می‌دهند و از چنین نمونه‌هایی استفاده می‌کنند تا نشان دهند کدام گروه کارمندان باید بیشتر حواسشان را جمع کنند تا قربانی مجرمان سایبری نشوند. در ادامه با ما همراه شوید تا کمی در خصوص ایمیل فیشینگ، سایت فیشینگ و راهکارهای امنیتی با شما بگوییم.
ایمیل فیشینگ
این پیام اسکم از ترفند پاربرجای «ارعاب قربانی» استفاده می‌کند. شما می‌توانید آن را مستقیماً در بخش هدر مشاهده نمایید که نوشته شده «هشدار ویروس» و بعدش هم سه علامت تعجب آورده شده است. شاید این علامت‌ تعجب‌ها اولش بی‌اهمیت و کم‌ارزش جلوه کنند اما در واقع اولین زنگ‌های خطر هستند که می‌توانند گیرنده را متوجه کنند کاسه‌ای زیر نیم‌کاسه است. علایم نگارشی غیرضروری در ایمیل کاری علامت نشان از عواقب خوبی ندارد. حتی اگر نوتیفیکیشینی قرار است هشدار یک تهدید را به مخاطب بدهد باید اصول حرفه‌ای بودن را رعایت کند. 
 
Capture1.PNG
  
اولین سوالی که گیرنده باید بپرسد این است: چه کسی این پیام را فرستاده است؟ ایمیل می‌گوید عدم اقدام به مسدود شدن حساب گیرنده منتج خواهد شد. شاید منطقی‌اش این باشد که فکر کنیم یا سرویس پشتیبان میل‌سرور آن را فرستاده و یا کارمندان ارائه‌دهنده‌ی سرویس ایمیل. اما مهم این که درک کنیم هیچ ارائه‌دهنده یا سرویس داخلی‌ای برای اسکن محتواهای میل‌باکس، کاربر خود را ملزم به اقدام نمی‌کند. اسکن به طور خودکار روی میل‌سرور رخ می‌دهد. علاوه بر اینها، «فعالیت ویروس» به ندرت داخل حساب رخ می‌دهد. حتی اگر کسی ویروس را هم فرستاده باشد، گیرنده مجبور به دانلود و اجرای آن خواهد بود. آلودگی روی کامپیوتر رخ می‌دهد و نه در اکانت ایمیل.
برگردیم به پرسش اول: با همان نگاه اول به فرستنده دو پرچم قرمز بالا می‌اید. اولی اینکه ایمیل از اکانت Hotmail ارسال شده است؛ این درحالیست که نوتیفیکیشنی قانونی دامنه‌ی شرکت یا ارائه‌دهنده را نمایش خواهد داد. دوم اینکه، گفته می‌شود این پیام از سوی «تیم امنیت ایمیل» است. اگر شرکت گیرنده از ارائه‌دهنده سرویس میلِ طرف‌سوم استفاده کرده باشد، نامش در امضا پدیدار می‌شود. و اگر میل‌سرور در زیرساخت سازمانی باشد، نوتیفیکیشن از سوی آی‌تیِ درون‌خانگی یا سرویس امنیت اطلاعات خواهد آمد؛ و احتمال این که کل تیم به تنهایی مسئولیت امنیت ایمیل را بر عهده گیرد بسیار کم است.
بعدی، لینک است؛ بیشتر کلاینت‌های مدرن ایمیل URL پنهان‌شده پشت هایپرلینک را نمایش می‌دهند. اگر از گیرنده خواسته شود روی اسکنر ایمیل –میزبانی‌شده روی دامنه‌ای که با به شرکت شما و یا ارائه‌دهنده میل تعلق دارد- کلیک کند، پس به احتمال زیاد این یک اقدام فیشینگ است.
سایت فیشینگ
این سایت یک‌جورهایی به نوعی اسکنر آنلاین ایمیل شباهت دارد. برای اینکه ظاهر و پوشش قانونی‌ای داشته باشد لوگوهای میزبان فروشنده‌های آنتی‌ویروس را نمایش می‌دهد. هدر حتی در مورد نام شرکت گیرنده نیز رجزخوانی می‌کند و هدفش هم از بین بردن هر گونه شک در مورد ماهیت اصلی‌اش است. این سایت ابتدا اسکنی را شبیه‌سازی می‌کند و بعد آن را با پیام خارج از قواعد گرامریِ «Confirm your account below to complete Email scan & delete infected all files» قطع می‌نماید. البته برای چنین اقدامی، پسورد اکانت نیاز است. 
 
Capture2.PNG
 
 
برای مشخص کردن ماهیت سایت، ابتدا با بررسی محتوای نوار آدرس مرورگر شروع کنید. نخست –همانطور که در فوق اشاره شد- روی دامنه‌ی درستی قرار نگرفته است. دوم اینکه، URL به احتمال زیاد شامل آدرس ایمیل گیرنده می‌شود که فی‌نفسه خوب است- آی‌دی کاربر می‌توانست از طریق URL منتقل شود. اما اگر قانونی بودن سایت زیر سوال رود بهتر آن است که آدرس را با کاراکترهای اختیاری جایگزین کنید (با این حال سمبل @ را برای حفظ ظاهر آدرس ایمیل نگه دارید). سایت‌هایی از این شکل از آدرس عبور داده شده از طریق لینک داخل ایمیل فیشینگ برای پر کردن جاهای خالی قالب صفحه استفاده می‌کنند. محض تجربه هم که شده، ما از آدرس ناموجود victim@yourcompany.org استفاده کردیم و این سایت بر حسب وظیفه yourcompany را برای نام اسکنر و کل آدرس را در نام اکانت جایگزین کرد و در نتیجه، ظاهراً این آدرس شروع کرد به اسکن کردن پیوست‌های ناموجود در ایمیل‌های ناموجود. با تکرار این ازمایش روی آدرسی دیگر متوجه شدیم نام پیوست‌ها در هر «اسکن»، یکی بوده است. 
 
Capture4.PNG
 
 
ناسازگاری دیگر این است که این اسکنر ظاهراً محتوای میل‌باکس را بدون تأیید صحت اسکن می‌کند؛ پس چرا نیاز به پسورد نیاز دارد؟
چطور کارمندان خود را از گزند فیشینگ مصون بدارید؟
ما مفصلاً علایم فیشینگ را هم در ایمیل و هم در وبسایت جعلی اسکنر تحلیل کردیم. با نمایش این پست به کارمندان خود می‌توانید ایده‌های خوبی برای محافظت از آن‌ها در برابر فیشینگ در اختیارشان قرار دهید. اما این فقط بخش کوچکی از ماجراست. برخی از ایمیل‌های جعلی از سطح پیچیده‌تری برخوردار بوده و سخت‌تر می‌شود شناسایی‌شان کرد. بنابراین، توصیه‌ی ما به شما اطلاع‌رسانی و آموزش پیاپی به کارمندانتان در خصوص جدیدترین تهدیدهای سایبری است؛ بعنوان مثال استفاده از پلت‌فرم Kaspersky Automated Security Awareness ما می‌تواند کارمندان شما را در این راستا بسیار کمک کند. افزون بر این از راهکارهایی استفاده کنید که بتوانند ایمیل‌های فیشینگ را روی میل‌سرور شناسایی کرده و ریدایرکت‌های سمت سایت‌های فیشینگ را روی ایستگاه‌های کار مسدود کنند. کسپرسکی سکیوریتی سازمانی هر دو را انجام می‌دهد. علاوه بر اینها، ما راهکاری را نیز ارائه می‌دهیم که مکانیزم‌های حفاظتی مایکروسافت آفیس 365 درون‌سازه‌ای را نیز ارتقا می‌بخشد 
 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.