روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ فیشینگ مدت‌هاست در قالب حمله اصلی به شبکه‌های سازمانی شناخته شده است. پس جای تعجبی هم ندارد که هر کس و هر چیزی -از ارائه‌دهندگان سرویس گرفته تا دروازه‌های میل و حتی مرورگرها- بخواهند از فیلترهای ضدفیشینگ و اسکنرهای مخرب آدرس استفاده کنند. بنابراین، مجرمان سایبری پیوسته متودهای جدید می‌سازند؛ دستی به سر و روی تکنیک‌های قدیمی می‌کشند و به دنبال راهکارهایی برای دور زدن موانع هستند. در ادامه با ما همراه شوید تا توضیح چطور می‌شود با با فیشینگِ به تأخیرافتاده مبارزه کرد.

فیشینگ به تأخیرافتاده[1] چیست؟

فیشینگ به تأخیرافتاده تلاشی است برای گیر انداختن قربانی در سایتی مخرب یا جعلی آن هم با استفاده از تکنیکی به نام Post-Delivery Weaponized URL. همانطور که از نامش پیداست، این تکنیک در اصل به جای محتوای آنلاین، نسخه‌ی آلوده‌‌ای را -بعد از ارسال ایمیل حاوی لینک- می‌گذارد. به بیانی دیگر، قربانی احتمالی ایمیلی همراه با لینکی در آن دریافت می‌کند که یا کاربر را به هیچ جای مشخصی نمی‌برد یا به سمت منبع قانونی‌ای هدایت می‌کند از قبل دستکاری شده است (اما در آن نقطه زمانی خاص هنوز محتوای آلوده‌ای در آن گذاشته نشده است). در نتیجه، این پیام از هر فیلتری عبور می‌کند. الگوریتم‌های محافظتی یو‌آراِل داخل متن را پیدا کرده، سایت لینک‌شده را اسم نموده و وقتی می‌بینند چیز خطرناکی در آن وجود ندارد می‌گذارند پیام مسیر خود را ادامه دهد.

کمی بعد از تحویل پیام (همیشه پیام تحویل داده می‌شود و در حالت ایده‌آل درست از قبل از آنکه خوانده شود) مجرمان سایبری سایتی را که پیام بدان لینک شده بود تغییر می‌دهند و یا روی صفحه‌ای که تا قبل از این بی‌آزار بود، محتوایی آلوده فعال می‌کنند. این حقه می‌تواند هر چیز دیگری باشد: از سایت بانکی جعلی گرفته تا اکسپلویت مرورگر که تلاش دارد بدافزاری را روی کامپیوتر قربانی بگذارد. اما در 80 درصد موارد، بحث سر سایت فیشینگ است.

چطور الگوریتم‌های ضدفیشینگ رافریب می‌دهد؟

مجرمان سایبری برای عبور دادن پیام‌های خود از الگورتیم‌های محافظتی از سه حربه استفاده می‌کنند:

•         استفاده از لینکی ساده. در این نوع حمله، مهاجمین کنترل سایت را بر عهده می‌گیرند؛ سایتی که یا از همان اول ساخته شده و یا سایت دیگری را سرقت و دستکاری‌اش کردند. مجرمان سایبری دومی بیشتر به مذاقشان خوش می‌آید؛ اینجور سایت‌ها براحتی الگوریتم‌های امنیتی را گول می‌زنند و کار محرمان از این جهت به مراتب راحت‌تر می‌شود. در زمان تحویل پیام، لینک یا به مقاله‌ای بی محتوا و بی‌معنی منتهی می‌شود و یا به صفحه‌ای با پیام خطای  404 (که بیشتر شایع است).
•         سوئیچرو[2] لینک کوتاه. بسیاری از ابزارهای آنلاین به هر کسی این اختیار را می‌دهد تا یو‌آرال بلند را به یوآرالی کوتاه تبدیل کند. لینک‌های کوتاه کار کاربران را راحت‌تر می‌کند. در واقع لینکی کوتاه که بخوبی هم به خاطر آورده می‌شود به لینکی بزرگ بسط داده می‌شود؛ یعنی ریدایرکتی ساده را مورد هدف قرار می‌دهد. شما در برخی سرویس‌ها می‌توانید در پس لینکی کوتاه (حفره‌ای که مهاجمین اکسپلویتش می‌کنند)، محتوای مخفی‌شده را تغییر دهید. این یوآرال درست زمان تحویل پیام به سایتی قانونی اشاره می‌کند اما بعد از مدت کوتاهی طی عملی معکوس آن را به سایتی مخرب و آلوده تغییر می‌دهد.
•         گنجاندن لینکی کوتاه و رندوم‌شده. برخی ابزارهای کوتاه‌کننده‌ی لینک اجازه‌ی ریدایرکشنِ احتمالی می‌دهند. بدین‌معنا که لینک مورد نظر 50 درصد شانس این را دارد که به سایت گوگل منتهی شود و 50 درصد هم شانس این را دارد که به سایت فیشینگ راه پیدا کند.

چه زمان لینک‌ها آلوده می‌شوند؟

مهاجمین معمولاً بر این فرض عمل می‌کنند که قربانی‌شان کارمندی نرمال است که شب‌ها بیدار نمی‌ماند. از این رو پیام‌های فیشینگ به تأخیرافتاده بعد از نیمه‌شب ارسال گشته (به ساعت منطقه زندگی قربانی) و چند ساعت بعد (حدوداً نزدیک‌های صبح) مخرب خواهند شد. با ایت حال ما با بررسی آمار قربانی‌های ضدفیشینگ پی بردیم اوج این عمل بین ساعت 7 تا 10 صبح است؛ زمانی که کاربران خواب‌آلود با چشمان بسته و قهوه‌ به دست روی لینک‌هایی کلیک می‌کنند که موقع ارسال پاک بودند اما حالا آلوده هستند. از اسپیر فیشینگ[3] هم غافل نشوید؛ اگر مجرمان سایبری فرد خاصی را برای حمله پیدا کنند می‌توانند از عادات روزانه‌ی آن‌ها سردرآورده و بسته به زمانی که فرد میل‌های خود را چک می‌کند لینک مخربی را فعالسازی نمایند.

چطور می‌شود فیشینگ به تأخیر افتاده را شناسایی کرد؟

در حالت ایده‌آل، باید مانع رسیدن لینک فیشینگ به دست کاربر شویم؛ از این رو شاید بهترین استراتژی، اسکن مجدد صندوق ورودی باشد. در برخی موارد، این کار قابل‌اجراست: به عنوان مثال، اگر سازمان شما از میل‌سرور Microsoft Exchange استفاده می‌کند. از سپتامبر سال جاری، Kaspersky Security for Microsoft Exchange Server از طریق API بومی که اجازه‌ی اسکن مجدد پیام‌هایی را می‌دهد که از قبل در میل‌باکس بوده‌اند یکپارچگی میل‌‌سرور را پشتیبانی خواهد کرد. تایم درست و دقیق اسکن می‌تواند شناسایی اقدامات فیشینگِ به تأخیرافتاده را تضمین کند. افزون بر این، راهکار ما به شما اجازه می‌دهد میل داخلیِ را مورد نظارت قرار داده (که از درگاه امنیتی میل عبور نمی‌کند و از این رو فیلترها و موتورهای اسکن آن دیده نمی‌شوند) و نیز قوانین پیچیده‌ترِ فیلتر محتوا را پیاده‌سازی کنید. در برخی موارد خاص و بسیار خطرناکِ دستکاری ایمیل سازمانی (BEC) که به موجب آن هکرها به اکانت میل سازمانی دسترسی پیدا می‌کنند، توانایی در اسکن مجدد محتواهای میل‌باکس و نظارت بر مکاتبه‌ی داخلی اهمیت ویژه‌ای پیدا می‌کند. ماKaspersky Security for Microsoft Exchange Server را در راهکارهای Kaspersky Security for Mail Servers و Kaspersky Total Security for Business خود لحاظ کرده‌ایم.

[1] delayed phishing

[2] عمل معکوس، تغیر ناگهانی

[3]  spear-phishing

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.