روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ پاندمی تماماً شکل چشم‌انداز تهدید ایمیل را تغییر داد. روی آوردن همگی به دورکاری و انتقال ناگزیر بیشتر ارتباطات به فرمت آنلاین باعث شد حملات فیشینگ و BEC (دستکاری ایمیل سازمانی) افزایش چشمگیری کند. جریان فزاینده‌ی مکاتبه تجاری سبب شده مهاجمین خیلی راحت‌تر از قبل بتوانند ایمیل‌های خود را بین انبوهی از ایمیل‌های قانونی جا بدهند. برای همین هم هست که تقلید مکاتبه سازمانی به اصلی‌ترین بردار حمله تبدیل شده است. بسیاری از ترفندهای مهندسی اجتماعی مانند نوتیفی که از قربانی می‌خواهد هر چه سریعتر به ایمیلی پاسخ دهد نیز جان تازه‌ای گرفته‌اند. ترندهای اصلی که در سال 2022 شاهدش بوده‌ایم عبارتند از:

•         افزایش پیام‌های اسپم با محتوای مخرب برای آلوده کردن رایانه قربانی
•         استفاده فعالانه از تکنیک‌های مهندسی اجتماعی در ایمیل‌های مخرب (معمولاً فیشینگ هدف‌دار که طی آن برای تقلید از دپارتمان خاص امضاهایی نیز افزوده می‌شود) با استفاده از زبان تجاری و زمینه مناسب برای شرکت تارگت؛ کول کردن[1] رخدادهای فعلی که به کارمندان واقعی شرکت اشاره دارد.
•         اسپوف همه‌گیر- استفاده از آدرس‌های ایمیل با نام‌های دامنه مشابه با نام‌های دامنه واقعی سازمان‌های هدف (که فقط سر چند تا کاراکتر با هم فرق دارند)

در نتیجه، سازندگان میلینگ‌های اسپم مخرب توانسته‌اند آن‌ها را جای پیام‌های داخلی و مکاتبات تجاری بین شرکت‌ها جا بزنند (حتی در قالب نوتیف‌هایی از سوی آژانس‌های دولتی). در ادامه بارزترین نمونه‌هایی که امسال بدان‌ها برخوردیم را خواهیم داشت:

بدافزار در ایمیل

ترند اصلی سال میلادی گذشته (به روزهای پایانی 2022 نزدیک می‌شویم) میلینگ‌های مخرب با پوشش مکاتبه تجاری بوده‌اند. مجرمان سایبری برای اینکه کاری کنند پاسخ‌دهنده مجاب شود پیوست را باز کند یا فایل لینک‌شده‌ای را دانلود نماید معمولاً سعی دارند او را متقاعد کنند که ایمیل حاوی اطلاعات کاری مانند آفر تجاری یا فاکتور تحویل کالاست. این بدافزار اغلب آرشیو رمزگذاری‌شده است که پسوردش در بدنه پیام داده می‌شود. برای مثال، در سال جاری به این نقشه برخوردیم: مهاجمینی که به مکاتبات تجاری واقعی دسترسی داشتند (این احتمالاً با سرقت مکاتبات از کامپیوتری میسر شده که پیشتر آلوده شده بوده است) و ایمیل‌های جدیدی را –حاوی فایل‌ها یا لینک‌های مخرب- به همه شرکت‌کنندگان فرستادند. به بیانی دیگر آن‌ها توانستند به طور معقولی گفتگو را پیش ببرند.

این حقه، شناسایی ایمیل‌های مخرب را سخت‌تر کرده و احتمال اینکه کاربر فریب بخورد نیز به مراتب بیشتر می‌شود. در بیشتر موارد وقتی داکیومنت مخرب باز می‌شود یکی از تروجان‌های  Qbot یا Emotet لود می‌شود. هر دو می‌توانند داده کاربری سرقت کنند، اطلاعات در مورد شبکه سازمانی جمع کرده و سایر بدافزارها را مانند باج‌افزار توزیع کنند.

افزون بر این، Qbot می‌تواند برای دسترسی به ایمیل و سرقت پیام مورد استفاده قرار گیرد؛ این یعنی حکم منبع مکاتبه برای حملات بعدی را دارد. با نزدیک شدن سال میلادی جدید موضوع ایمیل‌های مخرب دارد بیش از هر زمان دیگری مبتکرانه می‌شود. برای مثال اوایل دسامبر اسکمرها وانمود کردند سازمان خیریه‌اند و از قربانیان خواستند به آن‌ها در تجهیزات قدیمی‌شان کمک کنند. البته که کاربران برای مشارکت باید فایلی را دانلود می‌کردند که ظاهراً حاوی فهرستی بود از دستگاه‌های پذیرفته‌شده. اما در حقیقت پیوست مذکور فایل قابل‌اجرای آلوده بود که در آرشیو محافظت‌شده با پسورد مخفی شده بود. در کمپین ایمیل دیگر نیز مهاجمین که خود را جای فاکتور خرید کالا زده بودند ده‌ها هزار آرشیو حاوی بک‌در تروجان مخرب فرستادند که اجازه کنترل ریموت را روی کامپیوتر آلوده می‌داد. جالب‌تر اینکه آرشیو پیوستی افزونه‌هایی چون  .r00، .r01 و غیره داشت. احتمال دارد سازندگان آن می‌خواسته‌اند پیوست را به عنوان بخشی از آرشیو بزرگ RAR عبور دهند؛ این لابد تلاشی بوده برای دور زدن سیستم‌های محافظت خودکار که برای برخی افزونه‌های فایل تنظیم می‌شود. 

نوتیفیکیشن‌های دولتی جعلی

ایمیل‌های تقلید از اطلاعیه‌های رسمی وزارتخانه‌ها و سایر ادارات دولتی امسال بیشتر شده است. این روند به ویژه در بخش روسی زبان اینترنت قابل توجه است. ایمیل‌هایی از این نوع مطابق با مشخصات سازمان خاص تنظیم می‌شوند. آدرس فرستنده معمولاً شبیه دامنه واقعی بخش است و پیوست مخرب اغلب دارای عنوان مرتبط است، مانند "نظرات در مورد نتایج جلسه". یکی از این پیوست‌ها حاوی کدهای مخرب برای سوء استفاده از آسیب‌پذیری در Equation Editor، یکی از اجزای Microsoft Office بود.

کول کردن رخدادهای فعلی

در بخش روس‌زبان اینترنت ما همچنین شاهد افزایش فعالیت ایمیل مخرب مبتنی بر لایحه اخبار فعلی بوده‌ایم. برای مثال در ماه اکتبر مجرمان سایبری بدافزاری را با پوشش دستورات فراخوانی توزیع کردند که داشت در واقع «بسیج بخشیِ» روس را اکسپلویت می‌کرد. این ایمیل‌ها با استناد به قانون جنایی روسیه از سبک و سیاق وزارت دفاع کمک گرفتند و دریافت‌کننده را مجاب کردند از طریق لینک ارائه‌شده دستورات را دانلود کند. در حقیقت لینک به آرشیوی اشاره داشت با اسکریپت قابل‌اجرا که فایل قابل‌اجرایی را ساخته بود و اجرایش کرده بود. افزون بر این ما ایمیلی را هم ثبت کردیم که ادعا می‌کرد از طرف آژانس‌های اجرای قانون روسیه است. این پیام، قربانی را دعوت کرده بود به دانلود راهکار جدید برای محافظت در برابر تهدیدهای آنلاین از جانب سازمان‌های متخاصم. ولی در واقع برنامه‌ای که روی کامپیوتر نصب شده بود تروجان باج‌افزار بود!

راهکارهای امنیتی

نقشه‌های مجرمان سایبری دارد هر سال پیچیده‌تر می‌شود و متودهای تقلید مکاتبه تجاری نیز هر بار متقاعدکننده‌تر. پس برای محافظت از زیرساخت سازمانی خود در برابر حملات ایمیل باید در کنار اقدامات سازمانی بعد فنی را نیر در نظر بگیرید. منظور این است که جدا از راهکارهای امنیتی هم در سطح میل سرور سازمان و روی همه دستگاه‌های متصل به اینترنت توصیه می‌کنیم به کارمندان خود در خصوص امنیت سایبری نیز آموزش‌های لازم را بدهید.

[1] piggybacking

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.