روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ از تابستان گذشته، هم صاحبان هتل و هم کارمنان آن در حال دریافت ایمیل‌های مخربی با پوشش مکاتبات عادی از مهمانان قبلی یا مهمانان احتمالی هستند. در برخی موارد، آن‌ها در قالب پیام‌های معمولی ارسالی به آدرس ایمیل عمومی هتل مورد هدف ظاهر می‌شوند. در برخی موارد دیگر، آن‌ها شکل درخواست‌های فوری از جانب سایت Booking.com را به خود می‌گیرند؛ درخواست‌هایی برای پاسخ به کامنت‌های کاربری که ظاهراً این پلت‌فرم دریافت کرده بوده است. در واقعیت اما همه این عوامل، مجرمانی هستند که سعی دارند یا اطلاعات لاگین کارمندان را در اختیار گرفته و یا با بدافزار، سیستم‌های هتل را آلوده کنند.

ترفندهای تجارت

موقع هدف قرار دادن سازمان‌ها، عاملین تهدید معمولاً به بهانه‌ی توجیه‌پذیری برای ایمیل‌های خود نیاز دارند. در مورد هتل‌ها، دست و پا کردن چنین بهانه‌ای نسبتاً ساده است: پاسخ به درخواست‌های آنی مشتری برای کارکنان هتل از شرح وظایق اصلی‌شان است و این کار را با آدرس ایمیل‌هایی انجام می‌دهند که به طور عمومی موجود هستند. اعتبار هتل تمام دارایی آن است پس کارمندان سعی دارند همیشه در اسرع وقت به شکایات و درخواست‌ها رسیدگی کنند. این میزان اشتیاق به رفع سریع مشکلات باعث می‌شود داخل همین ایمیل‌ها لینک را دنبال کرده یا فایل‌های پیوست را باز کنن و همین در نهایت به گیر افتادن و قربانی مجرمان شدن منجر می‌شود. در اصل، این تهدید می‌تواند «حمله تمرکز بر مشتری[1]» نامیده شود. مضاف بر چالش شناسایی تهدید، این حقیقت هم وجود دارد که مهاجمین نیازی ندارند آدرس ایمیل مشخص و مناسب سازمان بسازند. کارکنان هتل به صورت روتین درخواست‌ها و شکایاتی از سوی مهمانان که خدمات رایگان ایمیل را استفاده می‌نمایند دریافت می‌کنند. پس مهاجمین هم از این فرصت استفاده می‌کنند؛ جیمیل در این میان از همه موارد دیگر رایج‌تر است.

محتوای ایمیل

به طور کلی، این مکاتبه حاوی یکی از این دو موضوعات است: شکایات یا درخواست‌ برای شفاف‌سازی برخی جزئیات. در سناریوی اول، کارمندان هتل از مهمان ناراضی پیامی دریافت می‌کنند. شکایت می‌تواند در مورد کارمند بی‌اخلاق، شارژ مضاعف کارت بانکی، شرایط ضعیف محل اقامت و غیره باشد. برای توجیه صحبت‌هایشان، مهاجمین ممکن است حتی مدرک اضافی مانند ویدیو، عکس یا نامه بانکی و غیره هم ارائه دهند.

اوایل سال جاری، مهاجمین تاکتیک‌های خود را اصلاح کردند. به‌جای شکایات مستقیم، آنها شروع به ارسال ایمیل‌هایی نمودند که به‌عنوان نوتیف‌هایی از سایت بوکینگ -پلت‌فرم محبوب رزرو آنلاین اقامتگاه‌ها - پنهان شده بودند. ماهیت یکسان باقی می‌ماند: ظاهراً شخصی نظری منفی روی پلت‌فرم گذاشته است که کارکنان هتل باید به‌عنوان یک موضوع فوری به آن رسیدگی کنند. این ممکن است کلاهبرداری متفاوتی به نظر برسد، اما اهداف حمله و سرفصل های فنی ایمیل نشان می‌دهد این ایمیل‌ها بخشی از همان کمپین هستند.

در ایمیل‌های مبتنی بر تحقیق، مهاجمین به عنوان مهمانان احتمالی ظاهر می‌شوند و اطلاعات بیشتری در مورد خدمات هتل و قیمت‌ها درخواست می‌کنند. گزینه ها بی پایان هستند و موضوع و محتوای هر پیام تقریباً همیشه منحصر به فرد است. علاوه بر سؤالات معمول در مورد نقل و انتقالات، غذاها و نرخ‌ها، این شبه مهمانان ممکن است در مورد اتاق بازی برای بچه‌ها، فضایی آرام برای کار از راه دور، یا در دسترس بودن اتاق هایی با اهمیت تاریخی یا فرهنگی خاص سؤال کنند.

در اینجا چند نمونه دیگر از موضوعات و محتوای ایمیل فیشینگ آورده شده است:

•         موضوع: بررسی درگاه‌های پرداخت مختلف برای کارت‌های شهربازی.

بدنه: لغو رزرو ظرف چند هفته پس از تاریخ ورود، چه عواقبی دارد؟

•         موضوع: به دنبال توضیح و شفاف‌سازی در مورد رزرو.

بدنه: با سلام! در صورتی که کالایی را به اشتباه درج کنم، در طول اقامتم مراحل پیدا کردن وسایل گم شده چگونه است؟

•         موضوع: استعلام رزرو

بدنه: سلام! آیا اتاق دارای مینی بار است و شامل چه مواردی می شود؟

•         موضوع: نحوه رزرو آنلاین اتاق دو نفره بدون دردسر.

بدنه: اگر مهمانان خارج از ساعات عادی ورود به هتل شما وارد شوند، چه اتفاقی می‌افتد؟

•         موضوع: ایمن سازی اتاق های منحصر به فرد هتل: توجه به جزئیات دقیق تر.

بدنه: بعدازظهر بخیر، من علاقه‌مند به اقامت در هتل شما هستم، اما در مورد فرآیند پرداخت سؤالاتی دارم. می‌شود در این مورد به من کمک کنید؟

•         موضوع: اتاق گل و گیاهان تازه.

بدنه: آیا گزینه‌هایی برای درخواست گل یا گیاهان تازه در اتاق مهمان وجود دارد؟

•         موضوع: اطلاعات تأسیسات لباسشویی.

بدنه: چه اطلاعاتی می‌توانید در مورد امکانات خشکشویی هتل، از جمله خدمات ارائه‌شده و هزینه‌های مربوطه ارائه دهید؟

•         موضوع: درخواست رزرو اتاق مناسب با شرایط حیوانات خانگی

بدنه: آیا می‌توانید اتاقی مناسب برای حیوانات خانگی تهیه کنید؟ اطلاعات در مورد امکانات حیوانات خانگی برای ما بسیار کارساز خواهد بود.

•         موضوع: استعلام اتاق‌هایی با منابع انرژی پایدار.

بدنه: به اتاقی نیاز دارم که از منابع انرژی پایدار پشتیبانی کند تا در طول اقامتم از زندگی سازگار با محیط زیست پشتیبانی شود.

•         موضوع: فضای کاری اختصاصی در اتاق‌ها برای استعلام مهمانان تجاری.

بدنه: آیا فضای کاری اختصاصی در اتاق ها برای مهمانانی که نیاز به کار از راه دور دارند موجود است؟

توجه - اینها نمونه‌های واقعی کلمه هستند که توسط مهاجمین استفاده شده است.

همانطور که می‌بینید، از یک طرف، همه اینها سوالات کاملاً قابل قبولی هستند که مشتریان واقعی هتل می‌پرسند. از سوی دیگر، موضوع و بدنه ایمیل همیشه به طور منطقی به هم مرتبط نیستند. گویی در برخی موارد فرستنده آنها را از پایگاه داده از پیش کامپایل شده به ترتیب تصادفی بیرون آورده است.

مکاتبه چندمرحله‌ای با کلاینت‌های تقلبی

در برخی موارد، مهاجمین متودهایی که بیشتر میان حملات هدف‌دار رایج است اتخاذ می‌کنند- هیچ لینک مخربی در ایمیل اول یا دوم ارسال نمی‌شود. برای خواب کردن قربانی، آن‌ها مکالمه را با پیام‌های به ظاهر ساده و کوتاه شروع می‌کنند و سوالاتی در مورد شرایط اقامت در هتل می‌پرسند. برای مثال در پیام اول، مهاجم خود را جای مشتری بالقوه می‌گذارد و ادعا می‌کند قصد دارد همسرش را غافلگیر کند. در جواب، کارمند هتل شفاف‌سازی می‌کند که تاریخ اقامت به چه صورت است و می‌پرسد برای این سورپریز چند نفر کارمند هتل نیاز دارد. فقط آنجاست که مهاجم ایمیلی با لینکی به فایل مخرب ارسال می‌کند. به ظاهر این ایمیل حاوی دستورالعمل مفصلی است در مورد ایجاد فضایی ویژه در اتاق با وعده پاداش برای زحمات پرسنل هتل.

اهداف نهایی

به طور کلی، هدف مجرمان سایبری در همه این موارد، به دست آوردن اعتبار است. سپس می‌توانند آن‌ها در کلاهبرداری‌های دیگر استفاده کرده یا به سادگی بفروشند زیرا پایگاه‌های اطلاعاتی چنین نام‌های کاربری و گذرواژه‌هایی در وب تاریک تقاضای زیادی دارند. اواخر سال گذشته، ما در مورد نحوه استفاده از حساب‌های هتل در معرض خطر در Booking.com برای کلاهبرداری مشتریان از اطلاعات پرداخت نوشتیم. بسیار محتمل است که هدف نهایی مهاجمان در این مورد اجرای یک طرح مشابه باشد. همانطور که در بالا نوشتیم، مجرمان سایبری یا قربانی را به یک سایت فیشینگ فریب می‌دهند یا سعی می کنند رایانه او را با بدافزار آلوده کنند.

آلودگی بدافزار

مهاجمین بیشتر از لینک‌هایی به فایل‌هایی با محتوای مخرب استفاده می‌کنند که در سرویس‌های اشتراک‌گذاری فایل قانونی ذخیره می‌شوند. روش‌های مختلف پنهان‌سازی لینک‌ها کمتر رایج هستند - مانند URLهای کوتاه شده. این لینک‌ها می‌توانند در متن ایمیل یا در یک پیوست، به عنوان مثال یک سند PDF باشند. در برخی موارد، فایل‌های دارای محتوای مخرب (مانند اسناد مایکروسافت ورد آلوده) مستقیماً به عنوان پیوست ارسال می‌شوند. اگر قربانی لینک را دنبال و فایل را دانلود یا پیوست را باز کند، ممکن است بدافزارهای مختلفی در دستگاه او ظاهر شود که در میان آنها معمولاً یک سارق پسورد وجود دارد. ما به تهدیداتی مانند XWorm backdoor و RedLine stealer مواجه شده‌ایم.

ایمیل‌های فیشینگ

در برخی موارد، لینک‌های فیشینگ به صفحاتی منتهی می‌شوند که از فرم ورود به سایت Booking.com تقلید می‌کنند. در مواقع دیگر، صفحه فیشینگ مانند فرمی برای وارد کردن اعتبار شرکت به نظر می‌رسد. اگر مهاجمین موفق شوند از اینها برای دسترسی به حساب‌های ایمیل شرکتی استفاده کنند، درهای زیادی به روی آنها باز می‌شود - مانند ربودن حساب مرتبط Booking.com یا تماس با مشتریان در حین جعل هویت هتل.

راهکارهای امنیتی

برای محافظت از کارکنان هتل خود از قربانی شدن این طرح‌ها و محافظت از کسب و کار خود، موارد زیر را انجام دهید:

•         به طور منظم آموزش آگاهی از امنیت را برای کارکنان اجرا کنید. این آنها را به دانشی مجهز می‌کند تا در مقابل تکنیک های مهندسی اجتماعی مقاومت کنند و ترفندهای مجرمانه سایبری را زود تشخیص دهند. به عنوان مثال، در مورد کلاهبرداری ایمیل Booking.com، این کار را می‌توان با چشم غیر مسلح انجام داد - فقط توجه داشته باشید که از یک سرویس بزرگ و معتبر مانند Booking.com هرگز از یک ایمیل رایگان اعلان ارسال نمی‌کند. علاوه بر این، وب‌سایتی که از صفحه ورود تقلید می‌کند، ممکن است در دامنه طرف‌سومی میزبانی شود که کاملاً با پلت‌فرم سفر نامرتبط است.
•         اجرای حفاظت در سطح دروازه ایمیل. گرچه ممکن است کارمندان همچنان ایمیل‌های مزاحم را از کلاهبرداران دریافت کنند، فیشینگ و لینک‌های مخرب همراه با پیوست‌های خطرناک هرگز به صندوق ورودی آنها نمی رسند.
•         راهکارهای امنیتی قوی با فناوری ضد فیشینگ را روی همه دستگاه‌هایی که برای کار استفاده می‌شوند نصب کنید.
•         وبلاگ ما را فراموش نکنید. با دنبال کردن آن، جزو اولین نفرات خواهید بود که از آخرین تهدیدات ایمیل مطلع می‌شوید.

[1] customer focus attack

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.