روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ مجرمان سایبری در پی دستیابی به اطلاعات محرمانه‌ی یک اکانت سازمانی پیوسته در حال ابداع ترفندهای جدیدی هستند که بواسطه‌ی آن‌ها کارمندان فریب خورده و از سایت‌های فیشینگ دیدن کنند. کمپین‌های اسپم در گذشته از دعوت‌های SharePoint و پیام‌های صوتی به عنوان تله استفاده می‌کردند. اخیراً، متخصصین ما از طرح فیشینگ دیگری پرده برداشته‌اند که در آن، مجرمان سایبری سعی دارند پروسه‌ی ارزیابیِ عملکرد[1] شرکت طعمه را تقلید کنند. این حمله‌، یک حمله‌ی دوسویه است: دریافت‌کنندگان فکر می‌کنند این ارزیابی الف) الزامی است و ب) می‌تواند در نهایت موجب افزایش حقوق شود. شایان ذکر است که در برخی شرکت‌ها چنین ارزیابی‌هایی بخش روتین فرآیند تجدید نظر روی دستمزدها هستند و برای همین هم هست که با این ترفند دیگر کسی هیچ شکی به مجرمان سایبری نخواهد کرد. طبق معمول، همه‌چیز با یک ایمیل شروع می‌شود. کارمند پیامی ظاهراً از سوی مدیریت منابع دریافت می‌کند که عملکرد ارزیابی را پیشنهاد می‌دهد. متن پیام حاوی لینکی است به وبسایتی با «فرم ارزیابی» که باید پر شود.

شکارِ بی‌تجربه‌ها

اگر کاربر دستورالعمل‌ها را باور کند، گام بعدی این است که لینک را دنبال کرده، لاگین نموده و صبر کند تا ایمیلی با اطلاعات افزوده برایش بیاید و بعد باید یکی از سه گزینه را انتخاب کند. برای هر تازه‌کار و بی‌تجربه‌ای شاید این روند ارزیابی کاملاً متقاعدکننده به نظر بیاید. فقط آدرس وبسایت (که هیچ ربطی به هیچیک از منابع سازمانی ندارد) است که ممکن است شک‌برانگیز باشد.

اگر کارمند لینک را باز کند، صفحه‌ی لاگین HR portal را خواهند دید. بر خلاف بسیاری از منابع فیشینگ که می‌بایست شبیه صفحات لاگین مخصوص سرویس‌های سازمانی می‌بودند، این یکی با تصویر پشت‌زمینه‌ی تک‌رنگِ روشن یا طیف‌دار و فیلدهای ورود اطلاعات پیش پا افتاده به نظر کاملاً ابتدایی می‌آید. اسکمرها برای اینکه به نظر قانونی بیایند کاربر را دعوت می‌کنند که سیاست حریم خصوصی را بپذیرند (بدون اینکه لینکی به هیچ داکیومنتی بدهند).

از قربانی خواسته می‌شود نام کاربری، رمزعبور و آدرس ایمیل خود را وارد کند. در برخی موارد، اسکمرها آن‌ها را هدایت می‌کنند به بخشی که باید آدرس محل کار وارد گردد. با کلیک روی دکمه‌ی Sign In یا Appraisal کارمند درواقع دارد اطلاعاتش را دودستی برای مجرمان سایبری فوروارد می‌کند. درست همینجاست که فرآیند ارزیابی ناگهان مختل می‌شود. کارمند شاید در امید ایمیل وعده‌داده‌شده و اطلاعات بیشتر تا چند لحظه هم - بیهوده-  منتظر بماند. در بهترین حالت ممکن، ممکن است کاربر متوجه شود کاسه‌ای زیر نیم‌کاسه‌ است و یا خیلی مؤدبانه به دپارتمان نیروی انسانی (که بعدش امنیت آی‌تی مطلع خواهد شد) یادآوری کند. در غیر این صورت، شرکت ماه‌ها قادر به شناسایی سارقین نخواهد شد.

خطرات سرقت اکانت سازمانی

همه‌اش به فناوری‌هایی که شرکت مربوطه استفاده می‌کند بستگی دارد. مجرم سایبری با در اختیار داشتن اطلاعات شخصی کارمند می‌تواند برای مثال با ارسال ایمیل‌های هدف‌دارِ فیشینگ -به نام قربانی- به سایر کارمندان شرکت یا کلاینت‌ها دست به اقداماتی شرارت‌بار بزند. مهاجم همچنین می‌تواند به مکاتبات قربانی یا داکیومنت‌های محرمانه‌ی داخل شرکت دسترسی پیدا کند که همین احتمال حملات موفق را بیشتر نیز می‌کند: به احتمال زیاد، پیام‌هایی که ظاهراً از جانب قربانی‌اند نه تنها فیلترهای اسپم را دور می‌زنند بلکه همچنین به گیرندگان حس کاذب امنیت را نیز القا می‌کنند. بعدها، اطلاعات سرقت‌شده را می‌توان همچنین برای انواع مختلفی از حملات هدف‌دار روی خود شرکت نیز به کار برد (مانند BEC[2]). علاوه بر اینها، از داکیومنت‌های داخلی و پیام‌های کارمندان می‌شود همچنین برای مقاصد دیگر مانند بلک‌میل یا فروش به رقبا نیز استفاده نمود.

چطور در برابر حملات فیشینگ از خود دفاع کنیم؟

چنین حملاتی ابتدا از عامل انسانی تغذیه می‌کنند. بنابراین، خیلی مهم است که کارمندان با فرآیندهای امنیت سایبری شرکت آشنا باشند.

• مرتباً یادآورهایی صادر کنید که کارمندان متوجه شوند باید در مقابل لینک‌های داخل ایمیل‌ها با احتیاط برخورد کنند و تنها زمانی بازشان کنند که از صحت و اطمینان آن آگاهی دارند.
• به کارمندان یادآوری کنید که اطلاعات شخصی اکانت کاری خود را روی هیچ وبسایت خارجی وارد نکنند.
• قبل از اینکه ایمیل‌های فیشینگ حتی بخواهند نزدیک اینباکس شما هم بشوند پایشان را قطع کنید. برای انجام این کار، راه‌حل امنیتی‌ای در سطح میل‌سرور نصب کنید. توصیه‌ی ما به شما کسپرسکی سکیوریتی برای میل‌سرور[3] یا کسپرسکی اندپوینت سکیوریتی پیشرفته‌ی سازمانی[4] است.

[1] performance appraisal

[2] business e-mail compromise

[3]  Kaspersky Security for Mail Server

[4] Kaspersky Endpoint Security for Business Advanced