روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ در سالهای اخیر، حملات BEC (دستکاری ایمیل سازمانی[1]) بیش از هر زمان دیگری شایع شدهاند. هدف آنها دستکاری مکاتبات تجاری برای پیش بردن نقشههای کلاهبرداری مالی، استخراج اطلاعات محرمانه یا ضربه زدن به شهرت و اعتبار یک شرکت است. ما پیشتر در مقالهای سناریوهای رایج حمله BEC را خدمتتان توضیح داده بودیم و در این خبر قصد داریم خطرناکترین نوع حمله BEC یعنی «BEC داخلی» را مورد بررسی قرار دهیم. ما اخیراً موفق به ساخت و اجرای فناوری جدیدی برای مقابله با این تهدید به طور خاص شدهایم. با ما همراه بمانید.
چرا BEC داخلی از BEC خارجی خطرناکتر است؟
حملات BEC داخلی با سایر سناریوهای این حمله فرق دارد؛ فرقش هم در این است که ایمیلهای جعلی از آدرسهای قانونی در داخل سازمان ارسال میشوند. به بیانی دیگر، مهاجم برای آغاز حملهی داخلی باید به اکانت ایمیل کارمند دسترسی پیدا کند. این یعنی دیگر نمیتوان به مکانیزمهای تأیید صحت ایمیل (DKIM, SPF, DMARC) اعتماد کرد و متکی بود. همچنین ابزارهای استاندارد آنتیفیشینگ و آنتیاسپم خودکار نیز که در هدرهای فنی یا آدرسهای تغییریافته به دنبال ناسازگاریها هستند نیز به کار نخواهند آمد.
معمولاً ایمیل از سوی یک میلباکس دستکاریشده حاوی درخواستی برای انتقال پول (به تأمینکننده، کنتراکتور، اداره مالیات) یا ارسال اطلاعات محرمانه است. تازه چاشنی ترفندهای مهندسی اجتماعی را نیز بدان اضافه کنید. مجرمان سایبری سعی میکنند گیرنده را هول کنند (اگر امروز قبض پرداخت نشود، شرکت جریمه خواهد کرد!)، تهدید کنند (ماه گذشته از شما خواسته شد پرداخت خود را انجام دهید، پس منتظر چه هستید؟!)، لحن مقتدرانهای به خود بگیرند که بدینواسطه جای هیچ تأخیری نماند و یا از سایر ترفندهای کتابچهی مهندسی اجتماعی استفاده نمایند. این ترفند با آدرسی قانونی میتواند در نهایت جلوهای بسیار متقاعدکننده به خود گیرد. حملات BEC داخلی همچنین میتوانند ایمیلهایی حاوی لینک به سایتهای جعلی را به خدمت بگیرند؛ سایتهایی که یوآرالهایشان با آدرس سازمان (یا صفحهی معتبر دیگر) مورد هدف فرق دارد؛ آن هم تنها توسط جا به جا شدن یک یا دو حرف. این سایت ممکن است میزبان فرم پرداختی یا پرسشنامهای باشد که درخواست اطلاعات محرمانه میکند. فرض بگیرید ایمیلی این چنینی از آدرس رئیس خود دریافت کردهاید:
«ما تصمیم گرفتیم شما را به کنفرانس اعزام کنیم. از اکانت ASAP ما بلیت را رزرو کرده تا بتوانیم تخفیف اولیه را برای شما دریافت کنیم». همهی اینها به همراه لینکی که شبیه به سایت مهمترین رویداد در صنعت شماست شما را میتواند در آخر کاملاً متقاعد کند. پس آیا بهتر نیست در چنین مواقعی هر حرفی را به دقت بخوانید تا بعدها پشیمان نشوید؟
چطور یک شرکت میتواند از گزند حملات BEC داخلی مصون بماند؟
به لحاظ فنی، ایمیل قانونی است؛ پس تنها راه شناسایی جعلی بودن آن این است که محتوا را مورد قضاوت قرار دهید. با اجرای یک سری از پیامهای جعلی بواسطهی الگوریتمهای یادگیری ماشین، این امکان وجود دارد که بتوانیم خصوصیات را تشخیص دهیم. همه اینها با هم کمک میکند تا متوجه شویم آیا پیامی واقعی است یا بخشی از یک حملهی دستکاری ایمیل سازمانی. خوشبختانه یا شوربختانه در داشتن نمونهها هیچ محدودتی نداریم. تلههای میلِ ما هر روز میلیونها پیام اسپم در سراسر جهان گیر میاندازد. این تلهها در خود تعداد قابلتوجهی از ایمیلهای فیشینگ دارند –که البته BEC داخلی نیستند، بلکه همان ترفندها را پیاده کرده و اهدافشان هم یکسان است؛ بدینترتیب میتوانیم از آنها برای یادگیری استفاده کنیم.
ما برای شروع کلاسیفایر (دستهبند) را طوری روی این حجم وسیع نمونهها آموزش میدهیم که بتواند پیامهای حاوی علایم جعلی و کلاهبردارانه را شناسایی کند. مرحلهی بعد در فرآیند یادگیری ماشین مستقیم روی متن عمل میکند. الگوریتمها برای شناسایی پیامهای مشکوک، واژگانی را انتخاب میکنند که بر همین اساس «اکتشاف[2]» (قوانین) را درست میکنیم که محصولاتمان بتوانند از آنها برای شناسایی حملات استفاده کنند. مجموعه کاملی از کلاسیفایرهای یادگیری ماشین در این فرایند دخیل است.
اما این دلیل نمیشود عقب بنشینیم و دست روی دست بگذاریم. محصولات ما اکنون میتواند بیش از قبل حملات BEC را شناسایی کنند اما مهاجم در صورتیکه به اکانت ایمیل کارمند دسترسی پیدا کند میتواند سبک او را دریافته و سعی کند آن را در طول حملهای منحصر به فرد تقلید نماید. از همین رو هشیاری و آگاهی هنوز هم امری حیاتی است. توصیه ما به شما این است که حواستان حسابی به پیامهایی که درخواست انتقال پول یا رو کردن دادههای محرمانه دارند باشد. با تماس گرفتن و یا پیام ارسال کردن (از طریق سرویسی معتبر) به همکار مربوطه یا صحبت کردن با آنها به صورت حضوری میتوانید مسئله را در میان گذاشته و جزئیات را شفافسازی کنید. ما از بحی اکتشافیای که فناوری جدید آنتی BEC خود در Kaspersky Security for Microsoft Office 365 تولید میکند استفاده میکنیم و برای پیادهسازی آنها در سایر راهکارها نیز برنامههایی داریم.
[1] business e-mail compromise
[2] به روشهای حل مسئله، آموزش و اکتشاف مبتنی بر تجربه اشاره میکنند که منجر به راه حلی میشود که تضمینی نیست که مطلوب باشد.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.