روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اسکمرها در طول سال‌ها از ترفندهای مختلفی برای دور زدن فناوری‌های ضدفیشینگ استفاده کرده‌اند. یکی دیگر از ترفندهایی که نرخ موفقیت بالایی در تحویل لینک‌های فیشینگ داشته استفاده از ESP[1]ها- شرکت‌هایی که تخصص‌شان ارسال خبرنامه‌های ایمیل است- برای ارسال پیام‌ها می‌باشد. طبق آماری که از راهکارهای خود بدست آوردیم، این متود دارد همینطور محبوب‌تر شده و بیشتر به کار گرفته می‌شود. در ادامه ضمن ارائه‌ی راهکارهای امنیتی با شما از فیشینگ از طریق سرویس‌های بازاریابی ایمیلی گفته‌ایم. همراهمان باشید.

چرا فیشینگ مبتنی بر ESP با موفقیت عمل می‌کند؟

شرکت‌هایی که تهدیدهای ایمیلی را جدی می‌گیرند همه‌ی ایمیل‌ها را –با استفاده از موتورهای آنتی‌ویروس، ضدفیشینگ و ضد اسپم-اسکن می‌کنند؛ پیش از آنکه پیام‌ها اجازه رسیدن به صندوق‌های ورودی کاربران را پیدا کنند. این موتورها نه تنها محتوای پیام، هدرها و لینک‌ها را اسکن می‌کنند که همچنین اعتبار فرستنده و هر وبسایت لینک‌شده را نیز مورد بررسی قرار می‌دهد. حکم‌های خطر بر اساس ترکیب همین عناصر است که صادر می‌شود. برای مثال، اگر ایمیل انبوه از سوی فرستنده‌ای ناشناس ارسال شود این امری مشکوک است و الگوریتم‌های امنیتی آن را پرچم قرمز تلقی می‌کنند. مهاجمین با این حال روش‌های دور زدن قوانین را خوب بلدند؛ آن‌ها ایمیل‌ها را به اسم نهادی مورد اعتماد ارسال می‌کنند. سرویس‌های بازاریابی ایمیل –که کارشان مدیریت پایان به پایان[2]- ایمیل است این نقش را تمام و کمال بازی می‌کنند. آن‌ها شناخته‌شده‌اند... بسیاری از فروشندگان راهکارهای امنیتی اجازه می‌دهند آدرس‌های آی‌پی‌شان پیش‌فرض باشند و برخی حتی از چک‌ ایمیل‌های ارسالی نیز صرف‌نظر می‌کنند.

 ESP‌ها چطور اکسپلویت می‌شوند؟

بردار اصلی حمله واضح است: فیشینگی در لباس یک میل قانونی. در اصل، مجرمان سایبری کلاینت‌های سرویس مورد هدف می‌شوند (معمولاً با خرید حداقلِ اشتراک: هر چیز بیشتری منطقی به نظر نخواهید رسید خصوصاً اینکه آن‌ها احتمال می‌دهند به سرعت شناسایی و بلاک شوند). اما گزینه‌ی عجیب‌تری هم وجود دارد: استفاده از ESP به عنوان یک میزبان یو‌آرال. بر اساس این طرح، ایمیل از طریق زیرساخت خودِ مهاجم ارسال می‌شود. برای مثال، مجرمان سایبری می‌توانند کمپین تست بسازند که خود حاوی یو‌آرال فیشینگ باشد و بعد آن را به عنوان پیش‌نمایش برای خودشان بفرستند. ESP برای آن یو‌آرال، پروکسی می‌سازد و بعد مجرمان سایبری براحتی یو‌آرال پروکسی را برای ایمیل فیشینگ خود برمی‌دارند. آپشن دیگر برای اسکمرها، ساخت سایت فیشینگ است که به نظر یک قالب ایمیل می‌آید و لینک مستقیم بدان نیز دارد؛ اما این اتفاق کمتر می‌افتد. در هر صورت، یو‌آرال جدید پروکسی اکنون وجهه‌ی مثبتی دارد؛ پس بلاک نخواهد شد. و ESP–که میلینگ را مدیریت نمی‌کند- هیچ چیز را مشکل‌دار نمی‌بیند و کلاینت خود را بلاک نمی‌کند (دست‌کم تا وقتی شکایات از این سو و آن سو محاصره‌اش کند). برخی‌اوقات چنین نقشه‌هایی حتی در اسپیر فیشینگ هم نقش‌آفرینی می‌کنند.

ESP چه فکری می‌کنند؟

جای تعجب ندارد که ESP‌ها از اینکه آلت دست مجرمان سایبری شده‌اند خوشحال نیستند. بیشتر آن‌ها فناوری‌های امنیتی مخصوص به خود را دارند که با استفاده از آن‌ها، محتوای پیام و لینک‌هایی را که از سرورهایشان رد می‌شود اسکن می‌کنند. از این رو مهاجمین سعی دارند ESP‌ها را ساکت نگه دارند. برای مثال، استفاده از یک ارائه‌دهنده پروکسی، لینک‌های فیشینگ را به تأخیر می‌اندازد؛ بنابراین در زمان ساخت، لینک‌های داخل پیام‌های متنی به نظر قانونی می‌رسند و بعدها آلودگی خود را رو خواهند کرد.

راهکارهای امنیتی

در بسیاری از موارد، میلینگ‌های انبوه برای کارمندان شرکت ارسال می‌شود که آدرس‌هایشان عمومی است؛ و حتی هشیارترین‌شان هم باز گاه و بیگاه ایمیل‌های آلوده یا مشکوک را از قلم می‌اندازند. برای محافظت از کارمندان خود در برابر حملات فیشینگ (وارد آمده از سوی سرویس بازاریابی ایمیل) توصیه می‌کنیم:

• به کارمندان خود دستور دهید هرگز ایمیل‌هایی را که مارک «ایمیل انبوه» دارند باز نکنند؛ مگر آنکه در  فهرست میلینگ مربوطه اشتراک داشته باشند. چنین پیام‌هایی بعید است اهمیت جدی‌ای داشته باشند (معمولاً در بهترین حالت‌شان یک سری آگهی‌های تبلیغاتی مزاحمند).
• از راهکارهای امنیتی قوی که با استفاده از الگوریتم‌های اکتشافی همه‌ی ایمیل‌های دریافتی را اسکن می‌کنند استفاده نمایید.

توصیه ما استفاده از کسپرسکی سکیوریتی برای آفیس 365 و کسپرسکی سکیوریتی برای میل‌سرور (بخشی از راهکار معروفمان کسپرسکی توتال سکیوریتی برای سازمان‌ها) است.

[1]ارائه‌دهندگان خدمات ایمیل

[2] end-to-end

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.