روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ اسکمرها در طول سالها از ترفندهای مختلفی برای دور زدن فناوریهای ضدفیشینگ استفاده کردهاند. یکی دیگر از ترفندهایی که نرخ موفقیت بالایی در تحویل لینکهای فیشینگ داشته استفاده از ESP[1]ها- شرکتهایی که تخصصشان ارسال خبرنامههای ایمیل است- برای ارسال پیامها میباشد. طبق آماری که از راهکارهای خود بدست آوردیم، این متود دارد همینطور محبوبتر شده و بیشتر به کار گرفته میشود. در ادامه ضمن ارائهی راهکارهای امنیتی با شما از فیشینگ از طریق سرویسهای بازاریابی ایمیلی گفتهایم. همراهمان باشید.
چرا فیشینگ مبتنی بر ESP با موفقیت عمل میکند؟
شرکتهایی که تهدیدهای ایمیلی را جدی میگیرند همهی ایمیلها را –با استفاده از موتورهای آنتیویروس، ضدفیشینگ و ضد اسپم-اسکن میکنند؛ پیش از آنکه پیامها اجازه رسیدن به صندوقهای ورودی کاربران را پیدا کنند. این موتورها نه تنها محتوای پیام، هدرها و لینکها را اسکن میکنند که همچنین اعتبار فرستنده و هر وبسایت لینکشده را نیز مورد بررسی قرار میدهد. حکمهای خطر بر اساس ترکیب همین عناصر است که صادر میشود. برای مثال، اگر ایمیل انبوه از سوی فرستندهای ناشناس ارسال شود این امری مشکوک است و الگوریتمهای امنیتی آن را پرچم قرمز تلقی میکنند. مهاجمین با این حال روشهای دور زدن قوانین را خوب بلدند؛ آنها ایمیلها را به اسم نهادی مورد اعتماد ارسال میکنند. سرویسهای بازاریابی ایمیل –که کارشان مدیریت پایان به پایان[2]- ایمیل است این نقش را تمام و کمال بازی میکنند. آنها شناختهشدهاند... بسیاری از فروشندگان راهکارهای امنیتی اجازه میدهند آدرسهای آیپیشان پیشفرض باشند و برخی حتی از چک ایمیلهای ارسالی نیز صرفنظر میکنند.
ESPها چطور اکسپلویت میشوند؟
بردار اصلی حمله واضح است: فیشینگی در لباس یک میل قانونی. در اصل، مجرمان سایبری کلاینتهای سرویس مورد هدف میشوند (معمولاً با خرید حداقلِ اشتراک: هر چیز بیشتری منطقی به نظر نخواهید رسید خصوصاً اینکه آنها احتمال میدهند به سرعت شناسایی و بلاک شوند). اما گزینهی عجیبتری هم وجود دارد: استفاده از ESP به عنوان یک میزبان یوآرال. بر اساس این طرح، ایمیل از طریق زیرساخت خودِ مهاجم ارسال میشود. برای مثال، مجرمان سایبری میتوانند کمپین تست بسازند که خود حاوی یوآرال فیشینگ باشد و بعد آن را به عنوان پیشنمایش برای خودشان بفرستند. ESP برای آن یوآرال، پروکسی میسازد و بعد مجرمان سایبری براحتی یوآرال پروکسی را برای ایمیل فیشینگ خود برمیدارند. آپشن دیگر برای اسکمرها، ساخت سایت فیشینگ است که به نظر یک قالب ایمیل میآید و لینک مستقیم بدان نیز دارد؛ اما این اتفاق کمتر میافتد. در هر صورت، یوآرال جدید پروکسی اکنون وجههی مثبتی دارد؛ پس بلاک نخواهد شد. و ESP–که میلینگ را مدیریت نمیکند- هیچ چیز را مشکلدار نمیبیند و کلاینت خود را بلاک نمیکند (دستکم تا وقتی شکایات از این سو و آن سو محاصرهاش کند). برخیاوقات چنین نقشههایی حتی در اسپیر فیشینگ هم نقشآفرینی میکنند.
ESP چه فکری میکنند؟
جای تعجب ندارد که ESPها از اینکه آلت دست مجرمان سایبری شدهاند خوشحال نیستند. بیشتر آنها فناوریهای امنیتی مخصوص به خود را دارند که با استفاده از آنها، محتوای پیام و لینکهایی را که از سرورهایشان رد میشود اسکن میکنند. از این رو مهاجمین سعی دارند ESPها را ساکت نگه دارند. برای مثال، استفاده از یک ارائهدهنده پروکسی، لینکهای فیشینگ را به تأخیر میاندازد؛ بنابراین در زمان ساخت، لینکهای داخل پیامهای متنی به نظر قانونی میرسند و بعدها آلودگی خود را رو خواهند کرد.
راهکارهای امنیتی
در بسیاری از موارد، میلینگهای انبوه برای کارمندان شرکت ارسال میشود که آدرسهایشان عمومی است؛ و حتی هشیارترینشان هم باز گاه و بیگاه ایمیلهای آلوده یا مشکوک را از قلم میاندازند. برای محافظت از کارمندان خود در برابر حملات فیشینگ (وارد آمده از سوی سرویس بازاریابی ایمیل) توصیه میکنیم:
- به کارمندان خود دستور دهید هرگز ایمیلهایی را که مارک «ایمیل انبوه» دارند باز نکنند؛ مگر آنکه در فهرست میلینگ مربوطه اشتراک داشته باشند. چنین پیامهایی بعید است اهمیت جدیای داشته باشند (معمولاً در بهترین حالتشان یک سری آگهیهای تبلیغاتی مزاحمند).
- از راهکارهای امنیتی قوی که با استفاده از الگوریتمهای اکتشافی همهی ایمیلهای دریافتی را اسکن میکنند استفاده نمایید.
توصیه ما استفاده از کسپرسکی سکیوریتی برای آفیس 365 و کسپرسکی سکیوریتی برای میلسرور (بخشی از راهکار معروفمان کسپرسکی توتال سکیوریتی برای سازمانها) است.
[1]ارائهدهندگان خدمات ایمیل
[2] end-to-end
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
