روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ حملات هدفدارِ ایمیلی فقط به فیشینگ هدفدار[1] و دستکاری ایمیل سازمانی (BEC) محدود نمیشوند. تهدید جدی دیگر سرقت مکالمه است که در ادامه قرار است ضمن توضیح ساز و کار آن، راهکارهایی برای مدیریت چنین اتفاقی نیز خدمتتان ارائه دهیم. با ما همراه بمانید.
به طور خلاصه، این نقشهای است که طی آن مهاجمین خود را داخل یک مکالمه ایمیلیِ سازمانی میاندازند و یکی از شرکتکنندگان جا میزنند. این مقاله تحلیل خواهد کرد چطور چنین حملاتی کار خواهند کرد و چطور میشود شانس موفقیت آنها را به حداقل رساند.
چطور مهاجمین به مکاتبات الکترونیکی دست پیدا میکنند؟
مجرمان سایبری برای رخنه کردن به مکالمهی خصوصی ایمیل، نیاز دارند یکجورهایی یا به میلباکس یا (دست کم) به آرشیو مسیجها دسترسی داشته باشند. آنها برای رسیدن به این هدف میتوانند از چندین ترفند استفاده کنند. واضحترینش این است که میلباکس را هک کنند. برای سرویسهای کلود، اجرای حمله جستجوی فراگیر متود قابلقبولی است: مهاجمین به دنبال پسوردهای مربوط به آدرس ایمیل خاصی در قسمت نشتیهای سرویسهای آنلاین میگردند، سپس آنها را روی اکانتهای ایمیل کاری امتحان میکنند. برای همین است که استفاده نکردن از یک پسورد برای چندین سرویس این چنین اهمیت دارد. دوم اینکه نباید موقع ثبتنام روی سایتهای غیرکاری از ایمیل کاری استفاده کرد. متود جایگزین دسترسی به ایمیل از طریق آسیبپذیریها در نرمافزار سرور است. عاملین تخریب به ندرت میتوانند طولانیمدت اختیار آدرس ایمیل کاری را دست گیرند اما معمولاً آنقدری زمان دارند که بتوانند آرشیو مسیجها را دانلود کنند. آنها برخیاوقات در تنظیمات قوانین فوروارد درست میکنند تا در لحظه بتوانند ایمیلی را که وارد میلباکس میشود دریافت کنند. در نتیجه، فقط میتوانند پیامها را بخوانند و هیچ قدرت ارسالی ندارند. اگر هم توان ارسال داشته باشند به احتمال قوی به سراغ دستکاری ایمیل سازمانی میروند.
گزینه دیگر بدافزا است. اخیراً همکاران ما کمپین سرقت مکالمه انبوهی را شناسایی کردهاند که هدفش آلوده کردن کامپیوترها با تروجان QBot بوده است. ایمیلهایی که مجرمان سایبری در آنها پیلود آلوده خود را کاشته بودند احتمالاً برای همان قربانیان قبلی بدافزار QBot بودند (همان بدافزاری که میتواند به آرشیوهای لوکال پیام دسترسی داشته باشد). اما هکرها یا عاملین بدافزار که سبک شخصی دارند لزوماً خودشان را وارد ماجرای سرقت مکالمه نمیکنند- برخیاوقات آرشیوهای پیام در دارکوب فروخته شده و توسط اسکمرهای دیگر مورد استفاده قرار میگیرند.
سرقت مکالمه چطور کار میکند؟
مجرمان سایبری برای پیدا کردن ایمیلها میان چندین کامپیوتر (شرکا، پیمانکاران، تأمینکنندگان و غیره) دست به جستجوی آرشیوهای مسیج میزنند. تاریخها مهم نیستند- اسکمرها میتوانند مکالماتی را که برای چندین سال پیش هستند از نو شروع کنند. بعد از پیدا کردن تبادل ایمیل مناسب، آنها به یکی از طرفین دخیل پیام میدهند و خود را جای فردی دیگر میزنند. هدف جعل هویت است و مجاب کردن فرد دیگر برای انجام کاری که برای مهاجمین اهمیت دارد. پیش از رسیدن به اصل مطلب گاهی آنها فقط برای عادیسازی چندتایی پیام معمولی رد و بدل میکنند راه رد گم کنند. از آنجایی که سرقت مکالمه حملهای هدفدار است اغلب از دامنهای مشابه استفاده میکند یعنی دامنه به لحاظ بصری به دامنه یکی از شرکتکنندگان نزدیک است اما در حقیقت چندتایی ناهماهنگی هم میانشان وجود دارد (برای مثال دامنه درجه بالای متفاوت، یک حرف اضافه یا یک نماد که با نسخه مشابهش جایگزین شده).
سرقت مکالمه مشخصاً به چه منظور استفاده میشود؟
هدف از سرقت مکالمه معمولاً پیشپاافتاده است: دسترسی به برخی منابع با سرقت اطلاعات لاگین؛ فریب قربانی برای ارسال پول به اکانت مهاجم، یا مجاب کردن قربانی برای باز کردن پیوستی مخرب یا فالو کردن لینکی در یک سایت آلوده.
راهکارهای امنیتی
تهدید اصلی سرقت مکالمه این است که ایمیلهایی از این جنس را سخت میتوان با ابزارهای خودکار شناسایی کرد. خوشبختانه راهکار Kaspersky Security for Microsoft Office 365 ما قابلیت شناسایی چنین حملاتی را دارد. اما جدا از این برای کاهش بیشتر ریسکها هم برای خودتان هم شرکاری تجاری که دارید توصیه میکنیم:
- برای سختتر کردن سرقت آرشیوهای پیام کارمندان خود از دستگاههایشان مراقبت کنید.
- برای اکانتهای ایمیل کاری از پسوردهای منحصر به فرد استفاده کنید.
- تعداد خدمات خارجی ثبتشده با آدرس ایمیل کاری خود را به حداقل برسانید.
- نه تنها بعد از رخداد ایمیل، پسورد را تغییر دهید که همچنین چک کنید ببینید آیا قوانین ناخواسته فوروارد در تنظیمات ظاهر شده یا نه.
[1] spear phishing
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
