روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ حملات هدف‌دارِ ایمیلی فقط به فیشینگ هدف‌دار[1] و دستکاری ایمیل سازمانی (BEC) محدود نمی‌شوند. تهدید جدی دیگر سرقت مکالمه است که در ادامه قرار است ضمن توضیح ساز و کار آن، راهکارهایی برای مدیریت چنین اتفاقی نیز خدمتتان ارائه دهیم. با ما همراه بمانید.

به طور خلاصه، این نقشه‌ای است که طی آن مهاجمین خود را داخل یک مکالمه ایمیلیِ سازمانی می‌اندازند و یکی از شرکت‌کنندگان جا می‌زنند. این مقاله تحلیل خواهد کرد چطور چنین حملاتی کار خواهند کرد و چطور می‌شود شانس موفقیت آن‌ها را به حداقل رساند.

چطور مهاجمین به مکاتبات الکترونیکی دست پیدا می‌کنند؟

مجرمان سایبری برای رخنه کردن به مکالمه‌ی خصوصی ایمیل، نیاز دارند یک‌جورهایی یا به میل‌باکس یا (دست کم) به آرشیو مسیج‌ها دسترسی داشته باشند. آن‌ها برای رسیدن به این هدف می‌توانند از چندین ترفند استفاده کنند. واضح‌ترینش این است که میل‌باکس را هک کنند. برای سرویس‌های کلود، اجرای حمله جستجوی فراگیر متود قابل‌قبولی است: مهاجمین به دنبال پسوردهای مربوط به آدرس ایمیل خاصی در قسمت نشتی‌های سرویس‌های آنلاین می‌گردند، سپس آن‌ها را روی اکانت‌های ایمیل کاری امتحان می‌کنند. برای همین است که استفاده نکردن از یک پسورد برای چندین سرویس این چنین اهمیت دارد. دوم اینکه نباید موقع ثبت‌نام روی سایت‌های غیرکاری از ایمیل کاری استفاده کرد. متود جایگزین دسترسی به ایمیل از طریق آسیب‌پذیری‌ها در نرم‌افزار سرور است. عاملین تخریب به ندرت می‌توانند طولانی‌مدت اختیار آدرس ایمیل کاری را دست گیرند اما معمولاً آنقدری زمان دارند که بتوانند آرشیو مسیج‌ها را دانلود کنند. آن‌ها برخی‌اوقات در تنظیمات قوانین فوروارد درست می‌کنند تا در لحظه بتوانند ایمیلی را که وارد میل‌باکس می‌شود دریافت کنند. در نتیجه، فقط می‌توانند پیام‌ها را بخوانند و هیچ قدرت ارسالی ندارند. اگر هم توان ارسال داشته باشند به احتمال قوی به سراغ دستکاری ایمیل سازمانی می‌روند.

گزینه دیگر بدافزا است. اخیراً همکاران ما کمپین سرقت مکالمه انبوهی را شناسایی کرده‌اند که هدفش آلوده کردن کامپیوترها با تروجان  QBot بوده است. ایمیل‌هایی که مجرمان سایبری در آن‌ها پی‌لود آلوده خود را کاشته بودند احتمالاً برای همان قربانیان قبلی بدافزار  QBot بودند (همان بدافزاری که می‌تواند به آرشیوهای لوکال پیام دسترسی داشته باشد). اما هکرها یا عاملین بدافزار که سبک شخصی دارند لزوماً خودشان را وارد ماجرای سرقت مکالمه نمی‌کنند- برخی‌اوقات آرشیوهای پیام در دارک‌وب فروخته شده و توسط اسکمرهای دیگر مورد استفاده قرار می‌گیرند.

سرقت مکالمه چطور کار می‌کند؟

مجرمان سایبری برای پیدا کردن ایمیل‌ها میان چندین کامپیوتر (شرکا، پیمانکاران، تأمین‌کنندگان و غیره) دست به جستجوی آرشیوهای مسیج می‌زنند. تاریخ‌ها مهم نیستند- اسکمرها می‌توانند مکالماتی را که برای چندین سال پیش هستند از نو شروع کنند. بعد از پیدا کردن تبادل ایمیل مناسب، آن‌ها به یکی از طرفین دخیل‌ پیام می‌دهند و خود را جای فردی دیگر می‌زنند. هدف جعل هویت است و مجاب کردن فرد دیگر برای انجام کاری که برای مهاجمین اهمیت دارد. پیش از رسیدن به اصل مطلب گاهی آن‌ها فقط برای عادی‌سازی چندتایی پیام معمولی رد و بدل می‌کنند راه رد گم کنند. از آنجایی که سرقت مکالمه حمله‌ای هدف‌دار است اغلب از دامنه‌ای مشابه استفاده می‌کند یعنی دامنه به لحاظ بصری به دامنه یکی از شرکت‌کنندگان نزدیک است اما در حقیقت چندتایی ناهماهنگی هم میانشان وجود دارد (برای مثال دامنه درجه بالای متفاوت، یک حرف اضافه یا یک نماد که با نسخه مشابهش جایگزین شده).

سرقت مکالمه مشخصاً به چه منظور استفاده می‌شود؟

هدف از سرقت مکالمه معمولاً پیش‌پاافتاده است: دسترسی به برخی منابع با سرقت اطلاعات لاگین؛ فریب قربانی برای ارسال پول به اکانت مهاجم، یا مجاب کردن قربانی برای باز کردن پیوستی مخرب یا فالو کردن لینکی در یک سایت آلوده.

راهکارهای امنیتی

تهدید اصلی سرقت مکالمه این است که ایمیل‌هایی از این جنس را سخت می‌توان با ابزارهای خودکار شناسایی کرد. خوشبختانه راهکار  Kaspersky Security for Microsoft Office 365 ما قابلیت شناسایی چنین حملاتی را دارد. اما جدا از این برای کاهش بیشتر ریسک‌ها هم برای خودتان هم شرکاری تجاری که دارید توصیه می‌کنیم:

•         برای سخت‌تر کردن سرقت آرشیوهای پیام کارمندان خود از دستگاه‌هایشان مراقبت کنید.
•         برای اکانت‌های ایمیل کاری از پسوردهای منحصر به فرد استفاده کنید.
•         تعداد خدمات خارجی ثبت‌شده با آدرس ایمیل کاری خود را به حداقل برسانید.
•         نه تنها بعد از رخداد ایمیل، پسورد را تغییر دهید که همچنین چک کنید ببینید آیا قوانین ناخواسته فوروارد در تنظیمات ظاهر شده یا نه. 

[1] spear phishing

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.