روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در مقاله‌ی امروز قرار است به برخی ترفندهای مهندسی اجتماعی شایع میان مجرمان سایبری برای حمله به شرکت‌ها بپردازیم: انواع مختلف اسکم شامل تماس‌ها و ایمیل‌هایی از بخش پشتیبانی فنی جعلی، حملات دستکاری ایمیل سازمانی، درخواست داده از سازمان‌های مجری قانون و ... می‌شود.  با ما همراه بمانید.

سلام، از بخش پشتیبانی فنی تماس می‌گیرم!

یکی از نقشه‌های کلاسیک مهندسی اجتماعی تماس به کارمند شرکت و معرفی خود به عنوان عضوی از تیم پشتیبانی فنی است. برای مثال هکرها ممکن است آخر هفته‌ها تماس بگیرند و چیزی شبیه به این بگویند: «سلام، از بخش پشتیبانی فنی شرکت شما تماس می‌گیریم. ما روی کامپیوتر کاری شما فعالیت عجیبی شناسایی کرده‌ایم. باید سریعاً به دفتر بیایید تا مشکل را بررسی کنیم». البته که کارمندان هرگز علاقه ندارند آخر هفته‌ها را در شرکت باشند برای همین کارمند پشتیبانی با اکراه قبول می‌کند که قوانین را زیر پا گذاشته و از راه دور مشکل را بررسی نماید. اما این ریموت بررسی کردن همانا و شروع دردسرها همانا! فرد به ظاهر کارمند فنی برای انجام ریموت باید به اطلاعات لاگین کارمند دسترسی داشته باشد (و خوب بقیه داستان را خودتان حدس بزنید). باید بگوییم این نقشه در دوران کرونا بسیار شایع شد: پشتیبانی فنی جعلی فعالیت مخربی را روی لپ‌تاپ قربانی که از آن برای دورکاری استفاده می‌کرده شناسایی کرده و پیشنهاد می‌دهد با کانکشن ریموت مشکل را حل کند (اما این عمل در واقع با Rat که پیامدش هم قابل‌پیش‌بینی است انجام می‌شود).

تأیید کن، تأیید کن، تأیید کن...

برگردیم به ادامه بحث پشتیبانی فنی جعلی. یک تکنیک جالب در طول حمله به اوبر در پاییز 2022 کشف شد؛ وقتی هر 18 ساله‌ای تصمیم گرفت تعدادی سیستم سازمانی را دستکاری کند. این حمله با بدست آوردن جزئیات لاگین شخصی کنتراکتور اوبر از دارک‌وب شروع شد. با این حال برای دسترسی به سیستم‌های داخلی شرکت، هنوز نیاز به احراز هویت چند عاملی بود. و اینجا بود که مهندسی اجتماعی دست به کار شد. از طریق تلاش‌های متعدد لاگین، هکر کنتراکتور نگون‌بخت را با درخواست‌های احراز هویت اسپم کرده و بعد با پوشش پشتیبانی فنی که برای مشکل راهکاری پیشنهادی دارد در واتس‌اپ به کنتراکتور پیغام داد: برای متوقف کردن جریان اسپم فقط یکی را تأیید کنید. در نتیجه مانع آخر که ورود به شبکه اوبر بود نیز حل شد.

من همین الان به انتقال پول نیاز دارم!

برگردیم به مدل کلاسیک: مورد بعدی نوعی حمله است که BEC (دستکاری ایمیل سازمانی) نام دارد. ایده پشت آن این است که اولش مکاتبه‌ای با کارمندان شرکت –معمولاً خود را جای مدیر یا شریک تجاری مهم می‌زنند- صورت می‌گیرد. معمولاً هدف از این مکاتبه مجبور کردن قربانی است که به حساب مشخص‌شده توسط اسکمر پول انتقال دهد. البته سناریوهای حمله ممکن است متفاوت باشند: اگر مجرمان بیشتر به نفوذ به شبکه داخلی شرکت علاقه داشته باشند ممکن است برای قربانی پیوست مخربی بفرستند که تماماً نیاز دارد باز شود. یک‌جورهایی همه حملات BEC حول محور دستکاری ایمیل می‌چرخد اما این جنبه‌ی فنی است. نقش مهم‌تر را المان مهندسی اجتماعی بازی می‌کند. درحالیکه بیشترِ ایمیل‌های اسکم که هدفشان کاربران معمولی است جنبه‌ی سرگرمی دارند اما عملیات‌های BEC شامل افرادی نیز می‌شوند که تجربه کار در شرکت‌های بزرگ دارند و این می‌تواند برای شرکت‌های بزرگ خسارات جبران‌ناشدنی‌ای به بار بیاورد.

کجای کار را کوتاهی کردیم؟

جا دارد تکنیک خاص حمله BEC را که در سال‌های اخیر بین مجرمان سایبری محبوب شده است بررسی کنیم. این حمله «سرقت مکالمه» نام دارد؛ نقشه‌ای که به مهاجمین اجازه می‌دهد با معرفی کردن خود به جای یکی از شرکت‌کنندگان وارد مکاتبه‌ی کاری تجاری شوند. به طور کلی برای پنهان کردن فرستنده نه از هک اکانت و نه از ترفندهای فنی استفاده می‌شود. همه مهاجمین باید ایمیل واقعی داشته باشند و دامنه‌ای مشابه بسازند. بدین‌ترتیب به طور خودکار اعتماد همه شرکت‌کنندگان جلب می‌شود و همین اجازه می‌دهد آن‌ها آرام در مسیر دلخواهشان مکالمه را پیش ببرند. برای اجرای این نوع حمله، مجرمان سایبری اغلب پایگاه داده سرقتی یا مکاتبه ایمیل نشت‌شده را روی دارک‌وب می‌خرند. این سناریوهای حمله می‌توانند متفاوت باشند. برنامه استفاده از فیشینگ یا بدافزار اما منتفی نمی‌شود. اما طبق طرح کلاسیک، هکرها معمولاً سعی دارند مکالماتی را که مستقیماً به پول ربط دارند سرقت کنند؛ ترجیحاً مقادیر بالا. آن‌ها جزئیات بانکی خود را در لحظه‌ی درست رها کرده و بعدش غنیمت‌ها را با خود به جزیره‌ای گرمسیری می‌برند! نمونه بارز سرقت مکالمه اتفاقی بود که برای ترانسفر بازیکن فوتبال لئوناردو پاردس افتاد. مجرمان سایبری با پوشش نماینده باشگاه پاردس به نام بوکا جونیور که حق دریافت درصدی از هزینه ترانسفر را داشت –چیزی حدود 520 هزار یورو- خود را در تبادلات ایمیل وارد کردند و مبلغ مذکور را نهایتاً از آن خود کردند.

پلیس! اطلاعاتت را بده!

ترند جدید که انگار از سال 2022 سر و کله‌اش پیدا شده مخصوص هکرهایی است که موقع برداشت اطلاعات در جهت آماده‌سازی خود برای حمله به کاربران سرویس‌های آنلاین، درخواست‌های رسمی درست می‌کنند. چنین درخواست‌هایی توسط ISPهای مستقر در آمریکا دریافت شده‌اند؛ همینطور توسط شبکه‌های اجتماعی و شرکت‌های فناوری. این درخواست‌ها از سوی اکانت‌های ایمیل ه‌شده متعلق به آژانس‌های اجرای قانون بوده‌اند. شاید باید اطلاعات بیشتری در این خصوص بدهیم: تحت شرایط عادی برای رسیدن به داده‌های ارائه‌دهندگان سرویس در آمریکا باید برگه‌ای توسط قاضی امضا شود. با این حال در مواقعی که زندگی انسان یا ثروتش در خطر باشد، EDR (درخواست داده اضطراری) صادر می‌شود. اما گرچه در مورد درخواست‌های داده‌های عادی رویه‌های اعتبارسنجی ساده و قابل‌فهمی وجود دارد اما برای EDRها در حال حاضر چنین چیز مشابهی وجود ندارد. از این رو احتمالش زیاد است که چنین درخواستی اگر معقول به نظر برسد و ظاهراً از سوی آژانس مجری قانون باشد اعطا خواهد شد. بدین‌ترتیب هکرها می‌توانند در مورد قربانیان از منابع معتبر اطلاعات به دست آورده و از آن برای حملات بعدی خود استفاده کنند.

راهکارهای امنیتی در برابر حملات مهندسی اجتماعی

هدف همه متودهای حمه بالا یک تکه سخت‌افزاری بی‌روح نیست؛ بلکه هدف خود انسان زنده است. پس برای بیشتر کردن لایه‌های دفاعی سازمانی در برابر حملات مهندسی اجتماعی باید تمرکز را روی خود انسان‌ها گذاشت. این یعنی باید به کارمندان اصول پایه‌ی امنیت سایبری را جهت افزایش آگاهی امنیتی‌شان آموزش داد و به آن‌ها توضیح داد چطور باید با انواع مختلف حملات مبارزه کنند. بهترین روش انجام این کار استفاده از راهکار تعاملی آموزشی Kaspersky Automated Security Awareness Platform است.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.