روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ ایمیلی سر کار دریافت کردید که از شما خواسته پسورد ایمیل خود را عوض کنید، دوره مرخصیتان را تأیید کرده یا به درخواست مدیرعامل، انتقال پول فوری انجام دهید. چنین درخواستهای غیرمنتظرهای میتواند شروع یک حمله سایبری به شرکت شما باشد پس باید مطمئن شوید خطر اسکم شما را تهدید نمی کند.
سوال این است که چطور میشود آدرسهای ایمیل یا لینک به وبسایتها را بررسی کرد؟ اولین نکته در مورد تقلبی بودن، نام دامنه است: بخشی از ایمیل بعد از علامت @ یا اولِ یوآرال. نام دامنه وظیفهاش القای اعتماد به نفس به قربانی است. مطمئناً مجرمان سایبری دوست دارند دامنه رسمی شرکت مورد هدف یا دامنه رسمی یکی از تأمین کنندگان یا شرکای تجاری آن را سرقت کنند اما در مراحل اولیه حمله آنها معمولاً چنین گزینهای را در اختیار ندارند. در عوض، پیش از حمله هدفدار آنها دامنهای را که شبیه به دامنه سازمان قربانی است ثبت کرده و امید دارند شما فرق آن را متوجه نشوید. چنین تکنیکهایی را «حملات شبیه به هم[1]» میگویند. گام بعدی میزبانی کردن از یک وبسایت جعلی است روی دامنه و یا ایمیل اسپم از میلباکس مربوط به آن. در این مقاله قصد داریم برخی از ترفندهایی را که مهاجمین استفاده میکنند تا نگذارند شما متوجه جعل دامنه بشوید مورد بررسی قرار دهیم.
هوموگلیفها[2]: حروف متفاوت با املای یکسان
یکی از ترفندها استفاده از حروفی است که به لحاظ بصری بسیار به هم شباهت دارند یا واقعاً با همدیگر مو نمیزنند. برای مثال حرف کوچک L که میشود l در خیلی از فونتها درست شبیه حرف بزرگ i که میشود I است. پس ایمیل ارسالی از آدرس JOHN@MlCROSOFT.COM حتی تیزبینترین و دقیقترینها را نیز فریب خواهد داد. البته آدرس واقعی فرستنده john@mLcrosoft.com است! این مدل اسکمها بعد از اینکه ثبت دامنه به زبانهای مختلف ممکن است افزایش پیدا کرد (شامل آنهایی که از الفبای لاتین حتی استفاده نمیکنند). ο یونانی، о روسی و o لاتین برای انسان کاملاً غیرقابلتشخیص است اما به چشم کامپیوتر این حروف کاملاً با هم فرق دارند. همین باعث میشود کلی دامنه ثبت شود که همگی شبیه microsоft.cοm هستند (با استفاده از ترکیبهای مختلفی از Oها). چنین تکنیکهایی که کاراکترهای به لحاظ بصری را به کار میگیرند حملات هوموگلیفی یا هوموگراف مینامند.
ترکیبی: کمی با چاشنی
تم ترکیبی این سالهای اخیر محبوبِ مجرمان سایبری شده است. برای تقلید از یک ایمیل یا وبسایت شرکت تارگت، آنها دامنهای میسازند که نام و کلمه کمکی مربوطه را مانند Microsoft-login.com یا SkypeSupport.com ترکیب میکند. موضوع ایمیل و پایان نام دامنه باید به هم بخورند: برای مثال هشداری در مورد دسترسی غیرقانونی به اکانت ایمیل میتواند به سایتی لینک شود با هشدار دامنه outlook. این حقیقت که برخی شرکتها در واقع دامنههایی با کلمات کمکی دارند نیز شرایط را حتی بدتر کرده. برای مثال login.microsoftonline.com یک سایت کاملاً قانونی مایکروسافت است. به نقل از پلتفرم هوشمند Akamai شایعترین افزونههای ترکیبی عبارتند از support, com, login, help, secure, www, account, app, verify, و service. دو تا از اینها یعنی www و com اغلب در نامهای وبسایتا پیدا میشوند و کاربر از همهجا بیخبر شاید متوجه نقطهی جاافتاده نشود: wwwmicrosoft.com، microsoftcom.au.
جعل دامنه رده بالای
گاهی مجرمان سایبری تصمیم میگیرند یک همزاد در دامنه رده بالای مختلف (TLD) مانند microsoft.co به جای microsoft.com یا office.pro به جای office.com ثبت کنند. در این مورد، نام شرکت جعلی میتواند همان باقی بماند. این تکنیک Tld-squatting نام دارد. چنین جایگزینیای میتواند خیلی مؤثر باشد. همین اواخر گزارش شد که به مدت یک دهه کنتراکتورهای مختلف و نیز شرکای وزارت دفاع ایالات متحد آمریکا به اشتباه ایمیل را به جای دامنه .MIL متعلق به ارتش آمریکا آن را به دامنه .ML که به جمهوری ایمیل متعلق بود میفرستادند. فقط در همین سال 2023 کنتراکتور هلندی بیش از 117 هزار ایمیل ناصحیح هدایتشده را رهگیری کرده که به جای وزارت دفاع به بخش مالی رفته بودند.
کلک تایپی: دامنههایی با غلط املایی
آسانترین (و اولین) روش برای تولید دامنههای همزاد اکسپلویت کردن غلط املاییهایی است که راحت میشود درستشان کرد اما تشخیصشان سخت است. مدلهای مختلفی وجود دارد: افزودن یا حذف دوبلهها (ofice.com به جای office.com)، اضافه یا حذف علائم نگارشی (cloud-flare یا c.loudflare به جای cloudflare)، جایگزین کردن حروفی که صدای مشابه دارند savebank) به جای safebank) و غیره. غلط املایی ابتدا سلاح اسپمرها و کلاهبرداران تبلیغاتی بود اما امروزه چنین ترفندهایی همراه با محتوای وبسایت فیک هستند و همین زمینهسازی است برای اجرای حملات فیشینگ هدفدار و دستکاری ایمیل سازمانی (BEC).
راهکارهای امنیتی
هوموگلیفها را سختتر از همه میشود تشخیص داد و هرگز هم برای مقاصد قانونی استفاده نمیشوند. در نتیجه، توسعهدهندگان مرورگر و تا حدی ثبتکنندگان دامنه در تلاشند با این حملات مبارزه کنند. در برخی مناطق دامنه برای مثال ثبت نامهایی با حروفی از الفباهای مختلف ممنوع است اما در خیلی از TLDهای دیگر چنین محافظتی وجود ندارد پس باید تماماً همه امید به ابزارهای امنیت باشد. بله حقیقت دارد که بسیاری از مرورگرها روش مخصوص نمایش نام دامنه را دارند؛ نام دامنهای که شامل ترکیبی از الفباها میشود. انچه اتفاق میافتد این است که آنها بازنمایی یوآرال در punycode هستند پس شبیه این است: xn--micrsoft-qbh.xn--cm-fmc (این سایت microsoft.com است با دو O روسی). بهترین دفاع در برابر غلط املایی و کلک ترکیبی، هشیاری و دقت است. در این راستا توصیه میکنیم همه کارمندان برای یادگیری نحوه شناسایی تکنیکهای فیشینگ تحت آموزشهای پایه آگاهی امنیتی قرار گیرند. متأسفانه زرادخانهی مجرمان سایبری بزرگ است و هیچجوره نمیشود آن را به حملات شبیه به هم محدود کرد. مبارزه در مقابل حملاتی که با دقت اجرا میشوند و هدفشان یک شرکت خاص است تنها هشیاری کافی نیست. برای مثال آن سالی که مهاجمین سایت جعلی ساختند که شبیهسازی دروازه اینترانت ردیت بود این حمله موفقیتآمیز پیش رفت. از این رو تیمهای امنیت اطلاعات باید نه تنها به فکر آموزش کارمندان خود باشند که همچنین باید از ابزارهای حیاتی محافظتی نیز استفاده کنند:
- محافظت ویژه از سرورهای میل در مقابل اسپم و فیشینگ هدفدار. برای مثال Kaspersky Security for Mail Server با استفاده از فناوری یادگیری ماشین و پایگاههای داده اسپم که در لحظه به روز میشوند ایمیلهای مخرب را شناسایی میکند. این سیستم همچنین قادر است ایمیلهای مشکوک را در سندباکس گیر انداخته یا قرنطینهشان کند.
- محافظت برای همه دستگاههای کارمندان- شامل اسمارتفونها و کامپیوترهای شخصی استفادهشده برای کار. این امنیت را به طور کلی بالا برده اما خصوصاً برای رهگیری لینکهای مخرب و فایلهایی که نه از طریق میل که از طریق سایر کانالهایی مانند شبکههای اجتماعی مهم هستند.
[1] lookalike attacks
[2] Homoglyphs
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
