روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ وقتی صحبت از حمله به کسب و کارها می‌شود، تمرکز معمولاً روی چهار بُعد است: مالی، مالکیت معنوی، داده‌های شخصی و زیرساخت آی‌تی. با این حال نباید فراموش کرد که مجرمان سایبری همچنین می‌توانند دارایی‌های شرکت را که توسط نیروی انسانی و بازاریابی مدیریت می‌شود هدف قرار دهند. این دارایی‌ها شامل ایمیل‌ها، پلت‌فرم‌های تلیغاتی، کانال‌های رسانه‌های اجتماعی و سایت‌های تبلیغاتی می‌شود. در نگاه اول شاید این برای مجرمان چیز جالبی به چشم نیاید (با خود می‌گویند: «پس پولش کجاست؟») اما در عمل هر یک می‌توانند در فعالیت‌های بازاریابی یک جورهایی برای اشرار پولساز باشند.

تبلیغات مضر

شاید برای خیلی‌ها مایه تعجب باشد (حتی متخصصین امنیت اطلاعات) اما مجرمان سایبری سال‌هاست فعالانه از تبلیغات پولی استفاده می‌کنند. آن‌ها به طریقی پول آگهی‌های بنر و مکان‌های جستجو را می‌دهد و از ابزارهای تبلیغات سازمانی استفاده می‌کنند. از این پدیده نمونه‌های مختلفی وجود دارد که همگی تحت عنوان تبلیغات مضر یاد می‌شود. معمولاً مجرمان سایبری پیج‌های فیک اپ‌های محبوب، کمپین‌های فیک تبلیغاتی برندهای مشهور و سایر نقشه‌های کلاهبرداری که هدفشان مخاطبین در سطح گسترده است تبلیغ می‌کنند. گاهی عاملین تهدید اکانت تبلیغتی خود را می‌سازند و پول تبلیغ می‌دهند اما این متود کلی رد و اثر به جا می‌گذارد (مانند جزئیات پرداختی). پس متود دیگری را انتخاب می‌کنند که برایشان جذاب‌تر هم هست: سرقت اطلاعات لاگین و هک اکانت تبیلغاتی شرکت و بعد تبلیغ سایت‌های آن‌ها با آن اکانت! این برای مجرمان سایبری حتی سود مالی بیشتری هم به همراه دارد: آن‌ها بدون رد و اثر پول بقیه را خرج می‌کنند. اما شرکت قربانی جدا از داشتن اکانت تبلیغاتی آلوده همینطور دومینووار به مشکل روبرو خواهد شد- از جمله احتمال بلاک شدن توسط پلت‌فرم تبلیغاتی بابت توزیع محتوای مخرب.

انداخته شدن رأی و آنفالو

گونه‌ای از طرح فوق، تصرف حساب‌های تبلیغاتی پولی شبکه‌های اجتماعی است. ویژگی‌های پلتفرم‌های رسانه‌های اجتماعی مشکلات بیشتری را برای شرکت مورد نظر ایجاد می‌کند. ابتدا دسترسی به اکانت‌های رسانه اجتماعی سازمانی معمولاً به اکانت‌های شخصی کارمندان وصل است. اغلب همین برای مهاجمین کافی است که کامپیوتر شخصی تبلیغ‌کننده را دستکاری کرده یا پسورد شبکه اجتماعی‌اش را بدزدد تا نه تنها به لایک‌ها و عکس‌های گربه او دسترسی پیدا کرده بله اختیار عمل او را در شرکتی که کار می‌کند به دست آورد. این شامل پست کردن روی صفحه شبکه اجتماعی شرکت، ارسال ایمیل به مشتریان از طریق مکانیزم درون‌سازه‌ای ارتباطی و قرار دادن تبلیغات پولی می‌شود. لغو این کارکردها از سمت کارمند در معرض خطر مادامیکه آن‌ها ادمین اصلی صفحه شرکت نباشند آسان است در غیر این صورت ریستور کردن دسترسی به شدت سخت خواهد شد. دوم اینکه بیشتر تبلیغات روی شبکه‌های اجتماعی به خود شکل پست‌های تبلیغاتی ساخته‌شده به جای شرکتی خاص را می‌گیرند. اگر مهاجمی آفر کلاهبرداری را پست و تبلیغ کند، مخاطب فوراً می‌بیند چه کسی آن را منتشر کرده و می‌تواند مستقیم با همان پست از او در محضر دادگاه شکایت کند. در این سناریو شرکت نه فقط خسارت مالی را متحمل خواهد شد که اعتبارش هم زیر سوال خواهد رفت. سوم اینکه بسیاری از شرکت‌ها روی شبکه‌های اجتماعی مخاطبین سفارشی را ذخیره می‌کنند- منظور همان مشتریان حاضر و آماده هستند که به محصولات و سرویس‌های مختلف علاقه دارند و یا آن‌هایی که از قبل از وبسایت شرکت دیدن کرده بودند. گرچه اینها معمولاً امکان سرقت‌شدن از شبکه اجتماعی را ندارند اما متأسفانه ممکن است بشود بر پایه آن‌ها تبلیغت مضری راه انداخت که با مخاطب خاص ارتباط بگیرد و هماهنگ شود و از این رو نتیجه‌بخش‌تر خواهد شد.

بخش‌نامه بدون برنامه

یکی دیگر از راه‌های موثر برای مجرمان سایبری برای دریافت تبلیغات رایگان، ربودن یک حساب کاربری در یک ارائه دهنده خدمات ایمیل است. اگر شرکت مورد حمله به اندازه کافی بزرگ باشد، ممکن است میلیون‌ها مشترک در لیست پستی خود داشته باشد. این دسترسی می تواند به روش‌های مختلفی مورد سوء استفاده قرار گیرد: با ارسال یک پیشنهاد جعلی غیرقابل مقاومت به آدرس های ایمیل در پایگاه داده مشترک. با جایگزین کردن پنهانی لینک‌ها در ایمیل های تبلیغاتی برنامه‌ریزی شده؛ یا به سادگی با دانلود پایگاه داده مشترکین به منظور ارسال آتی ایمیل‌های فیشینگ به روش‌های دیگر.  باز هم خسارت وارده مالی، اعتباری و فنی است. منظور ما از "فنی" مسدود کردن پیام های دریافتی آینده توسط سرورهای پست است. به عبارت دیگر، پس از نامه‌های مخرب، شرکت قربانی باید مشکلات را نه تنها با پلتفرم پستی، بلکه به طور بالقوه با ارائه‌دهندگان ایمیل خاصی که شما را به عنوان منبع خبرنگاران تقلبی مسدود کرده‌اند، حل کند.

یکی از پیامدهای بسیار ناخوشایند چنین حمله‌ای نشت اطلاعات شخصی مشتریان است. این یک به خودی خود یک رخداد است - نه تنها می‌تواند به اعتبار شما آسیب وارد کند، بلکه می‌تواند شما را با جریمه‌ای از جانب رگولاتورهای محافظت داده مواجه کند.

پنجاه طیف وبسایت

هک وبسایت می‌تواند مدت‌ها اتفاق بیافتد اما سرو صدایی ایجاد نکند- خصوصاً اگر شرکت کوچک باشد و کسب و کارش عمدتاً از طریق شبکه‌های اجتماعی است و یا آفلاین انجام می‌گیرد. از نقطه نظر مجرمان سایبری، مقصود از هک وبسایت بسته به نوع سایت و ماهیت کسب و کار شرکت متفاوت است. مواردی را که وبسایت بخشی از حمله سایبری پیچیده‌تر را دستکاری می‌کند کنار بگذاریم، عموماً می‌توانیم آن‌ها را به انواع زیر دسته‌بندی کنیم: ابتدا عاملین تهدید روی سایت تجارت الکترونیک، وب‌اسکیمر وبی نصب می‌کنند. این قطعه کوچک و بخوبی پوشش‌داده‌شده است از جاوااسکریپت جاسازشده مستقیم داخل کد وبسایت که کارش سرقت جزئیات کارت موقعی است که مشتریان پول خریدشان را پرداخت می‌کنند- آن‌ها روی سایت پول کالا یا سرویس را می‌دهند و مهاجمین پول را کسر می‌کنند. دوم، مهاجمین می‌توانند روی سایت زیرمجموعه‌های پنهانی را بسازند و آن‌ها را با محتوای مخرب –بنا به انتخاب خود- پر کنند.

چنین صفحاتی را می‌شود برای انواع مختلفی از فعالیت‌های مجرمانه استفاده کرد؛ خواه هدیه باشد خواه فروش فیک یا توزیع نرم‌افزارهای تروجان‌زده. استفاده از وبسایت قانونی برای این مقاصد، ایده‌آل است (مادامیکه صاحبان متوجه مهمان ناخوانده نشوند). در حقیقت یک صنعت کلی بر رو این اقدام عملی متمرکز شده است. محبوب‌ترین‌ها سایت‌های بدون نظارتی هستند که برای یک‌جورهایی کمپین تبلیغاتی یا رویداد یکباره ساخته شدند و بعد به دست فراموشی سپرده شدند. خسارت ناشی‌شده از هک وبسایت به شرکت طیف وسیعی دارد: بالا رفتن هزینه‌های مربوط به سایت به دلیل ترافیک مخرب، کاهش تعداد بازدیدکنندگان واقعی به دلیل افت رنکینگ سئو سایت، درگیری‌های احتمالی با مشتری یا پلیس بر سر شارژ‌های غیرمنتظره کارت‌ها مشتریان.

فرم هات‌وایر وب

حتی بدون هک کردن وبسایت شرکت، عاملین تهدید می‌توانند از آن برای مقاصد خود استفاده کنند. همه آنچه نیاز دارند یک کارکرد وبسایت است که ایمیل تأیید تولید کند: فرم فیدبک، فرم ملاقات و چیزهایی از این دست. مجرمان سایبری برای اکسپلویت چنین فرم‌هایی مخصوص اسپمینگ یا فیشینگ، از سیستم‌های اتومات استفاده می‌کنند. ساز و کارش ساده و سرراست است: آدرس تارگت وارد فرم می‌شود (در قالب ایمیل قابل‌تماس) و این درحالیست که متن ایمیل کلاهبرداری به خودی خود وارد فیبد نام یا موضوع ایمیل می‌شود. در نتیجه قربانی ایمیل مخرب را دریافت می‌کند. طبیعتاً پلت‌فرم‌های ضد اسپم در نهایت جلوی این ایمیل‌ها را خواهند گرفت اما فرم شرکت قربانی برخشی از کارایی خود را از دست می‌دهد.

راهکارهای امنیتی

از آنجایی که حملات شرح‌داده‌شده بسیار پراکنده هستند، محافظت عمیق برای مهار آن‌ها نیاز است. در ادامه راهکارهای امنیتی در این راستا خدمتتان ارائه داده‌ایم:

•         آموزش آگاهی امنیت سایبری را در کل بخش بازاریابی به راه بیاندازید. آن را به طور منظم تکرار کنید؛
•         اطمینان حاصل کنید که همه کارمندان از بهترین شیوه‌های رمز عبور پیروی می‌کنند: رمزهای عبور طولانی و منحصر به فرد برای هر پلتفرم و استفاده اجباری از احراز هویت دو مرحله‌ای - به ویژه برای شبکه های اجتماعی، ابزارهای پستی و پلت فرم‌های مدیریت تبلیغات.
•         حذف روش استفاده از یک رمز عبور برای همه کارمندانی که نیاز به دسترسی به یک شبکه اجتماعی شرکتی یا سایر ابزارهای آنلاین دارند.
•         به کارکنان دستور دهید به ابزارهای پستی/تبلیغاتی و پنل مدیریت وب سایت فقط از دستگاه های کاری مجهز به حفاظت کامل مطابق با استانداردهای شرکت (EDR یا امنیت اینترنت، EMM/UEM، VPN)دسترسی داشته باشند.
•         از کارکنان بخواهید محافظت جامعی را روی کامپیوترهای شخصی و تلفن‌های هوشمند خود نصب کنند.
•          عمل log out اجباری از پلت‌فرم های پستی/تبلیغاتی و سایر حساب‌های مشابه در صورت عدم استفاده معرفی کنید.
•         به یاد داشته باشید بلافاصله پس از خروج کارمند از شرکت، دسترسی به شبکه‌های اجتماعی، پلتفرم‌های پستی/تبلیغاتی و مدیر وب‌سایت را لغو کنید.
•         لیست‌های ایمیل ارسال‌شده و تبلیغات در حال اجرا را به همراه تجزیه و تحلیل دقیق ترافیک وب سایت به طور منظم مرور کنید تا به موقع ناهنجاری‌ها را شناسایی نمایید.
•         اطمینان حاصل کنید تمام نرم‌افزارهای مورد استفاده در وبسایت‌های شما (سیستم مدیریت محتوا، افزونه‌های آن) و کامپیوترهای کاری (مانند سیستم عامل، مرورگر و آفیس)، به طور منظم و سیستماتیک به آخرین نسخه ها به روز می‌شوند.
•         با کنتراکتور پشتیبانی وبسایت خود برای اجرای اعتبار سنجی و پاکسازی فرم همکاری کنید. به ویژه، برای اطمینان از اینکه لینک‌ها را نمی‌توان در فیلدهایی که برای چنین هدفی در نظر گرفته شده‌اند وارد کرد. همچنین برای جلوگیری از ارسال صدها درخواست در روز توسط یک بازیگر، به علاوه یک کپچای هوشمند برای محافظت در برابر ربات‌ها، یک «محدودیت نرخ[1]» تعیین کنید.

[1] Rate limit

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.