روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ فهرست‌های میلینگی که شرکت‌ها برای تماس با مشتریان استفاده می‌کنند همیشه هدف خوبی برای حملات سایبری بوده است. اینها را می‌شود برای اسپم، فیشینگ و حتی اسکم‌های پیچیده‌تر استفاده کرد. اگر علی‌رغم پایگاه‌های داده مهاجمین بتوانند به ابزار قانونی برای ارسال ایمیل‌های انبوه دسترسی پیدا کنند این می‌تواند به طور قابل‌ملاحظه‌ای شانس موفقیت هر حمله را افزایش دهد. از اینها گذشته کاربران موافقت کردند که ایمیل دریافت کنند و به مصرف داده به این روش برایشان رایج‌تر است. برای همین است که مهاجمین مرتباً در تلاشند به اکانت شرکت‌هایی دست یابند که نزد ESP‌ها نگه داشته می‌شوند. در آخرین کمپین فیشینگی که پیدا کردیم، متود حمله طوری اصلاح شده که اطلاعات محرمانه روی وبسایت ESP SendGrid را با ارسال ایمیل‌های فیشینگ مستقیم با خود ESP صورت گیرد.

چرا در این مورد ویژه، فیشینگ با SendGrid خطرناک‌تر است؟

از میان توصیه‌هایی که معمولاً در مقالات مربوط به فیشینگ می‌دهیم اغلب هشدار می‌دهیم نگاهی دقیقتر به دامنه سایت در بخش پایین داشته باشید یا به هایپرلینک متن که به کلیک یا ضربه رویش دعوت شدید توجه نمایید. ESP‌ها به عنوان یک قاعده به لینک‌های مستقیم اجازه نمی‌دهند در وبسایت‌های کلاینت ایمیل درج کنند اما می‌توانند این کار را در قالب ریدایرکت داخل لینکی که گیرنده ایمیل در دامنه ESP می‌بیند انجام دهند. یکی از دلایل از میان کلی موارد دیگر، جمع‌آوری تحلیل‌های دقیق است. در این سناریو ایمیل فیشینگ از ESP SendGrid می‌آید که باعث نگرانی در بخش امنیت مشتری است و نیاز به احراز هویت دوعاملی را برای جلوگیری از کنترل اکانت توسط بیگانگان برجسته می‌کند. این ایمیل مزایای احراز هویت دوعاملی را توضیح داده و لینکی برای آپدیت تنظیمات امنیت ارائه می‌دهد. همین –آنطور که ممکن است حدس زده باشید- به آدرس در دامنه SendGrid منجر می‌شود؛ جایی که صفحه تنظیمات اگر ایمیل واقعاً از جانب SendGrid بود احتمالاً قرار می‌گیرد.

برای همه اسکنرهای ایمیل، فیشینگ مانند یک ایمیل کاملاً قانونی به نظر می‌رسد که از سرورهای SendGrid با لینک‌های معتبر اشاره به دامنه SendGrid ارسال شده و تنها چیزی که ممکن است به گیرنده هشدار دهد آدرس فرستنده است. دلیل: ESPها دامنه و شناسه پستی مشتری واقعی را در آنجا قرار می‌دهند. اغلب، فیشرها از حساب‌های ربوده شده استفاده می‌کنند (ESP‌ها مشتریان جدید را تحت بررسی‌های دقیق قرار می‌دهند، در حالی که افراد قدیمی که قبلاً برخی از ایمیل‌های انبوه را ارسال کرده‌اند قابل اعتماد در نظر گرفته می‌شوند).

سایت فیشینگ

اینجاست که باگ کار مهاجمین درمی‌آید. SendGrid قربانی کلیک لینک را به یک سایت فیشینگ معمولی که صفحه ورود به حساب کاربری را تقلید می‌کند هدایت می‌کند. دامنه سایت   sendgreds است که در نگاه اول بسیار بهsendgrid  شباهت دارد.

راهکار امنیتی

از آنجایی که ایمیل توسط سرویس قانونی ارسال می‌شود و هیچ علامت فیشینگ معمولی ندارد شاید از فیلترهای خودکار شبکه هم عبور کند. از این رو برای محافظت از کاربران کامپیوتری همیشه توصیه‌مان به کار گرفتن راهکارهایی است مجهز به فناوری پیشرفته ضدفیشینگ نه تنها در سطح دروازه میل که روی همه دستگاه‌هایی که به اینترنت وصل هستند. این کار هر ریدایرکت تلاش‌شده را روی سایت‌های فیشینگ بلاک خواد کرد. و بله، برای یک بار هم که شده ارزش دارد تأکید کنیم به مهاجمین توجه کرده و 2FA را فعال نمایید. این کار نه از طریق لینکی در ایمیلی مشکوک بلکه باید در تنظیمات اکانت خودتان در وبسایت  ESP انجام شود. 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.