روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ فیشرها به طور فزاینده‌ای از حملات هدف‌دار پیچیده استفاده می‌کنند. افزون بر نفوذ به انواع مختلفی از سرویس‌های آنلاین قانونی، آن‌ها برای فریب قربانی به دنبال کردن لینک از مهندسی اجتماعی نیز استفاده می‌کنند. ما اخیراً سری دیگری از نقشه‌های چندمرحله‌ای و غیرمتعارف فیشینگ را کشف کردیم که حداقل ارزش این را دارد به کارمندانی که داکیومنت‌های مالی را مدیریت می‌کنند در مورد هشدار داده شود.

ایمیل اول

حمله با ایمیلی به قربانی که ظاهراً از سوی شرکت ممیزیِ واقعی است شروع می‌شود. در آن، فرستنده می‌گوید سعی داشته صورت مالی ممیزی‌شده‌ای را ارسال کند پس باید در دراپ‌باکس آپلود شود. در نظر داشته باشید که ایمیل از آدرس واقعی روی سرور میل شرکت ارسال می‌شود (مهاجمین احتمالاً در این نقطه زمان میل‌باکس را سرقت کردند). از دید هر سیستم امنیتی میلی، این ایمیل تماماً قانونی است و نمی‌شود آن را از یک مکاتبه تجاری نرمال تمیز داد. حاوی هیچ لینکی نیست و از آدرس شرکت قانونی می‌آید و صرفاً به گیرنده در مورد تلاش ناموفق برای ارسال ممیزی از طریق ایمیل خبر می‌دهد. این پیام باید توجه حسابداری که آن را می‌خواند جلب کند. در این پیام یک تکذیبیه هم وجود دارد که می‌گوید محتوا محرمانه است و فقط باید گیرنده آن را بخواند و شرکتی که این ایمیل به نامش ارسال شده حضور گسترده آنلاین دارد. به طور کلی، پیام به نظر بسیار متقاعدکننده می‌آید. تنها پرچم قرمز کوچک، اطلاعاتی است که گزارش باید بواسطه Dropbox Application Secured Upload از نو ارسال می‌کرد. اصلاً چنین چیزی وجود ندارد. فایل آپلودشده در دراپ‌باکس می‌تواند با پسورد محافظت شود و نه بیشتر. هدف اصلی این عبارت احتمالاً آماده کرد گیرنده برای این حقیقت بوده که نوعی احراز هویت برای دالود گزارش لازم است.

ایمیل دوم

بعدش نوتیفی مستقیم از خود دراپ‌باکس می‌آید که می‌گوید ممیزگر ایمیل قبلی فایلی به نام audited financial statements را به اشتراک گذاشته و درخواست داده تا آن بازنگری، امضا و برای پردازش بازگشت داده شود. تا اینجا، ایمیل دوم هم مشکوک نیست. لینکی دارد که به سرویس ذخیره‌گاه داده آنلاین که قانونی است هدایت می‌شود و برای همین هم هست که از دراپ‌باکس استفاده می‌کنند. اگر نوتیف بدون پیام همراه می‌آمد شاید نادیده گرفته می‌شد. با این حال، گیرنده آمده شده و احتمالاً به وبسایت دراپ‌باکس رفته و سعی دارد داکیومنت را مشاهده کند.

فایل دراپ‌باکس

وقتی قربانی روی لینک کلیک می‌کند، داکیومنتی تار می‌بیند و پنجره‌ای بالای آن باز می‌شود که درخواست دارد با اطلاعات لاگین آفیس، احراز انجام شود. اینجا اما آنچه قابل مشاهده است با باطنش فرق دارد زیرا هر دو پس‌زمینه تار و پنجره‌ی دکمه‌دار در واقع بخشی از یک تصویر واحدند که در یک فایل پی‌دی‌اف درج شدند. قربانی حتی نیازی ندارد روی دکمه  VIEW DOCUMENT کلیک کند- کل سطح تصویر در اصل یک دکمه بزرگ بوده است. لینک زیرش از طرق سایت فوری با ریداریکت به اسکریپتی منتهی می‌شود که فرمی برای وارد کردن اطلاعات لاگین اجرا می‌کند (دقیقاً همان چیزی که مهاجمین می‌خواهند). همه کارمندان شرکت باید آگاه باشند که پسوردهای کاری باید فقط روی سایت‌هایی وارد شوند که واضحاً به شرکت خودشان متعلق است. نه دراپ‌بکس و نه ممیزگرهای خارجی نباید بدانند پسورد کاری شما چیست و از این رو نمی‌توانند آن‌ها را احراز هویت کنند.

راهکار امنیتی

با توجه به اینکه مهاجمین هر بار دست به ابداع نقشه‌های پیچیده‌تر برای سرقت اطلاعات سازمانی می‌زنند، توصیه می‌کنیم راهکارهایی را به کار ببید که روی سطوح مختلف امنیت اطلاعات ارائه می‌دهند. ابتدا از محافظت میل سرور استفاده کنید و بعد راهکار امنیتی را با فناوری‌های ضد فیشینگ مطمئن روی همه دستگاه‌های کاری که با اینترنت سر و کار دارند نصب کنید.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.