روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ ما اخیراً دقت در شناسایی فیشینگ هدفدار و حمله دستکاری ایمیل سازمانی (BEC) را با یک چک جزئی اما مهم در محصولات امنیت ایمیلمان ارتقا دادهایم. اکنون اگر موتور محافظت میل ما ایمیلی را به هر دلیلی مشکوک دانست، دامنه در هدر From را با هدر Reply To مقایسه میکنیم و به طور غافلگیرکنندهای کار میکند. این چک ساده بخش اعظمی از حملات پیچیده را خنثی میکند. در ادامه قرار است ساز و کار آن را با هم بررسی کنیم.
چطور میشود حملات پیچیدهی ایمیل را شناسایی کرد؟
فیشرهای هدفدار که کارشان اجرای حملات ایمیل هدفدار است به طور سنتی سعی دارند ایمیلهای خود را قانونی جلوه دهند. آنها از آن آدم بدههایی که داخل ایمیل تروجان کار میگذارند نیستند و در عوض سعی دارند لینکهای فیشینگ را زیر چند لایه مخفی کنند. و برای همین است راهکارهای امنیتی قادر به شناسایی ایمیلهای هدفدار به ندرت بر اساس یک معیار واحد حکم صادر میکنند و به جایش حکمشان بر پایه ترکیبی است از علائم مشکوک. هماهنگی بین فیلدهای From و Reply to یکی از همین معیارهاست
هماهنگسازی هدرها چه کمکی میکند؟
. بیشتر مهاجمین حتی وقتی مکاتبه سازمانی را دستکاری میکنند به خود زحمت هک دامنههای قانونی را نمیدهند بلکه از مهارت اغلب محدود ادمینهای میل سرور بهره میبرند. در حقیقت، روی خیلی از دامنهها، متودهای احراز میل (مانند SPF[1] و خصوصاً DMARC[2]) آنقدرها خوب کار نمیکنند (اگر نخواهیم بگوییم هرگز کارا نیستند). بهترین حالت اینطور میشود که مکانیزمهای مذکور به طور فنی فعالند اما آنقدر بد برای جلوگیری از مثبت کاذبها پیکربندی شدند که عملاً ناکارامد میشوند. این سستی به عوامل تهدید (گاهی اوقات از جمله کسانی که پشت حملات APT تمام عیار هستند) اجازه میدهد تا به سادگی دامنه سازمان مورد نظر را بگیرند و آن را در هدر From یا حتی SMTP From قرار دهند. با این حال، از آنجایی که آنها نمیخواهند فقط یک ایمیل ارسال کنند، بلکه میخواهند مستقیماً به آن پاسخ دهند، باید آدرس خود را در قسمت Reply To قرار دهند. این یک آدرس ایمیل یکبار مصرف یا یک آدرس میزبانیشده در سرویس ایمیلی رایگان است. و این دستها را رو میکند!
چرا هدرها را همیشه هماهنگسازی و مقایسه نکنیم؟
هدرهای From و Reply To همیشه هم قرار نیست با هم مچ باشند. برخی موارد قانونی وجود دارد که ایمیل ممکن است از یک میلسرور ارسال شده باشد اما انتظار برای ریپلای از سمت دیگریست. سادهترین نمونه این خبرنامهها و ایمیلهای بازاریابی است: ارائهدهنده تخصصی سرویس میلینگ آنها را ارسال کرده اما کلاینتش آنی است که به پاسخها علاقه دارد. از این رو اگر چک From و Reply To همیشه فعال باشد مثبت کاذب تولید میشود.
این فناوری کجا بکار گرفته میشود؟
این چک در همه محصولات امنیت ایمیل سازمانی انجام شده: Kaspersky Security for Microsoft Exchange Server, Kaspersky Security for Office 365, Kaspersky Security for Linux Mail Server, و Kaspersky Secure Mail Gateway.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
[1] Sender Policy Framework
[2] Domain-based Message Authentication, Reporting, and Conformance
