روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ ترند استفاده از تکنیک‌های فیشینگ هدف‌دار در ایمیل‌های انبوه روز به روز محبوب‌تر می‌شود. ما اخیراً به ایمیل ساده‌ای برخوردیم که در آن مهاجمین از مجموعه‌ای از ترفندهای نسبتاً پیچیده‌ی فیشینگ هدف‌دار استفاده کرده بودند. حال ممکن است فکر کنید استفاده از چنین تاکتیک‌هایی برای صرفِ پیش بردن حمله فیشینگ انبوه یک‌جورهایی از حیث تلاشی که از جانب مهاجمین صورت می‌گیرد OTT (خدمات رسانه‌ای بر فراز اینترنت[1]) است اما اینطور نیست- اتفاقی که در این سناریو افتاده چنین است: مهاجمین همچنان تلاش کردند (گرچه تحلیل‌های پرجزئیات نشان می‌دهد این حمله از اول، محکوم به شکست بوده). به هر روی، فرصتی عالی برای ما فراهم شد تا نگاهی عمقی داشته باشیم بر تکنیک‌هایی که فیشرها به کار بردند. با ما همراه باشید.

آپدیتِ تقلید ایمیل از دستورالعمل‌ها و راهنماهای سازمانی

تقریباً هر چیزی در مورد ایمیل، مشخص است: مخاطبش فردی خاص است در یک سازمان معین و از پدیده‌ی گُست اسپوفینگ[2] برای نام فرستنده استفاده می‌کند- یعنی فیلد (From) نسخه جعلی آدرس قانونی شرکت هدف را که البته هیچ ربطی به آدرس داخل فید Reply To ندارد نمایش می‌دهد. ایمیل از طریق زیرساخت شرکت بازاریابی معتبر که برای فیلترهای ایمیل نشان از هیچ پرچم قرمزی ندارد ارسال می‌شود. افزون بر این، نام این شرکت و دامنه رده بالایی که وبسایت آن را میزبانی می‌کند تعمداً برای خواب کردن هشیاری گیرنده انتخاب شده است- - این وب‌سایت در اندونزی مستقر است و قربانی ممکن است دامنه «.id» را به‌عنوان مخفف «شناسه» به جای کد کشور درک کند. در کنار آدرس جعلی در قسمت «از»، به اندازه کافی قانع کننده به نظر می‌رسد. اما این همه ماجرا نیست. در بدنه ایمیل، عملاً متن صفر است- تنها خط کپی رایت و لینک قطع اشتراک که هردو شان از قضا توسط موتور ایمیل شرکت قانونی که برای ارسال پیام استفاده شده درج شده‌اند. هر چیز دیگر از جمله نام گیرنده، یک تصویر است. این برای جلوگیری از بکار بردن قوانین فیلتر مبتنی بر متن توسط مکانیزم‌های ضد فیشینگ است.  درست به همین دلیل، فایل پی‌دی‌اف پیوست‌شده‌ای به جای لینک مستقیم فیشینگ نیز استفاده شده است. وبسایت‌ها می‌توانند براحتی بلک لیست رفته و در سطح سرور ایمیل بلاک شوند. فایل پی دی‌اف اما از طرفی دیگر خود را تماماً به هیبت پیوستی قانونی در می‌آورد.

پیوست پی‌دی‌اف

در واقع، مهاجمین مدت‌هاست که لینک‌ها را در فایل‌های پی‌دی‌اف پنهان می‌کنند. از این رو –به لحاظ تئوریک- نرم‌افزارهای امنیتی باید بتوانند پی‌دی‌اف را تحلیل کنند (شامل هر متن و لینکی که داخل آن است). اما سازندگان این کمپین فیشینگ نیز به آن آگاه و واقف بودند. پی‌دی‌اف آن‌ها از حیث تکنیک هرگز نه متن دارد و نه لینک. در عوض، تصویری دارند دارای کد کیوآر و متنی که در آن به عنوان همراه، جاگذاری شده است. علاوه بر این، پی‌دی‌اف تقلیدِ رابط DocuSign را –که سرویس شناخته‌شده‌ای برای مدیریت اسناد الکترونیک است- می‌کند. DocuSign البته که به شما اجازه ارسال اسناد برای امضا و ردیابی وضعیت‌شان را می‌دهد اما این ارتباطی با فایل‌های پی‌دی‌اف که لانه‌ی کد کیوآر است ندارد. پس اینجای کار پر واضح می‌شود که مهاجمین این حمله را یک‌جورهایی «برشته[3]» کردند! قربانی آنچه را که به نظر راهنمایی‌هایی محرمانه سایبری می‌آید با ایمیل دریافت کرده اما برای خواندشان باید با گوشی موبایلش کد کیوآر را اسکن کند. بیشتر کارمندان به خودشان زحمت این کارها را نمی‌دهند خصوصاً اگر از گوشی خودشان استفاده کنند و نه گوشی مربوط به شرکت.

شکست حماسی: وبسایت فیشینگ

پس اگر قربانی گوشی خودش را درآورده و کد را اسکن کند چه؟ بسیارخوب، آنهایی که تازه‌کارند با سیستم تأیید Cloudflare مواجه شده و از آن‌ها خواسته می‌شود ثابت کنند انسانند. Cloudflare سرویسی قانونی است برای محافظت در برابر حملات DDoS و مجرمان سایبری دوست دارند صفحات فیشینگ خود را پشت آن بگذارند تا اعتبار و وجهه‌ی ظاهری بهتری از خود نشان دهند. اما بعد از این مرحله باید منتظر فاجعه بود: وبسایت انیمیشن پاکتی در حال باز شدن را نشان می‌دهد و بعد با پیام خطا شما را روبرو می‌کند. گویی مهاجمین فراموش کرده‌اند اشتراک خود را در سرویس‌های میزبانی تمدید کنند. شاید این سایت ترفندهای کوچک دیگری را برای قربانی آماده کرده باشد، اما زمانی که ایمیل‌های فیشینگ منتشر می‌شدند، قبلاً از بین رفته بود.

راهکارهای امنیتی

•         ایمیل شرکتی را در سطح درگاه میل، ایمن کنید.
•         از راهکارهای امنیتی لوکال با فناوری های ضد فیشینگ در همه دستگاه‌های کاری (از جمله دستگاه‌های تلفن همراه) استفاده کنید.
•         کارمندان را از آخرین ترفندهای فیشینگ آگاه کنید (به عنوان مثال، با نشان دادن آنها به سمت پست‌های ما در مورد علائم فیشینگ).
•         به طور منظم آموزش آگاهی از امنیت سایبری برای کارکنان برگزار کنید.

[1]  یک سرویس رسانه ای است که مستقیماً از طریق اینترنت به دریافت‌کنندگان ارائه می‌شود. OTT پلتفرم‌های تلویزیون کابلی، پخش و ماهواره را دور می‌زند، مخصوصاً شرکت‌هایی که به‌طور سنتی به عنوان کنترل‌کننده یا توزیع کننده چنین محتوایی عمل می‌کنند.

[2] ghost spoofing

[3] overcook

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.