روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  برای موفقیت یک حمله‌ی ایمیلی، نخستین کاری که مجرمان سایبری باید انجام دهند، رساندن پیام‌هایشان به مخاطبان هدف است. قبلاً بررسی کردیم که چگونه کلاهبرداران از اعلان‌های سرویس GetShared - سرویسی کاملاً معتبر برای به‌اشتراک‌گذاری فایل‌های بزرگ– سوءاستفاده کرده بودند. امروز، روش دیگری برای ارسال ایمیل‌های مخرب را بررسی می‌کنیم. عاملان این کلاهبرداری یاد گرفته‌اند چگونه متن دلخواه خود را در پیام‌های تشکر رسمی که مایکروسافت ۳۶۵ برای کاربران تجاری جدید ارسال می‌کند، وارد کنند.

ایمیلی واقعی از مایکروسافت با یک غافلگیری ناخوشایند درونش!
این حمله با یک ایمیل معتبر آغاز می‌شود که در آن، مایکروسافت از گیرنده بابت خرید اشتراک Microsoft 365 Apps for Business تشکر می‌کند. این پیام واقعاً از نشانی رسمی شرکت مایکروسافت ارسال شده است: microsoft-noreply@microsoft.com. تصور نشانی‌ای معتبرتر از این دشوار است، و همین موضوع باعث می‌شود ایمیل به‌راحتی از فیلترهای سرورهای ایمیلی عبور کند. بگذارید برای شفافیت بیشتر یک بار دیگر تأکید کنیم که: این ایمیل کاملاً واقعی و از طرف مایکروسافت است. محتوای آن نیز با یک تأیید خرید معمولی مطابقت دارد. در تصویر زیر، شرکت از گیرنده بابت خرید ۵۵ اشتراک Microsoft 365 Apps for Business به ارزش مجموع ۵۸۷.۹۵ دلار تشکر می‌کند.

نکته‌ی اصلی این کلاهبرداری در متنی نهفته است که مهاجمان به بخش «اطلاعات صورتحساب»اضافه می‌کنند. در حالت عادی، این بخش شامل نام شرکت خریدار و نشانی صورتحساب است. اما کلاهبرداران این اطلاعات را با شماره تلفن خود جایگزین کرده‌اند، همراه با یادداشتی که گیرنده را تشویق می‌کند در صورت نیاز به کمک، با «مایکروسافت» تماس بگیرد. نوع اشتراک‌هایی که به‌ظاهر خریداری شده‌اند نشان می‌دهد که هدف این کلاهبرداری، کارکنان شرکت‌ها هستند.

مهاجمان از یکی از ترس‌های رایج در میان کارکنان سوءاستفاده می‌کنند: اینکه انجام یک خرید گران‌قیمت و غیرضروری ممکن است برایشان دردسرساز شود. و از آنجا که پاسخ دادن به ایمیل ممکن نیست (چرا که پیام از یک نشانی بدون امکان پاسخ‌گویی ارسال شده)، قربانی چاره‌ای جز تماس با شماره‌ی درج‌شده ندارد.

چه کسی پاسخ تماس‌ها را می‌دهد و در ادامه چه اتفاقی می‌افتد؟
اگر قربانی فریب بخورد و برای پیگیری اشتراک‌هایی که ظاهراً خریداری شده تماس بگیرد، کلاهبرداران از روش‌های مهندسی اجتماعی استفاده می‌کنند. یکی از کاربران ردیت که ایمیلی مشابه دریافت کرده و با شماره تماس گرفته بود، تجربه‌ی خود را به اشتراک گذاشت. به گفته‌ی این فرد، پاسخ‌دهنده اصرار داشت که نرم‌افزاری پشتیبانی روی سیستم نصب شود و برای این منظور یک فایل اجرایی (EXE) ارسال کرد. گفت‌وگوی بعدی نشان می‌دهد که این فایل احتمالاً حاوی نوعی برنامه‌ی کنترل از راه دور (RAT)  بوده است.

قربانی تا زمانی که کلاهبردار وعده‌ی بازگرداندن پول به حساب بانکی‌اش را نداد، به ماجرا مشکوک نشده بود. این وعده زنگ خطری جدی بود، چرا که کلاهبردار اصولاً نباید به اطلاعات بانکی قربانی دسترسی داشته باشد. در ادامه، کلاهبردار از قربانی خواست تا وارد سامانه‌ی بانکداری آنلاین خود شود تا بررسی کند ببیند آیا تراکنش انجام شده است یا خیر. قربانی معتقد است نرم‌افزاری که روی رایانه‌اش نصب شده بود، نوعی بدافزار بوده که امکان رهگیری اطلاعات ورود به حساب بانکی را برای مهاجمان فراهم می‌کرد. خوشبختانه، وی به‌موقع متوجه خطر شد و تماس را قطع کرد. در همان رشته گفت‌وگو در ردیت، کاربران دیگری نیز گزارش‌هایی مشابه از دریافت چنین ایمیل‌هایی با اطلاعات تماس گوناگون ارائه دادند.

چگونه کلاهبرداران ایمیل‌های فیشینگ را از یک نشانی معتبر مایکروسافت ارسال می‌کنند؟

این‌که مهاجمان دقیقاً چگونه موفق می‌شوند اعلان‌های رسمی مایکروسافت را برای قربانیان ارسال کنند، همچنان تا حدی مبهم است. منطقی‌ترین توضیحی که تاکنون ارائه شده، از سوی یکی از کاربران ردیت بوده است. وی مطرح کرده که عاملان این کلاهبرداری احتمالاً از اطلاعات کاربری سرقت‌شده یا نسخه‌های آزمایشی برای دسترسی به مایکروسافت ۳۶۵ استفاده می‌کنند. آن‌ها با وارد کردن نشانی ایمیل قربانی یا استفاده از گزینه‌ی BCC هنگام خرید اشتراک، می‌توانند پیام‌هایی مشابه آنچه در تصویر بالا دیده می‌شود، ارسال کنند.

نظریه‌ی دیگری نیز وجود دارد: کلاهبرداران ممکن است به حسابی دسترسی پیدا کرده باشند که دارای اشتراک فعال مایکروسافت ۳۶۵ است و سپس از قابلیت ارسال مجدد اطلاعات صورتحساب استفاده ‌کنند، به‌طوری‌که گیرنده‌ی پیام، قربانی مورد نظر باشد. در هر صورت، هدف نهایی مهاجمان این است که اطلاعات صورتحساب — که تنها بخشی از اعلان‌های مایکروسافت است که قابلیت ویرایش دارد — با شماره تلفن خودشان جایگزین شود.

چگونه از خود در برابر این نوع حملات محافظت کنیم؟

مهاجمان سایبری همواره در تلاش‌اند راه‌های جدیدی برای سوءاستفاده از سرویس‌های کاملاً معتبر و شناخته‌شده پیدا کنند تا از آن‌ها برای اجرای حملات فیشینگ و کلاهبرداری استفاده کنند. به همین دلیل، برای حفظ امنیت یک سازمان، تنها استفاده از راهکارهای فنی کافی نیست؛ بلکه باید کنترل‌های مدیریتی نیز در نظر گرفته شود. در ادامه، چند توصیه برای محافظت بهتر ارائه می‌شود:

• آموزش کارکنان برای شناسایی تهدیدات بالقوه در مراحل اولیه. این فرایند را می‌توان با استفاده از ابزارهای آموزش الکترونیکی مانند Kaspersky Automated Security Awareness Platformبه‌صورت خودکار اجرا کرد.
• نصب یک راهکار امنیتی قدرتمند روی تمامی دستگاه‌های سازمانی، به‌منظور مقابله با جاسوس‌افزارها، تروجان‌های دسترسی از راه دور (RAT) و سایر بدافزارها.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.