پژوهشگران کسپرسکی کمپین جدیدی از حملات فیشینگ هدفمند را شناسایی کردهاند که شرکتهای فعال در حوزه تولید را هدف قرار میدهد.
در این حمله، مهاجمان از یک روش چندمرحلهای استفاده میکنند. آنها پیش از ارسال لینک فیشینگ، با قربانی وارد مکاتبه میشوند تا احتمال موفقیت حمله را افزایش دهند و حساسیت او را کاهش دهند.
بررسیها نشان میدهد متن ایمیلها به احتمال زیاد با استفاده از مدلهای زبانی بزرگ (LLM) تولید شده است.
از آنجا که این کمپین همچنان فعال است، توصیه میشود سازمانها نسبت به چنین ایمیلهایی هوشیار باشند.
سناریوی حمله
مهاجمان خود را بهعنوان مشتریان بالقوه معرفی میکنند.
ایمیلها از آدرسهایی ارسال میشوند که روی سرویسهای رایگان ایمیل ایجاد شدهاند. این سرویسها سابقه مخربی ندارند و حتی بسیاری از کسبوکارهای کوچک نیز از آنها برای مکاتبات کاری استفاده میکنند؛ موضوعی که باعث میشود پیامها در نگاه اول مشکوک به نظر نرسند.
نکته جالب اینجاست که صرفنظر از زبان کشور هدف، تمام ایمیلها به زبان انگلیسی نوشته شدهاند.
تاکنون شرکتهایی در کشورهای روسیه، جمهوری چک، مالزی و مصر هدف این حملات قرار گرفتهاند.
در اولین ایمیل، مهاجمان درباره محصولات شرکت سؤال میپرسند و حتی از نام واقعی محصولات استفاده میکنند.
این موضوع نشان میدهد حملات کاملاً هدفمند هستند و مهاجمان پیش از ارسال ایمیل، اطلاعات عمومی هر شرکت را بهدقت بررسی میکنند.
در نتیجه، برخلاف کمپینهای فیشینگ انبوه، برای هر قربانی پیام اختصاصی تهیه میشود.
اگر گیرنده به ایمیل نخست پاسخ دهد، مهاجمان مکاتبه را ادامه میدهند.
در برخی موارد، پیش از رسیدن به هدف اصلی—یعنی سرقت اطلاعات ورود به ایمیل سازمانی—چندین پیام دیگر نیز ردوبدل میشود.
در این پیامها، مهاجمان برای طبیعی جلوه دادن مکاتبه، درباره جزئیات سفارش سؤال میکنند یا اطلاعات تکمیلی درخواست میکنند.
با این حال، در بسیاری از موارد، لینک فیشینگ از همان دومین ایمیل ارسال میشود.
مهاجمان معمولاً مشخصات فنی محصولی را که ظاهراً قصد خرید آن را دارند ارسال میکنند و از شرکت میخواهند اعلام کند آیا امکان حکاکی طرح موردنظر روی محصول وجود دارد یا خیر.
گاهی نیز از بهانههای مشابه استفاده میکنند تا قربانی را به باز کردن فایل یا لینک ارسالی ترغیب کنند.
زنجیرهای از ایمیلها که در نهایت به یک لینک فیشینگ ختم میشود
وبسایت فیشینگ
در واقع، هیچ فایل واقعیای وجود ندارد.
با کلیک روی لینک، کاربر به یک وبسایت فیشینگ هدایت میشود که ظاهر آن کاملاً شبیه یکی از سرویسهای شناختهشده اشتراکگذاری و مشاهده فایلهای PDF است.
کاربر با کلیک روی دکمه Download به صفحه ورود هدایت میشود؛ جایی که از او خواسته میشود برای دسترسی به فایل محرمانه، آدرس ایمیل سازمانی و رمز عبور خود را وارد کند.
طبق ادعای مهاجمان، این مرحله صرفاً «به دلایل امنیتی» انجام میشود.
اگر کاربر لحظهای مکث نکند و از خود نپرسد چرا باید اطلاعات ورود به ایمیل سازمانی خود را در وبسایتی وارد کند که هیچ ارتباطی با سازمان او ندارد، نام کاربری و رمز عبور مستقیماً برای سرور مهاجمان ارسال خواهد شد.
چگونه از سازمان خود محافظت کنیم؟
حملات فیشینگ امروزی هر روز پیچیدهتر و متقاعدکنندهتر میشوند.
استفاده مهاجمان از ابزارهای مبتنی بر هوش مصنوعی نیز باعث شده تشخیص این حملات دشوارتر از گذشته باشد.
به همین دلیل، نخستین گام، افزایش مستمر آگاهی امنیتی کارکنان است تا بتوانند چنین سناریوهایی را شناسایی کنند.
در کنار آموزش کاربران، استفاده از یک راهکار امنیتی در درگاه ایمیل سازمان نیز نقش مهمی در جلوگیری از این حملات دارد.
راهکار Kaspersky Secure Mail Gateway این کمپین فیشینگ را پیش از آنکه مهاجمان وارد مرحله اصلی سرقت اطلاعات شوند، شناسایی و مسدود میکند.