فیشینگ چیست ؟ فیشینگ هدف دار چیست؟
فیشینگ هدفدار یک ایمیل است که شخص یا گروهی مشخص در یک سازمان را هدف قرار داده و به نظر میرسد از طرف یک منبع مورداعتماد باشد؛ اما در حقیقت از طرف مجرمان سایبری است که در حال تلاش برای سرقت اطلاعات محرمانه هستند.
بر اساس یک تحقیق انجام شده، ۹۱ درصد از حملات سایبری و Data breachهای در نتیجه آنها با یک ایمیل فیشینگ هدفدار آغاز میشوند. این امر به طور قطع نشان میدهد که در حقیقت کاربران آسیبپذیرترین مولفه در امنیت IT هستند. در ادامه این مطلب، فرایند انجام حملات فیشینگ هدفدار را بررسی کرده و سپس، به اقدامات قابل انجام برای رفع خطر این تهدید خواهیم پرداخت.
فیشینگ هدفدار چگونه انجام میشود؟
انجام یک حمله فیشینگ هدفدار از ۶ مرحله، به شرح زیر، تشکیل شده است:
شناسایی آدرسهای ایمیل
دو راه برای ارسال ایمیلهای فیشینگ توسط هکرها وجود دارد: در اولین روش، تا حد ممکن آدرسهای ایمیل در یک سازمان جمعآوری شده و یک ایمیل که ممکن است بر روی آن کلیک شود، به همه آنها ارسال میشود. در دومین رویکرد، در ابتدا داده هدف، یعنی دادهای که هکر قصد دستیابی به آن را دارد، مشخص میشود. سپس افرادی که به این دادهها دسترسی دارند، مشخص شده و به عنوان هدف تعیین میگردند و مهاجمین به جستجوی آدرس ایمیل این افراد میپردازند. رویکرد دوم، فیشینگ هدفدار است.
چندین راه برای دسترسی به آدرسهای ایمیل در یک سازمان وجود دارد. یک راه مورد علاقه افراد خرابکار استفاده از Scriptها برای به دست آوردن آدرسهای ایمیل از یک موتور جستجوی بزرگ است. بزرگی سطح حمله فیشینگ هدفدار یک سازمان، با توجه به تعداد ایمیلهایی که میتوان از این طریق بدست آورد، شما را متعجب خواهد کرد. هنگامی که افراد خرابکار آدرس ایمیل افراد هدف را به دست آورند، به سراغ مرحله دوم میروند.
گریز از آنتیویروس
برای اینکه یک ایمیل فیشینگ به Inbox یک شخص هدف برسد، ایمیل باید از نرمافزار آنتیویروس مورد استفاده توسط هدف گذر کند. یک جستجوی سریع در سایتهای فعال در زمینه کاریابی IT برای آگهی استخدام مدیر سیستم در سازمان هدف، مقدار حیرتانگیزی از اطلاعات را فراهم خواهد کرد. اغلب در این آگهیها، شرکتها نوع آنتیویروس و نسخه مورد استفاده از آن را مشخص میکنند. در صورت عدم موفقیت در استفاده از این رویکرد، DNS cache snooping و حتی رسانههای اجتماعی، راههای زیاد دیگری را برای دستیابی به این اطلاعات در اختیار شما قرار میدهند. پس از شناسایی آنتیویروس مورداستفاده، برای اطمینان از گذر ایمیلها از آن، آنتیویروس موردنظر بر روی یک سیستم آزمایش نصب میشود. در این مرحله میتوان از Metasploit استفاده کرد که یک پروژه امنیت کامپیوتری Open source است که اطلاعاتی را درباره آسیب پذیریهای امنیتی فراهم کرده و در تست نفوذ کمک میکند.
کنترل خروجی
تنها در صورتی هکرها قادر به خارج کردن اطلاعات، از سازمانی که موردحمله قرار گرفته هستند که payload ارسال شده همراه حمله، اجازه خروج ترافیک از سازمان را بدهد. یک Payload متداول در این زمینه “reverse_https” نامیده میشود. دلیل این نامگذاری این است که این Payload یک تونل رمزگذاری شده به سرور Metasploit ایجاد میکند و انجام این کار، تشخیص هر چیزی را توسط ابزارهای امنیتی مانند سیستمهای تشخیص نفوذ یا دیوارههای آتش دشوار میکند. از دید این محصولات، دادههای فیشینگ خروجی شبیه به ترافیک نرمال https به نظر میرسند.
سناریوهای فیشینگ هدفدار
این مساله اساس مهندسی اجتماعی کاربران بوده و مقالات بسیاری تا به امروز در اینباره نوشته شده است. در صورتی که کاربران به طور مناسب آموزشهای آگاهی امنیتی را نگذرانده باشند، آنها اهدافی سهلالوصول برای مهاجمین انجامدهنده حملات فیشینگ هدفدار هستند. مهاجمین به تحقیق در مورد اهداف خود پرداخته، افرادی که به طور منظم با آنها در ارتباط هستند را شناسایی کرده و یک ایمیل شخصیسازی شده به هدف ارسال میکنند تا هدف بر روی یک لینک کلیک کرده و یا یک ضمیمه را باز کند. به عنوان یک مثال در این زمینه فرض کنید که ایمیلی از طرف همسر خود با عنوان “عزیزم نگران نشو اما من یه تصادف کوچیک داشتم” دریافت کردهاید که متن آن به صورت “چند تا عکس با گوشیم گرفتم، به نظرت هزینه تعمیر ماشین زیاد میشه؟” باشد.
ارسال ایمیلها
یک گزینه، ایجاد یک سرور ایمیل موقت و شروع به ارسال ایمیل از طریق آن میباشد. اما با توجه به جدید بودن این سرور ایمیل، بخش زیادی از ایمیلهای ارسالی مسدود شده و به دریافتکنندههای موردنظر نخواهند رسید. یک گزینه بهتر، رفتن به سراغ شرکت GoDaddy، خرید یک دامنه معتبر و راهاندازی و استفاده از سرور ایمیلی است که همراه با دامنه در اختیار شما قرار میگیرد. در این صورت، یک رکورد مبدل ایمیل[۲] به طور خودکار توسط GoDaddy ایجاد میشود. علاوهبراین، بهراحتی میتوان اطلاعات GoDaddy Whois را به گونهای تغییر داد تا منطبق بر دامنه شرکت هدف شود. انجام این موارد به عبور ایمیلها (که میتوانند شامل هر script دلخواهی باشد) به هر کاربری کمک میکنند.
بهرهبرداری
فرض کنیم یک کاربر هدف روی لینک موردنظر کلیک کرده و بدینوسیله افراد خرابکار بتوانند یک Keylogger بر روی ماشین موردنظر نصب کنند. در ادامه، آنها به انتظار برای دریافت دادههای صفحه کلید و جستجو برای یافتن Credentialهای موردنظر میپردازند. پس از دستیابی به این اطلاعات، اقدامات بعدی که افراد خرابکار به دنبال آنها خواهند رفت عبارتند از: ورود به ایستگاه کاری، دستیابی به Hash گذرواژههای شبکه، Crack کردن آنها و ارتقا برای دستیابی به دسترسی مدیریتی به کل شبکه.
مثالهایی واقعی فیشینگ
کلاهبرداری به نام مدیرعامل
در ادامه مثالی از یک مشتری که هدف حمله “کلاهبرداری به نام مدیرعامل”[۳] واقع شده را میبینیم. در این مورد، کارمند ابتدا به ایمیل دریافتی پاسخ داده اما پس از به یاد آوردن آموزشهای خود، ایمیل دریافتی را به واحد IT سازمان گزارش کرده است.
در این مثال، پس از عدم انجام انتقالوجه موردانتظار، ایمیل دیگری از طرف افراد خرابکار (که انتظار انتقال وجه را داشتهاند) به کارمند ارسال شده است. علیرغم اینکه در این مورد، افراد خرابکار مقدار پول انتقالی را هیچگاه مشخص نکرده بودند، اما شرکت از یک خطر بزرگ رهایی یافت.
ضمائم مخرب
در یک مثال دیگر، افراد خرابکار از آسیبپذیری Microsoft برای دور زدن نرمافزار امنیتی کاربر پایانی و تحویل Remcos remote access Trojan از طریق Microsoft PowerPoint بهرهبرداریکردهاند. شرکتهای فعال در صنعت تولیدات الکترونیکی هدف این حمله بودهاند. در این مثال، افراد خرابکار در ابتدا یک آدرس ایمیل مشابه با آدرس ایمیل یک همکار تجاری شرکت هدف ایجاد کرده و سپس، یک پیام که متن آن شبیه به یک درخواست سفارش بوده و به نظر میرسد “اطلاعات حمل و نقل” ضمیمه آن است را به شرکت هدف ارسال میکنند. ظاهر یک نمونه از ایمیلهای ارسال شده در این مثال به صورت زیر است:
حملات باجافزار
Payload بسیاری از حملات فیشینگ هدفدار شامل یک باجافزار است. یک مثال در این مورد، باجافزار Defray است که بخشهایی از سلامت، آموزش، تولید و تکنولوژی را در آمریکا و انگلستان هدف قرار داده است. مکانیزم توزیع و آلوده کردن این باجافزار، استفاده از ایمیلهای فیشینگ هدفدار با برخی اسناد Microsoft Word مخرب به عنوان ضمیمه است. پس از باز شدن ضمیمه، باجافزار نصب میشود. این باجافزار فقط در حملات بسیار هدفیافته دیده شده و مقدار باج درخواستی آن، ۵۰۰۰ دلار است. شکل زیر، یک نمونه سند ارسالی در این مورد را نشان میدهد.
فیشینگ و فیشینگ هدفدار
درحالیکه حملات فیشینگ و فیشینگ هدفدار بسیار مشابه هستند، تفاوتهایی کلیدی نیز مابین آنها وجود دارد که باید از آنها آگاه بود. یک برنامه فیشینگ بسیار گسترده و خودکار است و به مهارت زیادی نیاز ندارد. حملات فیشینگ معمولی، اغلب به دنبال دادههایی مانند اطلاعات کارتهای اعتباری، نامهای کاربری، گذرواژهها و … میباشند.
در سوی مقابل، حملات فیشینگ هدفدار شدیدا هدفمند بوده و به دنبال یک کارمند، شرکت یا افراد مشخص در شرکت میروند. این حملات نیازمند تکنیکهای هک پیشرفته و تحقیق زیاد درباره اهداف میباشند. در این حملات، مهاجمین به دنبال دادههای ارزشمندتر مانند اطلاعات محرمانه، رازهای تجاری و اطلاعات این چنینی هستند. این دلیلی است برای اینکه چرا این حملات رویکرد هدفمندانهتری نیاز دارند؛ این حملات کسانی که به اطلاعات موردنظر دسترسی داشته را جستجو کرده و به دنبال این افراد مشخص میروند. یک ایمیل فیشینگ هدفدار در حقیقت شروع یک حمله برای دستیابی افراد خرابکار به شبکه بزرگتر است.
مقابله با حملات فیشینگ هدفدار
چگونه میتوان به مقابله با حملاتی این چنینی پرداخت؟
رویکرد واحدی برای متوقف کردن چنین تهدیدی وجود ندارد؛ اما در ادامه مواردی که لازم است انجام دهید تا یک هدف دشوار برای مجرمان فعال در این زمینه باشید، ذکر میشود:
- اول از همه، به همه لایههای دفاع عمقی خود نیاز دارید. دفاع در مقابل چنین حملاتی یک رویکرد چند لایهای است. نکته این است که، تا حد امکان، باید عبور مهاجم را دشوار کرده و تنها به یک ابزار برای امنیت سازمان تکیه نکرد.
- از قرار دادن لیستی شامل آدرسهای ایمیل همه کارکنان بر روی وبسایت خودداری کنید. در عوض از فرمهای وب استفاده کنید.
- به طور منظم اینترنت را برای یافتن آدرسهای ایمیل و Credentialهای افشا شده جستجو کنید. شما اولین نفری نخواهید بود که نام کاربری و گذرواژه یکی از کاربران خود را در یک سایت مجرمانه مییابید.
- هرگز اطلاعات شخصی حساس را از طریق ایمیل ارسال نکنید. احتیاط لازم را پس از دریافت یک ایمیل درخواستکنندهی چنین اطلاعاتی به خرج داده و در صورت شک مستقیما به سراغ منبع بروید.
- کاربران خود را از خطرات به اشتراکگذاری بیش از حد اطلاعات شخصی خود در شبکههای اجتماعی آگاه سازید. هر چه افراد خرابکار بیشتر بدانند، به نحو بهتری قادر به تهیه ایمیلهای فیشینگ هدفدار قانعکننده خواهند بود.
- کاربران آخرین خط دفاعی شما هستند. آنها باید با استفاده از آموزشهای آگاهی امنیتی بهروز، مورد تعلیم قرار گرفته و به طور مکرر ایمیلهای فیشینگ شبیهسازیشده دریافت کنند تا همیشه امنیت را در نظر داشته و محتاط باشند.
و همیشه به یاد داشته باشید تا قبل از کلیک، فکر کنید!
[۲] Mail Exchanger record
[۳] CEO Fraud Scams