Search
Menu

فیشینگ هدف دار

فیشینگ چیست ؟ فیشینگ هدف دار چیست؟

فیشینگ هدف‌دار یک ایمیل است که شخص یا گروهی مشخص در یک سازمان را هدف قرار داده و به نظر می‌رسد از طرف یک منبع مورداعتماد باشد؛ اما در حقیقت از طرف مجرمان سایبری است که در حال تلاش برای سرقت اطلاعات محرمانه هستند.

بر اساس یک تحقیق انجام شده، ۹۱ درصد از حملات سایبری و Data breachهای در نتیجه آن‌ها با یک ایمیل فیشینگ هدف‌دار آغاز می‌شوند. این امر به طور قطع نشان می‌دهد که در حقیقت کاربران آسیب‌پذیرترین مولفه در امنیت IT هستند. در ادامه این مطلب، فرایند انجام حملات فیشینگ هدف‌دار را بررسی کرده و سپس، به اقدامات قابل انجام برای رفع خطر این تهدید خواهیم پرداخت.

فیشینگ هدف‌دار چگونه انجام می‌شود؟

انجام یک حمله فیشینگ هدف‌دار از ۶ مرحله، به شرح زیر، تشکیل شده است:

phishing

شناسایی آدرس‌های ایمیل

دو راه برای ارسال ایمیل‌های فیشینگ توسط هکرها وجود دارد: در اولین روش، تا حد ممکن آدرس‌های ایمیل در یک سازمان جمع‌آوری شده و یک ایمیل که ممکن است بر روی آن کلیک شود، به همه آن‌ها ارسال می‌شود. در دومین رویکرد، در ابتدا داده هدف، یعنی داده‌ای که هکر قصد دستیابی به آن را دارد، مشخص می‌شود. سپس افرادی که به این داده‌ها دسترسی دارند، مشخص شده و به عنوان هدف تعیین می‌گردند و مهاجمین به جستجوی آدرس ایمیل این افراد می‌پردازند. رویکرد دوم، فیشینگ هدف‌دار است.

چندین راه برای دسترسی به آدرس‌های ایمیل در یک سازمان وجود دارد. یک راه مورد علاقه افراد خرابکار استفاده از Scriptها برای به دست آوردن آدرس‌های ایمیل از یک موتور جستجوی بزرگ است. بزرگی سطح حمله فیشینگ هدف‌دار یک سازمان، با توجه به تعداد ایمیل‌هایی که می‌توان از این طریق بدست آورد، شما را متعجب خواهد کرد. هنگامی که افراد خرابکار آدرس ایمیل افراد هدف را به دست آورند، به سراغ مرحله دوم می‌روند.

گریز از آنتی‌ویروس

برای اینکه یک ایمیل فیشینگ به Inbox یک شخص هدف برسد، ایمیل باید از نرم‌افزار آنتی‌ویروس مورد استفاده توسط هدف گذر کند. یک جستجوی سریع در سایت‌های فعال در زمینه کاریابی IT برای آگهی استخدام مدیر سیستم در سازمان هدف، مقدار حیرت‌انگیزی از اطلاعات را فراهم خواهد کرد. اغلب در این آگهی‌ها، شرکت‌ها نوع آنتی‌ویروس و نسخه مورد استفاده از آن را مشخص می‌کنند. در صورت عدم موفقیت در استفاده از این رویکرد، DNS cache snooping و حتی رسانه‌های اجتماعی، راه‌های زیاد دیگری را برای دستیابی به این اطلاعات در اختیار شما قرار می‌دهند. پس از شناسایی آنتی‌ویروس مورداستفاده، برای اطمینان از گذر ایمیل‌ها از آن، آنتی‌ویروس موردنظر بر روی یک سیستم آزمایش نصب می‌شود. در این مرحله می‌توان از Metasploit استفاده کرد که یک پروژه امنیت کامپیوتری Open source است که اطلاعاتی را درباره آسیب پذیری‌های امنیتی فراهم کرده و در تست نفوذ کمک می‌کند.

کنترل خروجی

تنها در صورتی هکرها قادر به خارج کردن اطلاعات، از سازمانی که موردحمله قرار گرفته هستند که payload ارسال شده همراه حمله، اجازه خروج ترافیک از سازمان را بدهد. یک Payload متداول در این زمینه “reverse_https” نامیده می‌شود. دلیل این نام‌گذاری این است که این Payload یک تونل رمزگذاری شده به سرور Metasploit ایجاد می‌کند و انجام این کار، تشخیص هر چیزی را توسط ابزارهای امنیتی مانند سیستم‌های تشخیص نفوذ یا دیواره‌های آتش دشوار می‌کند. از دید این محصولات، داده‌های فیشینگ خروجی شبیه به ترافیک نرمال https به نظر می‌رسند.

سناریوهای فیشینگ هدف‌دار

این مساله اساس مهندسی اجتماعی کاربران بوده و مقالات بسیاری تا به امروز در این‌باره نوشته شده است. در صورتی که کاربران به طور مناسب آموزش‌های آگاهی امنیتی را نگذرانده باشند، آن‌ها اهدافی سهل‌الوصول برای مهاجمین انجام‌دهنده حملات فیشینگ هدف‌دار هستند. مهاجمین به تحقیق در مورد اهداف خود پرداخته، افرادی که به طور منظم با آن‌ها در ارتباط هستند را شناسایی کرده و یک ایمیل شخصی‌سازی شده به هدف ارسال می‌کنند تا هدف بر روی یک لینک کلیک کرده و یا یک ضمیمه را باز کند. به عنوان یک مثال در این زمینه فرض کنید که ایمیلی از طرف همسر خود با عنوان “عزیزم نگران نشو اما من یه تصادف کوچیک داشتم” دریافت کرده‌اید که متن آن به صورت “چند تا عکس با گوشیم گرفتم، به نظرت هزینه تعمیر ماشین زیاد میشه؟” باشد.

ارسال ایمیل‌ها

یک گزینه، ایجاد یک سرور ایمیل موقت و شروع به ارسال ایمیل از طریق آن می‌باشد. اما با توجه به جدید بودن این سرور ایمیل، بخش زیادی از ایمیل‌های ارسالی مسدود شده و به دریافت‌کننده‌های موردنظر نخواهند ‌رسید. یک گزینه بهتر، رفتن به سراغ شرکت GoDaddy، خرید یک دامنه معتبر و راه‌اندازی و استفاده از سرور ایمیلی است که همراه با دامنه در اختیار شما قرار می‌گیرد. در این صورت، یک رکورد مبدل ایمیل[۲] به طور خودکار توسط GoDaddy ایجاد می‌شود. علاوه‌براین، به‌راحتی می‌توان اطلاعات GoDaddy Whois را به گونه‌ای تغییر داد تا منطبق بر دامنه شرکت هدف شود. انجام این موارد به عبور ایمیل‌ها (که می‌توانند شامل هر script دلخواهی باشد) به هر کاربری کمک می‌کنند.

بهره‌برداری

فرض کنیم یک کاربر هدف روی لینک موردنظر کلیک کرده و بدین‌وسیله افراد خرابکار بتوانند یک Keylogger بر روی ماشین موردنظر نصب کنند. در ادامه، آن‌ها به انتظار برای دریافت داده‌های صفحه کلید و جستجو برای یافتن Credentialهای موردنظر می‌پردازند. پس از دستیابی به این اطلاعات، اقدامات بعدی که افراد خرابکار به دنبال آن‌ها خواهند رفت عبارتند از: ورود به ایستگاه کاری، دستیابی به Hash گذرواژه‌های شبکه، Crack کردن آن‌ها و ارتقا برای دستیابی به دسترسی مدیریتی به کل شبکه.

مثال‌هایی واقعی فیشینگ

کلاه‌برداری به نام مدیرعامل

در ادامه مثالی از یک مشتری که هدف حمله “کلاه‌برداری به نام مدیرعامل”[۳] واقع شده را می‌بینیم. در این مورد، کارمند ابتدا به ایمیل دریافتی پاسخ داده اما پس از به یاد آوردن آموزش‌های خود، ایمیل دریافتی را به واحد IT سازمان گزارش کرده است.

در این مثال، پس از عدم انجام انتقال‌وجه موردانتظار، ایمیل دیگری از طرف افراد خرابکار (که انتظار انتقال وجه را داشته‌اند) به کارمند ارسال شده است. علی‌رغم اینکه در این مورد، افراد خرابکار مقدار پول انتقالی را هیچ‌گاه مشخص نکرده بودند، اما شرکت از یک خطر بزرگ رهایی یافت.

کلاهبرداری به نام مدیرعامل

ضمائم مخرب

در یک مثال دیگر، افراد خرابکار از آسیب‌پذیری Microsoft برای دور زدن نرم‌افزار امنیتی کاربر پایانی و تحویل Remcos remote access Trojan از طریق Microsoft PowerPoint بهره‌برداری‌کرده‌اند. شرکت‌های فعال در صنعت تولیدات الکترونیکی هدف این حمله بوده‌اند. در این مثال، افراد خرابکار در ابتدا یک آدرس ایمیل مشابه با آدرس ایمیل یک همکار تجاری شرکت هدف ایجاد کرده و سپس، یک پیام که متن آن شبیه به یک درخواست سفارش بوده و به نظر می‌رسد “اطلاعات حمل و نقل” ضمیمه آن است را به شرکت هدف ارسال می‌کنند. ظاهر یک نمونه از ایمیل‌های ارسال شده در این مثال به صورت زیر است:

ایمیل فیشینگ

حملات باج‌افزار

Payload بسیاری از حملات فیشینگ هدف‌دار شامل یک باج‌افزار است. یک مثال در این مورد، باج‌افزار Defray است که بخش‌هایی از سلامت، آموزش، تولید و تکنولوژی را در آمریکا و انگلستان هدف قرار داده‌ است. مکانیزم توزیع و آلوده کردن این باج‌افزار، استفاده از ایمیل‌های فیشینگ هدف‌دار با برخی اسناد Microsoft Word مخرب به عنوان ضمیمه است. پس از باز شدن ضمیمه، باج‌افزار نصب می‌شود. این باج‌افزار فقط در حملات بسیار هدف‌یافته دیده شده و مقدار باج درخواستی آن، ۵۰۰۰ دلار است. شکل زیر، یک نمونه سند ارسالی در این مورد را نشان می‌دهد.

 

حملات باج افزار

فیشینگ و فیشینگ هدف‌دار

درحالی‌که حملات فیشینگ و فیشینگ هدف‌دار بسیار مشابه هستند، تفاوت‌هایی کلیدی نیز مابین آن‌ها وجود دارد که باید از آن‌ها آگاه بود. یک برنامه فیشینگ بسیار گسترده و خودکار است و به مهارت زیادی نیاز ندارد. حملات فیشینگ معمولی، اغلب به دنبال داده‌هایی مانند اطلاعات کارت‌های اعتباری، نام‌های کاربری، گذرواژه‌ها و … می‌باشند.

در سوی مقابل، حملات فیشینگ هدف‌دار شدیدا هدفمند بوده و به دنبال یک کارمند، شرکت یا افراد مشخص در شرکت می‌روند. این حملات نیازمند تکنیک‌های هک پیشرفته و تحقیق زیاد درباره اهداف می‌باشند. در این حملات، مهاجمین به دنبال داده‌های ارزشمندتر مانند اطلاعات محرمانه، رازهای تجاری و اطلاعات این چنینی هستند. این دلیلی است برای اینکه چرا این حملات رویکرد هدفمندانه‌تری نیاز دارند؛ این حملات کسانی که به اطلاعات مورد‌نظر دسترسی داشته را جستجو کرده و به دنبال این افراد مشخص می‌روند. یک ایمیل فیشینگ هدف‌دار در حقیقت شروع یک حمله برای دستیابی افراد خرابکار به شبکه بزرگ‌تر است.

مقابله با حملات فیشینگ هدف‌دار

چگونه می‌توان به مقابله با حملاتی این چنینی پرداخت؟

رویکرد واحدی برای متوقف کردن چنین تهدیدی وجود ندارد؛ اما در ادامه مواردی که لازم است انجام دهید تا یک هدف دشوار برای مجرمان فعال در این زمینه باشید، ذکر می‌شود:

  • اول از همه، به همه لایه‌های دفاع عمقی خود نیاز دارید. دفاع در مقابل چنین حملاتی یک رویکرد چند لایه‌ای است. نکته این است که، تا حد امکان، باید عبور مهاجم را دشوار کرده و تنها به یک ابزار برای امنیت سازمان تکیه نکرد.
  • از قرار دادن لیستی شامل آدرس‌های ایمیل همه کارکنان بر روی وب‌سایت خودداری کنید. در عوض از فرم‌های وب استفاده کنید.
  • به طور منظم اینترنت را برای یافتن آدرس‌های ایمیل و Credentialهای افشا شده جستجو کنید. شما اولین نفری نخواهید بود که نام کاربری و گذرواژه یکی از کاربران خود را در یک سایت مجرمانه می‌یابید.
  • هرگز اطلاعات شخصی حساس را از طریق ایمیل ارسال نکنید. احتیاط لازم را پس از دریافت یک ایمیل درخواست‌کننده‌ی چنین اطلاعاتی به خرج داده و در صورت شک مستقیما به سراغ منبع بروید.
  • کاربران خود را از خطرات به اشتراک‌گذاری بیش از حد اطلاعات شخصی خود در شبکه‌های اجتماعی آگاه سازید. هر چه افراد خرابکار بیشتر بدانند، به نحو بهتری قادر به تهیه ایمیل‌های فیشینگ هدف‌دار قانع‌کننده خواهند بود.
  • کاربران آخرین خط دفاعی شما هستند. آن‌ها باید با استفاده از آموزش‌های آگاهی امنیتی به‌روز، مورد تعلیم قرار گرفته و به طور مکرر ایمیل‌های فیشینگ شبیه‌سازی‌شده دریافت کنند تا همیشه امنیت را در نظر داشته و محتاط باشند.

 

 

و همیشه به یاد داشته باشید تا قبل از کلیک، فکر کنید!

 

[۱] برگرفته از KnowBe4

[۲] Mail Exchanger record

[۳] CEO Fraud Scams

کاتالوگ امن پردازان کویر
گزارش امنیتی
ایمیل خود را وارد کنید و عضو خبرنامه شوید.

آخرین اخبار

مقالات سایت

درباره شرکت

محصولات

خدمات

مقالات و منابع

ایمیل خود را وارد کنید تا از آخرین اخبار دنیای امنیت مطلع گردید.

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

۴۵۸۱۲۳۹۶ (۰۲۱)

۳۶۲۹۰۹۹۲ (۰۳۵)

تهران - خیابان شهید بهشتی، خیابان صابونچی، کوچه ادایی، پلاک ۲، طبقه اول

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن‌پردازان کویر (APK) است.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.