27 مهر 1401 - 11:03
هزارتوی کلاهبرداری اینترنتی فیشینگ (۹)

با فیشینگ نیزه‌ای و حملات سازش ایمیل تجاری (BEC) آشنا شوید

با فیشینگ نیزه‌ای و حملات سازش ایمیل تجاری (BEC) آشنا شوید
حملات فیشینگ مدرن، علاوه بر به خطر انداختن بستر‌های عمومی اشخاص و سازمان‌ها، در بسیاری از موارد هدفمند عمل می‌کنند. دو نوع از این حملات هدفمند، فیشینگ نیزه‌ای و حملات سازش ایمیل تجاری (BEC) است.
کد خبر : ۱۴۲۱۲۹

به گزارش خبرنگار ایبِنا، فیشینگ نیزه‌ای و حملات سازش ایمیل تجاری (BEC)، در چند سال اخیر بسیار مورد تحقیق و بررسی قرار گرفته اند و برای فریب دادن افراد، سازمان‌ها و گروه‌های خاص طراحی شده‌اند. شناخت این حملات و تبیین ساختار‌های آن‌ها می‌تواند به پیشگیری و مقابله با این نوع حملات کمک شایان کند. در ادامه مجموعه مقالات "هزارتوی کلاه برداری اینترنتی (فیشینگ) "، به معرفی دو حمله‌ فیشینگ هدفمند یعنی فیشینگ نیزه‌ای و حملات سازش ایمیل تجاری (BEC) می‌پردازیم.

 


هر آنچه که باید از فیشینگ نیزه‌ای بدانید

فیشینگ نیزه‌ای چیست؟


حمله فیشینگ نیزه ای، یک حمله فیشینگ بسیار هدفمند است که بر روی شخص یا گروه خاصی از افراد که دارای اعتبارات بالای شخصی یا سازمانی هستند متمرکز است. در این حمله، یک فیشر که معمولاً به عنوان یک فرد مورد اعتماد قربانی ظاهر می‌شود، کاربر هدف را فریب داده تا بر روی یک پیوند یا لینک جعلی و یا یک پیوست مخرب در یک ایمیل یا پیام متنی کلیک کند. سپس هدف به طور ناآگاهانه اطلاعات حساس خود (مانند اطلاعات کاربری، اطلاعات حساب بانکی و اطلاعات ورود به سیستم) را در اختیار فیشر می‌گذارد.

 

 

سازوکار حملات فیشینگ نیزه‌ای چگونه است؟


کلاهبرداران اینترنتی از تاکتیک‌های مهندسی اجتماعی و مهندسی ذهن برای جذب کاربران خود در حملات فیشینگ نیزه‌ای استفاده می‌کنند. یک حمله فیشینگ نیزه‌ای موثر به اطلاعات زیادی در مورد هدف مورد نظر حمله نیاز دارد. مهاجم هکری می‌بایست در موارد زیر اطلاعات در مورد کاربر هدف داشته باشد:


-نام و نام خانوادگی کاربر هدف
-شهر محل سکونت کاربر هدف
-شهر محل کار کاربر هدف
-شغل کاربر هدف
-سازمان محل کار کاربر هدف
-پوزیشن سازمانی در محل کار
-نام دوستان، آشنایان، کارمندان، مدیران و کارفرمایان کاربر مورد نظر
-آدرس ایمیل کاربر
-اطلاعات مکان‌هایی که کاربر جدیدا به آن‌ها مراجعه کرده است
-مواردی که اخیراً کاربر به صورت آنلاین خریداری کرده است


در حالی که این اطلاعات اولیه، بستر هدف گیری مقدماتی را فراهم می‌کند، مهاجم برای ادامه مسیر خود به داده‌های خاص در مورد مختصات دقیق حمله نیاز دارد. به عنوان مثال، اگر مهاجم بخواهد به عنوان عضوی از تیم در حال بحث در مورد یک پروژه خاص ظاهر شود، به اطلاعات سطح بالا در مورد پروژه، نام همکاران و در حالت ایده آل یک کپی از سبک نوشتن همکاران، کارکنان و مدیران وی نیاز دارد یا اگر مهاجم با یک فاکتور پرداخت نشده در نقش فروشنده ظاهر می‌شود، باید اطلاعات مورد نیاز برای ایجاد یک فاکتور جعلی قانع کننده برای کاربر هدف را داشته باشد. جمع آوری این اطلاعات مستلزم آن است که مهاجم در مورد هدف مورد نظر، پژوهش و جستجوی کافی انجام دهد. بسیاری از اطلاعات مورد نیاز احتمالاً به صورت آنلاین در دسترس هستند. به عنوان مثال، یک صفحه نمایه در لینکدین، یک صفحه کاربری در اینستاگرام و یا یک صفحه در توئیتر و ... احتمالا حاوی بخش مهمی از اطلاعات مورد نظر است. اطلاعات کامل برای هکر ممکن است با بررسی وب سایت سازمان، بررسی پتنت‌های مربوط به کارمندان و جستجوی مقالات وبلاگی که آن‌ها تالیف کرده اند یا در انجمن‌های آنلاین ارسال شده اند، به دست آید.


پس از جمع آوری این اطلاعات، مهاجم می‌تواند به درک کاملی از هدف خود دست یابد. حمله با یک ایمیل یا پیام متنی صورت می‌پذیرد. با توجه به اطلاعات کاملی که از قربانی قبل از حمله استخراج می‌شود، پیام‌ها لزوما حاوی لینک یا پیوست آلوده و انتقال از این طریق لینک و پیوست به یک سایت جعلی مخرب تحت نظر هکر، نیست، اما فرآیندی شبیه این الگو طی می‌شود و با ایجاد اعتماد بسیار بالا در قربانی، اطلاعات کاربری شخصی و سازمانی کاربر به سرقت می‌رود.

 


فیشینگ سنتی در مقابل حملات فیشینگ نیزه‌ای

 

تفاوت اصلی بین یک حمله فیشینگ سنتی و یک حمله فیشینگ نیزه‌ای در این است که حملات نیزه ای، بسیارهدفمند است. حملات فیشینگ سنتی، رویکرد "کمیت بیش از کیفیت" دارند و پیام‌ها در حجم انبوه و با هدف گذاری تصادفی با شانس موفقیت نسبتاً کمی ارسال می‌شوند؛ البته حجم زیاد پیام‌های فیشینگ به این معنی است که حتی نرخ موفقیت پایین همچنان می‌تواند منجر به تعدادی حمله‌ی موفقیت آمیز شود.
اما در حملات فیشینگ نیزه ای، پیام‌ها تا حد امکان به اهداف احتمالی ارسال می‌شوند. مزیت اصلی این رویکرد این است که با جعل هویت یک برند معروف (آمازون، نتفلیکس، بانک‌ها و غیره) یا استفاده از رویداد‌های جاری (المپیک، کووید-۱۹، جشنواره سینمایی و ...) می‌توان یک ایمیل فیشینگ با قابلیت کاربردی گسترده ایجاد و ارسال کرد. همچنین فیشینگ نیزه‌ای رویکرد بسیار هدفمندتری برای انتخاب و حمله به قربانی نسبت به فیشینگ سنتی دارد و به جای ایجاد یک شبکه بسیار گسترده، به طور ویژه یک فرد خاص یا گروه کوچک را هدف قرار می‌دهد. این نوع حمله نیاز به استراتژی پیچیده تر، اما احتمال موفقیت بسیار بالاتری دارد.

 

 

چگونه از حملات فیشینگ نیزه‌ای جلوگیری کنیم؟

 

محافظت در برابر حملات فیشینگ نیزه‌ای نیازمند چندین خط دفاعی است. برخی از بهترین شیوه‌ها برای به حداقل رساندن خطرات مرتبط با فیشینگ نیزه‌ای عبارتند از:


--آموزش‌های ضد فیشینگ نیزه ای: با توجه به اینکه اکثر حملات فیشینگ نیزه ای، سازمان‌ها را هدف قرار می‌دهد، آموزش‌های آگاهی بخشی برای شناخت سازوکار‌ها و نحوه پیشگیری و مقابله با فیشینگ نیزه‌ای می‌تواند به طور چشمگیری خطری را که برای سازمان ایجاد می‌کند کاهش دهد.

 

--علامت‌گذاری ایمیل‌های خارجی: حملات فیشینگ نیزه‌ای اغلب از خارج از سازمان صورت می‌پذیرد، اما ممکن است برای جعل هویت ایمیل‌های داخلی طراحی شده باشند. داشتن برچسب خارجی برای تمام ایمیل‌هایی که از خارج از شرکت ارسال می‌شوند به جلوگیری از این حملات فیشینگ نیزه‌ای کمک می‌کند.


--تفکیک وظایف و چند مرحله‌ای کردن تائیدیه‌های خاص: ایمیل‌های فیشینگ نیزه‌ای معمولاً افراد با تأثیرگذاری بالا در سازمان و افعالی نظیر واریز‌های مالی را هدف قرار می‌دهند؛ لذا تفکیک وظایفی که نیازمند تائیدیه چندین نفر برای انجام اقداماتی از این نوع دارد، احتمال موفقیت یک حمله فیشینگ نیزه‌ای را کاهش می‌دهد.


--استفاده از هوش مصنوعی برای مقابله با فیشینگ نیزه ای: یکی از راه حل‌های کارآمد مقابله با حملات فیشینگ نیزه ای، استفاده از هوش مصنوعی و پردازش زبان طبیعی (NLP) برای شناسایی علائم هشدار و مسدود کردن یا افزایش هشدار در مورد ایمیل‌های احتمالی فیشینگ نیزه‌ای است.

 

هر آنچه که باید از حملات سازش ایمیل تجاری (BEC) بدانید

 

 
حملات سازش ایمیل تجاری (BEC) چیست؟

 


حملات سازش ایمیل تجاری (BEC) یکی از مخرب‌ترین و گران‌ترین نوع حملات فیشینگ است که سالانه میلیارد‌ها دلار برای کسب‌وکار‌ها هزینه بر جای می‌گذارد. BEC یک حمله فیشینگ سازمانی محسوب می‌شود که با هدف فریب دادن کارکنان به انجام اقدامات مضر (معمولاً جابجایی یا واریز پول برای مهاجم یا ارسال داده‌های حیاتی و مهم سازمان برای فیشر) صورت می‌پذیرد.

 


سازوکار حملات سازش ایمیل تجاری (BEC) چگونه است؟

 

حملات سازش ایمیل تجاری از یک پیام به ظاهر قانونی و صحیح در جهت فریب گیرنده برای انجام یک اقدام خاص استفاده می‌کند. متداول‌ترین هدف حمله BEC، متقاعد کردن قربانی برای ارسال پول به مهاجم در قالب یک تراکنش تجاری قانونی و مجاز است.
حمله BEC به جای استفاده از یک موضوع کلی که برای فریب دادن تعداد زیادی از کاربران طراحی شود، مستقیماً یک فرد یا یک گروه کوچک را هدف قرار می‌دهد.


حمله BEC به توانایی شبیه شدن به فردی با قدرت در یک سازمان یا یک شریک خارجی قابل اعتماد متکی است. یک مهاجم می‌تواند این کار را به چند روش مختلف انجام دهد، از جمله:


--جعل دامنه: تأیید آدرس ایمیل به طور پیش فرض در پروتکل ایمیل (SMTP) تعبیه نشده است. این مسئله بدان معناست که مهاجم حمله BEC می‌تواند نام نمایشی و آدرس فرستنده یک ایمیل را جعل کند تا به نظر برسد که این ایمیل از داخل سازمان یا از طرف یک فروشنده مورد اعتماد آمده است.


--دامنه‌های برابر اصل (Lookalike): دامنه‌های برابر اصل، ابزار پرکاربردی در حملات BEC است. فیشر با ایجاد یک دانه‌ی واقعی دقیقا شبیه به ظاهر همان آدرس اصلی، شما را فریب می‌دهد. به عنوان مثال، دامنه‌های company.com و cornpany.com به اندازه‌ای شبیه به هم هستند که می‌توانند به راحتی کاربر را فریب دهد.


--حساب‌های رسمی بلند پایه داخل سازمان: اگر یک مهاجم به یک حساب رسمی یک فرد بلند پایه در داخل سازمان دسترسی داشته باشد، به راحتی می‌تواند حمله BEC انجام دهد و خواسته‌های خود را به مرحله‌ی اجرا درآورد.

 

 

انواع حملات سازش ایمیل تجاری (BEC)

 

طبق گفته FBI، پنج نوع اصلی حملات BEC عبارتند از:


*کلاهبرداری با فاکتور پرداخت جعلی
در این حمله، فیشر وانمود می‌کند که تامین کننده کالا یا خدمات برای سازمان است و درخواست پرداخت وجه برای فاکتور پرداخت خود را دارد. در این نوع حمله، فیشر به سراغ جعل هویت یکی از تامین کنندگان واقعی و خوش نام سازمان می‌رود و از یک الگوی واقعی فاکتور پرداخت استفاده می‌کند، اما اطلاعات حساب بانکی آن تامین کننده را با اطلاعات حسابی که توسط خود هکر کنترل می‌شود، جابجا می‌کند.

 

*کلاهبرداری مدیر عامل (CEO Froud)
در حمله کلاهبرداری مدیر عامل، فیشر از پویایی قدرت در یک سازمان استفاده می‌کند؛ بدین ترتیب که مهاجم با جعل هویت مدیرعامل سازمان، ایمیلی به یکی از کارکنان (در اکثر مواقع به مدیران و کارکنان بخش مالی سازمان) ارسال کرده تا یک اقدام حساس مانند واریز وجه به یک حساب یا ارائه اطلاعات و داده‌های حساس و حیاتی سازمان را انجام دهد.


*دسترسی به یک حساب ایمیل در بخش مالی سازمان
فیشرِ حمله یِ BEC، با دستیابی به یک حساب کاربری ایمیل مهم در بخش مالی سازمان، از مشتریان درخواست پرداخت فاکتور می‌کند و جزئیات اطلاعات پرداخت را به اطلاعات حساب بانکی خود تغییر می‌دهد.


*جعل هویت وکیل
در این نوع حمله، هویت وکیل یا نماینده قانونی سازمان جعل می‌شود. فیشر از این واقعیت استفاده می‌کند که کارمندان سطوح پایین‌تر در یک سازمان احتمالاً با درخواست‌های وکیل یا نماینده قانونی سازمان موافقت خواهند کرد.


*سرقت اطلاعات
این نوع حمله پرسنل منابع انسانی را هدف قرار می‌دهد و سعی می‌کند اطلاعات حساس در مورد کارمندان یک سازمان را بدزدد. سپس این اطلاعات را در یک فضای دارک وب به فروش می‌رساند یا در برنامه ریزی و اجرای حملات آینده از آن استفاده می‌کند.

 


نحوه محافظت در برابر حملات سازش ایمیل تجاری (BEC)

 

یک حمله موفق BEC می‌تواند برای یک سازمان بسیار پرهزینه و آسیب زا باشد. با این حال، این حملات را می‌توان با انجام چند اقدام احتیاطی امنیتی ایمیل ساده شکست داد، از جمله:


*استقرار سامانه حفاظت ضد فیشینگ BEC

استقرار سامانه حفاظت ضد فیشینگ BEC برای محافظت در برابر این نوع حملات، مفید است. این سامانه، پرچم‌های قرمز بر روی ایمیل‌های ورودی BEC می‌گذارد و از طریق کد‌های ضد فیشینگ، برای تجزیه و تحلیل زبان ایمیل‌های مشکوک استفاده می‌کند.

 

*آموزش‌های ضد فیشینگ BEC به کارکنان
آموزش کارکنان در مورد نحوه شناسایی و پاسخ به حملات BEC برای به حداقل رساندن این نوع از تهدیدات فیشینگ ضروری است.


*تائیدیه‌های چند مرحله‌ای در وظایف حیاتی سازمان
حملات BEC سعی می‌کنند کارمندان را فریب دهند تا بدون تأیید درخواست، اقدامی پرخطر (مانند ارسال پول یا اطلاعات حساس) انجام دهند. اجرای سیاست‌هایی برای این اقدامات که مستلزم تأیید چند مرحله ایِ درخواست‌ها توسط افراد مختلف در یک سازمان است، می‌تواند به کاهش احتمال حمله موفقیت آمیز کمک کند.


*برچسب‌گذاری ایمیل‌های خارجی
برنامه ریزی سازمانی برای برچسب زدن به ایمیل‌های ارسالی از خارج از شرکت به عنوان یک عامل خارجی مشکوک می‌تواند به شکست این تاکتیک کمک کند.

ادامه دارد.


منابع
۱. Aburrous M. , et al. (۲۰۲۲) , ”Predicting Phishing Websites Using Classification Mining Techniques with Experimental Case Studies,” in Seventh International Conference on Information Technology, IEEE Conf ,Las Vegas, Nevada, USA, pp. ۱۷۶-۱۸۱.
۲. Alkhalil, Zainab & Hewage, Chaminda & Nawaf, Liqaa & Khan, Imtiaz (۲۰۲۱) ,” Phishing Attacks: A Recent Comprehensive Study and a New Anatomy”, Frontiers in Computer Science ,Vol.۳. No.۱, pp:۱۲-۲۶.
۳. Chen ,J. & Guo ,C. (۲۰۲۰) , “Online detection and prevention of phishing attacks”, in in Proc. Fifth Mexican International Conference in Computer Science, IEEE Conf, pp. ۱-۷،
۴. Downs ,J. S. , et al (۲۰۲۱) , “Behavioural response to phishing risk”, presented at the Proc. anti-phishing working groups ۲nd annual eCrime researchers summit, ACM Conf, Pittsburgh, Pennsylvania, pp. ۳۷-۴۴.
۵. Gunter Ollmann, (۲۰۲۰) , “The Phishing Guide - Understanding & Preventing Phishing Attacks,” Press in IBM Internet Security Systems.
۶. James, Vaishnavi & Kadlak, Aditya & Sharma, Shabnam (۲۰۱۸) ,” Study on Phishing Attacks”, International Journal of Computer Applications, Volume ۱۸۲ , No. ۳۳, pp:۲۳-۳۱.
۷. Khonji ,Mahmoud & Iraqi ,Youssef & Andrew, Jones (۲۰۲۰) , “Phishing Detection: A Literature Survey”, in IEEE Communications Surveys & Tutorials, Vol.۱۵, Issue ۴, PP. ۲۰۹۱ – ۲۱۲۱.
۸. Parmar, B. (۲۰۲۰) ,” Protecting against spear-phishing”,Computer Fraud SecurityVol.۴,N۰.۳۲, pp: ۸–۱۱.
۹. Phish Labs (۲۰۱۹) ,” ۲۰۱۹ phishing trends and intelligence report the growing social engineering threat”, Available at: https://info.phishlabs.com/hubfs/۲۰۱۹ PTI Report/۲۰۱۹ Phishing Trends and Intelligence Report.pdf.
۱۰. Ramanathan ,Venkatesh, & Wechsler, Harry, (۲۰۲۲) ,” phishGILLNET - phishing detection methodology using probabilistic latent semantic analysis”, EURASIP Journal on Information Security, a Springer Open Journal, Vol.۱, PP.۱-۲۲،
۱۱. Ramzan, Z. (۲۰۱۹) , “Phishing attacks and countermeasures,” in Handbook of Information and communication security (Berlin, Heidelberg: Springer Berlin Heidelberg) , ۴۳۳–۴۴۸. doi:۱۰.۱۰۰۷/۹۷۸-۳-۶۴۲-۰۴۱۱۷-۴_۲۳،
۱۲. Shankar, Akarshita & Shetty, Ramesh & Nath K, Badari, (۲۰۱۹) ,” A Review on Phishing Attacks”, International Journal of Applied Engineering Research, Volume ۱۴, Number ۹ , pp: ۲۱۷۱-۲۱۷۵.
۱۳. Sheng, S. , Magnien, B. , Kumaraguru, P. , Acquisti, A. , Cranor, L. F. , Hong, J. and Nunge, E. (۲۰۱۹) ,” Anti-Phishing Phil: the design and evaluation of a game that teaches people not to fall for phish, Proceedings of the ۳rd symposium on Usable privacy and security, Pittsburgh, Pennsylvania, July ۲۰۱۹.
۱۴. Teh-Chung ,Chen & Scott ,Dick & James ,Miller (۲۰۱۹) , “Detecting visually similar web pages: application to phishing detection,” ACM Transactions on Internet Technology (TOIT) , Vol. ۱۰ (۲) , pp:۱۴-۳۱.
۱۵. Yeboah-Boateng, E. O. , and Amanor, P. M. (۲۰۱۸) ,” Phishing , SMiShing & vishing: an assessment of threats against mobile devices”, J. Emerg. Trends Comput. Inf. Sci. ۵ (۴). Pp: ۲۹۷–۳۰۷.

نویسنده: سیدمهدی میرحسینی
ارسال‌ نظر