به گزارش خبرنگار ایبِنا، فیشینگ نیزهای و حملات سازش ایمیل تجاری (BEC)، در چند سال اخیر بسیار مورد تحقیق و بررسی قرار گرفته اند و برای فریب دادن افراد، سازمانها و گروههای خاص طراحی شدهاند. شناخت این حملات و تبیین ساختارهای آنها میتواند به پیشگیری و مقابله با این نوع حملات کمک شایان کند. در ادامه مجموعه مقالات "هزارتوی کلاه برداری اینترنتی (فیشینگ) "، به معرفی دو حمله فیشینگ هدفمند یعنی فیشینگ نیزهای و حملات سازش ایمیل تجاری (BEC) میپردازیم.
حمله فیشینگ نیزه ای، یک حمله فیشینگ بسیار هدفمند است که بر روی شخص یا گروه خاصی از افراد که دارای اعتبارات بالای شخصی یا سازمانی هستند متمرکز است. در این حمله، یک فیشر که معمولاً به عنوان یک فرد مورد اعتماد قربانی ظاهر میشود، کاربر هدف را فریب داده تا بر روی یک پیوند یا لینک جعلی و یا یک پیوست مخرب در یک ایمیل یا پیام متنی کلیک کند. سپس هدف به طور ناآگاهانه اطلاعات حساس خود (مانند اطلاعات کاربری، اطلاعات حساب بانکی و اطلاعات ورود به سیستم) را در اختیار فیشر میگذارد.
کلاهبرداران اینترنتی از تاکتیکهای مهندسی اجتماعی و مهندسی ذهن برای جذب کاربران خود در حملات فیشینگ نیزهای استفاده میکنند. یک حمله فیشینگ نیزهای موثر به اطلاعات زیادی در مورد هدف مورد نظر حمله نیاز دارد. مهاجم هکری میبایست در موارد زیر اطلاعات در مورد کاربر هدف داشته باشد:
-نام و نام خانوادگی کاربر هدف
-شهر محل سکونت کاربر هدف
-شهر محل کار کاربر هدف
-شغل کاربر هدف
-سازمان محل کار کاربر هدف
-پوزیشن سازمانی در محل کار
-نام دوستان، آشنایان، کارمندان، مدیران و کارفرمایان کاربر مورد نظر
-آدرس ایمیل کاربر
-اطلاعات مکانهایی که کاربر جدیدا به آنها مراجعه کرده است
-مواردی که اخیراً کاربر به صورت آنلاین خریداری کرده است
در حالی که این اطلاعات اولیه، بستر هدف گیری مقدماتی را فراهم میکند، مهاجم برای ادامه مسیر خود به دادههای خاص در مورد مختصات دقیق حمله نیاز دارد. به عنوان مثال، اگر مهاجم بخواهد به عنوان عضوی از تیم در حال بحث در مورد یک پروژه خاص ظاهر شود، به اطلاعات سطح بالا در مورد پروژه، نام همکاران و در حالت ایده آل یک کپی از سبک نوشتن همکاران، کارکنان و مدیران وی نیاز دارد یا اگر مهاجم با یک فاکتور پرداخت نشده در نقش فروشنده ظاهر میشود، باید اطلاعات مورد نیاز برای ایجاد یک فاکتور جعلی قانع کننده برای کاربر هدف را داشته باشد. جمع آوری این اطلاعات مستلزم آن است که مهاجم در مورد هدف مورد نظر، پژوهش و جستجوی کافی انجام دهد. بسیاری از اطلاعات مورد نیاز احتمالاً به صورت آنلاین در دسترس هستند. به عنوان مثال، یک صفحه نمایه در لینکدین، یک صفحه کاربری در اینستاگرام و یا یک صفحه در توئیتر و ... احتمالا حاوی بخش مهمی از اطلاعات مورد نظر است. اطلاعات کامل برای هکر ممکن است با بررسی وب سایت سازمان، بررسی پتنتهای مربوط به کارمندان و جستجوی مقالات وبلاگی که آنها تالیف کرده اند یا در انجمنهای آنلاین ارسال شده اند، به دست آید.
پس از جمع آوری این اطلاعات، مهاجم میتواند به درک کاملی از هدف خود دست یابد. حمله با یک ایمیل یا پیام متنی صورت میپذیرد. با توجه به اطلاعات کاملی که از قربانی قبل از حمله استخراج میشود، پیامها لزوما حاوی لینک یا پیوست آلوده و انتقال از این طریق لینک و پیوست به یک سایت جعلی مخرب تحت نظر هکر، نیست، اما فرآیندی شبیه این الگو طی میشود و با ایجاد اعتماد بسیار بالا در قربانی، اطلاعات کاربری شخصی و سازمانی کاربر به سرقت میرود.
فیشینگ سنتی در مقابل حملات فیشینگ نیزهای
تفاوت اصلی بین یک حمله فیشینگ سنتی و یک حمله فیشینگ نیزهای در این است که حملات نیزه ای، بسیارهدفمند است. حملات فیشینگ سنتی، رویکرد "کمیت بیش از کیفیت" دارند و پیامها در حجم انبوه و با هدف گذاری تصادفی با شانس موفقیت نسبتاً کمی ارسال میشوند؛ البته حجم زیاد پیامهای فیشینگ به این معنی است که حتی نرخ موفقیت پایین همچنان میتواند منجر به تعدادی حملهی موفقیت آمیز شود.
اما در حملات فیشینگ نیزه ای، پیامها تا حد امکان به اهداف احتمالی ارسال میشوند. مزیت اصلی این رویکرد این است که با جعل هویت یک برند معروف (آمازون، نتفلیکس، بانکها و غیره) یا استفاده از رویدادهای جاری (المپیک، کووید-۱۹، جشنواره سینمایی و ...) میتوان یک ایمیل فیشینگ با قابلیت کاربردی گسترده ایجاد و ارسال کرد. همچنین فیشینگ نیزهای رویکرد بسیار هدفمندتری برای انتخاب و حمله به قربانی نسبت به فیشینگ سنتی دارد و به جای ایجاد یک شبکه بسیار گسترده، به طور ویژه یک فرد خاص یا گروه کوچک را هدف قرار میدهد. این نوع حمله نیاز به استراتژی پیچیده تر، اما احتمال موفقیت بسیار بالاتری دارد.
محافظت در برابر حملات فیشینگ نیزهای نیازمند چندین خط دفاعی است. برخی از بهترین شیوهها برای به حداقل رساندن خطرات مرتبط با فیشینگ نیزهای عبارتند از:
--آموزشهای ضد فیشینگ نیزه ای: با توجه به اینکه اکثر حملات فیشینگ نیزه ای، سازمانها را هدف قرار میدهد، آموزشهای آگاهی بخشی برای شناخت سازوکارها و نحوه پیشگیری و مقابله با فیشینگ نیزهای میتواند به طور چشمگیری خطری را که برای سازمان ایجاد میکند کاهش دهد.
--علامتگذاری ایمیلهای خارجی: حملات فیشینگ نیزهای اغلب از خارج از سازمان صورت میپذیرد، اما ممکن است برای جعل هویت ایمیلهای داخلی طراحی شده باشند. داشتن برچسب خارجی برای تمام ایمیلهایی که از خارج از شرکت ارسال میشوند به جلوگیری از این حملات فیشینگ نیزهای کمک میکند.
--تفکیک وظایف و چند مرحلهای کردن تائیدیههای خاص: ایمیلهای فیشینگ نیزهای معمولاً افراد با تأثیرگذاری بالا در سازمان و افعالی نظیر واریزهای مالی را هدف قرار میدهند؛ لذا تفکیک وظایفی که نیازمند تائیدیه چندین نفر برای انجام اقداماتی از این نوع دارد، احتمال موفقیت یک حمله فیشینگ نیزهای را کاهش میدهد.
--استفاده از هوش مصنوعی برای مقابله با فیشینگ نیزه ای: یکی از راه حلهای کارآمد مقابله با حملات فیشینگ نیزه ای، استفاده از هوش مصنوعی و پردازش زبان طبیعی (NLP) برای شناسایی علائم هشدار و مسدود کردن یا افزایش هشدار در مورد ایمیلهای احتمالی فیشینگ نیزهای است.
حملات سازش ایمیل تجاری (BEC) یکی از مخربترین و گرانترین نوع حملات فیشینگ است که سالانه میلیاردها دلار برای کسبوکارها هزینه بر جای میگذارد. BEC یک حمله فیشینگ سازمانی محسوب میشود که با هدف فریب دادن کارکنان به انجام اقدامات مضر (معمولاً جابجایی یا واریز پول برای مهاجم یا ارسال دادههای حیاتی و مهم سازمان برای فیشر) صورت میپذیرد.
حملات سازش ایمیل تجاری از یک پیام به ظاهر قانونی و صحیح در جهت فریب گیرنده برای انجام یک اقدام خاص استفاده میکند. متداولترین هدف حمله BEC، متقاعد کردن قربانی برای ارسال پول به مهاجم در قالب یک تراکنش تجاری قانونی و مجاز است.
حمله BEC به جای استفاده از یک موضوع کلی که برای فریب دادن تعداد زیادی از کاربران طراحی شود، مستقیماً یک فرد یا یک گروه کوچک را هدف قرار میدهد.
حمله BEC به توانایی شبیه شدن به فردی با قدرت در یک سازمان یا یک شریک خارجی قابل اعتماد متکی است. یک مهاجم میتواند این کار را به چند روش مختلف انجام دهد، از جمله:
--جعل دامنه: تأیید آدرس ایمیل به طور پیش فرض در پروتکل ایمیل (SMTP) تعبیه نشده است. این مسئله بدان معناست که مهاجم حمله BEC میتواند نام نمایشی و آدرس فرستنده یک ایمیل را جعل کند تا به نظر برسد که این ایمیل از داخل سازمان یا از طرف یک فروشنده مورد اعتماد آمده است.
--دامنههای برابر اصل (Lookalike): دامنههای برابر اصل، ابزار پرکاربردی در حملات BEC است. فیشر با ایجاد یک دانهی واقعی دقیقا شبیه به ظاهر همان آدرس اصلی، شما را فریب میدهد. به عنوان مثال، دامنههای company.com و cornpany.com به اندازهای شبیه به هم هستند که میتوانند به راحتی کاربر را فریب دهد.
--حسابهای رسمی بلند پایه داخل سازمان: اگر یک مهاجم به یک حساب رسمی یک فرد بلند پایه در داخل سازمان دسترسی داشته باشد، به راحتی میتواند حمله BEC انجام دهد و خواستههای خود را به مرحلهی اجرا درآورد.
طبق گفته FBI، پنج نوع اصلی حملات BEC عبارتند از:
*کلاهبرداری با فاکتور پرداخت جعلی
در این حمله، فیشر وانمود میکند که تامین کننده کالا یا خدمات برای سازمان است و درخواست پرداخت وجه برای فاکتور پرداخت خود را دارد. در این نوع حمله، فیشر به سراغ جعل هویت یکی از تامین کنندگان واقعی و خوش نام سازمان میرود و از یک الگوی واقعی فاکتور پرداخت استفاده میکند، اما اطلاعات حساب بانکی آن تامین کننده را با اطلاعات حسابی که توسط خود هکر کنترل میشود، جابجا میکند.
*کلاهبرداری مدیر عامل (CEO Froud)
در حمله کلاهبرداری مدیر عامل، فیشر از پویایی قدرت در یک سازمان استفاده میکند؛ بدین ترتیب که مهاجم با جعل هویت مدیرعامل سازمان، ایمیلی به یکی از کارکنان (در اکثر مواقع به مدیران و کارکنان بخش مالی سازمان) ارسال کرده تا یک اقدام حساس مانند واریز وجه به یک حساب یا ارائه اطلاعات و دادههای حساس و حیاتی سازمان را انجام دهد.
*دسترسی به یک حساب ایمیل در بخش مالی سازمان
فیشرِ حمله یِ BEC، با دستیابی به یک حساب کاربری ایمیل مهم در بخش مالی سازمان، از مشتریان درخواست پرداخت فاکتور میکند و جزئیات اطلاعات پرداخت را به اطلاعات حساب بانکی خود تغییر میدهد.
*جعل هویت وکیل
در این نوع حمله، هویت وکیل یا نماینده قانونی سازمان جعل میشود. فیشر از این واقعیت استفاده میکند که کارمندان سطوح پایینتر در یک سازمان احتمالاً با درخواستهای وکیل یا نماینده قانونی سازمان موافقت خواهند کرد.
*سرقت اطلاعات
این نوع حمله پرسنل منابع انسانی را هدف قرار میدهد و سعی میکند اطلاعات حساس در مورد کارمندان یک سازمان را بدزدد. سپس این اطلاعات را در یک فضای دارک وب به فروش میرساند یا در برنامه ریزی و اجرای حملات آینده از آن استفاده میکند.
یک حمله موفق BEC میتواند برای یک سازمان بسیار پرهزینه و آسیب زا باشد. با این حال، این حملات را میتوان با انجام چند اقدام احتیاطی امنیتی ایمیل ساده شکست داد، از جمله:
*استقرار سامانه حفاظت ضد فیشینگ BEC
استقرار سامانه حفاظت ضد فیشینگ BEC برای محافظت در برابر این نوع حملات، مفید است. این سامانه، پرچمهای قرمز بر روی ایمیلهای ورودی BEC میگذارد و از طریق کدهای ضد فیشینگ، برای تجزیه و تحلیل زبان ایمیلهای مشکوک استفاده میکند.
*آموزشهای ضد فیشینگ BEC به کارکنان
آموزش کارکنان در مورد نحوه شناسایی و پاسخ به حملات BEC برای به حداقل رساندن این نوع از تهدیدات فیشینگ ضروری است.
*تائیدیههای چند مرحلهای در وظایف حیاتی سازمان
حملات BEC سعی میکنند کارمندان را فریب دهند تا بدون تأیید درخواست، اقدامی پرخطر (مانند ارسال پول یا اطلاعات حساس) انجام دهند. اجرای سیاستهایی برای این اقدامات که مستلزم تأیید چند مرحله ایِ درخواستها توسط افراد مختلف در یک سازمان است، میتواند به کاهش احتمال حمله موفقیت آمیز کمک کند.
*برچسبگذاری ایمیلهای خارجی
برنامه ریزی سازمانی برای برچسب زدن به ایمیلهای ارسالی از خارج از شرکت به عنوان یک عامل خارجی مشکوک میتواند به شکست این تاکتیک کمک کند.
ادامه دارد.
منابع
۱. Aburrous M. , et al. (۲۰۲۲) , ”Predicting Phishing Websites Using Classification Mining Techniques with Experimental Case Studies,” in Seventh International Conference on Information Technology, IEEE Conf ,Las Vegas, Nevada, USA, pp. ۱۷۶-۱۸۱.
۲. Alkhalil, Zainab & Hewage, Chaminda & Nawaf, Liqaa & Khan, Imtiaz (۲۰۲۱) ,” Phishing Attacks: A Recent Comprehensive Study and a New Anatomy”, Frontiers in Computer Science ,Vol.۳. No.۱, pp:۱۲-۲۶.
۳. Chen ,J. & Guo ,C. (۲۰۲۰) , “Online detection and prevention of phishing attacks”, in in Proc. Fifth Mexican International Conference in Computer Science, IEEE Conf, pp. ۱-۷،
۴. Downs ,J. S. , et al (۲۰۲۱) , “Behavioural response to phishing risk”, presented at the Proc. anti-phishing working groups ۲nd annual eCrime researchers summit, ACM Conf, Pittsburgh, Pennsylvania, pp. ۳۷-۴۴.
۵. Gunter Ollmann, (۲۰۲۰) , “The Phishing Guide - Understanding & Preventing Phishing Attacks,” Press in IBM Internet Security Systems.
۶. James, Vaishnavi & Kadlak, Aditya & Sharma, Shabnam (۲۰۱۸) ,” Study on Phishing Attacks”, International Journal of Computer Applications, Volume ۱۸۲ , No. ۳۳, pp:۲۳-۳۱.
۷. Khonji ,Mahmoud & Iraqi ,Youssef & Andrew, Jones (۲۰۲۰) , “Phishing Detection: A Literature Survey”, in IEEE Communications Surveys & Tutorials, Vol.۱۵, Issue ۴, PP. ۲۰۹۱ – ۲۱۲۱.
۸. Parmar, B. (۲۰۲۰) ,” Protecting against spear-phishing”,Computer Fraud SecurityVol.۴,N۰.۳۲, pp: ۸–۱۱.
۹. Phish Labs (۲۰۱۹) ,” ۲۰۱۹ phishing trends and intelligence report the growing social engineering threat”, Available at: https://info.phishlabs.com/hubfs/۲۰۱۹ PTI Report/۲۰۱۹ Phishing Trends and Intelligence Report.pdf.
۱۰. Ramanathan ,Venkatesh, & Wechsler, Harry, (۲۰۲۲) ,” phishGILLNET - phishing detection methodology using probabilistic latent semantic analysis”, EURASIP Journal on Information Security, a Springer Open Journal, Vol.۱, PP.۱-۲۲،
۱۱. Ramzan, Z. (۲۰۱۹) , “Phishing attacks and countermeasures,” in Handbook of Information and communication security (Berlin, Heidelberg: Springer Berlin Heidelberg) , ۴۳۳–۴۴۸. doi:۱۰.۱۰۰۷/۹۷۸-۳-۶۴۲-۰۴۱۱۷-۴_۲۳،
۱۲. Shankar, Akarshita & Shetty, Ramesh & Nath K, Badari, (۲۰۱۹) ,” A Review on Phishing Attacks”, International Journal of Applied Engineering Research, Volume ۱۴, Number ۹ , pp: ۲۱۷۱-۲۱۷۵.
۱۳. Sheng, S. , Magnien, B. , Kumaraguru, P. , Acquisti, A. , Cranor, L. F. , Hong, J. and Nunge, E. (۲۰۱۹) ,” Anti-Phishing Phil: the design and evaluation of a game that teaches people not to fall for phish, Proceedings of the ۳rd symposium on Usable privacy and security, Pittsburgh, Pennsylvania, July ۲۰۱۹.
۱۴. Teh-Chung ,Chen & Scott ,Dick & James ,Miller (۲۰۱۹) , “Detecting visually similar web pages: application to phishing detection,” ACM Transactions on Internet Technology (TOIT) , Vol. ۱۰ (۲) , pp:۱۴-۳۱.
۱۵. Yeboah-Boateng, E. O. , and Amanor, P. M. (۲۰۱۸) ,” Phishing , SMiShing & vishing: an assessment of threats against mobile devices”, J. Emerg. Trends Comput. Inf. Sci. ۵ (۴). Pp: ۲۹۷–۳۰۷.