نشانه‌هایی که ثابت می‌کنند حملات فیشینگ از همیشه پیچیده‌تر وخطرناک‌تر شده‌اند

علی‌رغم تلاش‌هایی که در چندین سال گذشته انجام شده‌است، رایانامه‌‌های فیشینگ یکی از مهم‌ترین معضلات امنیت رایانه در سال‌های گذشته بوده ‌است. بسیاری از ما می‌توانیم این رایانامه‌ها را به راحتی شناسایی کرده و حتی بدون بازکردن، آن‌ها را حذف کنیم.
اگر در مواردی مطمئن نبوده و آن‌ها را باز کنیم، شاهد روش‌های مختلف آن‌ها از جمله درخواست کمک، پیشنهاد سود میلیون دلاری، فروش محصولات مشکوک و غیره خواهیم بود. بیش‌تر اوقات تلاش‌های فیشینگ یک تهدید جزئی محسوب می‌شود که می‌توانیم این مشکل را فقط با گزینه پاک کردن حل کنیم.
این یک واقعیت است که علی‌رغم لایه‌های مختلف امنیتی باز هم هدف قرار گرفتن توسط حملات فیشینگ دور از انتظار نیست. چرا؟ چون این حملات توسط افراد حرفه‌ای انجام می شوند که به نظر می رسد حتی از شغل شما با خبرند، درباره پروژه‌های کنونی‌تان اطلاع دارند، و علایق شما را می‌دانند. آن‌ها نمی‌خواهند خود را با سعی در فروش کالا به شما ، و یا ادعای این‌که پول دارند، لو بدهند، در واقع امروزه تلاش‌های فیشینگ اهدافی فراتر از سرقت مالی دارند.
بیایید نگاهی به برخی واقعیات پیرامون فیشینگ بیاندازیم.

این نوع حمله توسط مجرمان حرفه‌ای انجام می شود
به طور سنتی، رایانامه‌های فیشینگ توسط کلاهبرداران معمولی ارسال می‌شد که به دنبال کسب پول بودند. در حقیقت در گذشته هرچه تلاش در جهت فیشینگ واضح‌تر بود، امکان به دام انداختن افراد ساده لوح نیز بالاتر می رفت. اما از جایی به بعد این روند تغییر کرد. مجرمان حرفه‌ای و سازمان یافته دریافتند می‌توانند با ارسال هرزنامه‌های بهتر مقادیر زیادی پول را به جیب بزنند. کتاب برایان کربس در سال ۲۰۱۵ با نام «کشور هرزنامه» روند افزایش گروهک‌های تبه‌کاری را در روسیه زیرنظر گرفته ‌است. آن‌ها ده‌ها میلیون دلار در سال از این طریق بدست ‌آورده و برخی شرکت‌های بزرگ را نیز پشتیبانی می‌کنند، شرکت‌هایی که برخی از آن‌ها در ظاهر قانونی بوده و در بازار سهام معامله می‌شوند.
در این کتاب آمده ‌است این مجرمان سایبری می‌توانند با استفاده از برخی رایانامه‌ها از محکم‌ترین لایه‌های امنیتی عبور کنند، فقط با انتخاب درست کارمندان. امروزه، بخش بزرگی از تهدید‌های پیشرفته‌ی مستمر (APTs) اولین گام‌های خود را با ارسال رایانامه‌های اندک به شرکت‌های قربانی برمی‌دارند.
امروزه مجرمان سایبری پیشرفته در طول روز مانند سایر مشاغل از ۹ تا ۵ بعد از ظهر کار کرده، مالیات پرداخته، و در تعطیلات کار نمی‌کنند. شرکت‌هایی که آن‌ها برایشان کار می‌کنند صدها کارمند دارند، به مقام‌های قضایی و سیاسی محلی رشوه می‌دهند و بیش‌تر اوقات در منطقه خود به عنوان محلی مناسب برای کار به شمار می‌روند.
این شرکت‌های پیشرفته‌ی نفوذ انواع بخش‌های مختلف را برای کارمندانشان دارند. تیم بازاریابی، که معمولاً توسط مدیران هدایت شده و به دنبال مشتریانی هستند که تمایل دارند برای نفوذ به سایر شرکت‌ها پول بپردازند!
تیم‌های نظارت و تحقیق درباره ساختار شرکت هدف، همکاران تجاری، کارگزارهای متصل به اینترنت، نسخه‌های نرم‌افزاری، و پروژه‌های کنونی آن‌ها اطلاعات جمع‌آوری می‌کنند. به منظور کسب این اطلاعات معمولاً آن‌ها به وب‌گاه شرکت هدف سر زده و از طریق همکاران تجاری با دقت‌تر عمل می‌کنند. اطلاعات بدست ‌آمده در این مرحله به کارمندان لایه بعد تحویل داده می‌شود. تیم این بخش مهم‌ترین تیم در شرکت‌ بوده و به زیرگروه‌های حرفه‌ای دیگری تقسیم می‌شود که هرکدام از آن ها بر بخش خاصی تمرکز دارد: نفوذ به کارگزارها، راه‌اندازی حملات سمت مشتری، انجام حملات مهندسی اجتماعی و غیره.
علاوه بر این‌ها، تیم‌های دیگری نیز وجود دارند. به طور مثال تیم درپشتی (backdoor) مطمئن می‌شود با قراردادن تروجان‌های backdoor ورود‌های آینده به آسانی انجام گرفته، حساب‌های کاربری جدید ایجاد کرده، هر گونه اطلاعات ورود را برای خود ذخیره می‌کند.
پس از آن مانند هر شرکت مشاوره‌ای دیگری، تیمی برای این «مشتری» اختصاص می‌یابد. این تیم به دنبال اطلاعات مهم گشته، و جزئیات ساختاری سازمان و افراد مهم آن را کشف می‌کند. پس از مدت کوتاهی، آن‌ها تقریباً تمام سامانه‌های امنیتی شرکت را شناخته می‌دانند چگونه از آن‌ها عبور کنند. هر اطلاعات جدیدی برای استفاده در آینده ذخیره می‌شوند.

حملات توسط فردی انجام می‌شود که او را می‌شناسید!
امروزه حملات فیشینگ توسط کسانی انجام می‌شود که به صورت روزانه با آن‌ها در ارتباط هستید. آن‌ها در ظاهر از سوی رئیس، رهبر تیم، و یا فردی ذی‌صلاح ارسال می‌شوند تا مطمئن شوند رایانامه باز خواهد شد و شما کاری را که در رایانامه گفته شده‌ است انجام خواهید داد.
برخی موارد این رایانامه‌ها را از سوی کارگزارهای معروف و حبوبی هم‌چون جیمیل، هات‌میل دریافت می‌کنید، که فرستنده در آن‌‌ها ادعا می‌کند چون رایانامه سازمانی‌اش به مشکل خورده است از این کارگزارها استفاده کرده است. اما اکثر اوقات رایانامه‌های فیشینگ از طریق رایانامه کاری سایر افراد ارسال می‌شوند، چرا که شرکت‌های فیشینگ می‌توانند آدرس‌های رایانامه جعلی سازمانی بسازند، و یا در برخی موارد می‌توانند به رایانامه سازمانی افراد راه یابند و از آن استفاده کنند.
حمله پروژه‌ای را که بر روی آن کار می‌کنید شامل می‌شود
برخی قربیان رایانامه‌های فیشینگ می‌گویند رایانامه‌هایی دریافت کرده‌اند که فرستندگان آن‌ها می‌دانسته‌اند آن‌ها بر روی چه پروژه‌ای در حال کار هستند. این اتفاق به آن دلیل است که برای بدست آوردن این اطلاعات تحقیقات بسیاری را ترتیب داده‌اند، و یا برای مدتی توانسته‌اند به رایانامه یکی از همکارانتان دسترسی پیدا کنند. این رایانامه‌ها ممکن است حاوی اطلاعاتی درباره پروژه در حال انجام باشند.
حمله‌کننده از انواع ابزارها برای عبور از ضدبدافزارها استفاده می‌کند
برای دهه‌ها، رایانامه‌های فیشنگ از بدافزارهای رایج در ضمایم رایانامه‌‌ها استفاده می‌کردند. امروزه، آن‌ها از ابزارهای سفارشی، و یا برنامه‌هایی استفاده می‌کنند که در سامانه‌عامل شما اجرا می‌شوند. نتیجه این است که برنامه ضدبدافزار شما متوجه فرامین و یا پرونده‌های مخرب نمی‌شود. برای مثال، ارتباطات پروتکل میزکار راه‌دور(RDP) را در نظر بگیرید. تقریباً هر مدیر سامانه‌ای از آن استفاده می‌کند. زمانی که یک نفوذگر نیز از آن استفاده می‌کند، تشخیص این‌که چه زمانی ارتباط RDP به کار مخربی مشغول است کار دشواری است.

مجرمان از ابزارهای رمزنگاری سطح بالا استفاده می‌کنند
زمانه این‌که بدافزارهای از پورت‌های تصادفی و یا پورت‌های معروف رزرو شده‌ای مانند IRC ۶۶۶۷ برای انتقال داده‌ها به بیرون شبکه استفاده کنند گذشته ‌است. امروزه تقریباً هر برنامه بدافزاری بر روی پورت ۴۴۳ SSL/TLS‌ کار می‌کند، و از رمرنگاری‌های پیشرفته استفاده می‌کند. بسیاری از شرکت‌ها ترافیک‌های پورت ۴۴۳ را حتی بررسی نیز نمی‌کنند. شرکت‌ها معمولاً از دیواره‌های آتش و سایر ابزارهای امنیت شبکه برای بررسی پورت ۴۴۳ استفاده می‌کنند، اما زمانی که داده‌های در این پورت با پروتکل AES‌رمزنگاری شده‌باشد، دیگر قابل بررسی نیستند.
مجرمان سایبری ردی از خود بر جای نمی‌گذارند
تا چند سال گذشته، بیش‌تر شرکت‌ها هرگز به خود زحمت نمی‌دادند تا پرونده‌های گزارش را فعال کنند، و یا اگر هم این‌کار را می‌کردند آن‌ها را به منظور پیدا کردن فعالیت‌های مشکوک بررسی نمی‌کردند. اما اکنون متخصصان امنیتی شرکت‌ها بر اساس یک طرح روزانه این پرونده‌ها را بررسی می‌کنند. از طرف دیگر، مجرمان سایبری نیز از روش‌هایی مانند دستورات خط فرمان و یا اسکریپ استفاده می‌کنند که با احتمال پایین توسط ابزارهای گزارش‌گیری ثبت می‌شوند. در برخی موارد نیز زمانی که کار این فرامین تمام می‌شود، ‌پرونده‌های گزارش را پاک می‌کنند. برخی از انواع پیشرفته‌تر نیز از برنامه‌های روت‌کیت استفاده می‌کنند که سامانه‌عامل را دستکاری می‌کنند .

مهاجم برای سالیان طولانی در محیط شما بوده ‌است
میانگین مدت زمانی که یک سازمان حرفه‌ای جرایم سایبری در شرکت قربانی قرار داشته ‌است بین چندماه تا چند سال است. در بسیاری از موارد رخ داده در طی چند سال گذشته، مهاجم برای سالیان طولانی در همان شرکت کار می‌کرده ‌است، به طوری که بدافزاری که کار حمله را انجام داده ‌است به عنوان بخشی از فرآیندهای سازمان استفاده می‌شده است. تروجان‌ها و بدافزارهای فراوانی وجود داشته‌اند که کارمندان گمان می‌کرده‌اند یک نرم‌افزار حیاتی برای سازمان محسوب می‌شوند، چرا که این بدافزارهای توسط گروهی دیگر در همان سازمان پخش و نصب شده‌اند. نفوذگران این طرز تفکر را دوست دارند.

چه کاری می‌توان کرد؟
روش‌های پیش‌گیری با آموزش کارمندان درباره انواع جدید فیشینگ آغاز می‌شود. همه باید بدانند روش‌‌های قدیمی فیشینگ مانند رایانامه‌های فیشینگِ وعده‌ی پول دیگر کاربرد چندانی ندارند. باید به کارمندان توضیح داده شود چطور رایانامه‌های فیشینگ از جانب کسانی به دستمان می رسد که به آن‌ها اعتماد داریم.
کارمندان باید بدانند که پیش از کلیک‌کردن و یا اجرای پرونده‌های متنی و یا پرونده‌های قابل اجرا، از ارسال‌کننده تایید ثانویه (مانند تماس تلفنی) بخواهند. کارمندان باید هر اتفاق مشکوکی را گزارش کنند. اگر آن‌ها به طور تصادفی پرونده‌ای را اجرا کردند که بعداً به آن مشکوک شده‌اند، این اتفاق نیز باید گزارش شود. باید این طرز تفکر که آن‌ها ساده لوح بوده‌اند از بین برود. آن‌ها باید بدانند هر کسی، حتی متخصصان حرفه‌ای امنیتی ممکن است گول خورده و تحت حملات پیشرفته‌ای قرار گیرند.
برخی از شرکت‌ها کارمندان خود را با فیشینگ‌های جعلی آزمایش می‌کنند. این آزمون‌ها باید به انواع جدیدتر شبیه باشند، و از روش‌های قدیمی کم‌تر استفاده شود. این کار را تا زمانی انجام دهید که دزصد ناچیزی از کارمندان شرکت به دام بیافتند. زمانی که کارمندان از شما رایانامه سازمانی و یا تایید ثانویه خواستند می‌تواند نشانه خوبی از آموزش آن‌ها باشد.

منبع: asis

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap