سمیه مهدوی پیام – حملات فیشینگ به طرز وحشتناکی پیچیده میشوند. هکرها از ترفندهای جدید برای انجام این حملات استفاده میکنند تا از موفقیتشان اطمینان حاصل کنند. این، موضوعی است که همگی باید مراقب آن باشند. دنی پالمر در زدنت (zednet)، از پیچیدگی حملات فیشینگ، ترفندهای جدید برای انجام این حملات و شیوههای مقابله با آن سخن گفته است.
- چگونگی فریب کاربران با حملات فیشینگ
هکرها همیشه تمام تلاش خود را میکنند، آنها اقداماتی از جمله تقلید از افراد واقعی، ایجاد و بهروزرسانی پروفایلهای جعلی رسانههای اجتماعی را انجام میدهند تا قربانیان، فریب بخورند، روی لینکهای فیشینگ کلیک کنند و نامهای کاربری و رمزهای عبور خود را تحویل دهند.
مرکز ملی امنیت سایبری بریتانیا (NCSC) به عنوان بازوی امنیت سایبری سرویس اطلاعاتی GCHQ هشدار میدهد که حملات فیشینگ، افراد و سازمانها را در طیف وسیعی از بخشها هدف قرار میدهد. هدف نهایی حملات فیشینگ این است که قربانی را فریب دهد تا روی پیوندهای مخربی کلیک کند که به صفحات ورود جعلی، با ظاهر واقعی، هدایت میشوند. در این مرحله است که قربانی با وارد کردن رمز ورود، دسترسی مهاجمان به حساب خود را فراهم میکند و هکرها از اطلاعات واردشده برای سوءاستفاده مستقیم از فرد قربانی یا برای دسترسی به سایر قربانیان استفاده میکنند.
بسیاری از پیوندهای مخرب به گونهای طراحی شدهاند که شبیه نرمافزارهای ابری رایج و collaboration tools، از جمله گوگلدرایو، وان درایو و سایر پلتفرمهای اشتراکگذاری فایل هستند. در یک مورد، مهاجمان حتی یک تماس از طریق زوم با قربانی برقرار کرده و سپس یک پیام مخرب URL در نوار چت، حین تماس ارسال کردند.
آنها چندین کاراکتر با موضوعات مختلف در قالب فیشینگ نیز ایجاد کردهاند که همگی توسط مهاجمان کنترل میشوند تا مشروعیتبخشی خود را افزایش دهند.
اولین مرحله از حملات فیشینگ نیزهای، تحقیق و آمادهسازی است. به این منظور، مهاجمان از پروفایلهای در دسترس عموم مانند رسانههای اجتماعی و پلتفرمهای شبکه استفاده میکنند که تا حد امکان، اطلاعات شخصی اهداف خود را از قبیل شماره تماس و فعالیتهای حرفهای و شخصی دنیای واقعیاش را پیدا کنند.
معمولا مهاجمان برای اقناع رویکردها، پروفایلهای شبکههای اجتماعی و شبکههای اجتماعی جعلی را با نام افراد واقعی راهاندازی میکنند. برخی رویکردها بهگونهای طراحی شدهاند که هرچند شبیه رویدادهای واقعی به نظر میرسند اما نادرست هستند.
- تکنیکهای کلیدی کمپینهای فیشینگ
بنا به ادعای NCSC، این کمپینها کار مهاجمان سایبری مستقر در روسیه و ایران است. البته کمپینهای روسیه و ایران، ربطی به همدیگر ندارند اما تاکتیکهای آنها با یکدیگر همپوشانی دارند، زیرا در فریب مردم برای قربانی شدن در حملات فیشینگ موثرند.
مهم نیست مهاجمان جعل هویت چهکسی هستند یا از چه نوع فریبکاری استفاده میکنند. یکی از ویژگیهای مشترک بسیاری از کمپین های فیشینگ این است که چگونه آدرسهای ایمیل شخصی را هدف قرار می دهند. احتمالا از این تاکتیک برای کمک به دور زدن هرگونه کنترل امنیت سایبری در اکانتها و شبکههای شرکتها استفاده میشود، اگرچه آدرسهای ایمیل شرکتی یا تجاری نیز مورد هدف قرار گرفتهاند.
یکی دیگر از تکنیکهای کلیدی پشت این کمپینهای فیشینگ، صبر و شکیبایی مهاجمان است. آنها برای ایجاد رابطه با اهداف خود زمان صرف میکنند. این مهاجمان بلافاصله وارد ارسال لینک مخرب نمیشوند و از هدف موردنظرشان نمیخواهند روی یک پیوند مخرب کلیک کند یا یک پیوست مخرب را باز نماید.
آنها به آرامی، اعتماد ایجاد میکنند. این فرایند معمولا با اولین ایمیلی شروع میشود که به نظر میرسد، بیخطر است. در واقع این ایمیل، اغلب مربوط به موضوعی است که به لطف آمادهسازی دقیق، شانس بالایی برای جالب و جذاب بودن هدف خود دارد.
مهاجمان سپس ایمیلهایی را پی در پی برای هدف خود میفرستند، گاهی اوقات، آنها برای مدت طولانی منتظر میمانند تا سطح اعتماد موردنیاز قربانی را ایجاد کنند و وی دیگر از باز کردن یک پیوند یا یک پیوست تردیدی نداشته باشد. پیوند مخرب تحت پوشش یک سند یا وبسایت که برای قربانی جالب و مرتبط است، مانند دعوتنامه کنفرانس یا دستورکار، ارسال میشود که قربانی را به سروری که توسط مهاجم کنترل میشود، هدایت میکند.
هنگامی که قربانی، نام کاربری و رمز عبور خود را برای دسترسی به لینک مخرب وارد میکند، این جزییات برای مهاجمان ارسال میشود. آنها اکنون میتوانند از ایمیلهای قربانی و اکانتهای درگیری که از این طریق به دست آوردهاند، سوءاستفاده کنند. به گفته NCSC، این سوءاستفاده، شامل سرقت اطلاعات و فایلها از اکانتها و نیز نظارت بر ایمیلها و پیوستهایی است که قربانی ارسال و دریافت میکند.
مهاجمان همچنین از دسترسی به حساب ایمیل قربانی، برای وارد کردن دادههای فهرست پستی و فهرستهای مخاطبان استفاده میکنند. اینها اطلاعاتی است که بعدا برای کمپینهای بعدی مورد سوءاستفاده قرار میگیرد و مهاجمان از آدرس ایمیل در معرض خطر، برای انجام حملات فیشینگ بیشتر علیه دیگران استفاده میکنند.
- ادعای ردپای ایران و روسیه در کمپینهای فیشینگ
پل چیچستر، مدیر عملیات NCSC مدعی شد: «این کمپینها توسط بازیگران تهدید مستقر در روسیه و ایران راهاندازی میشود و بیرحمانه در تلاش برای سرقت اعتبار آنلاین اهداف خود و به خطر انداختن سیستمهای بالقوه حساس هستند.»
او افزود: «ما کاملا سازمانها و افراد را تشویق میکنیم که نسبت به رویکردهای بالقوه هوشیار باشند و توصیههای سطوح پایین مشاوره را دنبال کنند تا از خود به صورت آنلاین محافظت نمایند.»
در همین زمینه، NCSC به کاربران هشدار میدهد که مراقب تکنیکهای دقیق فیشینگ باشند، مانند ایمیلهایی که ادعا میکنند مربوط به شرایط حرفهای هستند و به آدرس ایمیل شخصی ارسال میشوند.
توصیه میشود از رمز عبور قوی برای ایمن کردن اکانت ایمیل خود استفاده کنید؛ رمز عبوری که متفاوت از گذرواژههای هریک از اکانتهای دیگر شماست؛ بهطوری که اگر مهاجمان، به هر نحو، موفق به سرقت رمز عبور ایمیل شما شوند، نتوانند از آن برای دسترسی به سایر اکانتهای شما استفاده کنند.
راه دیگر برای کمک به محافظت از اکانت خود در برابر حملات فیشینگ، فعال کردن احراز هویت چندعاملی است که میتواند مانع دسترسی هکرها به اکانت شما شود؛ حتی اگر رمز عبور شما را بدانند. همچنین به شما هشدار میدهد که ممکن است اعتبار شما در معرض خطر قرار گرفته باشد.
اقدام دیگر این است که باید با اعمال آخرین بهروزرسانیهای امنیتی، از دستگاه و شبکه خود محافظت کنید. این، چیزی است که میتواند مانع سوءاستفاده مهاجمان از آسیبپذیریهای نرمافزاری شناختهشده برای انجام حملات یا دسترسی به اکانت شما شود.
- ترفندهای جدید هکرها برای فیشینگ
هکرها از ترفندهای جدیدی برای انجام حملات فیشینگ استفاده میکنند. این مجرمان سایبری از روش جدید بهره میبرند تا اطمینان یابند هجوم آنها موفقیتآمیز است. آنها از ایمیلهای فیشینگ ساختهشده منحصربهفرد، برای آلوده کردن قربانیان از طریق بدافزار استفاده میکنند و این کار را با آزمایش روش جدید برای ارسال محمولههای مخرب انجام میدهند.
بر اساس تحلیل شرکت امنیت سایبری پروفپوینت (Proofpoint)، حملات سایبری تلاش میکنند بدافزار را با استفاده از اسناد OneNote ارایه کنند. این اسناد، یک نوتبوک دیجیتالی با پسوندهای one است که بخشی از مجموعهبرنامههای آفیس Microsoft 365 است.
محققان امنیت سایبری خاطرنشان میکنند که سوءاستفاده از اسناد OneNote به این شکل، غیرعادی است اما یک دلیل ساده برای استفاده از آن توسط مهاجمان وجود دارد، زیرا آنها راحتتر از سایر پیوستها، میتوانند از خطر تشخیص تهدید توسط رایانه مصون بمانند. به نظر میرسد این ترفند، موثر است.
طبق گزارش پروفپوینت، بر اساس دادههای موجود در مخازن بدافزار منبع باز، پیوستهای مشاهدهشده در ابتدا توسط چندین موتور ضد ویروس بهعنوان مخرب شناسایی نشدند، بنابراین به احتمال زیاد کمپینهای اولیه در صورت مسدود نشدن ایمیل، نرخ کارآمدی بالایی داشتند.
از زمانی که مایکروسافت، بهطور پیشفرض در سال 2022 شروع به مسدود کردن ماکروها کرد، عوامل تهدید با بسیاری از تاکتیکها، تکنیکها و رویههای جدید (TTP) از جمله استفاده از انواع فایلهایی که قبلا به ندرت مشاهده شده بودند، مانند هارد دیسک مجازی (VHD)،HTML کامپایل شده (CHM) و اکنون OneNote (.one) کار میکنند.
ایمیلهای فیشینگ که برای اولین بار در دسامبر 2022 ارسال شدند و تعداد آنها در ژانویه 2023 به میزان قابل توجهی افزایش یافت، تلاش میکنند یکی از چندین بدافزار مختلف، از جمله AsyncRAT، Redline، AgentTesla و Doubleback را ارایه دهند که همگی برای سرقت اطلاعات حساس قربانیان، از جمله نام کاربری و رمز عبور، طراحی شدهاند.
محققان پروفپوینت خاطرنشان میکنند یک گروه مجرم سایبری که آنها به عنوان TA577 ردیابی کردهاند، از OneNote در کمپینهایی برای ارایه Qbot استفاده کرده است. در این زمینه، TA577 به جای سرقت اطلاعات برای استفاده خود، به عنوان یک واسطه دسترسی اولیه عمل میکند و نامهای کاربری و رمزهای عبور سرقتشده را به مجرمان سایبری دیگر، از جمله هکرهای باجافزار میفروشد.
بیش از 60 مورد از این کمپینها تاکنون شناسایی شدهاند. همه آنها ویژگیهای مشابهی دارند مانند ایمیلها، پیوستهای فایل مرتبط با محتواهای مختلف از جمله فاکتورها، حوالهها، حملونقل، تمهای فصلی مانند اطلاعات هدیه کریسمس و غیره. به عنوان مثال، پیام فیشینگ ارسالشده به اهداف در بخشهای تولیدی و صنعتی، شامل نامهای پیوست مربوط به قطعات و مشخصات خودروها بود که نشان میدهد سطح بالایی از تحقیقات برای ساخت این فریب، توسط هکرها انجام شده است.
سایر کمپینهای OneNote کمی عمومیتر هستند و به طور همزمان، برای هزاران قربانی احتمالی ارسال میشوند. یکی از این کمپینها، بخش آموزش را با فاکتورهای جعلی هدف قرار داد، در حالی که دیگری به طور گستردهتر منتشر شده بود و ادعا میکرد که یک هدیه کریسمس یا پاداش، به هزاران قربانی احتمالی ارایه میکند.
در هر مورد، حمله فیشینگ به قربانیانی متکی است که ایمیل یا پیوست OneNote را باز کرده و روی پیوندهای مخرب کلیک میکند. زمانی که OneNote یک پیام هشدار درباره پیوندهای مشکوک ارایه میدهد، کاربرانی که ایمیل ساختهشده خاص برای درخواست تجدیدنظر مستقیم به آنها ارسال شده یا فکر میکنند پاداش دریافت مینمایند، میتوانند از این هشدار عبور کنند.
- میزان موفقیت کمپینهای فیشینگ
محققان هشدار میدهند که اگر ایمیلها مسدود نشوند، احتمالا این کمپینها، میزان موفقیت بالایی دارند و گروههای تهدید سایبری بیشتری، احتمالا از این روش برای ارایه موفقیتآمیز کمپینهای فیشینگ و بدافزار استفاده میکنند. به اعتقاد آنها، این، «نگرانکننده» است.
پروفپوینت به طور فزاینده مشاهده کرده که از پیوستهای OneNote برای ارسال بدافزار استفاده میشود. بر اساس تحقیقات، به نظر میرسد چندین عامل تهدید از پیوستهای OneNote برای دور زدن شناساییهای تهدید استفاده میکنند. همانطور که توسط TA577 بیان شده، این تاکتیک میتواند به نقطه ورود اولیه برای توزیع باجافزار تبدیل شود و کل سازمان و شبکه را فلج کند. با این حال، هرچند حملات فیشینگ، ابزار موثری برای مجرمان سایبری است اما قربانی شدن اجتنابناپذیر نیست.
پروفپوینت پیشنهاد میکند سازمانها باید از یک فیلتر هرزنامه قوی استفاده کنند که از رسیدن این پیامها به صندوقهای ورودی افراد جلوگیری کند. سازمانها باید درباره این تکنیک به کاربران نهایی آموزش دهند و آنها را تشویق کنند ایمیلها و پیوستهای مشکوک را گزارش نمایند.
یک سخنگوی مایکروسافت به زدنت میگوید: این، یک تکنیک فیشینگ است که قربانی را متقاعد میکند تا سندی را با یک پیوست مخرب تعبیهشده باز کند و سپس با استفاده از یک اعلان امنیتی، اجرای پیوست را دور بزند. ما مشتریان را تشویق میکنیم تا عادتهای رایانهای خوب را به صورت آنلاین تمرین کنند، از جمله اینکه هنگام کلیک روی پیوندهای صفحات وب یا باز کردن آنها، احتیاط لازم را داشته باشند.