تهدیدات ایمیل همواره رو به رشد و تکامل هستند. بنابراین باید اطلاعاتتان را در حوزه امنیت سایبری به روز نگه دارید. در این مطلب تعدادی از تهدیدات ایمیلی، شیوه مقابله با آنها و نحوه بازیابی از چنین حملاتی را مورد بررسی قرار میدهیم.
انواع تهدیدات ایمیلی
هک ایمیل کاری
هک ایمیل کاری شامل انواع مختلفی از روشهای حمله است. هکرها در این حملات شرکتها و سازمانهایی را که از ایمیل برای انجام امور کاری و تجاری استفاده میکنند و بهویژه کسبوکارهای بزرگی که انتقالات وجوه بینالمللیشان را از طریق ایمیل انجام میدهند یا با فروشندگان بینالمللی سروکار دارند مورد هدف قرار میدهند.
مهاجمان معمولاً با سوءاستفاده از اطلاعات لو رفته یا پیامهای فیشینگ، کارمندان را متقاعد به افشای اطلاعات حساس یا انتقال وجه به یک حساب جعلی میکنند. یکی از رایجترین انواع حملات هک ایمیل کاری، کلاهبرداری صورتحساب است. در این حمله، مهاجم با استفاده از تکنیکهای فیشینگ یا مهندسی اجتماعی به حسابدار شرکت القا میکند که مدت زمان زیادی از موعد پرداخت صورتحساب گذشته است.
کلاهبرداری مدیرعامل نیز از جمله روشهای معمول برای اجرای حملات هک ایمیل کاری است. مهاجمان در این روش تحقیقات وسیعی درباره یک شرکت انجام میدهند تا ایمیلهای فیشینگ باورپذیری طراحی کنند که ظاهراً از سوی یکی از کارمندان رده بالای سازمان فرستاده شده است. سپس مهاجم سایر کارمندان را متقاعد میکند که اسناد مالی را به یک آدرس ایمیل مشخص ارسال کرده یا برای یک حساب خاص انتقال وجه انجام دهند.
چگونه باید با این حملات مقابله کرد؟ میتوانید با پیادهسازی یک سیستم خودکار مثل سیستم دفاع فعال Agari برای شبکهتان، با حملات هک ایمیل کاری مقابله کنید. این سیستم از فناوریهای مختلف برای تشخیص تهدیدات جدید و پیشگیری از حملاتی مثل جعل دامنه استفاده میکند. با رشد و تکامل تهدیدات سایبری به مرور زمان، Agari هم اطلاعات کاربردی لازم را برای حفظ سازمانتان در مقابل تهدیدات نوظهور گردآوری میکند.
باجافزار
مجرمان سایبری در حملات ویرانگر باجافزاری از تکنیکهای مختلف جهت تشویق کاربران به دانلود و اجرای پیوستهای مخرب استفاده میکنند.
این فایلهای پیوست حاوی یک پیلود هستند که به صورت مخفیانه شروع به رمزنگاری همه فایلها بر روی سیستم هدف میکند و سپس همین فرایند را برای سایر سیستمهای شبکه انجام میدهد. در نهایت یک پیام به کاربر نمایش داده میشود تا مبلغ درخواستی را پرداخت کند. در غیر اینصورت فایلهای قفل شده برای همیشه از بین خواهند رفت.
اگر پیش از این از فایلها پشتیبانگیری نشده، بدون در اختیار داشتن کلید رمزگشایی امکان بازیابی فایلها را نخواهید داشت. حتی اگر متقاعد شوید و مبلغ درخواستی را پرداخت کنید، هیچ تضمینی مبنی بر دریافت کلید رمزگشایی از مهاجمان وجود ندارد.
چگونه باید با این حملات مقابله کرد؟ اجرای یک رویکرد ترکیبی شامل راهکار امنیت ایمیل کامل و طرح بازیابی از فاجعه امتحان شده، میتواند به مقابله با چنین تهدیداتی کمک کند و پیامدهای ناشی از حملاتی که رخ دادهاند را کاهش دهد. راهکارهای تشخیص تهدید مجهز به هوش مصنوعی هم قابلیت شناسایی فایلهای مخرب بر اساس گزارشات به دست آمده از منابع مختلف را دارند و میتوانند چنین پیوستهایی را مسدود کنند. وجود یک راهکار امنیتی قوی برای نقاط پایانی نیز نقش مهمی در پیشگیری از گسترش تهدیدات در سطح شبکه دارد.
فیشینگ
براساس آمار و نتایج تحقیقات، بیش از نیمی از ایمیلهای ارسالی، مربوط به حملات فیشینگ هستند. در این حملات هویت افراد و برندهای بنام مورد اعتماد قربانی، جعل میشود. سپس از کاربر درخواست میشود که بر روی یک لینک کلیک کرده و وارد یک سرویس تحت وب شود.
این لینک کاربر را به وبسایتی جعلی که مشابه وبسایت اصلی است هدایت میکند. پس از ورود اطلاعات درخواستی توسط قربانی، مهاجمان این اطلاعات را ذخیره و حساب کاربر را سرقت میکنند.
چگونه باید با این حملات مقابله کرد؟ حملات فیشینگ وابسته به جعل هویت هستند. بنابراین آگاهی و هوشیاری کارمندان نسبت به چنین حملاتی نقش مهمی در مقابله با آنها دارد. پیادهسازی رکوردهای DNS مثل SPF، DKIM، BIMI و DMARC که شامل ارسال پیامهایی بسیار اختصاصی و هدفمند از جانب دامنه شما هستند هم کمک زیادی به پیشگیری از حملات فیشینگ هدفمند میکند. در نهایت نیز، یک سیستم دفاع در برابر فیشینگ مجهز به هوش مصنوعی با استفاده از هوش تهدید جمعآوری شده از سطح جهان مانع از رسیدن پیامهای فیشینگ به صندوق ایمیلهای ورودی کارمندان میشود.
فیشینگ هدفمند
مهاجم در فیشینگ هدفمند که یک نوع فیشینگ اختصاصی است، هویت یک شرکت یا فرد خاص را جعل میکند. پیامهای فیشینگ معمولی برای هزاران کاربر ارسال میشوند اما فیشینگ هدفمند به صورت اختصاصی و با تمرکز بر روی یک شرکت یا شخص خاص طراحی میشود.
مهاجمان در این حمله جهت طراحی یک پیام باورپذیر، اطلاعاتی مثل نام کارمند، امضای ایمیل، وابستگیهای شناخته شده و ساختار سازمان را جمعآوری میکنند. فیشینگ هدفمند میتواند کارمندان حرفهای و متخصصین را هم فریب دهد و بسیار خطرناک است.
چگونه باید با این حملات مقابله کرد؟ برای نرمافزارها و سرویسهای مهم، احراز هویت دو مرحلهای را فعال کنید. بنابراین در صورت شناسایی اعتبارنامههای کاربری از طریق روشهای فیشینگ، مهاجمان همچنان قادر به ورود به حساب کاربر نخواهند بود چون باید مرحله دوم احراز هویت را هم انجام دهند. میتوانید قوانینی را هم برای سرورهای ایمیل تنظیم کنید تا پیامهای خارج از سازمان را نشانهگذاری کنند. به این ترتیب صرف نظر از اینکه آدرس فرستنده ایمیل چگونه به نظر میرسد، کارمندان به راحتی میتوانند تشخیص دهند که در حال گفتگو با شخصی خارج از سازمان هستند.
نفوذهای اطلاعاتی
ایمیل یکی از روشهای پر طرفدار مهاجمان برای نفوذ به سیستمهای هدف است. ممکن است اطلاعات حساس به صورت تصادفی و ناخواسته یا عمداً توسط کارمندان افشا شوند. اگرچه منشأ بسیاری از رخنههای اطلاعاتی، پایگاههای داده هستند ولی امکان استفاده از ایمیل برای سرقت اسرار سازمانها و سایر اطلاعات حساس وجود دارد.
چگونه باید با این حملات مقابله کرد؟ پلتفرمهای امنیت ایمیل و فایروالها معمولاً مجهز به قابلیت فیلترینگ خروجی هستند. این فیلترها میتوانند پیامها را اسکن کرده و اطلاعات حساس از جمله شماره کارت بانکی را در آنها تشخیص دهند. سیستمهای نظارت بر روی جامعیت فایل هم برای کنترل دسترسی به فایلهای روی سرور و پیشگیری از تکثیر یا دسترسی به آنها توسط گروههایی خاص قابل استفاده هستند.
اسپم
ممکن است حتی پیامهای اسپم ظاهراً بیخطر هم حاوی تهدیدات ایمیلی بسیار جدی باشند. حجم بالای پیامهای اسپم نیز بر روی بهرهوری تأثیر دارد و وقت کارمندان را هم میگیرد.
چگونه باید با این حملات مقابله کرد؟ از فیلترهای اسپم که لیستهای سیاه عمومی را بررسی کرده و پایگاه اطلاعاتی خودشان (حاوی آیپی و دامنههای مخرب) را به صورت منظم به روزرسانی میکنند، استفاده کنید. میتوانید بر اساس متغیرهای مختلف مثل یکسری کلید واژه، موقعیت جغرافیایی و میزان اعتبار یک آیپی، پیامها را مسدود کرد.
کیلاگر
کیلاگرها اطلاعات تایپ شده توسط کاربر را سرقت و برای مهاجمان ارسال میکنند. به این ترتیب مهاجم به اعتبارنامههای کاربری و همچنین اطلاعات زمینهای قابل استفاده در فیشینگ هدفمند دسترسی پیدا میکند. ممکن است کیلاگرها در فایلهای ظاهراً سالم مخفی شوند و در هنگام باز شدن فایل توسط کاربر به صورت مخفیانه نصب شوند.
چگونه باید با این حملات مقابله کرد؟ نرمافزارهای امنیتی نقاط پایانی را بر روی دستگاهها نصب کنید و آنها را بهروز نگه دارید. اگر کیلاگری سیستمهای شناسایی را دور زده و وارد صندوق پیامهای ورودی کاربر شود، راهکارهای امنیتی نقاط پایانی میتوانند آن را به محض اجرا متوقف و قرنطینه کنند.
جعل هویت دامنه
مهاجمان معمولاً در حملات فیشینگ هدفمند از جعل دامنه استفاده میکنند تا قربانی را متقاعد کنند که پیام ارسالی توسط یک شرکت خاص فرستاده شده است.
برای مثال مهاجمانی که مایکروسافت را مورد هدف قرار میدهند، از دامنه micosoft.com که مشابه دامنه اصلی است برای ارسال پیام استفاده میکنند. شناسایی حملات جعل هویت دامنه چندان آسان نیست و حتی با وجود استفاده از راهکارهای حفاظتی مثل DMARC همچنان احتمال اجرای این حملات بسیار زیاد است.
چگونه باید با این حملات مقابله کرد؟ اگر هدف حمله جعل دامنه قرار گرفتید، با یک ارایهدهنده سرویس حرفهای امنیت ایمیل مشورت کنید. چنین حملاتی میتوانند دلالت بر تلاشهایی وسیعتر برای حمله به شبکه از طریق فیشینگ هدفمند داشته باشند.
منبع: agari