در حملات سایبری جعل ایمیل، هکرها ایمیلی را ارسال میکنند که ظاهراً از سوی یک مرجع معتبر ارسال شده است. هدف اصلی از اجرای فنون جعل ایمیل معمولاً فریب قربانی برای باز کردن یک لینک یا پاسخ به پیام و در نهایت اجرای موفقآمیز حملات فیشینگ و مهندسی اجتماعی است.
چرا جعل ایمیل مهم است؟
بسیاری از حملات جعل ایمیل فقط از طریق حذف پیام، قابل شناسایی و مقابله هستند ولی در اثر اجرای بعضی از این تاکتیکها احتمال دارد مخاطرات امنیتی متعددی ایجاد شوند. برای مثال هکرها وانمود میکنند که ایمیل جعلی توسط یک وبسایت اینترنتی مشهور فرستاده شده و از مخاطبان درخواست میکنند دادههای حساسی مثل رمز عبور یا شماره کارت بانکی را اعلام کنند. همچنین در اثر کلیک کاربر بر روی لینک آلوده در ایمیل جعلی، دستگاه وی آلوده به بدافزار میشود. جعل ایمیل مدیرعامل یا مدیر امور مالی یک شرکت و درخواست انتقال وجه یا تلاش برای دریافت اطلاعات مهم از جمله نمونههای رایج هک ایمیل کاری هستند.
دلایل اجرای حملات جعل ایمیل
علاوه بر فیشینگ، مهاجمان از جعل ایمیل برای انجام اقدامات زیر استفاده میکنند:
- مخفی کردن هویت واقعی فرستنده پیام؛
- دور زدن فیلترهای اسپم و لیستهای سیاه. کاربران میتوانند با مسدود کردن آدرس آیپی همه یا بعضی ارایهدهندگان سرویس اینترنت یا ISP (به انگلیسی: internet service provider) مخاطرات ناشی از این تهدید را کاهش دهند؛
- جا زدن خودشان به جای یک فرد قابل اطمینان یا یک سازمان معتبر برای دریافت دادههای محرمانه از جمله اطلاعات بانکی و هویتی؛
- آسیب رساندن به اعتبار فرستنده پیام؛
- اجرا و توزیع بدافزارهای مخفی شده در فایلهای پیوست؛
- اجرای حمله مرد میانی برای دریافت اطلاعات حساس افراد و سازمانها؛
- دسترسی به اطلاعات حساس جمعآوری شده توسط شرکتهای شخص ثالث.
چه تفاوتهایی بین فیشینگ، حمله جعل و جعل دامنه وجود دارد؟
مجرمان سایبری معمولاً از جعل ایمیل به عنوان فرایندی در حمله فیشینگ استفاده میکنند. فیشینگ روشی برای دسترسی به دادهها با جعل یک آدرس ایمیل است. مهاجمان در این حمله ایمیلی ارسال میکنند که ظاهراً از سوی یک مرجع معتبر فرستاده شده و درخواست اطلاعات توسط این منبع غیرمنطقی نیست. هدف مجرمان سایبری از اجرای چنین روشی، تشویق قربانی به کلیک بر روی یک لینک یا دانلود یک فایل پیوست و نصب بدافزار بر روی سیستم وی است.
در حمله جعل دامنه نیز از یک آدرس ایمیل مشابه با یک آدرس دیگر استفاده میشود. برای مثال در این حمله ممکن است ایمیل از دامنه customerservice@amaz0n.co که مشابه آدرس اصلی یعنی customerservice@amazon.com است ارسال شود.
جعل ایمیل چگونه اجرا میشود؟
امکان اجرای جعل ایمیل به راحتی و با استفاده از یک سرور پروتکل انتقال پیام امن یا SMTP (به انگلیسی: Simple Mail Transfer Protocol) و یک پلتفرم ارسال ایمیل رایج مثل اوتلوک (Outlook) یا جیمیل (Gmail) میسر است. پس از ایجاد پیام، مهاجم میتواند فیلدهای موجود در هدر پیام از جمله آدرسهای FROM، REPLY-TO و RETURN-PATH را جعل کند. وقتی گیرنده ایمیل را دریافت میکند، به نظر میرسد که پیام توسط آدرس جعل شده ارسال شده است.
از آنجا که SMTP راهی برای احراز هویت آدرسها ندارد، بنابراین اجرای چنین حملاتی امکانپذیر است. با وجود طراحی روشها و پروتکلهایی برای مقابله با جعل ایمیل همچنان امکان اجرای آنها وجود دارد.
چگونه ایمیلهای جعلی را تشخیص دهیم؟
توصیه میشود که کاربران ایمیلهای مشکوک را باز کنند و سورس کد ایمیل را بررسی و فرستنده واقعی آن را رهیگیری کنند.
کاربران همچنین میتوانند بررسی کنند که آیا یک پیام بررسیهای فریمورک سیاست فرستنده یا SPF (به انگلیسی: Sender Policy Framework) را با موفقیت پشت سر میگذارد یا خیر. SPF یک پروتکل احراز هویت است که در بسیاری از پلتفرمهای ایمیل و محصولات امنیتی ایمیل وجود دارد. با توجه به تنظیمات حساب ایمیل کاربر، ممکن است پیامهایی که در گروه «شکست نرم» قرار دارند، وارد صندوق ورودی ایمیل شوند. شکست نرم میتواند دلالت بر عدم اعتبار ایمیل داشته باشد.
بهترین روشهای مقابله با جعل ایمیل
کاربران و مشاغل میتوانند با استفاده از روشهای زیر مانع از دسترسی جعلکنندگان ایمیل به سیستمهای خودشان شوند.
1. نصب یک درگاه امنیت ایمیل
درگاههای امنیت ایمیل با انسداد ایمیلهای ورودی و خروجی که حاوی بخشهای مشکوک هستند یا با سیاستهای امنیتی موجود همخوانی ندارند، از مشاغل حفاظت کنند. این درگاهها دارای قابلیتهای متفاوتی هستند اما همه آنها امکان شناسایی بدافزارهای رایج، پیامهای هرز و حملات فیشینگ را دارند.
2. استفاده از یک ضد بدافزار
نرمافزارهای ضدبدافزار میتوانند وبسایتهای مشکوک را شناسایی و مسدود و حملات جعل را شناسایی کنند و ایمیلهای تقلبی را پیش از ورود به صندوق پیام کاربران متوقف کنند.
3. استفاده از رمزنگاری برای حفاظت از ایمیلها
گواهینامه امضای ایمیل، ایمیلها را رمزنگاری میکند تا فقط مخاطب مدنظر به محتوای آن دسترسی داشته باشد. در رمزنگاری نامتقارن، یک کلید عمومی ایمیل را رمزنگاری کرده و سپس کلید خصوصی متعلق به گیرنده، آن را رمزگشایی میکند. وجود یک امضای دیجیتال اضافه میتواند حس اطمینان را در کاربر نسبت به معتبر بودن فرستنده پیام ایجاد کند. در محیطهای بدون رمزنگاری کاربران میتوانند پیوستهای ایمیل را هم رمزنگاری کنند.
4. استفاده از پروتکلهای امنیتی ایمیل
پروتکلهای امنیت ایمیل مبتنی بر زیرساخت میتوانند با استفاده از احراز هویت دامنه، تهدیدات و پیامهای هرز را کاهش دهند. علاوه بر SMTP و SPF مشاغل میتوانند از پروتکل [1]DKIM هم برای ایجاد یک لایه امنیتی اضافه با امضای دیجیتال استفاده کنند. همچنین امکان استفاده از پروتکل احراز هویت، گزارشدهی و تطبیق پیام بر اساس دامنه (DMARC[2]) برای تعریف اقدامات قابل انجام در صورت شکست پیامها در فرایند SPF و DKIM و تطبیق پیام بر اساس دامنه وجود دارد.
5. استفاده از تکنیک جستجوی آیپی معکوس برای احراز هویت فرستندههای پیام
میتوانید با جستجوی معکوس آیپی بررسی کنید آیا فرستنده پیام معتبر است یا خیر. همچنین میتوانید با شناسایی نام دامنه مربوط به آیپی مدنظر، منبع پیام را تأیید کنید.
مالکان وبسایتها میتوانند یک رکورد از سیستم نامه دامنه منتشر کنند که در آن مشخص میشود چه افرادی قابلیت ارسال پیام از طرف دامنهشان را دارند. سپس پیامها پیش از دانلود بدنه اصلی ایمیل بررسی میشوند. در صورت مخرب بودن این پیامها و جهت پیشگیری از ایجاد آسیب، امکان رد آنها وجود دارد.
برای اطلاعات بیشتر در این زمینه میتوانید به مقاله چگونه با ادغام openDMARC در آپدیت ۲ Axigen X3، با جعل ایمیل مقابله کنیم؟ مراجعه فرمایید.
6. آموزش کارمندان درباره امنیت سایبری
مشاغل باید در کنار تدابیر ضد جعل نرمافزاری، به کارمندان درباره امنیت سایبری و شیوه تشخیص عناصر مشکوک و حفاظت از خودشان آموزش دهند. میتوانید در طرحهای آموزشی ساده، نمونههای جعل ایمیل را در اختیار کارمندان قرار دهید تا قابلیت تشخیص و مقابله با تاکتیکهای جعل را پیدا کنند. همچنین میتوانید رویههای لازم در صورت شناسایی ایمیلهای جعلی را به آنها آموزش دهید. این آموزشها باید مستمر باشند تا همزمان با ظهور تهدیدات جدید، مطالب و روشهای آموزشی هم به روزرسانی شوند.
7. اعتبارسنجی ایمیلهای ناشناس
کاربران معمولاً با آدرسهای ایمیلی سروکار دارند که قابل پیشبینی و آشنا هستند. افراد باید یاد بگیرند که مراقب ایمیلهای ناشناس یا عجیب باشند و پیش از هر گونه تعامل با منشأ پیام، آن را ارزیابی کنند. هکرها عموماً بارها از یک تاکتیک استفاده میکنند. بنابراین کاربران باید هوشیار باشند.
8. خودداری از افشای اطلاعات حساس
ایمیلهای جعلی فقط در صورتی منجر به ایجاد آسیبی میشوند که کاربران اطلاعات درخواستی مهاجمان را در اختیارشان قرار دهند. با آموزش پیوسته این نکات، پیامدهای ایمیلهای جعلی را به طور چشمگیری کاهش مییابند.
9. نسبت به پیوستهای عجیب یا لینکهای ناشناس احتیاط کنید
کاربران همچنین باید مراقب لینکها و پیوستهای مشکوک باشند. آنها باید همه اجزای یک ایمیل را بررسی کرده و پیش از باز کردن لینک یا پیوست، نشانههای خطر مثل غلطهای املایی و فایلهای پیوست ناشناس را پیدا کنند.
[1] DomainKeys Identified Mail
[2] Domain-based Message Authentication, Reporting and Conformance