تهدیداتمقالات

والینگ تهدیدی جدی برای مدیران ارشد!

تهدیدات بر مبنای ایمیل در فضای سایبر

امروزه تهدیدات سایبری رنگ و لعابی دیگر به خود گرفته‌اند، ایمیل‌هایی که دریافت می‌کنید هرکدام می‌توانند تهدیدی خاموش باشند. جعل ایمیل به صورت روز افزون در حال گسترش هستند. استفاده از روش‌هایی که کاربر را مجاب به باز کردن ایمیل‌ کند و یا بر روی ضمیمه‌های ارسالی کلیک کند هر روز در حال توسعه و پیشرفت می‌باشد. این ضمیمه‌ها ممکن است حاوی بدافزارها و باج افزارها باشند. پیشرفت روزافزون انواع حملات فیشینگ از قبیل حملات والینگ که در این مبحث به آن می‌پردازیم حفظ امنیت سایبری را روز به روز سخت‌تر و پیچیده‌تر می‌کند.

در اینجا به معرفی چگونگی جعل ایمیل، انواع بدافزارها و حملات والینگ خواهیم پرداخت.

جعل ایمیل

جعل ایمیل به استفاده از عنوان یا هدر جعلی برای ایمیل گفته می‌شود، به گونه‌ای که به نظر برسد پیام از طرف شخص یا جایی غیر از ارسال کننده واقعی آن فرستاده شده است. جعل ایمیل تکنیک محبوبی در کمپین‌های اسپم و فیشینگ است زیرا احتمال باز کردن ایمیل‌هایی که مردم تصور می‌کنند از سوی یک منبع آشنا یا مجاز ارسال شده، بیشتر است. هدف جعل ایمیل متقاعد کردن گیرنده به بازکردن و احتمالاً پاسخ دادن به یک درخواست است.

هر چند می‌توان بیشتر ایمیل‌های جعلی را به آسانی شناسایی کرد و به اقدام خاصی غیر از شناسایی نیاز ندارند، اما انواع مخرب‌تر این ایمیل‌ها می‌توانند خطرات امنیتی و مشکلات جدی ایجاد کنند. به عنوان مثال ممکن است این طور وانمود شود که ایمیل جعلی از طرف یک فروشگاه اینترنتی شناخته شده ارسال شده و از گیرنده درخواست کند تا اطلاعات مهمی مثل رمز عبور یا شماره کارت اعتباری را ارائه کند. یا ممکن است ایمیل جعلی حاوی لینکی باشد که با کلیک روی آن، یک بدافزار مخرب روی دستگاه گیرنده نصب شود. یکی از حملات فیشینگ هدفمندی که در ایمیل‌های کاری مورد استفاده قرار می‌گیرد، ارسال ایمیل جعلی از طرف مدیرعامل یا مدیر مالی یک شرکت است که به دنبال دریافت مجوز انتقال وجه یا مجوزهای دسترسی به سیستم داخلی از گیرنده هستند.

هر چند جعل ایمیل تکنیک بسیار محبوبی برای اجرای حملات فیشینگ هدفمند است، اما ممکن است مجرمین سایبری از این تکنیک برای دور زدن لیست‌های سیاه اسپم ایمیلی، ارتکاب سرقت هویت یا تخریب وجهه فردی که هویت آن را جعل کرده‌اند استفاده کنند.

جعل ایمیل چگونه است؟

با استفاده از یک سرور پروتکل ساده نامه‌رسانی (SMTP) و نرم‌افزار ارسال ایمیل مثل Outlook یا Gmail می‌توان به راحتی جعل ایمیل را انجام داد. وقتی پیام نوشته شد، مجرم می‌تواند فیلدهای قسمت عنوان ایمیل مثل بخش‌های FROM، REPLY-TO و آدرس RETURN-PATH را جعل کند. پس از ارسال ایمیل، گیرنده آن را در صندوق ورودی ایمیل خودش دریافت می‌کند و این طور به نظر می‌رسد که ایمیل از طرف آدرس تعیین شده ارسال شده است.

از آنجایی که SMTP مکانیزمی برای احرازهویت ندارد انجام این کار ممکن است. هر چند مکانیزم‌ها و پروتکل‌های احرازهویت مختلفی برای مقابله با جعل ایمیل ابداع شده‌اند اما پذیرش و استفاده از چنین مکانیزم‌هایی به کندی صورت می‌گیرد.

چگونه می‌توان جعلی بودن یک ایمیل را تشخیص داد؟

اگر ایمیل جعلی از نظر کاربر مشکوک به نظر نرسد، این احتمال وجود دارد که تشخیص جعل انجام نشود. اما اگر کاربر متوجه وجود مورد مشکوکی شود، می‌تواند سورس کد ایمیل را باز و بررسی کند. از این قسمت، گیرنده می‌تواند آی‌پی ارسال کننده ایمیل را شناسایی کرده و آن را ردیابی کند تا به ارسال کننده واقعی برسد.

نشانه بعدی که می‌توان آن را بررسی کرد، مربوط به فریم ورکی تحت عنوان (Sender Policy Framework (SPF است که در RFC 7208 تعریف شده و راهکاری برای احرازهویت ارسال کننده ایمیل فراهم کرده است. اگر ایمیلی در این پروتکل با خطای نرم (soft-fail) روبرو شود، ممکن است مورد مشکوکی پیدا شده باشد اما باز هم امکان تحویل آن وجود دارد.

چگونه می‌توان با جعل ایمیل مقابله کرد؟

برای پیشگیری از قربانی شدن در برابر جعل ایمیل، باید اقدامات زیر را انجام دهید:

  • همواره نرم‌افزار ضد بدافزار خودتان را به روز نگه دارید.
  • اطلاعات مالی یا خصوصی را از طریق ایمیل به اشتراک نگذارید.
  • فیلترهای اسپم را روی قوی‌ترین تنظیمات قرار داده یا از ابزارهایی مثل Priority Inbox گوگل استفاده کنید.
  • از کلیک کردن روی لینک‌های مشکوک یا باز کردن فایل‌های پیوست مشکوک خودداری کنید.
  • هرگز اطلاعات حساس را در لینک‌های غیرامن وارد نکنید.
  • نحوه باز کردن و خواندن هدر ایمیل جهت شناسایی ایمیل‌های جعلی را آموزش ببینید.
  • با جستجوی آی‌پی معکوس سعی کنید فرستنده واقعی را شناسایی کنید.
  • اکانت‌های ایمیلی را بازرسی کنید تا ببینید به SPF و DMARC چه پاسخی می‌دهند.

بدافزار

بدافزار یا نرم‌افزار مخرب به هر برنامه یا فایلی گفته می‌شود که برای یک کاربر کامپیوتری زیان آور باشد. انواع بدافزارها عبارتند از: جاسوس‌افزار، اسب‌های تروجان، کرم‌ها و ویروس‌های کامپیوتری. این برنامه‌های مخرب می‌توانند کارهای مختلفی مثل سرقت، رمزگذاری یا شناسایی داده‌های حساس را انجام دهند؛ عملکردهای مهم کامپیوتر را تغییر داده و یا تحت کنترل خودشان بگیرند و بدون اجازه کاربران بر فعالیت‌های آنها نظارت کنند.

تاریخچه

اصطلاح بدافزار، اولین بار در سال ۱۹۹۰ توسط دانشمند کامپیوتر و محقق امنیت Yisrael Radai ابداع شد. اما بدافزارها از مدتها قبل وجود داشتند. یکی از اولین بدافزارهای شناخته شده، ویروس Creeper بود که در سال ۱۹۷۱ توسط Robert Thomas مهندس موسسه BBN Technologies طراحی شده بود. این ویروس برای آلوده کردن مین‌فریم‌های آرپانت طراحی شده بود. هر چند این برنامه تغییر عملکرد، سرقت یا حذف داده‌ها را انجام نمی‌داد اما بین مین‌فریم‌ها منتشر شده و پیامی با این مضمون نمایش می‌داد: “من Creeper هستم؛ اگر می‌توانید من را دستگیر کنید.” بعدها Ray Tomlinson دانشمند کامپیوتر این ویروس را تغییر داد و قابلیت تکثیر خودکار را به آن اضافه کرد؛ در نتیجه اولین کرم کامپیوتری شناخته شده را ایجاد کرد. مفهوم بدافزار در صنعت تکنولوژی ریشه دارد و در اوایل دهه ۸۰ میلادی نمونه‌هایی از ویروس و کرم‌ها در کامپیوترهای شخصی اپل و IBM مشاهده شد و بعدها پس از معرفی وب جهان‌گستر و اینترنت تجاری در اواخر دهه ۹۰ میلادی پرکاربردتر شدند.

بدافزارها چگونه کار می‌کنند؟

نویسندگان بدافزار از انواع ابزارهای فیزیکی و مجازی برای گسترش بدافزاری که شبکه‌ها و دستگاه‌ها را آلوده می‌کند، استفاده می‌کنند. به عنوان مثال امکان جابجایی برنامه‌های مخرب با استفاده از درایو USB وجود دارد یا می‌توانند از طریق حملات درایوبای دانلود در اینترنت منتشر شوند. حملات درایوبای دانلود برنامه‌های مخرب را به صورت خودکار و بدون تایید یا اطلاع کاربر روی سیستم‌ها نصب می‌کنند.

حملات فیشینگ هم یکی دیگر از روش‌های متداول برای انتشار بدافزار هستند و در این حملات ایمیل‌هایی که ظاهراً بدون مشکل به نظر می‌رسند حاوی فایل‌های پیوست یا لینک‌های مخربی هستند که می‌توانند فایل‌های اجرایی بدافزارها را به سیستم کاربر منتقل کنند. حملات پیچیده اغلب اوقات یک سرور فرماندهی و کنترل یا C&C را شامل می‌شوند که به مهاجمین امکان می‌دهند با سیستم‌های آلوده ارتباط برقرار کرده، داده‌های حساس را استخراج کرده و حتی از راه دور سرور یا دستگاهی که به آن نفوذ کرده‌اند را تحت کنترل بگیرند.

در بدافزارهای جدید از تکنیک‌های مبهم‌سازی و گریز جدید استفاده می‌شود که نه تنها برای فریب دادن کاربران بلکه برای فریب دادن محصولات ضدبدافزار و مدیران امنیت طراحی شده‌اند. برخی از این تکنیک‌ها متکی بر تاکتیک‌های ساده‌ای مثل استفاده از پروکسی جهت مخفی کردن ترافیک مخرب یا‌ آی‌پی مبدا هستند. تهدیدات پیچیده‌تر متشکل از بدافزارهای چند وجهی تکنیک‌های ضد سندباکس (anti-sandbox) و بدافزار بدون فایل هستند.

بدافزارهای چند وجهی می‌توانند کدشان را به صورت بی‌وقفه تغییر دهند تا از شناسایی شدن توسط ابزارهای تشخیص مبتنی بر امضاء پیشگیری کنند. تکنیک‌های ضد سندباکس به بدافزار امکان می‌دهند که تشخیص دهد چه موقع تحت آنالیز و تحلیل قرار دارد تا اجرا را به زمان بعد از خروج از سندباکس موکول کند. بدافزارهای بدون فایل هم برای پیشگیری از شناسایی، در حافظه رم سیستم مستقر می‌شوند.

انواع بدافزارهای متداول

بدافزارهای مختلف خصوصیات و رفتارهای منحصربفردی دارند. انواع بدافزارها عبارتند از:

  • ویروس که متداول‌ترین نوع بدافزار است و می‌تواند خودش را اجرا کرده و با آلوده کردن سایر فایل‌ها یا برنامه‌ها منتشر شود.
  • کرم که می‌تواند بدون یک برنامه میزبان، خودش را کپی کند و معمولاً بدون هیچ گونه مداخله انسانی یا دستورالعملی از جانب نویسندگان بدافزار منتشر می‌شود.
  • اسب تروجان طوری طراحی می‌شود که مثل یک برنامه مجاز به نظر برسد تا به یک سیستم دسترسی پیدا کند. وقتی تروجان پس از نصب فعال شود، می‌تواند توابع مخرب خود را اجرا کند.
  • جاسوس‌افزار برای جمع‌آوری اطلاعات و داده‌ها از روی دستگاه کاربر و نظارت بر اقدامات وی بدون اطلاع خودش طراحی می‌شود.
  • باج‌افزار برای آلوده کردن سیستم کاربر و رمزگذاری داده‌ها طراحی می‌شود. سپس مجرمین سایبری از قربانی درخواست می‌کنند که برای رمزگشایی داده‌های سیستم، باج پرداخت کند.
  • روت کیت برای به دست آوردن دسترسی سطح ادمین به سیستم قربانی استفاده می‌شود. این برنامه پس از نصب، دسترسی روت یا بالاترین سطح دسترسی به سیستم را برای مهاجم فراهم می‌کند.
  • ویروس در پشتی یا تروجان دسترسی از راه دور، یک در پشتی مخفی در سیستم آلوده ایجاد می‌کند که به مجرمین امکان می‌دهد از راه دور و بدون اطلاع کاربر و برنامه‌های امنیتی سیستم به آن دسترسی پیدا کنند.
  • آگهی‌افزار جهت نظارت بر مرورگر کاربر استفاده شده و تاریخچه آن را با هدف نمایش دادن پیام‌های تبلیغاتی یا پاپ‌آپ‌هایی که وی را متقاعد به خرید می‌کنند، دانلود می‌کند. به عنوان مثال ممکن است یک تبلیغ کننده، از کوکی‌ها برای دنبال کردن صفحات بازدید شده توسط کاربر، جهت هدفمند کردن بیشتر تبلیغات استفاده کند.
  • کی‌لاگر که به نام ناظر سیستم هم شناخته می‌شود، جهت مشاهده (تقریباً) تمام اقدامات کاربر روی کامپیوترش استفاده می‌شود که شامل ایمیل‌های تبادل شده، صفحات باز شده، برنامه‌های اجرا شده و کلیدهای تایپ شده توسط کاربر می‌شود.

بدافزار موبایلی

بدافزارها روی گوشی‌های موبایل هم مشاهده می‌شوند و می‌توانند امکان دسترسی به بخش‌های مختلف دستگاه مثل دوربین، میکروفون، جی‌پی‌اس یا شتاب سنج آن را برای مهاجم فراهم کنند. در صورتیکه کاربر روی لینک مخرب ارسال شده از طریق یک ایمیل یا پیام متنی کلیک کرده یا اپلیکیشن‌های غیررسمی را دانلود کند ممکن است گوشی او به بدافزار آلوده شود. همچنین امکان آلوده شدن موبایل از طریق کانکشن وای‌فای یا بلوتوث هم وجود دارد.

معمولاً بدافزارها بیشتر روی سیستم عامل اندروید مشاهده می‌شوند تا iOS و معمولاً از طریق اپلیکیشن‌ها دانلود می‌شود. علائم آلوده شدن دستگاه به بدافزار عبارتند از: افزایش غیرعادی میزان استفاده از دیتا، تخلیه سریع شارژ باتری یا برقراری تماس و ارسال ایمیل و پیامک به مخاطبین بدون اطلاع خود کاربر. همچنین اگر کاربر پیامی از طرف یکی از مخاطبین خودش دریافت کرد که مشکوک به نظر می‌رسید، ممکن است این پیام یک بدافزار موبایلی باشد که بین دستگاه‌ها منتشر می‌شود.

سیستم عامل iOS شرکت اپل به ندرت به بدافزار آلوده می‌شود، زیرا شرکت اپل با دقت اپلیکیشن‌های اپ استور را بررسی می‌کند. با این وجود امکان آلوده شدن این دستگاه‌ها از طریق لینک‌های موجود در پیام‌های متنی یا ایمیل‌ها وجود دارد. در صورت قفل شکنی iOS میزان آسیب‌پذیری آن بیشتر می‌شود.

چگونه می‌توان بدافزارها را شناسایی و حذف کرد؟

ممکن است کاربر با مشاهده پر شدن ناگهانی فضای دیسک، کند شدن غیرطبیعی دستگاه، قفل کردن پی در پی گوشی یا افزایش فعالیت‌های اینترنتی ناخواسته و پیام‌های تبلیغاتی متوجه وجود بدافزار شود. می‌توان یک آنتی ویروس روی دستگاه نصب کرد که بدافزارها را شناسایی و حذف کند. این ابزارها می‌توانند امکان شناسایی لحظه‌ای و بلادرنگ را فراهم کرده یا در هنگام اجرای اسکن دوره‌ای سیستم، بدافزارها را شناسایی و حذف کنند.

به عنوان مثال، Windows Defender یک نرم‌افزار ضد بدافزار از شرکت مایکروسافت است که در سیستم عامل ویندوز ۱۰ و در بخش Windows Defender Security Center قرار دارد. Windows Defender از سیستم در برابر تهدیداتی همچون جاسوس‌افزار، آگهی‌افزار و ویروس‌ها محافظت می‌کند. این نرم‌افزار امکان اجرای اسکن سریع یا کامل و همچنین تنظیم ارسال هشدار برای خطراتی در سطح پایین، متوسط و شدید را دارد.

برنامه‌های مشابه

برنامه‌های دیگری هم هستند که خصوصیاتی مشترک با بدافزارها دارند اما از جهاتی با آنها تفاوت دارند مثل برنامه‌های بالقوه ناخواسته، معمولاً این اپلیکیشن‌ها (مثل نوارابزارهای مرورگر) کاربران را به نوعی متقاعد به نصب می‌کنند اما پس از نصب هیچ کار مخربی انجام نمی‌دهند. با این وجود، در برخی مواقع PUPها حاوی قابلیت‌هایی شبیه جاسوس‌افزار یا امکانات مخرب منفی هستند و می‌توان آنها را به عنوان بدافزار طبقه بندی کرد.

حمله والینگ (شکار نهنگ)

حمله والینگ که به آن شکار نهنگ هم گفته می‌شود، یکی از انواع حملات فیشینگ است که کارمندان سطح بالا مثل مدیرعامل یا مدیر مالی ارشد را هدف می‌گیرد تا اطلاعات حساسی را درباره کمپانی جمع‌آوری کند زیرا افرادی که رتبه بالاتری در کمپانی دارند معمولاً به داده‌های حساس دسترسی دارند. در خیلی از حملات والینگ، هدف مهاجم متقاعد کردن قربانی به صدور مجوز برای انتقال پول‌های کلان به حساب مهاجم است.

اصطلاح والینگ به دلیل ابعاد و بزرگی این حملات انتخاب شده و وال‌ها بر اساس قدرت و اختیاراتشان در کمپانی انتخاب می‌شوند.

به دلیل ماهیت بشدت هدفمند حملات والینگ، شناسایی این حملات نسبت به حملات فیشینگ معمولی سخت‌تر است. در محیط سازمان، مدیران امنیتی می‌توانند با تشویق مدیران شرکت به طی کردن دوره‌های آموزش امنیت اطلاعات، به کاهش اثربخشی حملات والینگ کمک کنند.

حملات والینگ چگونه عمل می‌کنند؟

هدف حمله والینگ، فریب دادن یک شخص جهت افشای اطلاعات شخصی یا سازمانی از طریق مهندسی اجتماعی، جعل ایمیل و محتوا است. به عنوان مثال ممکن است مهاجمین ایمیلی به قربانی ارسال کنند که ظاهراً از سوی یک منبع قابل اعتماد فرستاده شده؛ در برخی حملات والینگ یک وب‌سایت مخرب ایجاد می‌شود که مخصوصاً برای حمله طراحی شده است.

ایمیل‌ها و وب‌سایت‌های مخصوص حمله والینگ، بشدت سفارشی و شخصی سازی می‌شوند و اغلب مواقع در آنها از نام، سمت شغلی یا سایر اطلاعاتی که از طریق منابع مختلف جمع‌آوری شده استفاده می‌شود. این ویژگی‌ها باعث سخت‌تر شدن شناسایی حمله والینگ می‌شود.

حملات والینگ اغلب به تکنیک‌های مهندسی اجتماعی وابسته هستند، زیرا مهاجم یک فایل ضمیمه یا لینک به قربانی ارسال می‌کند که حاوی بدافزار بوده و هدف آن استخراج اطلاعات حساس است. ممکن است مهاجمین با هدف گرفتن قربانیان ارزشمند به خصوص مدیرعامل و سایر مدیران شرکتی و با استفاده از تکنیک‌های نفوذ به ایمیل بیزنسی، آنها را متقاعد به تایید جابجایی وجه کنند. در برخی موارد، مهاجم هویت مدیرعامل یا سایر مدیران شرکت را جعل می‌کند تا آنها را متقاعد به انتقال وجه کند.

این حملات می‌توانند قربانیان را فریب دهند زیرا با توجه به احتمال بازدهی بالا، مهاجمین تمایل بیشتری به صرف زمان و تلاش برای طراحی چنین حملاتی دارند. همچنین مهاجمین از شبکه‌های اجتماعی مثل فیسبوک، توییتر و لینکداین برای جمع‌آوری اطلاعات شخصی درباره قربانیانشان استفاده می‌کنند تا احتمال موفقیت حمله بیشتر شود.

تفاوت بین فیشینگ، والینگ فیشینگ و فیشینگ هدفمند

از آنجایی که حملات فیشینگ معمولی، والینگ فیشینگ و فیشینگ هدفمند همگی جزء حملات آنلاینی هستند که سعی دارند کاربران را متقاعد به ارائه اطلاعات حساس کنند یا با مهندسی اجتماعی آنها را تشویق به انجام اقداماتی مخرب کنند، معمولاً افراد در تفکیک و تشخیص این سه حمله دچار اشتباه می‌شوند.

حمله والینگ، یک نوع حمله فیشینگ هدفمند است که قربانیان خاصی با رتبه و مقام بالا در یک کمپانی را هدف قرار می‌دهند. فیشینگ هدفمند می‌تواند هر فرد خاصی را هدف قرار دهد. هر دو مدل حمله نسبت به حملات فیشینگ معمولی نیاز صرف به تلاش و زمان بیشتری دارند.

فیشینگ یک اصطلاح گسترده‌تر است که هر نوع حمله‌ای را شامل می‌شود و سعی دارد جهت انجام اقدامات مخرب قربانی را تشویق به انجام اقدام خاصی کند از جمله به اشتراک گذاشتن اطلاعات حساس مثل نام کاربری، پسورد و اطلاعات مالی؛ نصب بدافزار یا متقاعد کردن به انجام یک تراکنش یا انتقال وجه. حملات فیشینگ معمولی، اغلب شامل ارسال ایمیل به گروه زیادی از افراد می‌شوند بدون اطلاع از اینکه چه تعداد از آنها موفقیت آمیز خواهند بود اما حملات والینگ فیشینگ معمولاً هر بار با استفاده از اطلاعاتی بشدت شخصی، یک شخص خاص را هدف قرار می‌دهند، و آن هم معمولاً فردی با رتبه بالای سازمانی خواهد بود.

نمونه‌هایی از حملات والینگ

یک حمله والینگ مهم در سال ۲۰۱۶ رخ داد که در آن یکی از کارمندان رتبه بالای اسنپ‌چت، ایمیلی از یک مهاجم دریافت کرد که وانمود می‌کرد مدیرعامل این شرکت است. وی آن کارمند را مجاب به ارائه اطلاعات مربوط به حقوق و دستمزد کارمندان کرد؛ که در نهایت FBI این حمله را مورد بررسی قرار داد.

یکی دیگر از حملات والینگ سال ۲۰۱۶، حمله‌ای بود که در آن یکی از کارمندان شرکت سیگِیت ناخواسته اطلاعات مربوط به مالیات بر درآمد چند کارمند فعلی و گذشته کمپانی را به یک فرد غیرمجاز ارسال کرد. پس از گزارش دادن این حمله فیشینگ به IRS و FBI اعلام شد که داده‌های شخصی هزاران نفر در این حمله والینگ افشا شده است.

اینجا فقط نمونه‌هایی از تهدیدات سایبری آنلاین مطرح شد، متاسفانه روز به روز یا بهتر است بگوییم که لحظه به لحظه بر روش‌های حملات سایبری افزوده می‌شود؛ فراموش نکنیم که با پیشرفت تجهیزات امنیت سایبری در فضای آنلاین و با بالا رفتن دانش سایبری ما، به همان میزان نیز هکرها در تلاشند که راه‌های نفوذ جدیدی را کشف کنند.

با ما همراه باشید.

نمایش بیشتر

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پنج × یک =

دکمه بازگشت به بالا
بستن
بستن