ITanalyze

سمیه مهدوی پیام – حملات فیشینگ به طرز وحشتناکی پیچیده می‌شوند. هکرها از ترفندهای جدید برای انجام این حملات استفاده می‌کنند تا از موفقیت‌شان اطمینان حاصل کنند. این، موضوعی است که همگی باید مراقب آن باشند.

دنی پالمر در زدنت (zednet)، از پیچیدگی حملات فیشینگ، ترفندهای جدید برای انجام این حملات و شیوه‌های مقابله با آن سخن گفته است.

• چگونگی فریب کاربران با حملات فیشینگ
  هکرها همیشه تمام تلاش خود را می‌کنند، آنها اقداماتی از جمله تقلید از افراد واقعی، ایجاد و به‌روزرسانی پروفایل‌های جعلی رسانه‌های اجتماعی را انجام می‌دهند تا قربانیان، فریب بخورند، روی لینک‌های فیشینگ کلیک کنند و نام‌های کاربری و رمزهای عبور خود را تحویل دهند.

مرکز ملی امنیت سایبری بریتانیا (NCSC) به عنوان بازوی امنیت سایبری سرویس اطلاعاتی GCHQ هشدار می‌دهد که حملات فیشینگ، افراد و سازمان‌ها را در طیف وسیعی از بخش‌ها هدف قرار می‌دهد. هدف نهایی حملات فیشینگ این است که قربانی را فریب دهد تا روی پیوندهای مخربی کلیک کند که به صفحات ورود جعلی، با ظاهر واقعی، هدایت می‌شوند. در این مرحله است که قربانی با وارد کردن رمز ورود، دسترسی مهاجمان به حساب خود را فراهم می‌کند و هکرها از اطلاعات واردشده برای سوءاستفاده مستقیم از فرد قربانی یا برای دسترسی به سایر قربانیان استفاده می‌کنند.

بسیاری از پیوندهای مخرب به گونه‌ای طراحی شده‌اند که شبیه نرم‌افزارهای ابری رایج و collaboration tools، از جمله گوگل‌درایو، وان درایو و سایر پلتفرم‌های اشتراک‌گذاری فایل هستند. در یک مورد، مهاجمان حتی یک تماس از طریق زوم با قربانی برقرار کرده و سپس یک پیام مخرب URL در نوار چت، حین تماس ارسال کردند.

آنها چندین کاراکتر با موضوعات مختلف در قالب فیشینگ نیز ایجاد کرده‌اند که همگی توسط مهاجمان کنترل می‌شوند تا مشروعیت‌بخشی خود را افزایش دهند.

اولین مرحله از حملات فیشینگ نیزه‌ای، تحقیق و آماده‌سازی است. به این منظور، مهاجمان از پروفایل‌های در دسترس عموم مانند رسانه‌های اجتماعی و پلتفرم‌های شبکه استفاده می‌کنند که تا حد امکان، اطلاعات شخصی اهداف خود را از قبیل شماره تماس و فعالیت‌های حرفه‌ای و شخصی دنیای واقعی‌اش را پیدا کنند.

معمولا مهاجمان برای اقناع رویکردها، پروفایل‌های شبکه‌های اجتماعی و شبکه‌های اجتماعی جعلی را با نام افراد واقعی راه‌اندازی می‌کنند. برخی رویکردها به‌گونه‌ای طراحی شده‌اند که هرچند شبیه رویدادهای واقعی به نظر می‌رسند اما نادرست هستند.

• تکنیک‌های کلیدی کمپین‌های فیشینگ
  بنا به ادعای NCSC، این کمپین‌ها کار مهاجمان سایبری مستقر در روسیه و ایران است. البته کمپین‌های روسیه و ایران، ربطی به همدیگر ندارند اما تاکتیک‌های آنها با یکدیگر هم‌پوشانی دارند، زیرا در فریب مردم برای قربانی شدن در حملات فیشینگ موثرند.

مهم نیست مهاجمان جعل هویت چه‌کسی هستند یا از چه نوع فریبکاری استفاده می‌کنند. یکی از ویژگی‌های مشترک بسیاری از کمپین های فیشینگ این است که چگونه آدرس‌های ایمیل شخصی را هدف قرار می دهند. احتمالا از این تاکتیک برای کمک به دور زدن هرگونه کنترل امنیت سایبری در اکانت‌ها و شبکه‌های شرکت‌ها استفاده می‌شود، اگرچه آدرس‌های ایمیل شرکتی یا تجاری نیز مورد هدف قرار گرفته‌اند.

یکی دیگر از تکنیک‌های کلیدی پشت این کمپین‌های فیشینگ، صبر و شکیبایی مهاجمان است. آنها برای ایجاد رابطه با اهداف خود زمان صرف می‌کنند. این مهاجمان بلافاصله وارد ارسال لینک مخرب نمی‌شوند و از هدف موردنظرشان نمی‌خواهند روی یک پیوند مخرب کلیک کند یا یک پیوست مخرب را باز نماید.

آنها به آرامی، اعتماد ایجاد می‌کنند. این فرایند معمولا با اولین ایمیلی شروع می‌شود که به نظر می‌رسد، بی‌خطر است. در واقع این ایمیل، اغلب مربوط به موضوعی است که به لطف آماده‌سازی دقیق، شانس بالایی برای جالب و جذاب بودن هدف خود دارد.

مهاجمان سپس ایمیل‌هایی را پی در پی برای هدف خود می‌فرستند، گاهی اوقات، آنها برای مدت طولانی منتظر می‌مانند تا سطح اعتماد موردنیاز قربانی را ایجاد کنند و وی دیگر از باز کردن یک پیوند یا یک پیوست تردیدی نداشته باشد. پیوند مخرب تحت پوشش یک سند یا وب‌سایت که برای قربانی جالب و مرتبط است، مانند دعوت‌نامه کنفرانس یا دستورکار، ارسال می‌شود که قربانی را به سروری که توسط مهاجم کنترل می‌شود، هدایت می‌کند.

هنگامی که قربانی، نام کاربری و رمز عبور خود را برای دسترسی به لینک مخرب وارد می‌کند، این جزییات برای مهاجمان ارسال می‌شود. آنها اکنون می‌توانند از ایمیل‌های قربانی و اکانت‌های درگیری که از این طریق به دست آورده‌اند، سوءاستفاده کنند. به گفته NCSC، این سوءاستفاده، شامل سرقت اطلاعات و فایل‌ها از اکانت‌ها و نیز نظارت بر ایمیل‌ها و پیوست‌هایی است که قربانی ارسال و دریافت می‌کند.

مهاجمان همچنین از دسترسی به حساب ایمیل قربانی، برای وارد کردن داده‌های فهرست پستی و فهرست‌های مخاطبان استفاده می‌کنند. اینها اطلاعاتی است که بعدا برای کمپین‌های بعدی مورد سوءاستفاده قرار می‌گیرد و مهاجمان از آدرس ایمیل در معرض خطر، برای انجام حملات فیشینگ بیشتر علیه دیگران استفاده می‌کنند.

• ادعای ردپای ایران و روسیه در کمپین‌های فیشینگ
  پل چیچستر، مدیر عملیات  NCSC مدعی شد: «این کمپین‌ها توسط بازیگران تهدید مستقر در روسیه و ایران راه‌اندازی می‌شود و  بی‌رحمانه در تلاش برای سرقت اعتبار آنلاین اهداف خود و به خطر انداختن سیستم‌های بالقوه حساس هستند.»

او افزود: «ما کاملا سازمان‌ها و افراد را تشویق می‌کنیم که نسبت به رویکردهای بالقوه هوشیار باشند و توصیه‌های سطوح پایین مشاوره را دنبال کنند تا از خود به صورت آنلاین محافظت نمایند.»

در همین زمینه، NCSC به کاربران هشدار می‌دهد که مراقب تکنیک‌های دقیق فیشینگ باشند، مانند ایمیل‌هایی که ادعا می‌کنند مربوط به شرایط حرفه‌ای هستند و به آدرس ایمیل شخصی ارسال می‌شوند.

توصیه می‌شود از رمز عبور قوی برای ایمن کردن اکانت ایمیل خود استفاده کنید؛ رمز عبوری که متفاوت از گذرواژه‌های هریک از اکانت‌های دیگر شماست؛ به‌طوری که اگر مهاجمان، به هر نحو، موفق به سرقت رمز عبور ایمیل شما شوند، نتوانند از آن برای دسترسی به سایر اکانت‌های شما استفاده کنند.

راه دیگر برای کمک به محافظت از اکانت خود در برابر حملات فیشینگ، فعال کردن احراز هویت چندعاملی است که می‌تواند مانع دسترسی هکرها به اکانت شما شود؛ حتی اگر رمز عبور شما را بدانند.  همچنین به شما هشدار می‌دهد که ممکن است اعتبار شما در معرض خطر قرار گرفته باشد.

اقدام دیگر این است که  باید با اعمال آخرین به‌روزرسانی‌های امنیتی، از دستگاه و شبکه خود محافظت کنید. این، چیزی است که می‌تواند مانع سوءاستفاده مهاجمان از آسیب‌پذیری‌های نرم‌افزاری شناخته‌شده برای انجام حملات یا دسترسی به اکانت شما شود.

• ترفندهای جدید هکرها برای فیشینگ

هکرها از ترفندهای جدیدی برای انجام حملات فیشینگ استفاده می‌کنند. این مجرمان سایبری از روش جدید بهره می‌برند تا اطمینان یابند هجوم آنها موفقیت‌آمیز است. آنها از ایمیل‌های فیشینگ ساخته‌شده منحصربه‌فرد، برای آلوده کردن قربانیان از طریق بدافزار استفاده می‌کنند و این کار را با آزمایش روش جدید برای ارسال محموله‌های مخرب انجام می‌دهند.

بر اساس تحلیل شرکت امنیت سایبری پروف‌پوینت (Proofpoint)، حملات سایبری تلاش می‌کنند بدافزار را با استفاده از اسناد OneNote ارایه کنند. این اسناد، یک نوت‌بوک دیجیتالی با پسوندهای one است که بخشی از مجموعه‌برنامه‌های آفیس Microsoft 365 است.

محققان امنیت سایبری خاطرنشان می‌کنند که سوءاستفاده از اسناد OneNote به این شکل، غیرعادی است اما یک دلیل ساده برای استفاده از آن توسط مهاجمان وجود دارد، زیرا آنها راحت‌تر از سایر پیوست‌ها، می‌توانند از خطر تشخیص تهدید توسط رایانه مصون بمانند. به نظر می‌رسد این ترفند، موثر است.

طبق گزارش پروف‌پوینت، بر اساس داده‌های موجود در مخازن بدافزار منبع باز، پیوست‌های مشاهده‌شده در ابتدا توسط چندین موتور ضد ویروس به‌عنوان مخرب شناسایی نشدند، بنابراین به احتمال زیاد کمپین‌های اولیه در صورت مسدود نشدن ایمیل، نرخ کارآمدی بالایی داشتند.

از زمانی که مایکروسافت، به‌طور پیش‌فرض در سال 2022 شروع به مسدود کردن ماکروها کرد، عوامل تهدید با بسیاری از تاکتیک‌ها، تکنیک‌ها و رویه‌های جدید (TTP) از جمله استفاده از انواع فایل‌هایی که قبلا به ندرت مشاهده شده بودند، مانند هارد دیسک مجازی (VHD)،HTML  کامپایل شده (CHM) و اکنون OneNote (.one) کار می‌کنند.

ایمیل‌های فیشینگ که برای اولین بار در دسامبر 2022 ارسال شدند و تعداد آنها در ژانویه 2023 به میزان قابل توجهی افزایش یافت، تلاش می‌کنند یکی از چندین بدافزار مختلف، از جمله AsyncRAT، Redline، AgentTesla و Doubleback را ارایه دهند که همگی برای سرقت اطلاعات حساس قربانیان، از جمله نام کاربری و رمز عبور، طراحی شده‌اند.

محققان پروف‌پوینت خاطرنشان می‌کنند یک گروه مجرم سایبری که آنها به ‌عنوان TA577 ردیابی کرده‌اند، از OneNote در کمپین‌هایی برای ارایه Qbot  استفاده کرده است. در این زمینه، TA577 به جای سرقت اطلاعات برای استفاده خود، به عنوان یک واسطه دسترسی اولیه عمل می‌کند و نام‌های کاربری و رمزهای عبور سرقت‌شده را به مجرمان سایبری دیگر، از جمله هکرهای باج‌افزار می‌فروشد.

بیش از 60 مورد از این کمپین‌ها تاکنون شناسایی شده‌اند. همه آنها ویژگی‌های مشابهی دارند مانند ایمیل‌ها، پیوست‌های فایل مرتبط با محتواهای مختلف از جمله فاکتورها، حواله‌ها، حمل‌ونقل، تم‌های فصلی مانند اطلاعات هدیه کریسمس و غیره. به عنوان مثال، پیام فیشینگ ارسال‌شده به اهداف در بخش‌های تولیدی و صنعتی، شامل نام‌های پیوست مربوط به قطعات و مشخصات خودرو‌ها بود که نشان می‌دهد سطح بالایی از تحقیقات برای ساخت این فریب، توسط هکرها انجام شده است.

سایر کمپین‌های OneNote کمی عمومی‌تر هستند و به طور همزمان، برای هزاران قربانی احتمالی ارسال می‌شوند. یکی از این کمپین‌ها، بخش آموزش را با فاکتورهای جعلی هدف قرار داد، در حالی که دیگری به طور گسترده‌تر منتشر شده بود و ادعا می‌کرد که یک هدیه کریسمس یا پاداش، به هزاران قربانی احتمالی ارایه می‌کند.

در هر مورد، حمله فیشینگ به قربانیانی متکی است که ایمیل یا پیوست OneNote را باز کرده و روی پیوندهای مخرب کلیک می‌کند. زمانی که OneNote یک پیام هشدار درباره پیوندهای مشکوک ارایه می‌دهد، کاربرانی که ایمیل ساخته‌شده خاص برای درخواست تجدیدنظر مستقیم به آنها ارسال شده یا فکر می‌کنند پاداش دریافت می‌نمایند، می‌توانند از این هشدار عبور کنند.

• میزان موفقیت کمپین‌های فیشینگ
  محققان هشدار می‌دهند که اگر ایمیل‌ها مسدود نشوند، احتمالا این کمپین‌ها، میزان موفقیت بالایی دارند و گروه‌های تهدید سایبری بیشتری، احتمالا از این روش برای ارایه موفقیت‌آمیز کمپین‌های فیشینگ و بدافزار استفاده می‌کنند. به اعتقاد آنها، این، «نگران‌کننده» است.

پروف‌پوینت به طور فزاینده‌ مشاهده کرده که از پیوست‌های OneNote برای ارسال بدافزار استفاده می‌شود. بر اساس تحقیقات، به نظر می‌رسد چندین عامل تهدید از پیوست‌های OneNote برای دور زدن شناسایی‌های تهدید استفاده می‌کنند. همان‌طور که توسط TA577 بیان شده، این تاکتیک می‌تواند به نقطه ورود اولیه برای توزیع باج‌افزار تبدیل شود و کل سازمان و شبکه را فلج کند. با این حال، هرچند حملات فیشینگ، ابزار موثری برای مجرمان سایبری است اما قربانی شدن اجتناب‌ناپذیر نیست.

پروف‌پوینت پیشنهاد می‌کند سازمان‌ها باید از یک فیلتر هرزنامه قوی استفاده کنند که از رسیدن این پیام‌ها به صندوق‌های ورودی افراد جلوگیری کند. سازمان‌ها باید درباره این تکنیک به کاربران نهایی آموزش دهند و آنها را تشویق کنند ایمیل‌ها و پیوست‌های مشکوک را گزارش نمایند.

یک سخنگوی مایکروسافت به زدنت می‌گوید: این، یک تکنیک فیشینگ است که قربانی را متقاعد می‌کند تا سندی را با یک پیوست مخرب تعبیه‌شده باز کند و سپس با استفاده از یک اعلان امنیتی، اجرای پیوست را دور بزند. ما مشتریان را تشویق می‌کنیم تا عادت‌های رایانه‌ای خوب را به ‌صورت آنلاین تمرین کنند، از جمله اینکه هنگام کلیک روی پیوندهای صفحات وب یا باز کردن آنها، احتیاط لازم را داشته باشند. (منبع:عصرارتباط)