حملات فیشینگ داخلی

حملات فیشینگ داخلی

 

این روزها نگرانی متخصصان امنیتی درمورد حملات «فیشینگ داخلی» بیشتر از همیشه است. حملات فیشینگ داخلی، حملاتی هستند که به‌واسطه یک کاربر مورد اعتماد از درون یک سازمان و کسب‌وکار روی کاربران دیگر در داخل همان مجموعه حمله فیشینگ انجام می‌شود؛ به‌گونه‌ای که می‌توان گفت این حملات چند مرحله‌ای هستند.
در حملات فیشینگ داخلی، کنترل حساب ایمیل یک کاربر مورد اعتماد در داخل یک مجموعه (با استفاده از نرم‌افزارهای مخرب نصب شده یا به‌واسطه دسترسی‌های موجود از هک‌های قبلی) به دست هکرها افتاده و به وسیله آن، حمله به سایر کاربران صورت می‌گیرد. به گفته مختصصان از ایمیل‌های فیشینگ داخلی برای حملات هدفمند سرقت اطلاعات و همچنین اخاذی و کلاهبرداری استفاده می‌شود. در ادامه به بررسی و چند مثال خواهیم پرداخت.

 

کمپین حملات هدفمند EyePyramid

کمپین حملات هدفمند EyePyramid چندین سال است که آغاز شده و از اوج حملات آن در سال ۲۰۱۴ به عنوان یکی از حملات گسترده فیشینگ داخلی یاد می‌شود. تکنیک مورد علاقه هکرها در حملات EyePyramid استفاده از یک کاربر برای حمله فیشینگ و آلوده سازی کاربر بعدی بود. به‌گونه‌ای که هکرها از یک فایل ضمیمه شده حاوی نرم‌افزار مخرب برای سرقت مخفی اطلاعات به همراه آدرس ایمیل قربانی بعدی استفاده می‌کردند. به گفته آزمایشگاه امنیتی شرکت ترند میکرو، بیش از ۱۰۰ دامنه ایمیل و ۱۸ هزار حساب ایمیل طی آن حملات مورد هدف قرار گرفتند.

کمپین حملات هدفمند EyePyramid


 

حملات فیشینگ داخلی با استفاده از آفیس ۳۶۵

محبوبیت مایکروسافت آفیس ۳۶۵ باعث شده است که استفاده از آن برای ایجاد کمیپن‌های حملات مختلف توسط هکرها، جذاب‌تر از همیشه شود. برای مثال متخصصان امنیتی می‌گویند بسیاری از مهاجمین تلاش می‌کنند تا با حملات فیشینگ، اعتبار کاربران Office 365 را بدست آورند. هنگامی که یک حساب کاربری در معرض خطر قرار می‌گیرد، مهاجمان می‌توانند یک حمله تجاری با آن ایمیل برای انجام کارهای مختلف انجام دهند.

نمونه حمله با استفاده از سند آفیس ۳۶۵ برای کلاهبرداری
نمونه حمله فیشینگ داخلی با استفاده از سند آفیس ۳۶۵ برای کلاهبرداری
نمونه حمله با استفاده از سند آفیس ۳۶۵ برای کلاهبرداری
نمونه حمله فیشینگ داخلی با استفاده از سند آفیس ۳۶۵ برای کلاهبرداری

 


 

حملات مخرب به فایننشال تایمز

یکی از نمونه‌های مخرب حمله فیشینگ داخلی، حملات بالقوه به نشریه فایننشال تایمز است. چند سال پیش مهاجمان از یک حساب ایمیل آسیب‌دیده برای ارسال ایمیل‌های فیشینگ، جهت سرقت اعتبارنامه‌های سایر حساب‌های کاربری ft.com استفاده می‌کردند و این ماجرا تا مدت‌ها ادامه داشت؛ بعدها مشخص شد که آن حملات توسط ارتش الکترونیکی سوریه انجام شده بود.

نمونه ایمیل فیشینگ داخلی ارسال شده در فایننشال تایمز که آدرس یک سایت جعلی را در url پنهان کرده‌اند
نمونه ایمیل فیشینگ داخلی ارسال شده در فایننشال تایمز که آدرس یک سایت جعلی را در url پنهان کرده‌اند

طی حملات مخرب به این نشریه زمانی‌که واحد IT فایننشال تایمز از وقوع فیشینگ داخلی مطلع شده بود، با ارسال ایمیل هشدار برای همه‌ی کاربران، لینک‌هایی را برای تغییر رمزهای عبور ارسال کرده بود. اما مشکل آنجا بود که مهاجمان ایمیل‌های هشدار را مشاهده و آن را با لینک سایت فیشینگی مجزا برای حفظ دسترسی جدید جایگزین کرده بودند.

​ نمونه ایمیل هشدار توسط بخش IT فایننشال تایمز که آدرس سایت فیشینگ را برای تغییر پسورد در آن جایگزین کرده‌اند ​
​ نمونه ایمیل هشدار توسط بخش IT فایننشال تایمز که آدرس سایت فیشینگ را برای تغییر پسورد در آن جایگزین کرده‌اند ​

در نهایت ماجرا فایننشال تایمز به آنجا ختم شد که مهاجمان به تمام حساب‌ها و سیستم‌هایی که نیاز داشتند دسترسی یافته و بعد از مدتی تصمیم گرفتند این نشریه را رها کنند و به سراغ سایر رسانه‌ها بروند.

 


 

راهکار

سناریو حملات فیشینگ داخلی از پیچیدگی‌های خاصی برخوردار است و نمی‌توان راهکار مشخص و ثابت برای آن ارائه داد. اما آنچه که مشخص است، استفاده از رمزنگاری (استفاده از کلید PGP) در زمان ارسال و دریافت ایمیل‌ها، می‌تواند مانع وقوع برخی مشکلات از جمله مشاهده ایمیل توسط افراد خارج از مجموعه داخلی (گیرنده اصلی) شود.
در گام بعد برای کاهش حملات فیشینگ داخلی، احراز هویت چند عاملی «MFA» را می‌تواند گزینه‌ای مناسبی معرفی کرد. با این روش خطر حمله مهاجمان پس از به دست آوردن اعتبارنامه‌های حساب‌های کاربری دزدیده شده به حداقل می‌رسد؛ اما باید توجه داشت که استفاده از احراز هویت چند عاملی، راهکاری همیشه موثر و کارساز نبوده و ممکن است به خاطر وجود نرم‌افزارهای مخرب، فرآیندهای احراز هویت چند عاملی نیز به خطر بیافتد.
در پایان می‌توان گفت بهترین رویکرد زمان حملات فیشینگ داخلی، بررسی دقیق دسترسی‌ها و ترافیک خروجی و ورودی دروازه‌های سرویس ایمیل، اسکن تهدیدات مختلف مانند پیوست‌ها و لینک‌های موجود در ایمیل‌ها، استفاده از نرم‌افزارهای مدیریت امنیت سرویس‌های ایمیل برای شناسایی و مقابله با این تهدید بسیار جدی است.