روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ فیشرها به طور فزایندهای از حملات هدفدار پیچیده استفاده میکنند. افزون بر نفوذ به انواع مختلفی از سرویسهای آنلاین قانونی، آنها برای فریب قربانی به دنبال کردن لینک از مهندسی اجتماعی نیز استفاده میکنند. ما اخیراً سری دیگری از نقشههای چندمرحلهای و غیرمتعارف فیشینگ را کشف کردیم که حداقل ارزش این را دارد به کارمندانی که داکیومنتهای مالی را مدیریت میکنند در مورد هشدار داده شود.
ایمیل اول
حمله با ایمیلی به قربانی که ظاهراً از سوی شرکت ممیزیِ واقعی است شروع میشود. در آن، فرستنده میگوید سعی داشته صورت مالی ممیزیشدهای را ارسال کند پس باید در دراپباکس آپلود شود. در نظر داشته باشید که ایمیل از آدرس واقعی روی سرور میل شرکت ارسال میشود (مهاجمین احتمالاً در این نقطه زمان میلباکس را سرقت کردند). از دید هر سیستم امنیتی میلی، این ایمیل تماماً قانونی است و نمیشود آن را از یک مکاتبه تجاری نرمال تمیز داد. حاوی هیچ لینکی نیست و از آدرس شرکت قانونی میآید و صرفاً به گیرنده در مورد تلاش ناموفق برای ارسال ممیزی از طریق ایمیل خبر میدهد. این پیام باید توجه حسابداری که آن را میخواند جلب کند. در این پیام یک تکذیبیه هم وجود دارد که میگوید محتوا محرمانه است و فقط باید گیرنده آن را بخواند و شرکتی که این ایمیل به نامش ارسال شده حضور گسترده آنلاین دارد. به طور کلی، پیام به نظر بسیار متقاعدکننده میآید. تنها پرچم قرمز کوچک، اطلاعاتی است که گزارش باید بواسطه Dropbox Application Secured Upload از نو ارسال میکرد. اصلاً چنین چیزی وجود ندارد. فایل آپلودشده در دراپباکس میتواند با پسورد محافظت شود و نه بیشتر. هدف اصلی این عبارت احتمالاً آماده کرد گیرنده برای این حقیقت بوده که نوعی احراز هویت برای دالود گزارش لازم است.
ایمیل دوم
بعدش نوتیفی مستقیم از خود دراپباکس میآید که میگوید ممیزگر ایمیل قبلی فایلی به نام audited financial statements را به اشتراک گذاشته و درخواست داده تا آن بازنگری، امضا و برای پردازش بازگشت داده شود. تا اینجا، ایمیل دوم هم مشکوک نیست. لینکی دارد که به سرویس ذخیرهگاه داده آنلاین که قانونی است هدایت میشود و برای همین هم هست که از دراپباکس استفاده میکنند. اگر نوتیف بدون پیام همراه میآمد شاید نادیده گرفته میشد. با این حال، گیرنده آمده شده و احتمالاً به وبسایت دراپباکس رفته و سعی دارد داکیومنت را مشاهده کند.
فایل دراپباکس
وقتی قربانی روی لینک کلیک میکند، داکیومنتی تار میبیند و پنجرهای بالای آن باز میشود که درخواست دارد با اطلاعات لاگین آفیس، احراز انجام شود. اینجا اما آنچه قابل مشاهده است با باطنش فرق دارد زیرا هر دو پسزمینه تار و پنجرهی دکمهدار در واقع بخشی از یک تصویر واحدند که در یک فایل پیدیاف درج شدند. قربانی حتی نیازی ندارد روی دکمه VIEW DOCUMENT کلیک کند- کل سطح تصویر در اصل یک دکمه بزرگ بوده است. لینک زیرش از طرق سایت فوری با ریداریکت به اسکریپتی منتهی میشود که فرمی برای وارد کردن اطلاعات لاگین اجرا میکند (دقیقاً همان چیزی که مهاجمین میخواهند). همه کارمندان شرکت باید آگاه باشند که پسوردهای کاری باید فقط روی سایتهایی وارد شوند که واضحاً به شرکت خودشان متعلق است. نه دراپبکس و نه ممیزگرهای خارجی نباید بدانند پسورد کاری شما چیست و از این رو نمیتوانند آنها را احراز هویت کنند.
راهکار امنیتی
با توجه به اینکه مهاجمین هر بار دست به ابداع نقشههای پیچیدهتر برای سرقت اطلاعات سازمانی میزنند، توصیه میکنیم راهکارهایی را به کار ببید که روی سطوح مختلف امنیت اطلاعات ارائه میدهند. ابتدا از محافظت میل سرور استفاده کنید و بعد راهکار امنیتی را با فناوریهای ضد فیشینگ مطمئن روی همه دستگاههای کاری که با اینترنت سر و کار دارند نصب کنید.
