By 
مجرمان سایبری دائما به دنبال راه های جدیدی برای حمله به مشاغل هستند. در سال های اخیر ، آنها به طور فزاینده ای از حملات سازش با ایمیل (BEC) استفاده کرده اند که مکاتبات شرکت را هدف قرار داده اند. از 3500 تا سال 2018 ، به علاوه افزایش خسارت از 1.2 میلیارد دلار به 1.7 میلیارد دلار.
حمله BEC چیست؟
حمله BEC به عنوان یک کارزار هدفمندی در زمینه جرائم سایبری تعریف شده است که توسط:
- آغاز مبادله نامه الکترونیکی با کارمند مشاغل ، یا تصاحب یک تجارت موجود انجام می شود.
- کسب اعتماد به نفس کارمند؛ اقدامات تشویقی را که به نفع منافع تجارت یا مشتریان آن است ، تشویق کنید. معمولاً اقدامات مربوط به انتقال وجه به حساب مجرمان یا ارسال پرونده های محرمانه است ، اما نه همیشه. به عنوان مثال ، کارشناسان ما اخیراً با درخواستی روبرو شده اند که به نظر می رسد از طرف مدیرعامل یک شرکت همراه است ، با دستورالعمل ارسال کد کارت های هدیه در پیام های متنی به یک شماره تلفن خاص. اگرچه تلاش های BEC اغلب از ترفندهای فیشینگ استفاده می کند ، اما این حمله تا حدی پیچیده تر است که یک پا در تخصص فناوری و دیگری در مهندسی اجتماعی است. . علاوه بر این ، تکنیک های استفاده شده منحصر به فرد هستند: پیام ها حاوی پیوندها یا پیوست های مخرب نیستند ، اما مهاجمان سعی می کنند مشتری ایمیل و در نتیجه گیرنده را فریب دهند ، به گونه ای که وی ایمیل را مشروع می داند. . مهندسی اجتماعی نقش اصلی را ایفا می کند. جمع آوری دقیق داده ها در مورد قربانی بطور کلی قبل از حمله انجام می شود. متجاوز بعدا از آن استفاده می کند تا اعتماد خود را جلب کند. مکاتبات می تواند از دو یا سه پیام تشکیل شده باشد ، یا چندین ماه طول بکشد. در یک یادداشت جداگانه ، حملات چند مرحله ای BEC ، که سناریوها و فناوری های مختلفی را با هم ترکیب می کنند ، قابل ذکر است. به عنوان مثال ، مجرمان سایبری می توانند ابتدا اعتبار یک کارگر معمولی را با استفاده از فیشر نیزه به سرقت برده و سپس حمله به یک کارمند با رتبه بالاتر را انجام دهند. 39 ؛ تجارت.
سناریوهای حمله مشترک BEC
تعداد زیادی از سناریوهای حمله BEC در حال حاضر وجود دارند ، اما مجرمان سایبری همیشه در حال اختراع موارد جدید هستند. طبق مشاهدات ما ، بیشتر موارد می تواند به یکی از چهار گزینه کاهش یابد:
- جعلی در خارج از مهمانی. مهاجمان به عنوان نماینده سازمانی که شرکت گیرنده با آن کار می کند ، مطرح می شوند. گاهی اوقات این یک تجارت واقعی است که با آن تجارت قربانی در واقع تجارت می کند. در موارد دیگر ، مجرمان سایبری با تظاهر به نمایندگی از یک تجارت جعلی سعی در فریب قربانیان ساده لوح یا بی احتیاط می کنند. دستورالعمل از رئیس. در اینجا ، مجرمان سایبری با استفاده از ترفندهای فنی یا مهندسی اجتماعی پیغامی جعلی به نمایندگی از یک مدیر (معمولاً رتبه بالا) ایجاد می کنند.
- پیام از وكیل. کلاهبرداران فوراً و مهمتر از همه مطالبه محرمانه و یا داده های حساس را به یک کارمند عالی رتبه (گاهی اوقات حتی به مدیرعامل) می نویسند. آنها غالباً هویت یک کارآفرین مانند یک حسابدار خارجی ، تأمین کننده یا شرکت لجستیک را غصب می کنند. با این حال ، اکثر موقعیت هایی که نیاز به پاسخ فوری و محرمانه دارند ، ماهیت قانونی دارند ، بنابراین معمولاً پیام ها به نمایندگی از وکیل یا یک وکالت ارسال می شوند. انتقال ایمیل. متجاوز دسترسی به نامه کارمند دارد و دستورالعمل انتقال وجه یا ارسال داده را صادر می کند ، یا مکاتبات را با افراد مجاز برای انجام این کار آغاز می کند. این گزینه به ویژه خطرناک است زیرا مهاجم می تواند پیامها را در صندوق ورودی نمایش دهد ، که این امر تقلید از سبک ارتباطات کارمند را آسان تر می کند.
تکنیک های حمله BEC
حملات BEC نیز از دیدگاه تکنولوژیکی در حال پیشرفت است. اگر در سال 2013 ، آنها از حساب های ایمیل منحرف شده مدیرعامل یا CFO استفاده کردند ، اکنون به لطف ترکیبی از subterfuge بر تقلید موفقیت آمیز یک شخص دیگر تکیه می کنند. فنی ، مهندسی اجتماعی و بی دقتی از جانب قربانی. در اینجا ترفندهای اساسی فنی آنها به کار رفته است:
- جعل و ارسال پیام از ارسال کننده ایمیل. کلاهبردار عناوین نامه را غصب می کند. بنابراین ، به عنوان مثال ، به نظر می رسد پیامی که توسط [email protected] ارسال شده است از [email protected] در صندوق ورودی قربانی آمده است. این روش تغییرات زیادی دارد و می توان هدرهای مختلف را به روشهای مختلف تغییر داد. خطر اصلی این روش حمله این است که مهاجمان نه تنها می توانند هدر پیام ها را دستکاری کنند – به دلایل مختلف ، ارسال کنندگان مشروع نیز می توانند. زمینه های مشابه جرائم سایبری نام دامنه ای را بسیار شبیه به قربانی ثبت می کند. به عنوان مثال ، به جای مثال.com com. سپس پیامها به امید اینکه یک کارمند بی دقتی نتواند دامنه جعلی را پیدا کند ، به [email protected] ارسال می شود. مشکل در اینجا نهفته است که مهاجم واقعاً صاحب دامنه جعلی است ، بنابراین اطلاعات مربوط به فرستنده تمام چک های امنیتی سنتی را منتقل می کند. [Mailsploits]. آسیب پذیری های جدید هنوز در مشتری های ایمیل مشاهده می شود. بعضی اوقات می توان از آنها استفاده کرد تا مشتری را وادار به نمایش یک نام کاذب یا آدرس فرستنده کند. خوشبختانه این آسیب پذیری ها به سرعت مورد توجه شرکت های infosec قرار می گیرند و به راه حل های امنیتی امکان پیگیری استفاده از آنها و جلوگیری از حملات را می دهند. انتقال ایمیل. مهاجمان دسترسی کامل به یک حساب ایمیل می دهند ، پس از آن می توانند پیامهایی ارسال کنند که تقریباً قابل تشخیص از موارد واقعی نیستند. تنها راه برای محافظت خودکار از خود در برابر این نوع حمله ، استفاده از ابزارهای یادگیری ماشینی برای تعیین حق چاپ ایمیل است.
مواردی که ما با آنها روبرو شدیم
ما به محرمانه بودن مشتریان احترام می گذاریم ، بنابراین پیام های زیر پیام های واقعی نیستند بلکه نمونه هایی از برخی از ویژگی های مشترک BEC هستند.
نام کاذب
مهاجم تلاش می کند با یک قربانی بالقوه ارتباط برقرار کند ، و به عنوان رئیس خود معرفی می شود. به منظور اینکه گیرنده سعی در تماس با افسر برتر برتر نداشته باشد ، کلاهبردار هم بر ضرورت درخواست و هم بر عدم دسترسی فعلی رئیس از طریق کانال های دیگر تأکید می کند ارتباطات:
پس از بررسی دقیق نشان می دهد که نام فرستنده (باب) با آدرس ایمیل واقعی مطابقت ندارد. ([email protected]). در این حالت ، مهاجم تنها نامی را نشان می دهد که هنگام باز شدن پیام نمایش داده می شود. این نوع حمله بخصوص در دستگاه های تلفن همراه مؤثر است که به طور پیش فرض فقط نام فرستنده را نشان می دهند نه آدرس آنها.
آدرس غلط
مجرمان سایبری به دنبال کارمند حسابداری هستند که مجاز به تغییر جزئیات بانکی خود باشد ، با نوشتن:
در اینجا ، & # 39؛ هدر پیام به گونه ای تغییر داده می شود که مشتری هم نام و هم آدرس ایمیل کارمند قانونی را نشان دهد اما ایمیل مهاجم به عنوان آدرس پاسخ داده می شود بنابراین ، پاسخ به این پیام به [email protected] ارسال می شود. بسیاری از مشتریان زمینه پاسخ پیش فرض را پنهان می کنند ، بنابراین این پیام حتی پس از بازرسی دقیق معتبر به نظر می رسد. از نظر تئوری ، با پیکربندی صحیح SPF ، DKIM و DMARC بر روی سرور پست الکترونیکی ، می توان حمله با استفاده از چنین پیامی را متوقف کرد.
غصب ارواح
مهاجم که بعنوان مدیر مطرح می شود ، نیاز کارمند را تحت تأثیر قرار می دهد. برای همکاری با یک وکیل جعلی ، که انتظار می رود به زودی در تماس باشد:
در اینجا ، قسمت فرستنده نه تنها نام ، بلکه آدرس ایمیل جعلی این تکنیک آوانگاردترین نیست ، اما بسیاری از افراد آن را ترجیح می دهند ، به خصوص اگر آدرس واقعی روی صفحه گیرنده نمایش داده نشود (به عنوان مثال ، فقط به این دلیل که خیلی طولانی است)
دامنه مشابه
یک مجرمان سایبری دیگری سعی دارد مبادله نامه الکترونیکی را با یک کارمند شرکت آغاز کند:
این نمونه ای از روش دامنه مشابه است که در بالا به آن اشاره کردیم. کلاهبردار ابتدا نام دامنه ای مشابه یک نام مورد اعتماد (در این مورد ، examp1e.com به جای shembull.com) را ثبت می کند ، و سپس امیدوار است که گیرنده متوجه آن نشود.
حملات BEC سطح بالا
تعدادی از گزارش های اخیر حملات BEC را برجسته کرده اند که باعث ایجاد خسارت قابل توجهی به مشاغل با اشکال و اندازه های مختلف شده است. در اینجا موارد جالب توجهی وجود دارد:
- یک مجرمان سایبری دامنه ای را ایجاد کردند که از یک تولید کننده الکترونیک تایوانی تقلید می کند ، و سپس از آن برای ارسال فاکتور به شرکت های بزرگ (از جمله فیس بوک و گوگل) طی یک دوره دو ساله ، با جیب 120 دلار [1959005] که به عنوان یک شرکت ساختمانی تحت تأثیر قرار گرفتند ، جرایم سایبری دانشگاه دانشگاه اورگان جنوبی را ترغیب کرد که نزدیک به 2 میلیون دلار به حساب های ساختگی واریز کند. برخی کلاهبرداران با ثبت دامنه حاوی نام یکی از آنها اما با پسوند دامنه متفاوت در مکاتبات بین دو باشگاه فوتبال دخالت کرده اند. دو باشگاه بوکا جونیورز و پاری سن ژرمن در حال بحث و گفتگو در مورد انتقال یک بازیکن و کمیسیون توافق بودند. در نتیجه ، تقریباً 520،000 یورو در مکزیک به حساب های مختلف جعلی پرداخت شده است. شعبه اروپایی تویوتا در پی دستورالعمل جعلی انتقال بانکی که یک کارمند به دلیل قانونی آن را اشتباه گرفته ، بیش از 37 میلیون دلار در برابر مجرمان سایبری از دست داده است.
نحوه مدیریت حملات BEC
مجرمان سایبری از طیف گسترده ای از ترفندهای فنی و روشهای مهندسی اجتماعی برای جلب اعتماد و ارتکاب کلاهبرداری استفاده می کنند. با این وجود ، انجام یک سری اقدامات مؤثر می تواند خطر حملات BEC را به حداقل برساند:
- SPF را پیکربندی کنید ، از امضاهای DKIM استفاده کنید و یک سیاست DMARC را برای محافظت در برابر مکاتبات داخلی فریبنده اجرا کنید. از نظر تئوری ، این اقدامات همچنین به سایر شرکت ها امکان می دهد ایمیل های ارسال شده از طرف سازمان شما را تأیید کنند (البته با فرض اینکه شرکت ها این فناوری ها را پیکربندی کرده اند). این روش از برخی جهات (مانند عدم توانایی جلوگیری از کلاهبرداری از ارواح یا دامنه های مشابه) ناکام است ، اما هرچه شرکت های بیشتری که از SPF ، DKIM و DMARC استفاده می کنند ، حاشیه کمتری برای مجرمان سایبری دارند. مانور استفاده از این فناوری ها به نوعی مصونیت جمعی در برابر بسیاری از انواع عملیات مخرب با هدرهای ایمیل کمک می کند.
- به طور دوره ای کارمندان را برای مقابله با مهندسی اجتماعی آموزش می دهد. ترکیبی از کارگاه ها و شبیه سازی ها باعث می شود تا کارکنان هوشیار باشند و حملات BEC را که از دیگر لایه های دفاعی عبور می کند ، شناسایی کنند.
- از راه حل های امنیتی با فناوری تخصصی ضد BEC استفاده کنید تا بسیاری از بردارهای حمله شرح داده شده در این مقاله را شکست دهید.
راه حل های کسپرسکی با محتوای فیلتر که به طور خاص در آزمایشگاه ما ایجاد شده است ، در حال حاضر بسیاری از حملات BEC را شناسایی می کند و متخصصان ما به طور مداوم در حال توسعه فناوری هایی هستند تا بیشتر خود را از پیشرفته ترین و پیشرفته ترین محافظت کنند.
