عندما يذهب القراصنة لعمليات تصيد أكبر

بقلم “براشانت فيرما”, مطور المعايير التقنية- إدارة الكشف و الإستجابة و التحليلات التقنية الجنائية بشركة «بالاديون»

تصيد البريد الإلكتروني  وتسويات البريد الإلكتروني للأعمال (المعروفة أيضًا باسم احتيال مركز الأعمال التجارية BEC أو احتيال الرئيس التنفيذى CEO) هي من بين أكبر التحديات التي واجهتها الشركات في عام 2018. تحتوي رسالة البريد الإلكتروني التصيدية على عنوان URL واحد أو أكثر أو مرفقات ضارة، وتستهدف العديد من الأفراد في نفس الوقت. عادةً ما يستهدف هجوم BEC فردًا عالي المستوى ويستخدم في ذلك هندسة اجتماعية متطورة عالية المستوى.

ما هي هجمات انتحال هوية BEC / CEO؟

في عمليات الاحتيال BEC أو CEO، يقوم القراصنة بحياكة رسائل البريد الإلكتروني لانتحال صفة المديرين التنفيذيين أو الموردين أو الموردين المعينين في الإدارة العليا لخداع المستلمين لتحويل الأموال أو تقديم معلومات حساسة للمتسللين. يقوم المهاجمون أولاً بأبحاثهم حول أهدافهم عبر ” لينكد إن” وغيرها من وسائل التواصل الاجتماعي. قد تحتوي أيضًا الرسائل الإلكترونية المعدة خصيصًا على مرفقات بها أدوات للقرصنة مثل keyloggers وتتبع حركة الفأرة للتثبيت على جهاز الكمبيوتر أو المحمول للضحية.

إن التخصيص الماهر لمحتوى البريد الإلكتروني من قبل المهاجمين يخدم غرضين. أولاً، يساعد البريد الإلكتروني على المرور عبر فلاتر الرسائل والتحقيقات الأخرى لرسائل البريد الإلكتروني الغير المرغوب فيها. ثانياً، تقنع الضحية بأن المرسل هو شخص يعرفه الضحية ويثق به. على سبيل المثال، قد يكون المدير المالي مقتنعاً بأن البريد الإلكتروني المزيف لتحويل الأموال بشكل عاجل قد تم إرساله شخصيًا من قبل الرئيس التنفيذي. وينظم القراصنة أيضًا هجماتهم لتتزامن مع حالات الغياب أو رحلات العمل للمرسل المزعوم، مما يجعل من الصعب على المتلقي التحقق من صحة البريد الإلكتروني.

نهج «بالاديون» لأمان البريد الإلكتروني

لا توجد طريقة واحدة صريحة للتعامل مع رسائل البريد الإلكتروني المستخدمة في عمليات الخداع في الهندسة الاجتماعية أو عدوى البرامج الضارة أو ببساطة الرسائل الغير مرغوب فيها. تواجه الشركات المصنعة وموفري خدمات البريد الإلكتروني تحديات كبيرة في إبقاء المحتالين والمرسلين الغير مرغوب فيهم بعيداً. ورغم ذلك، هناك العديد من أفضل الممارسات التي يمكن استخدامها معاً لتصبح فعالة في احتواء المشكلة وهذا ما سيتم ذكره أدناه.

تشديد تكوين أمان البريد الإلكتروني

• تنفيذ SPF ، DKIM ، DMARC: يقيد إطار سياسة المرسل (SPF) البريد الإلكتروني إلى قائمة الخوادم المسموح بها لإرسال البريد الإلكتروني لنطاق معين. يتم استخدام معايير البريد المعرَّف بمفاتيح النطاق (DKIM) للتحقق من عدم تغيير رسائل البريد الإلكتروني بعد ترك الخادم الأصلي. باستخدام مصادقة الرسائل المستندة إلى النطاق والتقارير والمطابقة (DMARC)، تحدد الشركة سياسة لاستخدام SPF و DKIM ، بالإضافة إلى الإبلاغ عن إحصاءات البريد الإلكتروني للمطابقة.
• منع الترحيل المفتوح: يسمى أيضًا الترحيل الغير آمن، الترحيل المفتوح هو خادم بريد إلكتروني يقوم بنقل رسائل البريد الإلكتروني من طرف ثالث. يمكن لمرسلي البريد العشوائي تحديد موقع هذه التبديلات المفتوحة بسهولة نسبية. يمكنهم بعد ذلك استخدامها لإرسال كميات كبيرة من البريد الغير الهام (أو ما هو أسوأ).
• المصادقة متعددة العوامل (2FA) لجميع المستخدمين: عندما ينطوي هجوم BEC على دخول مهاجم إلى حساب البريد الإلكتروني الخاص بالمدراء التنفيذيين، فإن سياسة المصادقة متعددة العوامل الأمنية ستجعل الوصول أكثر صعوبة. على سبيل المثال، قد تتكون المصادقة الثنائية أو 2FA من بيانات اعتماد الحساب (يجب أن يعرف مالك الحساب ذلك فقط)، بالإضافة إلى رمز تم إرساله إلى الهاتف الجوال لمالك الحساب (فقط مالك الحساب لديه هذا الهاتف).
• الاشتراك في دعم استخبارات التهديد لتصفية رسائل البريد الإلكتروني في نقطة دخول: دعم استخبارات التهديد يمكنها عمل قائمة بالنطاقات المخترقة. وعمل قواعد تصفية مستندة إلى هذه المعلومات مما يقلل عدد هجمات البريد الإلكتروني، على الرغم من أن النطاقات المسجلة أو التي تم اختراقها مؤخرًا قد لا تظهر دائمًا في أحدث دعم استخبارات التهديد.
• الاشتراك في وحدات الحماية المتقدمة من البرامج الضارة: تتجاوز الحماية المتقدمة من البرامج الضارة مطابقة التوقيع البسيطة لإجراء عمليات الفحص والتحليل الأخرى، مثل عمليات التحقق من الشفرة الخبيثة والديناميكية الخبيثة التي قد يتم تجاهلها.
• تصفية “مكافحة البريد المزعج” Anti-spamلأنواع الملفات السيئة: مثال بسيط لنوع ملف خطير هو “.exe”، نوع ملف خاص بتطبيق. قد يتم أيضًا حظر أنواع ملفات “مايكروسوفت أوفيس” أو الإبلاغ عنها عند الاستقبال، نظرًا لأن MS Word و إكسل ومستندات أوفيس الأخرى قد تحتوي على وحدات ماكرو أو برامج نصية ضارة.

مراقبة رسائل البريد الإلكتروني الخاصة بك بحكمة

• الفلترة إستناداً للموقع واﻟﻤﻮﺿﻮع  واﻟﻤﺮﺳﻞ: هناك ﺧﻴﺎران أﺳﺎﺳﻴﺘﺎن: إﺑﻌﺎد اﻟﻤﺨﺎﻟﻔﻴﻦ اﻟﻤﻌﺮوﻓﻴﻦ (اﻟﻘﺎﺋﻤﺔ اﻟﺴﻮداء). أو السماح فقط للمرسلين المعتمدين في (القائمة البيضاء). كل خيار له إيجابيات وسلبيات..
• العثور على مرفق غير صالح على أساس التجزئات: يمكن تغيير أسماء ملفات المرفقات في البريد الإلكتروني، كما يمكن إخفاء أنواع الملفات عن الآخرين. من ناحية أخرى، يسمح تجزئة محتوى الملف بالتحقق الفوري من قائمة التجزئات الملفات الخاصة بأدوات وتطبيقات القرصنة المعروفة.
• التركيز بشكل خاص على رسائل البريد الإلكتروني المزعجة التي يتلقاها كبار الشخصيات أو الأعضاء أصحاب الأهمية العليا: يمكن أن يكون اكتشاف هجمات الصيد أكثر صعوبة، فهم يعتمدون بشكل أكبر على الهندسة الإجتماعية وأقل على البرامج الضارة. يجب أن يكون تدريب التوعية حول ذلك لكبار الشخصيات إلزاميًا أيضًا.
• ربط تهديدات البريد الإلكتروني مع الحالات الأخرى مثل القوة الغاشمة وعمليات تسجيل الدخول الفاشلة: تذكر أن المهاجمين يمكنهم استخدام العديد من طرق الهجوم. إذا اكتشفت حملة تصيد احتيالي، فحدد أسطح الهجوم ونقاط الضعف الأخرى التي قد تكون مهددة في الوقت نفسه.

خذ بعين الاعتبار المزيد من عناصر التحكم الأمنية

• تدريبات توعية المستخدم: غالباً ما يكون الموظفون هم الحلقة الأضعف في أمن المعلومات. سياسات أمن الشركات وحدها ليست كافية. يجب تغيير سلوك الموظف. تدريب الوعي الصحيح يساعدهم على تطوير عادات أمنية جيدة.
• نطاقات مشابهة مسجلة مثل تلك الخاصة بك: الآلات ممتازة في انتقاء أصغر الاختلافات، و البشر أقل قدرة. استخدم التدريب التوعوي لإثبات كيف يمكن حتى للاختلافات الصغيرة في حرف أو حرفين في اسم النطاق أن تشير إلى المتطفلين في العمل والتهديدات من اختراق البريد الإلكتروني. (إن Domain Typosquatting هو المكان الذي يسجل فيه المهاجم نطاقاً مشابهاً لنفسك ويستخدمه في محاصرة الضحايا. قم بتسجيل سجلات النطاق الخاصة بك لكي يتعرف الأشخاص على النطاقات الأصلية وابدأ في إلغاء الخدمات لنطاقات Typosquatted التي ثبت أنها تسبب هجومًا يؤثر عليك أو مستخدميك.)
• تمرين الهندسة الاجتماعية: يجب على الجميع القيام بذلك. تأكد من أن كبار الشخصيات والموظفين الآخرين لا يسقطون لعناوين URL مزيفة أو مرفقات ضارة، وأن جميع الأقسام تتبع سياسة صارمة لفحص طلبات البريد الإلكتروني الخاصة بتحويلات الأموال أو للحصول على معلومات حساسة عبر قناة أخرى (وجهًا لوجه أو هاتفًا، على سبيل المثال).
• النظر في حلول البريد الإلكتروني المتقدمة مع قدرات فحص البريد الإلكتروني: يمكن أن تساعد قدرات الفحص الجيدة على إيقاف هجمات وحملات البريد الإلكتروني أو احتوائها، وتحديد البرامج الغير معروفة والمجهولة في مرفقات البريد الإلكتروني، والكشف عن تسرب البيانات عبر رسائل البريد الإلكتروني.

الخلاصة

يمكن أن تكون هجمات البريد الإلكتروني مربحة للغاية بالنسبة للقراصنة عندما يخدعون كبار التنفيذيين أو الأشخاص الذين يعملون بشكل مباشر لصالحهم. مع توافر الكثير من المعلومات اليوم على مواقع التواصل الاجتماعي وأماكن أخرى، يمكن للقراصنة في كثير من الأحيان تجميع البيانات التي يحتاجونها لجعل الهجوم على البريد الإلكتروني الخاص بالعمل يبدو وكأنه عملية يومية حقيقية لأهدافه. من خلال تطبيق الممارسات الموضحة أعلاه، ستتمكن على الأقل من تقليل مخاطر مثل هذا الهجوم على مؤسستك أو شر