نگرشی از جنس امنیت

فیشینگ (Phishing) چیست؟

زمان مطالعه: 3 دقیقه فیشینگ (Phishing) فیشینگ یک تهدید امنیت سایبری است که از مهندسی اجتماعی برای فریب دادن افراد به ارائه داده‌های حساس مانند اطلاعات شناسایی شخصی (PII)، جزئیات بانکی و کارت اعتباری و رمز عبور استفاده می کند. ایمیل‌های فیشینگ یکی از رایج‌ترین روش‌هایی است که مهاجمان تلاش می‌کنند تا کاربران را فریب دهند تا اعتبار کاربری ...

3 دقیقه
0 دیدگاه
Hadi Moghimi
زمان مطالعه: ۳ دقیقه

فیشینگ (Phishing)

فیشینگ یک تهدید امنیت سایبری است که از مهندسی اجتماعی برای فریب دادن افراد به ارائه داده‌های حساس مانند اطلاعات شناسایی شخصی (PII)، جزئیات بانکی و کارت اعتباری و رمز عبور استفاده می کند.

ایمیل‌های فیشینگ یکی از رایج‌ترین روش‌هایی است که مهاجمان تلاش می‌کنند تا کاربران را فریب دهند تا اعتبار کاربری و سایر اطلاعات خود را از طریق پیوندهایی به وب‌سایت‌هایی که از سایت‌های قانونی تقلید می‌کنند ارائه کنند.

ایمیل‌های فیشینگ در بیشتر مواقع با این شاخص‌های رایج قابل شناسایی هستند:

  • برچسب فوریت
  • هایپرلینک ها
  • پیوست ها
  • فرستنده غیر معمول

باید به این نکته توجه داشت که نظارت بر همه کارمندان دشوار است.

تصور کنیم که در حال حاضر در حال بررسی فیشینگ هستیم.
ما در این مرحله یک ایمیل مشکوک دریافت می‌کنیم و نمی‌دانیم که آیا مخرب است یا خیر. بنابراین، بهترین وظایفی که باید برای موفقیت و پیشگیری/کاهش تأثیر بر کسب و کار دنبال کرد، کدام است؟
اولین کاری که باید انجام دهیم بررسی است. بهتر است یک گردش کاری که معمولاً به عنوان روش اجرایی شناخته می شود وجود داشته باشد که قابل تکرار باشد و بتوان از آن برای هر تحقیق فیشینگ استفاده کرد.

۴ مرحله برای بررسی یک حادثه احتمالی فیشینگ ایمیل

۱-محتویات هدرها را تجزیه و تحلیل کنید.

هدر شامل چه چیزی است؟ آیا از دامنه معتبر می آید؟ آیا حاوی سوابق SPF (چارچوب خط‌مشی فرستنده)، DKIM (ایمیل شناسایی شده با کلیدهای دامنه) و DMARC (تأیید هویت، گزارش و انطباق پیام مبتنی بر دامنه) است؟ نداشتن رکورد SPF، حتی با وجود اینکه نشان‌دهنده جعلی بودن ایمیل نیست، در را برای جعل شدن دامنه شما باز می‌کند، زیرا شما IPهایی را که می‌توانند IP را با دامنه شما ارسال کنند، محدود نمی‌کنید.

DKIM یک استاندارد امنیتی ایمیل است که می تواند به تشخیص اینکه آیا ایمیل قبل از رسیدن به مقصد نهایی خود دستکاری شده است یا خیر. DMARC از SPF به عنوان یکی از پایههای خود استفاده می کند، اما ویژگیهای بیشتری را اضافه میکند، بنابراین اگر DMARC با SPF مطابقت نداشته باشد، ممکن است به یک ایمیل جعلی منجر شود. آیا این رکوردها مطابقت دارند؟ آیا احتمال تقلب وجود دارد؟

آیا آدرس IP از یک مکان معتبر میآید؟ از پلتفرم اینتل تهدید خود استفاده کنید یا از پلتفرمهای رایگان موجود آنلاین برای بررسی اعتبار IP استفاده کنید. یک درخواست DNS معکوس کنید و یک پرس و جوی nslookup انجام دهید. DNS معکوس به دریافت ترجمه از IP به DNS که این دامنه را ارائه میدهد کمک میکند. ارائه یک DNS که با دامنه فعلی مطابقت ندارد میتواند نشانگر خوبی باشد که این ایمیل از یک سرور واقعی نیست، بلکه یک مشتری است. nslookup یک سرور DNS خاص را پرس و جو میکند و سوابق درخواستی مرتبط با دامنهای که ارائه کرده اید را بازیابی میکند. انجام یک DNS معکوس و nslookup با هم میتواند به شما کمک کند بفهمید که آیا این ایمیل از یک سرور ایمیل معتبر می آید یا خیر.

وقتی درخواست WHOIS میکنیم، آیا دامنه به عنوان یک تجارت معتبر برمیگردد؟ با درخواست WHOIS، اطلاعات بیشتری در مورد دامنه مورد نظر، مانند تاریخ ایجاد و تاریخ انقضا، دریافت میکنید. این مفید است زیرا دامنه‌های یکبار مصرف تاریخ ایجاد نسبتاً جدیدی خواهند داشت و اطلاعات ثبت‌کننده با اطلاعات کسب‌وکار واقعی مطابقت ندارد.

۲-جمع آوری اطلاعات از بدنه

  • آیا حاوی لینک است؟
  • آیا پیام منعکس کننده احساس فوریت است و یا آنقدر خوب به نظر می رسد که درست نباشد؟
  • آیا بدنه، جزئیات کمی در مورد پیام ارائه میدهد و قربانی را وادار می کند تا روی پیوندها کلیک کند یا فایلهای پیوست شده را باز کند؟

۳-URL/فایل جمع آوری شده را تجزیه و تحلیل کنید.

  • برای تجزیه و تحلیل اعتبار، پیوندها/URL ها را ارسال کنید. آیا به عنوان مخرب برمیگردد؟
  • دامنههای مرتبط را با استفاده از OSINT (هوش منبع باز) پیدا کنید.
  • ضمیمهها را از طریق یک سندباکس فایل/هش اجرا کنید. آیا آنها حاوی نتایج بالقوه مخرب هستند؟

۴-تاثیر را تعیین کنید.

  • چه کسی این ایمیل را دریافت کرده است؟
  • آیا این فیشینگ موردی بود یا یک کمپین فیشینگ؟
  • آیا قربانی روی URLهای موجود در متن ایمیل کلیک کرده است؟
  • فایلهای پیوست شده را باز کردند؟ اگر بله، آیا هر حساب یا دارایی حیاتی به خطر افتاده است؟

اگر هر یک از اینها به عنوان مخرب بالقوه بازگشت، ممکن است به فرآیند دیگری نیاز باشد.

از آنجایی که مهاجمان می‌دانند که سازمان‌ها بر حملات فیشینگ تمرکز می‌کنند، برای جلوگیری از شناسایی، به ندرت از دامنه‌ها، پیوندها و پیوست‌ها دوباره استفاده می‌کنند. اما ممکن است به استفاده از همان الگو ادامه دهند. از تحقیقات، می توان کلمات کلیدی را پیدا کرد که می تواند برای فیلتر کردن از ایمیلهای جدید از همان مهاجم مفید باشد. اگرچه یک کار ضروری این است که بررسی کنید آیا حساب گیرنده ایمیل به خطر افتاده است. از آنجایی که یکی از اهداف بزرگ یک عامل مخرب دسترسی به حساب ها است؛ بررسی کنید که آیا رفتاری در این مثال حساب کاربری وجود دارد یا خیر:

  • آیا رفتار غیرعادی از حساب یا دارایی کاربر پس از دریافت ایمیل نشان داده شده است؟
  • آیا ورود از مکان‌های جدید و دسترسی به برنامه‌ها و سیستم‌های جدید وجود داشته است؟
  • آیا ترافیک شبکه بیشتری را از IP ارسال کننده ایمیل دریافت می‌کنیم؟
  • آیا ابزار امنیتی دیگری هشداری را برای این کاربر ایجاد کرده است؟
  • آیا این حساب یا دارایی بخشی از فهرست پیگیری دیگری است؟
  • آیا ایمیل از صندوق ورودی کاربر حذف شده است تا از کلیک‌های تصادفی روی پیوست‌های مخرب جلوگیری شود؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *