فیشینگ (Phishing)
فیشینگ یک تهدید امنیت سایبری است که از مهندسی اجتماعی برای فریب دادن افراد به ارائه دادههای حساس مانند اطلاعات شناسایی شخصی (PII)، جزئیات بانکی و کارت اعتباری و رمز عبور استفاده می کند.
ایمیلهای فیشینگ یکی از رایجترین روشهایی است که مهاجمان تلاش میکنند تا کاربران را فریب دهند تا اعتبار کاربری و سایر اطلاعات خود را از طریق پیوندهایی به وبسایتهایی که از سایتهای قانونی تقلید میکنند ارائه کنند.
ایمیلهای فیشینگ در بیشتر مواقع با این شاخصهای رایج قابل شناسایی هستند:
- برچسب فوریت
- هایپرلینک ها
- پیوست ها
- فرستنده غیر معمول
باید به این نکته توجه داشت که نظارت بر همه کارمندان دشوار است.
تصور کنیم که در حال حاضر در حال بررسی فیشینگ هستیم.
ما در این مرحله یک ایمیل مشکوک دریافت میکنیم و نمیدانیم که آیا مخرب است یا خیر. بنابراین، بهترین وظایفی که باید برای موفقیت و پیشگیری/کاهش تأثیر بر کسب و کار دنبال کرد، کدام است؟
اولین کاری که باید انجام دهیم بررسی است. بهتر است یک گردش کاری که معمولاً به عنوان روش اجرایی شناخته می شود وجود داشته باشد که قابل تکرار باشد و بتوان از آن برای هر تحقیق فیشینگ استفاده کرد.
۴ مرحله برای بررسی یک حادثه احتمالی فیشینگ ایمیل
۱-محتویات هدرها را تجزیه و تحلیل کنید.
هدر شامل چه چیزی است؟ آیا از دامنه معتبر می آید؟ آیا حاوی سوابق SPF (چارچوب خطمشی فرستنده)، DKIM (ایمیل شناسایی شده با کلیدهای دامنه) و DMARC (تأیید هویت، گزارش و انطباق پیام مبتنی بر دامنه) است؟ نداشتن رکورد SPF، حتی با وجود اینکه نشاندهنده جعلی بودن ایمیل نیست، در را برای جعل شدن دامنه شما باز میکند، زیرا شما IPهایی را که میتوانند IP را با دامنه شما ارسال کنند، محدود نمیکنید.
DKIM یک استاندارد امنیتی ایمیل است که می تواند به تشخیص اینکه آیا ایمیل قبل از رسیدن به مقصد نهایی خود دستکاری شده است یا خیر. DMARC از SPF به عنوان یکی از پایههای خود استفاده می کند، اما ویژگیهای بیشتری را اضافه میکند، بنابراین اگر DMARC با SPF مطابقت نداشته باشد، ممکن است به یک ایمیل جعلی منجر شود. آیا این رکوردها مطابقت دارند؟ آیا احتمال تقلب وجود دارد؟
آیا آدرس IP از یک مکان معتبر میآید؟ از پلتفرم اینتل تهدید خود استفاده کنید یا از پلتفرمهای رایگان موجود آنلاین برای بررسی اعتبار IP استفاده کنید. یک درخواست DNS معکوس کنید و یک پرس و جوی nslookup انجام دهید. DNS معکوس به دریافت ترجمه از IP به DNS که این دامنه را ارائه میدهد کمک میکند. ارائه یک DNS که با دامنه فعلی مطابقت ندارد میتواند نشانگر خوبی باشد که این ایمیل از یک سرور واقعی نیست، بلکه یک مشتری است. nslookup یک سرور DNS خاص را پرس و جو میکند و سوابق درخواستی مرتبط با دامنهای که ارائه کرده اید را بازیابی میکند. انجام یک DNS معکوس و nslookup با هم میتواند به شما کمک کند بفهمید که آیا این ایمیل از یک سرور ایمیل معتبر می آید یا خیر.
وقتی درخواست WHOIS میکنیم، آیا دامنه به عنوان یک تجارت معتبر برمیگردد؟ با درخواست WHOIS، اطلاعات بیشتری در مورد دامنه مورد نظر، مانند تاریخ ایجاد و تاریخ انقضا، دریافت میکنید. این مفید است زیرا دامنههای یکبار مصرف تاریخ ایجاد نسبتاً جدیدی خواهند داشت و اطلاعات ثبتکننده با اطلاعات کسبوکار واقعی مطابقت ندارد.
۲-جمع آوری اطلاعات از بدنه
- آیا حاوی لینک است؟
- آیا پیام منعکس کننده احساس فوریت است و یا آنقدر خوب به نظر می رسد که درست نباشد؟
- آیا بدنه، جزئیات کمی در مورد پیام ارائه میدهد و قربانی را وادار می کند تا روی پیوندها کلیک کند یا فایلهای پیوست شده را باز کند؟
۳-URL/فایل جمع آوری شده را تجزیه و تحلیل کنید.
- برای تجزیه و تحلیل اعتبار، پیوندها/URL ها را ارسال کنید. آیا به عنوان مخرب برمیگردد؟
- دامنههای مرتبط را با استفاده از OSINT (هوش منبع باز) پیدا کنید.
- ضمیمهها را از طریق یک سندباکس فایل/هش اجرا کنید. آیا آنها حاوی نتایج بالقوه مخرب هستند؟
۴-تاثیر را تعیین کنید.
- چه کسی این ایمیل را دریافت کرده است؟
- آیا این فیشینگ موردی بود یا یک کمپین فیشینگ؟
- آیا قربانی روی URLهای موجود در متن ایمیل کلیک کرده است؟
- فایلهای پیوست شده را باز کردند؟ اگر بله، آیا هر حساب یا دارایی حیاتی به خطر افتاده است؟
اگر هر یک از اینها به عنوان مخرب بالقوه بازگشت، ممکن است به فرآیند دیگری نیاز باشد.
از آنجایی که مهاجمان میدانند که سازمانها بر حملات فیشینگ تمرکز میکنند، برای جلوگیری از شناسایی، به ندرت از دامنهها، پیوندها و پیوستها دوباره استفاده میکنند. اما ممکن است به استفاده از همان الگو ادامه دهند. از تحقیقات، می توان کلمات کلیدی را پیدا کرد که می تواند برای فیلتر کردن از ایمیلهای جدید از همان مهاجم مفید باشد. اگرچه یک کار ضروری این است که بررسی کنید آیا حساب گیرنده ایمیل به خطر افتاده است. از آنجایی که یکی از اهداف بزرگ یک عامل مخرب دسترسی به حساب ها است؛ بررسی کنید که آیا رفتاری در این مثال حساب کاربری وجود دارد یا خیر:
- آیا رفتار غیرعادی از حساب یا دارایی کاربر پس از دریافت ایمیل نشان داده شده است؟
- آیا ورود از مکانهای جدید و دسترسی به برنامهها و سیستمهای جدید وجود داشته است؟
- آیا ترافیک شبکه بیشتری را از IP ارسال کننده ایمیل دریافت میکنیم؟
- آیا ابزار امنیتی دیگری هشداری را برای این کاربر ایجاد کرده است؟
- آیا این حساب یا دارایی بخشی از فهرست پیگیری دیگری است؟
- آیا ایمیل از صندوق ورودی کاربر حذف شده است تا از کلیکهای تصادفی روی پیوستهای مخرب جلوگیری شود؟