نوشته‌ها

 

تیم اطلاعات امنیتی مایکروسافت به کاربران و مدیران دفتر 365 هشدار داده است که در جستجوی یک ایمیل فیشینگ “فریبنده” با آدرس فرستنده های جعلی هستند.

 

مایکروسافت پس از مشاهده یک کمپین فعال که در هدف قرار دادن سازمان های Office 365 با ایمیل های متقاعد کننده و چندین تکنیک برای دور زدن تشخیص فیشینگ ، از جمله صفحه فیشینگ Office 365 ، میزبانی برنامه های ابری گوگل Google و یک سایت خطرناک SharePoint که قربانیان را ترغیب می کند تا اطلاعات خود را تایپ کنند ، هشدار داد.

“تیم امنیتی مایکروسافت” اعلام کرد: یک کمپین فعال فیشینگ از ترکیب حیله گر آدرس های اصلی فرستنده با ظاهری مشروع ، آدرس های فرستنده نمایش جعلی که حاوی نام کاربری و دامنه های هدف هستند و نام هایی که از خدمات قانونی تقلید می کنند استفاده می کند.

“آدرس های فرستنده اصلی شامل تغییرات کلمه” ارجاع “است و از دامنه های مختلف سطح بالا استفاده می کند ، از جمله دامنه com [.] com ، که به طور گسترده توسط کمپین های فیشینگ برای جعل و غلط تایپی استفاده می شود.”

فیشینگ همچنان مشکلی سخت برای مشاغل است که نیاز به آموزش منظم راه حل های فنی ، مانند احراز هویت چند عاملی در همه حساب ها داردکه مایکروسافت و CISA به شدت آن را توصیه می کنند.

فیشینگ جزء اصلی حملات سازش با ایمیل تجاری (BEC) است که بر اساس آخرین آمار FBI در سال گذشته بیش از 4.2 میلیارد دلار برای آمریکایی ها هزینه داشته است. هزینه آن بسیار بیشتر از حملات باج افزارهای معروف است. BEC ، که متکی بر حساب های ایمیل آسیب دیده یا آدرس های ایمیل مشابه آدرس های مجاز است ، فیلتر نمی شود زیرا در ترافیک معمولی و مورد انتظار ترکیب می شوند.

این حملات از Microsoft SharePoint در نام نمایشی استفاده می کند تا قربانیان را ترغیب کند تا روی پیوند کلیک کنند. این ایمیل به عنوان یک درخواست “اشتراک فایل” برای دسترسی به “گزارش کارکنان” ، “پاداش ها” و سایر محتواهایی که در یک صفحه گسترده اکسل قرار گرفته اند ، مطرح می شود. همچنین دارای پیوندی است که به صفحه فیشینگ منتقل می شود و مارک های مایکروسافت زیادی وجود دارد.

در حالی که لوگوهای متقاعد کننده مایکروسافت در سراسر ایمیل پراکنده شده اند ، آدرس اصلی فیشینگ به یک منبع ذخیره سازی Google متکی است که قربانی را به دامنه Google App Engine AppSpot می‌کشاند.

ایمیل ها حاوی دو نشانی اینترنتی هستند که هدرهای HTTP را نادرست نشان داده اند. نشانی اینترنتی فیشینگ اصلی یک منبع ذخیره سازی Google است که به یک دامنه AppSpot اشاره می کند و نیاز به کاربر دارد که قبل از ارائه دامنه دیگری از محتوای کاربر Google با صفحه فیشینگ Office 365 وارد سیستم شود.

نشانی اینترنتی دوم در تنظیمات اعلانات قربانی را به یک سایت SharePoint آسیب دیده پیوند می دهد. هر دو نشانی اینترنتی برای ورود به صفحه نهایی نیاز به ورود به سیستم دارند .مایکروسافت خاطرنشان می کند که این کمپین “زیرکانه تر از حد معمول” است.مایکروسافت از ویژگی “Safe Links” Defender for Office 365 phishing برای حفاظت از فیشینگ استفاده می کند که ایمیل فیشینگ را “در لحظه ای که کاربر روی پیوندی کلیک می کند که با لیست صفحات فیشینگ شناخته شده خود مطابقت دارد” از بین می‌برد.همچنین جزئیاتی را در GitHub در مورد زیرساخت های مرتبط با ایمیل های جعلی که از SharePoint و سایر محصولات برای فیشینگ معتبر تقلید می کنند ، منتشر کرده است.

و خاطرنشان کرد: “اپراتور همچنین از زیرساخت های URL مجاز مانند Google ، Microsoft و Digital Ocean برای میزبانی صفحات فیشینگ خود استفاده می کند.”

سامانه آنتی فیشینگ

راه کار جامع آنتی فیشینگ شرکت رجاء

در سال­های اخير، تحولات عظيمي در دنیای فناوري­هاي الكترونيكي پدید آمده است. افزايش نفوذ اينترنت در زندگي افراد و جوامع استفاده روزافزون از رايانه و اينترنت را به جزء جدانشدنی زندگی امروز تبدیل کرده است که یکی از جنبه­های تأثیرگذار آن توسعه استفاده از ابزارها و خدمات بانکداری و پرداخت الکترونیکی است که شرايط و بستر مساعدي براي ظهور جرائم سايبري به وجود آورده است.  ماهيت ویژه جرائم سايبري از جمله داشتن ابعاد جهاني، عدم توافق جهاني پيرامون تعريف واحد، بالا بودن سرعت ارتكاب اين نوع از جرائم، متنوع بودن روش­های ارتکاب جرم، استفاده از روش­های بدیع تقلب،  وجود دشواري در اندازه­گيري جرائم سايبري و بالا بودن هزينه هاي كشف اين جرائم، مراجع قضايي و نظارتی را با چالش­هاي جديدي مواجه كرده است.

ریشه اصلی این جرائم، دسترسی غیرمجاز متخلفان و مجرمین به اطلاعات حساس بانکی و پرداخت کاربران و همچنین احراز هویت‌های ضعیف و بعضاً ناکافی ارائه‌دهندگان خدمات و همچنین عدم وجود قوانین سخت­گیرانه در مقابله با مجرمان اینترنتی است. شیوه ارتکاب این جرائم با فاصله و بدون ارتباط جسمی مستقیم با بزه است. فهرست این جرائم به نوع خاصی از رفتارهای مجرمانه محدود نبوده و تقریباً می‌توان گفت همه حوزه‌های جنایی را دربر می‌گیرد. بزهکاری سایبری افزون بر جدید بودن، از قابلیت بالای تحول‌پذیری و تحول بخشی برخوردار است. این تحول از یک‌سو ناشی از پیدایش جرائم جدید و در ارتباط مستقیم با شکل‌گیری شبکه بوده و از سوی دیگر ناشی از تحول در شیوه ارتکاب بسیاری از جرائم سنتی است، بنابراین تضعیف علل این جرائم از طریق از بین بردن ریشه‌های آن‌ها فعالیتی مستمر و بلندمدت است که باید در تمامی لایه‌های کارکردی ازجمله قانون‌گذاری، ترجمان قانون و مقررات به اقدامات و شیوه‌های عملی، پیاده‌سازی آن‌ها در مبادی ارائه‌دهنده خدمات و همچنین آموزش و آگاهی‌رسانی به استفاده‌کنندگان از خدمات صورت پذیرد.

یکی از مهمترین مصادیق جرایم سایبری در نظام بانکی، فیشینگ[1] نام دارد. حملات موسوم به فیشینگ به آن دسته از حملات اینترنتی گفته می‌شود که معمولا طراحان آن‌ها به روش‌های مختلف تلاش می‌کنند به اطلاعات بانکی افراد از طریق روش‌های متنوع مهندسی اجتماعی مانند ایمیل، تماس تلفنی، صفحات جعلی پرداخت، پیامک، انواع مدل‌های ربات‌های تلگرام و انواع روش‌های جدیدی که انتظار آن نمی‌رود دست یابد. در این‌گونه حملات، فیشر با ارسال یک ایمیل، خود را به جای فرد یا شرکت معتبر و حتی بانک‌های معتبر جا می‌زند و با تکنیک‌های گول‌زننده سعی می‌کند تا اطلاعات حساس را از قربانی بگیرد. مهمترین عامل موفقیت حملات فیشینگ سهل‌انگاری و نداشتن آگاهی کاربران سیستم های IT است. گرچه استفاده از حملات فیشینگ تهدید بالقوه برای انواع صنایع مختلف است، آمار نشان می‌دهد که بیشترین قربانی این حملات در صنعت بانکداری الکترونیکی می‌باشد. به طور کلی تعریف فیشینگ در نظام پرداخت الکترونیکی عبارتست از «فریب افراد از طریق ابزارهای فریبنده مبتنی بر رایانه به‌منظور افشای اطلاعات».

برای مقابله با این فریب‌کاری که به عنوان یک جرم مهندسی اجتماعی تعبیر می‌شود تدابیر ضد فیشینگ (Anti Phishing) متعددی اندیشیده شده‌ است. با توجه به تنوع زیاد این تهدیدات، یک راه‌کار قطعی برای تشخیص فیشینگ با چالش‌های جدی مواجه است. از مهمترین چالش‌های پیش رو برای تشخیص حملات فیشینگ می‌توان به موارد زیر اشاره نمود: استفاده روز افزون از فناوری‌های موجود برای فیشرها، افزایش تنوع در خدمات دیجیتال در نظام بانکی، افزایش ضریب نفوذ مشتریان بانکی در استفاده از این خدمات بدون آگاهی و دانش کافی، محدودیت‌های قانونی برای تعریف جرایم سایبری نوین در نظام قانونی کشور، عدم تعریف مناسب مسولیت‌های اجتماعی برای مراقبت از مشتریان بانکی در مقابل حملات فیشینگ و رشد ناکافی فرهنگی و اجتماعی برای درک آسیب‌های موجود در جرایم سایبری در نظام بانکی.

نظر به وجود چالش‌‌های جدی برای ارائه یک سامانه جامع و خودکار برای تشخیص و مقابله با فیشینگ، استفاده از چندین سامانه موازی برای تشخیص به همراه ارائه خدمات لازم برای به روز رسانی می‌تواند راه‌کار مناسب باشد. در این مستند، پیشنهادی برای راه‌اندازی سامانه‌ای متشکل از چندین ماژول برای تشخیص فیشینگ و رسیدگی به این رخداد در بانک ملت پیشنهاد می‌گردد. لازم به ذکر است که علاوه برای استقرار ماژول‌های پیشنهادی، نیاز به خدمات به روزرسانی و نگهداری این ماژول‌ها نیاز کاملا ضروری است.

1                  راه‌کار جامع آنتی فیشینگ بانکی

راه‌کار پیشنهادی در این مستند تلاش می‌کند که با کمک تکنیک‌های مختلف اقدام به تشخیص سایت‌های فیشینگ نماید. هر کدام از تکنیک‌های موجود در قالب یک ماژول در این راه‌کار ارائه می‌گردد. به طور کلی راه‌کارهای تشخیص صفحات فیشینگ به عنوان راه‌کارهای امنیتی خارج از دامنه سازمانی بانک تعریف می‌شوند. به عبارت دیگر با کنترل‌های امنیتی مستقر در داخل سازمان قابل تشخیص نمی‌باشند. لذا پویش فضای کسب کار سازمانی در بیرون سازمان برای این منظور هدف‌گذاری می‌شود.

برای تشخیص صفحات فیشینگ بانکی باید از پویش خودکار و دائم سه منبع اطلاعاتی بهره‌مند شد. این منابع عبارتند از: شبکه‌های اجتماعی، صفحات وب و برنامک‌های موبایلی. نظر به پیچیدگی پویش کامل این منابع، یک راه‌کار موثر باید پایش موثر و کارا را در دستور کار قرار دهد. لذا با توجه به تجربه کاری ارزشمند نگارندگان این پیشنهاد در حوزه رصد رخدادهای سایبری در نظام بانکی، ماژول‌های زیر برای راه‌کار جامع آنتی فیشینگ بانکی در نظر گرفته می‌شود.

  • ماژول تشخیص زودهنگام فیشینگ
  • ماژول رصد خودکار سایت‌های قمار
  • ماژول رصد خودکار Google Ads
  • روبات خزنده صفحات وب برای تشخیص فیشینگ
  • رصد شبکه‌های اجتماعی برای تشخیص رخدادهای سایبری
  • سامانه رسیدگی به رخدادهای سایبری
  • تحلیل­گر برنامک­های موبایلی

در ادامه این بخش، هر کدام از ماژول‌های فوق به طور مختصر شرح داده می‌شود.

1-1              ماژول تشخیص زودهنگام فیشینگ

این ماژول یک موتور تحلیل رویدادنامه‌های منتشر شده از مکانیسم Certificate Transparency توسط مراکز گواهی دیجیتالی است که تلاش می‌کند دامنه‌های فیشینگ را زودتر از انتشار دامنه تشخیص دهد. برای این منظور تمامی رکوردهای CT منتشر شده توسط CAها را تحلیل نموده و با کمک الگوریتم‌های هوش مصنوعی در حوزه پردازش زبان طبیعی سعی در تشخیص مشکوک بودن دامنه جدید به فیشینگ دامنه‌های بانکی کشور می‌نماید.

1-2             ماژول رصد خودکار سایت‌های قمار

یکی از منابع مهم برای تشخیص رخدادهای سایبری در حوزه بانکداری و پرداخت الکترونیک، رصد مداوم سایت‌های قمار است. برای این منظور ماژول جهت خودکارسازی فرآیند تحلیل عملیات تارنماهای قمار و شرط‌بندی با هدف کشف و گزارش‌دهی رخدادهای سایبری بانکی ارائه می‌گردد. این ماژول با بررسی روش‌های به‌کار گرفته شده برای شارژ تارنماهای قمار و شرط‌بندی، رخدادهای سایبری مستخرج از این سایت‌ها را  رصد می‌کند. در این سامانه حدود 1000 تارنمای قمار و شرط‌بندی به طور مستمر، دوره‌ای و خودکار بررسی شده و اطلاعات لازم برای گزارش‌دهی رخدادهای فوق استخراج و آماده گزارش می‌گردد. این اطلاعات شامل جزییات کارت‌های بانکی و همچنین درگاه‌های پرداخت مورد استفاده در این تارنماها می‌باشد. بدیهی است امکان توسعه محصول برای رصد خودکار تارنماهای دیگر نیز فراهم است.

1-3            ماژول رصد خودکار Google Ads

یکی از روش‌های معمول که فیشرها برای قربانی کردن کاربران خود استفاده می‌کنند، تبلیغات فراوان در Google Ads است. بسیاری از کاربران برای یافتن آدرس سایت‌های بانکی خود، از جستجو در موتور جستجوی گوگل استفاده می‌کنند که در صورت هدایت نامناسب گوگل به سمت صفحات فیشینگ، امکان جذب قربانی توسط فیشر بالا خواهد رفت.

جهت استفاده از مشکل فوق برای تشخیص سریعتر صفحات فیشینگ، پویش صفحات اولیه گوگل با جستجو در کلمات مرسوم برای یافتن صفحات بانکی می‌تواند نتایج موثری داشته باشد. برای این منظور یک خزنده وب طراحی و پیاده‌سازی خواهد شد که برای تعدای از کلمات کلیدی در گوگل جستجو نموده و پیمایش لینک‌های حاصل از جستجو را تا عمق خاصی انجام می‌دهد. این سامانه تمامی صفحات حاصله از جستجو را از نظر شباهت (Similarity) با صفحات معتبر بانکی در کشور مقایسه می‌نماید. در صورتی که یک صفحه میزان شباهت قابل قبولی با یکی از صفحات بانکی کشور داشته باشد، به عنوان مشکوک به فیشینگ انتخاب شده و برای ارزیابی نهایی به اپراتور خبره ارسال می‌گردد. برای تشخیص شباهت از تکنیک‌های هوش مصنوعی در حوزه پردازش زبان طبیعی استفاده می‌گردد. همچنین این سامانه مجهز به لیست تمامی سایت‌های معتبر بانکی در کشور خواهد بود.

1-4            روبات خزنده صفحات وب برای تشخیص فیشینگ

یکی از راه‌کارهای مفید برای تشخیص فیشینگ، پویش فضای وب برای تشخیص صفحاتی است که محتوایی مشابه صفحات معتبر بانکی دارند. این سامانه مجهز به یک روبات خزنده وب است که تمامی صفحات پایش شده را از نظر شباهت (Similarity) با صفحات معتبر بانکی در کشور ارزیابی می‌نماید. در صورتی که یک صفحه میزان شباهت قابل قبولی با یکی از صفحات بانکی کشور داشته باشد، به عنوان مشکوک به فیشینگ انتخاب شده و برای ارزیابی نهایی به اپراتور خبره ارسال می‌گردد. برای تشخیص شباهت از تکنیک‌های هوش مصنوعی در حوزه پردازش زبان طبیعی استفاده می‌گردد. همچنین این سامانه مجهز به لیست تمامی سایت‌های معتبر بانکی در کشور خواهد بود.

1-5            رصد شبکه‌های اجتماعی

در این سامانه دو روبات نرم‌افزاری برای رصد دو شبکه اجتماعی تلگرام و اینستاگرام با هدف استخرام رخدادهای سایبری در فضای پرداخت طراحی و پیاده‌سازی شده است. در حال حاضر این روبات‌ها مجهز به یک کتابخانه ساده پردازش زبان طبیعی برای پالایش رخدادها می‌باشد. این مهم به کاربر امکان پیکربندی روبات‌ها با هدف تولید خروجی هدفمند را می‌دهد. استخراج انواع محتوا در یک رخداد از جمله دسته‌بندی نوع فایل‌ها، تحلیل امنیتی اولیه فایل‌ها و همچنین پردازش متون در یک رخداد از دیگر قابلیت‌های این دو روبات می‌باشد.

1-6             سامانه رسیدگی به رخدادهای سایبری

این سامانه با هدف خودکارسازی فرآیند گزارش و رسیدگی به رخدادهای سایبری در فضای پرداخت اینترنتی طراحی و توسعه داده شده است. از دیگر اهدافی که این سامانه می‌توان به تسهیل در فرایند ارزیابی و صحت‌سنجی گزارش‌های واصله از تامین‌کنند‌گان و ایجاد بستری برای تحلیل و گزارش‌گیری مدیریتی و کلان به مراجع قضایی نام برد. از قابلیت‌های اصلی این سامانه، انجام فعالیت‌های مربوط به رسیدگی به رخدادهای سایبری با توجه به کسب و کار تعریف شده در نظام بانکی کشور است.

1-7            تحلیل‌گر برنامک‌های موبایلی

این سامانه یک پلتفرم برای تحلیل امنیتی برنامک‌های اندرویدی است. در حال حاضر سه موتور تحلیل ایستا در این پلتفرم پیاده‌سازی شده است. همچنین این پلتفرم امکان ارائه API برای استفاده راه دور از موتورهای تحلیل برنامک را ارائه می‌کند. با توجه به این‌که برخی از رخدادهای سایبری از طریق ارسال برنامک‌های آلوده در شبکه‌های اجتماعی منتشر می‌گردد، امکان تحلیل امنیتی این برنامک‌ها یکی از ضروریات در یک پلتفرم رصد رخدادهای سایبری است. علاوه‌بر این امکان توسعه موتورهای تحلیل بومی‌شده از دیگر قابلیت‌های پلتفرم کاوش است. در حال حاضر در این پلتفرم بیش از 20000 برنامک موبایلی تحلیل شده است.


[1] Phishing