شرکت امنیت سایبری چک پوینت کلاهبرداری جدید فیشینگ را در Dropbox کشف کرد

به گزارش کارگروه امنیت سایبربان؛ شرکت امنیتی چک پوینت (Check Point ) یک حمله جدید به خطر انداختن ایمیل تجاری (BEC) 3.0 شامل «Dropbox»، سرویس میزبانی فایل را کشف کرد.

در 2 هفته اول سپتامبر، گروه تحقیقاتی چک پوینت (CPR) 5440 حمله را مشاهده کرد که نمونه دیگری از فعالیت هکرها بود که در پشت سایت‌های قانونی خود را پنهان کردند به این امید که از طریق تاکتیک‌های مهندسی اجتماعی از کاربران ناشناس کلاهبرداری کنند.

فیشینگ از طریق دراپ باکس

هکرها از دراپ باکس برای ایجاد صفحات ورود جعلی استفاده کردند که در نهایت منجر به یک صفحه جمع‌آوری اعتبار شد.

این نمونه دیگری از نحوه استفاده هکرها از خدمات قانونی در حملات به خطر انداختن ایمیل تجاری 3.0 است. این حملات به استفاده از سایت‌های قانونی، مانند دراپ باکس، برای ارسال و میزبانی فیشینگ اشاره دارد. مشروعیت این سایت‌ها توقف سرویس‌های امنیتی ایمیل و شناسایی کاربران نهایی را تقریباً غیرممکن می‌کند.

گروه تحقیقاتی چک پوینت اعلام کرد :

«این حملات در حال افزایش هستند و هکرها از تمام سایت‌های مورد علاقه شما از جمله گوگل، دراپ باکس، «QuickBooks»، پی‌پال (PayPal) و موارد دیگر استفاده می‌کنند. این یکی از نوآوری‌های هوشمندانه‌ای است که دیده‌ایم و با توجه به مقیاس این حمله تا کنون، یکی از محبوب‌ترین و مؤثرترین آنها محسوب می‌شود.»

تکنیک هکرها

به گفته کارشناسان، خطر ایمیل تجاری دستخوش تحول بسیار سریعی شده است؛ همین چند سال پیش محققان درباره کلاهبرداری‌های به اصطلاح گیفت کارت (Gift card) صحبت کردند؛ اینها ایمیل‌هایی بودند که وانمود می‌کردند از طرف یک مدیرعامل یا یک مدیر اجرایی می‌آمدند و از یک زیرمجموعه می‌خواستند «کارت‌های هدیه» بخرد. ایده این است که هکرها سپس از کارت‌های هدیه برای منافع شخصی استفاده کنند. این ایمیل‌ها معمولاً از آدرس جعلی Gmail-think CEO@gmail.com و نه CEO@company.com می‌آیند.

گروه تحقیقاتی چک پوینت توضیح داد که شرکت‌ها ممکن است جعل هویت دامنه‌ها و شرکا را نیز ببینند، اما اینها همیشه جعلی بودند، نه معامله واقعی.

مسئله بعدی مربوط به حساب‌های به خطر افتاده است؛ یعنی ممکن است یک کاربر داخلی مانند شخصی در امور مالی یا حتی یک کاربر شریک در معرض خطر در خطر باشد. این حملات حتی پیچیده‌تر هستند زیرا از یک آدرس قانونی می‌آیند. اما ممکن است پیوندی به صفحه ورود «O365» جعلی یا زبانی که «NLP» می‌تواند انتخاب کند، ببینید.

اما در حال حاضر حملات به خطر انداختن ایمیل تجاری 3.0 حملاتی از سوی سرویس‌های قانونی هستند. NLP در اینجا بی‌فایده است، این زبان مستقیماً از خدمات قانونی می‌آید و هیچ چیز اشتباه نیست. اسکن URL نیز کار نمی‌کند، زیرا کاربر را به یک دراپ باکس قانونی یا سایت دیگری هدایت می‌کند.

کارشناسان در چک پوینت اظهار داشتند :

«توقف و شناسایی این حملات برای سرویس‌های امنیتی و کاربران نهایی بسیار دشوار است. شروع با آموزش بسیار مهم است. کاربران نهایی باید از خود بپرسند آیا می‌دانم این شخص برای من سند می‌فرستد؟ و حتی اگر روی سند کلیک کنید، سؤال بعدی این است : آیا صفحه OneDrive در سند Dropbox منطقی است؟ پرسیدن این سؤال‌ها می‌تواند کمک کند. همانطور که نشان‌دهنده نشانی اینترنتی در خود صفحه دراپ باکس می‌تواند کمک کند. اما این از بسیاری از کاربران سوال می‌کند. به همین دلیل است که این حملات در فرکانس و شدت افزایش می‌یابد.»

بهترین شیوه‌ها : راهنمایی و توصیه‌ها

برای محافظت در برابر این حملات، متخصصان امنیتی می‌توانند کارهای زیر را انجام دهند :

•    از فناوری مبتنی بر هوش مصنوعی استفاده کنید که قادر به تجزیه و تحلیل و شناسایی چندین شاخص فیشینگ برای خنثی کردن فعالانه حملات پیچیده است.
•    از یک راه‌حل امنیتی جامع استفاده کنید که شامل قابلیت اسکن اسناد و فایل است.
•    یک سیستم حفاظتی قوی از URL مستقر کنید که اسکن‌های کامل را انجام می‌دهد و صفحات وب را برای امنیت بیشتر شبیه‌سازی می‌کند.