راهکار کسپرسکی برای جلوگیری از حملات فیشینگ:  دامنه های مشابه و نحوه تشخیص آنها

راهکار کسپرسکی برای جلوگیری از حملات فیشینگ: دامنه های مشابه و نحوه تشخیص آنها

وب سایت ها و آدرس های ایمیل جعلی اغلب در حملات فیشینگ و هدفمند استفاده می شوند. دامنه های جعلی چگونه ایجاد می شوند و چگونه می توان آن را تشخیص داد؟

در محل کار ایمیلی دریافت کرده‌اید که از شما می‌خواهد رمز عبور ایمیل خود را تغییر دهید، دوره مرخصی خود را تأیید کنید یا بنا به درخواست مدیر عامل یک انتقال فوری پول انجام دهید. چنین درخواست های غیرمنتظره ای می تواند شروع یک حمله سایبری به شرکت شما باشد، بنابراین باید مطمئن شوید که کلاهبرداری نیست. بنابراین چگونه آدرس های ایمیل یا پیوندهای وب سایت ها را بررسی می کنید؟

 

مرکز یک جعلی معمولاً نام دامنه است. یعنی بخشی از ایمیل بعد از @ یا ابتدای URL. وظیفه آن القای اعتماد به قربانی است. مطمئنا، مجرمان سایبری دوست دارند دامنه رسمی شرکت مورد نظر، یا یکی از تامین کنندگان یا شرکای تجاری آن را ربودند، اما در مراحل اولیه حمله معمولاً این گزینه را ندارند. در عوض، قبل از یک حمله هدفمند، دامنه‌ای را ثبت می‌کنند که شبیه به دامنه سازمان قربانی است – و امیدوارند که شما تفاوت را متوجه نشوید. چنین تکنیک هایی حملات شبیه به هم نامیده می شوند. مرحله بعدی میزبانی یک وب سایت جعلی در دامنه یا حذف ایمیل های جعلی از صندوق های پستی مرتبط با آن است.

 

در این مقاله، کسپرسکی برخی از ترفندهایی را که مهاجمان برای جلوگیری از مشاهده جعل دامنه استفاده می‌کنند، بررسی کرده است پس در ادامه با ما همراه باشید.

هموگلیف ها : حروف متفاوت با املای یکسان

یک ترفند استفاده از حروفی است که از نظر بصری بسیار شبیه یا حتی غیر قابل تشخیص هستند. به عنوان مثال، یک "L" (l) در بسیاری از فونت‌ها شبیه به بزرگ "i" (I) به نظر می‌رسد، بنابراین ایمیلی که از آدرس JOHN@MlCROSOFT.COM ارسال می‌شود، حتی تیزبین‌ترین و دقیق‌ترین‌ها را نیز فریب خواهد داد. البته آدرس واقعی فرستنده john@mLcrosoft.com است!

این مدل اسکم‌ها بعد از اینکه ثبت دامنه به زبان‌های مختلف ممکن است افزایش پیدا کرد (شامل آن‌هایی که از الفبای لاتین حتی استفاده نمی‌کنند). ο یونانی، о روسی و o لاتین برای انسان کاملاً غیرقابل‌تشخیص است اما به چشم کامپیوتر این حروف کاملاً با هم فرق دارند. همین باعث می‌شود کلی دامنه ثبت شود که همگی شبیه microsоft.cοm هستند (با استفاده از ترکیب‌های مختلفی از Oها). چنین تکنیک‌هایی که کاراکترهای به لحاظ بصری را به کار می‌گیرند حملات هوموگلیفی یا هوموگراف می‌نامند.

 

ترکیبی: کمی با چاشنی

تم ترکیبی در سال های اخیر بین مجرمان سایبری رایج شده است. برای تقلید از یک ایمیل یا وب سایت شرکت مورد نظر، دامنه ای ایجاد می کنند که نام آن و یک کلمه کمکی مربوطه مانند Microsoft-login.com یا SkypeSupport.com را ترکیب می کند. موضوع ایمیل و انتهای نام دامنه باید مطابقت داشته باشند: به عنوان مثال، یک هشدار در مورد دسترسی غیرمجاز به یک حساب ایمیل می تواند به سایتی با هشدار دامنه چشم انداز مرتبط شود.

این حقیقت که برخی شرکت‌ها در واقع دامنه‌هایی با کلمات کمکی دارند نیز شرایط را حتی بدتر کرده. برای مثال login.microsoftonline.com یک سایت کاملاً قانونی مایکروسافت است.

آنتی ویروس کسپرسکی به نقل از پلتفرم Akamai می گوید، شایع‌ترین افزونه‌های ترکیبی عبارتند از support, com, login, help, secure, www, account, app, verify, و service. دو تا از این‌ها یعنی www و com  اغلب در نام‌های وبسایت‌ها پیدا می‌شوند و کاربر از همه‌جا بی‌خبر شاید متوجه نقطه‌ی جاافتاده نشود: wwwmicrosoft.com، microsoftcom.au.

جعل دامنه رده بالای

گاهی اوقات مجرمان سایبری موفق می شوند یک داپلگانگر یا همزاد را در یک دامنه سطح بالا (TLD) ثبت کنند، مانند microsoft.co به جای microsoft.com، یا office.pro به جای office.com. در این صورت نام شرکت جعلی می تواند ثابت بماند. این تکنیک Tld-squatting نام دارد.

جایگزینی مانند این می تواند بسیار موثر باشد. اخیراً گزارش شده است که برای بیش از یک دهه، پیمانکاران و شرکای مختلف وزارت دفاع ایالات متحده به اشتباه به جای دامنه MIL ارتش آمریکا به دامنه .ML متعلق به جمهوری مالی ایمیل می فرستند. تنها در سال 2023، یک پیمانکار هلندی بیش از 117000 ایمیل اشتباه هدایت شده را به جای وزارت دفاع به مالی رهگیری کرد.

 

کلک تایپی: دامنه‌هایی با غلط املایی

ساده‌ترین (و اولین) راه برای تولید دامنه‌های doppelganger، بهره‌برداری از اشتباهات تایپی مختلف است که به راحتی ایجاد می‌شوند و به سختی قابل تشخیص هستند. در اینجا تغییرات زیادی وجود دارد: افزودن یا حذف دوتایی (ofice.com به جای office.com)، افزودن یا حذف علائم نگارشی (cloud-flare یا c.loudflare به جای cloudflare)، جایگزینی حروف مشابه (savebank به جای safebank) ، و غیره.

اشتباهات تایپی ابتدا توسط اسپمرها و کلاهبرداران تبلیغاتی مورد استفاده قرار گرفت، اما امروزه از چنین ترفندهایی همراه با محتوای جعلی وب سایت استفاده می شود تا زمینه ای برای فیشینگ نیزه ای و به خطر انداختن ایمیل های تجاری (BEC) فراهم شود.

 

چگونه در برابر دامنه‌های doppelganger و حملات مشابه محافظت شویم

هوموگلیف‌ها را سخت‌تر از همه می‌شود تشخیص داد و هرگز هم برای مقاصد قانونی استفاده نمی‌شوند. در نتیجه، توسعه‌دهندگان مرورگر و تا حدی ثبت‌کنندگان دامنه در تلاشند با این حملات مبارزه کنند. در برخی مناطق دامنه برای مثال ثبت نام‌هایی با حروفی از الفباهای مختلف ممنوع است اما در خیلی از TLDهای دیگر چنین محافظتی وجود ندارد پس باید تماماً همه امید به ابزارهای امنیت باشد. بله حقیقت دارد که بسیاری از مرورگرها روش مخصوص نمایش نام دامنه را دارند؛ نام دامنه‌ای که شامل ترکیبی از الفباها می‌شود. انچه اتفاق می‌افتد این است که آن‌ها بازنمایی یوآرال در  punycode هستند پس شبیه این است: xn--micrsoft-qbh.xn--cm-fmc (این سایت microsoft.com است با دو O روسی). بهترین دفاع در برابر غلط املایی و کلک ترکیبی، هشیاری و دقت است. در این راستا توصیه می‌کنیم همه کارمندان برای یادگیری نحوه شناسایی تکنیک‌های فیشینگ تحت آموزش‌های پایه آگاهی امنیتی قرار گیرند. متأسفانه زرادخانه‌ی مجرمان سایبری بزرگ است و هیچ‌جوره نمی‌شود آن‌ را به حملات شبیه به هم محدود کرد. مبارزه در مقابل حملاتی که با دقت اجرا می‌شوند و هدفشان یک شرکت خاص است تنها هشیاری کافی نیست. برای مثال آن سالی که مهاجمین سایت جعلی ساختند که شبیه‌سازی دروازه اینترانت ردیت بود این حمله موفقیت‌آمیز پیش رفت. از این رو تیم‌های امنیت‌ اطلاعات باید نه تنها به فکر آموزش کارمندان خود باشند که همچنین باید از ابزارهای حیاتی محافظتی نیز استفاده کنند:

 

·         محافظت ویژه از سرورهای میل در مقابل اسپم و فیشینگ هدف‌دار. برای مثال Kaspersky Security for Mail Server با استفاده از فناوری یادگیری ماشین و پایگاه‌های داده اسپم که در لحظه به روز می‌شوند ایمیل‌های مخرب را شناسایی می‌کند. این سیستم همچنین قادر است ایمیل‌های مشکوک را در سندباکس گیر انداخته یا قرنطینه‌شان کند.

·         محافظت برای همه دستگاه‌های کارمندان- شامل اسمارت‌فون‌ها و کامپیوترهای شخصی استفاده‌شده برای کار. این امنیت را به طور کلی بالا برده اما خصوصاً برای رهگیری لینک‌های مخرب و فایل‌هایی که نه از طریق میل که از طریق سایر کانال‌هایی مانند شبکه‌های اجتماعی مهم هستند.

 شرکت شبکه رسام دوراندیش برای کمک به محافظت از دستگاه های سازمان و مجموعه شما ، در هر کجا و هر ابعادی که هستید انواع آنتی ویروس های تحت شبکه و سازمانی کسپرسکی را با هر قابلیتی که بخواهید را در دسترس شما عزیزان قرار می دهد .مجموعه مهندسی شبکه رسام دوراندیش نماینده رسمی فروش آنتی ویروس Kaspersky با قابلیت ارائه پشتیبانی رایگان و 24 ساعته می باشد .