آنچه ما می توانیم از نحوه اجرای مجرمان سایبری کمپین های فیشینگ یاد بگیریم

چگونه مجرمان سایبری کمپین های فیشینگ را اجرا می کنند

مدیران IT باهوش و شایسته مسئول حفاظت از وب سایت ها ، سرورها ، سایر دستگاه های شبکه هستند. آنها از ابزارها و تکنیک های مدرن استفاده می کنند. با این حال ، محافظت و آموزش امنیتی کاربران نهایی ، از نمایندگان پشتیبانی ، دبیران و سایر کارگران ، مطلوب را رها می کند.

همانطور که گزارش های متعددی نشان می دهد ، فیشینگ اغلب متداول ترین گزینه برای دسترسی به مجرمان سایبری برای دسترسی به سیستم مورد نظر است. در این مقاله ، ما به تکنیک ها و ابزارهای خاصی که در فیشینگ استفاده می شود ، کمک خواهیم کرد تا شرکت شما را در درک بهتر و مقابله با تهدید کمک کند.

بیایید از ابتدا شروع کنیم ، یا بهتر بگوییم که تعریف فیشینگ چیست. فیشینگ نوعی کلاهبرداری است که هدف از آن دسترسی به داده های محرمانه کاربر است ، به عنوان مثال: نام کاربری ، گذرواژه ها و شماره های پین.

کلاهبرداران از چه روشهایی استفاده می کنند؟ محبوب ترین روش ها؛

  • ارسال ایمیل های جعلی با پیوندها یا پیوست های مخرب؛
  • ایجاد وب سایت های جعلی؛
  • پیام های شخصی جعلی در شبکه های اجتماعی و سایر وسایل ارتباطی؛
  • درایوهای فلش "پراکندگی" (سطح بدنی)

بیایید نگاهی دقیق تر به روند ایجاد منابع وب برای فیشینگ بپردازیم. این روند یکی از مواردی است که بیشترین استفاده را می کند و یک عنصر اساسی در حملات سایبری دیگر است.

این مقاله به ترتیب اقدامات در یک کارزار فیشینگ و همچنین ابزارهای کمکی می پردازد.

همچنین مشاهده کنید: 50+ آمار و آمار فیشینگ برای 2017-2018

انتخاب دامنه

ابتدا ، هکرها دامنه ای را ثبت می کنند که در آن \ وب سرویس مخرب \ منبع میزبان آنهاست.

  • تکنیک های معمول شامل جایگزینی شخصیت های بصری مشابه است: i -> ل
  • جایگزینی شخصیت با استفاده از Punycode
  • ثبت نام هر دامنه تصادفی اما با استفاده از یک دامنه فرعی با نام هدف که در ابتدا مانند admin.bankofindia.com.sample.com قابل مشاهده خواهد بود. این برای مشتری های تلفن همراه بسیار مفید است ، جایی که نوار آدرس در بیشتر موارد به دلیل اندازه صفحه نمایش کاهش می یابد.
  • به عنوان مثال ، bankofindia.io دقیقاً همان دامنه را در منطقه دیگری ثبت کنید.
  • استفاده از چیزی "اصلی" مانند bankofindia-blog.io.
  • با استفاده از نرم افزار ویژه ای که برخی از روشهای توصیف شده را پیاده سازی می کند ، به عنوان مثال ، EvilURL و DomainFuzz.

همیشه باید به کارکنان شرکت آموزش داده شود بررسی دو برابر عدم تناقض در دامنه هم در نوار URL مرورگرشان و هم بعد از نماد @ در آدرس های ایمیل.

پس از انتخاب نام سایت ، هکرها آن را به یک آدرس IP وصل می کنند و ویژگی های اضافی را پیکربندی می کنند.

معمول است که هکرها از خدمات میزبانی رایج ای استفاده کنند که به پنل مدیریت دسترسی پیدا کنند ، جایی که همه چیز را می توان در چند کلیک تنظیم کرد. به عنوان مثال ، آنها ممکن است یک VPS را در DigitalOcean با قیمت 5 دلار در ماه اجاره دهند.

مراحل بعدی پیکربندی SPF ، DKIM ، DMARC است:

  • SPF (چارچوب خط مشی فرستنده) یک ورودی متنی DNS است که لیستی از سرورهایی را نشان می دهد که باید برای ارسال نامه برای یک دامنه خاص مجاز باشند.
  • 2) در عوض ، باید DKIM (نامه شناسایی شده DomainKeys) به عنوان روشی در نظر گرفته شود تا صحت مطالب پیام ها قابل اعتماد باشد ، به این معنی که از لحظه ای که پیام از سرور ایمیل اولیه خارج شد ، تغییر نکرده اند. این لایه اعتماد اضافی با اجرای فرایند استاندارد امضای کلید عمومی عمومی / خصوصی حاصل می شود.
  • 3) DMARC (تأیید اعتبار ، گزارش دهی و تطابق پیام مبتنی بر دامنه) SPF و DKIM را با بیان یک خط مشی واضح که باید در مورد هر دو ابزار فوق الذکر استفاده شود ، قدرت می بخشد و به شما امکان می دهد تا یک آدرس را تنظیم کنید که می تواند برای ارسال گزارش درباره آمار پیام های پستی استفاده شود. توسط گیرنده ها در برابر دامنه خاص جمع آوری شده است.

در مرحله بعد ، اگر قصد ارسال پیام های فیشینگ با استفاده از ایمیل باشد ، لازم است حساب های ایمیل مرتبط با دامنه را اضافه کنید. وظایف واقعی ارسال را می توان به خدمات شخص ثالث واگذار کرد ، که در بعضی موارد می تواند کمک کند. به عنوان مثال ، کلاهبرداران از خدمات قانونی مانند SendGrid ، Mandrill ، GMail for Business استفاده می کنند.

مرحله بعدی صدور گواهینامه SSL برای دامنه فیشینگ است. این به هکر این امکان را می دهد تا HTTPS را در وب سایت جعلی خود فعال کند ، که می تواند قربانیان را به آن اعتماد کند. در گذشته ، HTTPS معمولاً حاکی از یک وب سایت قانونی بود ، اما اینطور نیست که همیشه اینگونه است ، و کارکنان شرکت باید از این امر آگاه باشند.

بگذارید Encrypt برای این کار کاملاً خوب عمل کند. بسته به وب سرور مورد استفاده ، تعداد زیادی اسکریپت استقرار برای آن وجود دارد.

برای فعال کردن HTTPS در وب سایت شما ، هکر باید مجوز (یک نوع پرونده) را از یک مجوز گواهی (CA) دریافت کند. بیایید رمزگذاری یک CA است. برای به دست آوردن گواهی نامه دامنه وب سایت خود از Let’s Encrypt ، فقط باید کنترل دامنه را نشان دهند. به علاوه تعداد زیادی از ارائه دهندگان میزبانی از پشتیبانی داخلی داخلی برای رمزگذاری Let را ارائه می دهند.

ایجاد نسخه های جعلی از صفحات وب قانونی

فیشینگ به صفحات وب جعلی که شبیه صفحات وب قانونی هستند برای تقلب قربانیان برای وارد کردن اطلاعات خصوصی مانند گذرواژه متکی است. گزینه اول کپی کردن سایت معتبر یا بصورت دستی از طریق مرورگر یا استفاده از GNU Wget است. برای تغییر پیوندها ، کپی کردن سبک ها و تصاویر لازم است ، مشاهده کنید که کاربران هنگام تلاش برای تأیید اعتبار در صفحه ، چه درخواست هایی ارسال می شوند ، و اسکریپتی را تهیه کنید که داده های ارسال شده به آن را کپی کند..

در پایان ، برخی از آنها یک تغییر مسیر اختیاری را به صفحه اصلی می دهند. نمونه های زیادی از چنین اسکریپت هایی در اینترنت وجود دارد.

با توجه به این مسئله ، کارکنان شرکت باید از این امر آگاه شوند وب سایت های فیشینگ می توانند کاملاً یکسان با سایت معتبر باشند آنها جعل کننده هستند ، بنابراین ظاهر راهی مناسب برای قضاوت در مورد قانونی بودن یا نبودن سایت نیست.

گزینه دوم استفاده از Toolkit Social-Engineer است. به طور کلی ، این بهترین گزینه نیست ، زیرا سرور وب خود را درگیر می کند. در مورد چارچوب های فیشینگ ، یک زن و شوهر دیگر شامل: Gophish و King Phisher

ارسال ایمیل فیشینگ

کلاهبرداران فیشینگ نیاز به جمع آوری آدرس های ایمیل زیادی دارند. از کجا؟ گزینه های زیادی وجود دارد:

  • از وب سایت هدف نرم افزار و خدمات عبارتند از: استخراج رایگان ایمیل آنلاین ، استخراج ایمیل Hippo ایمیل ، ایمیل Grabber.
  • از داده های DNS و WHOIS ، با استفاده از خدماتی مانند MxToolbox ، DNSdumpster.com
  • نیروی بی رحمانه ساده.
  • از شبکه های اجتماعی مانند LinkedIn ، Facebook.
  • بانک اطلاعاتی تخصصی ایمیل: شکارچی ، Toofr.
  • از موتورهای جستجوگر محبوب.
  • از انواع پایگاه داده های درز شده (گاهی آدرس های ایمیل با یک رمز عبور معتبر همراه می شوند): Snusbase، We Leak Info.
  • به عنوان مثال نرم افزار ویژه OSINT ، Maltego.

مبحث OSINT (هوش منبع آزاد) فراتر از محدوده این مقاله است ، اما من چندین لینک را در اختیارتان قرار می دهم که می توانید در مورد خدمات ، رویکردها و ابزارهای موجود اطلاعات بیشتری کسب کنید: OSINT Framework ، عالی OSINT خوب OSINT می تواند در حملات فیشینگ هدفمند بسیار کمک کند ، اما هزینه های نیروی کار بسیار زیاد است و بندرت در حملات سطح پایین استفاده می شود.

کارکنان شرکت باید فرض کنیم که همه آدرس های ایمیل آنها در دسترس عموم است و هر کس ، از جمله کلاهبرداران ، می تواند آنها را هدف قرار دهد.

ایجاد ایمیل فیشینگ

پس از جمع آوری آدرس های ایمیل ، زمان آن است که یک کمپین ایمیل آزمایشی انجام دهید. کلاهبرداران معمولاً این کار را با استفاده از یک دامنه جداگانه انجام می دهند. کمپین های آزمایشی کمک می کنند تا درک کنند که یک پیام الکترونیکی معمولی از شرکت چطور به نظر می رسد ، چگونه امضاها به نظر می رسد ، قالب کلی پیام ، عناوین آن ، هرگونه ابزار ضد اسپیس ، سرویس گیرنده نامه استفاده شده و موارد دیگر.

اکثر شرکت ها از طرح امضای خود استفاده می کنند که شامل نام ، نام و نام خانوادگی ، مشخصات تماس و غیره است. هکرها فقط آن را کپی می کنند ، با توجه به ساختار ، طراحی بصری (رنگ ، فونت) و غیره.

هر ایمیل حاوی سرصفحه هایی است که ممکن است در فهم استفاده از سیستم فیلترینگ یا ارائه جزئیات در مورد مشتری خاص ایمیل یا رابط های وب به شما کمک کند..

صحبت از فیلترهای اسپم ، قبل از ارسال ایمیل جدید ، کلاهبرداران پیامهای خود را با SpamAssassin روی یک سیستم جداگانه آزمایش می کنند. SpamAssassin یک "امتیاز" ارائه می دهد - یک ارزیابی ذهنی از احتمال وجود اسپم در یک ایمیل خاص. این امتیاز فرصتی است برای ویرایش قبل از ارسال ایمیل های واقعی تا اطمینان حاصل شود که در فیلترهای اسپم گرفتار نشده اند.

همانطور که برای نوار عنوان از ایمیل ، ساده و متداول استفاده می شود:

  • لطفا اسناد را امضا کنید
  • نظر سنجی
  • برنامه کاری برای تعطیلات

اگر این نامه با فرمت HTML باشد و پیوندهایی به منابع شخص ثالث (سبک ها ، تصاویر) وجود داشته باشد ، در این صورت برخی از مشتریان ایمیل به طور پیش فرض چنین محتوا را مسدود می کنند ، هر چند که می تواند توسط کاربر باز شود. هکرها از ترفندهای مهندسی اجتماعی برای کلیک کاربران استفاده می کنند. به عنوان مثال ، یک پیام ممکن است کاربران را به مشاهده اینفوگرافیک یا کوپن ترغیب کند.

باید به کارکنان شرکت دستور داده شود تا از این ترفندهای رایج مراقبت کنند هرگز روی پیوندها یا پیوست های ایمیل های غیرمجاز کلیک نکنید.

بعضی اوقات کلاهبرداران چندین گیرنده (هدر سی سی) را در همان شرکت مشخص می کنند. بعضی اوقات آنها استفاده می کنند Fwd یا دوباره در خط موضوع - همه اینها اعتماد را افزایش می دهد.

همچنین مشاهده کنید: کلاهبرداری فیشینگ رایج

پیوست های ایمیل

پس از آماده شدن متن ، وقت آن است که به پیوست ها ادامه دهید. هکرها ممکن است نه تنها علاقه مند به قربانیان برای باز کردن ایمیل باشند. همچنین ممکن است بخواهند با بدافزار به دستگاه گیرنده نفوذ کنند و پیوست های ایمیل یک راه اصلی برای انجام این کار هستند.

کلاهبرداران معمولاً چه می فرستند؟ اساسا, اسناد Microsoft Office ، و گاه بایگانی. ارسال برنامه های افزودنی اجرایی معمولی (.exe) تقریباً 100٪ مطمئناً توسط فیلتر اسپم متوقف شده است. عجیب است ، اما شرکت ها تقریباً همه پسوندهای پرونده خطرناک را در پیوست ها فیلتر می کنند ، اما اجازه دهید RAR ، ZIP و سایر بایگانی ها از بین بروند.

در مورد اسناد اداری از گزینه های زیر استفاده می شود:

  • انواع سوءاستفاده برای آسیب پذیری های عمومی.
  • ماکرو؛
  • تبادل داده پویا؛
  • OLE؛
  • فرمت های فایل کمتر متداول ، مانند HTA. گاهی اوقات می توان سوء استفاده یا آسیب پذیری را یافت.

اگر هکرها فقط علاقه مند به تلاش برای باز کردن پرونده هستند ، برای این کار چند روش دارند:

  • دسترسی به یک منبع خارجی (گاهی اوقات با امکان نشت اطلاعات مفید)
  • امضای سند با گواهی دیجیتال
  • نظارت بر تماس با سرورهای CRL یا Timestamp.

از نو, کارکنان هرگز نباید روی پیوست های ایمیل های ناخواسته کلیک کنند و به ویژه نسبت به اسناد Microsoft Office و پرونده های فشرده شده احتیاط کنید.

شبکه های اجتماعی

برای شبکه های اجتماعی و سایر وسایل ارتباطی ، این رویکرد تفاوت زیادی با فیشینگ الکترونیکی عمومی ندارد. تالارهای Darknet حاوی زباله هایی با کپی مکاتبات شخصی و گپ ها هستند. اینها با هدف ایجاد یک رابطه مطمئن با یک قربانی انجام می شود که منجر به ارسال یک لینک یا پرونده مخرب برای آنها می شود.

کارکنان شرکت باید آگاه باشند که می توانند از طریق رسانه های اجتماعی و همچنین از طریق ایمیل مورد هدف قرار گیرند.

رسانه های بدنی

هکرها ممکن است درایوهای فلش USB یا سایر رسانه های بدنی را که در اطراف آن قرار دارند ، بگذارند تا قربانیان را در وارد کردن وسایل شخصی خود فریب دهند. تاکتیکها بسیار متفاوت هستند ، اما معمولاً به یک شکل یا شکل دیگر ، امکان تعامل با کارمندان وجود دارد. در بیشتر موارد ، کلاهبرداران از Rubber Ducky یا همانندهای ارزان قیمت آن از AliExpress استفاده می کنند.

شرکت کارکنان فناوری اطلاعات باید سیاستی را برای منع استفاده از دستگاههای USB شخصی در مطب تنظیم کنند.

تأثیر فیشینگ

اگر یک کاربر بخواهد به قلاب کلاهبرداران برسد ، همه چیز از دست خارج نمی شود ، به خصوص اگر هدف یک کارمند شرکت باشد. با بدست آوردن اطلاعات دسترسی حساس ، طرف مقابل ممکن است مالکیت معنوی و سایر مواد شرکتی اختصاصی را بدزد. علاوه بر این ، آنها می توانند با افشای برخی از ارتباطات داخلی به شهرت شرکت صدمه بزنند - درنهایت ، این باعث می شود اعتماد مشتریان به این برند تضعیف شود. در برخی موارد ، هکرها شروع به جعل سازمانها می کنند. بعلاوه ، در برخی از سناریوها ، سازمانها ممکن است با پرداخت جریمه نقض مقررات مانند HIPAA و پرداخت جبران خسارت به کارمندان یا مشتریان به دلیل عدم محافظت از هویت خود ، علاوه بر این با هزینه‌های مستقیم مواجه شوند..

در صورت دسترسی مجرمان به حساب بانکی خود ، کاربران عادی خطر از دست دادن پول خود را با استفاده از فیشینگ در معرض خطر قرار می دهند. یک حمله موفقیت آمیز همچنین می تواند اقدام به اخاذی کند ، جایی که عاملان بخاطر عدم افشای اطلاعات شرم آور درباره قربانی ، خواستار باج می شوند. نصب نرم افزارهای مخرب بر روی رایانه های گیرنده نیز یکی دیگر از بردارهای ممکن است فعالیت ناسازگارها باشد.

در پایان روز ، حملات فیشینگ همیشه عواقب نامطلوبی را هم برای کاربران شرکت و هم برای خانه به دنبال دارد. برای ایمن ماندن ، حتما به دنبال پرچم های قرمز ذکر شده در بالا باشید و ایمیل های مشکوک را با کمی پارانویا مناسب درمان کنید. نکات بیشتر در مورد اجتناب از فیشینگ می توانید در راهنمای ما در اینجا بیابید.

همچنین مشاهده کنید: فیشر فیش چیست؟?

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

21 + = 25

Adblock
detector