سازش ایمیل تجاری (Business Email Compromise) چیست؟ چگونه حملات BEC را شناسایی و مسدود کنیم؟ ویژگی ها و علائم ایمیل BEC چیست؟
سازش ایمیل تجاری (BEC) چیست؟
سازش ایمیل تجاری (BEC) نوعی حمله مهندسی اجتماعی است که از طریق ایمیل انجام می شود. در حمله BEC، یک مهاجم یک پیام ایمیل را جعل می کند تا قربانی را فریب دهد تا برخی از اقدامات را انجام دهد – اغلب، انتقال پول به حساب یا مکانی که مهاجم کنترل می کند. حملات BEC با انواع دیگر حملات مبتنی بر ایمیل در چند زمینه کلیدی متفاوت است:
- آنها حاوی بدافزار، پیوندهای مخرب، یا پیوست های ایمیل نیستند.
- آنها افراد خاصی را در سازمان ها هدف قرار می دهند.
- آنها برای قربانی مورد نظر شخصی سازی می شوند و اغلب شامل تحقیقات پیشرفته در مورد سازمان مورد نظر میشوند.
حملات BEC به ویژه خطرناک هستند زیرا حاوی بدافزار، لینک های مخرب، پیوست های ایمیل خطرناک یا سایر عناصری نیستند که فیلتر امنیتی ایمیل ممکن است شناسایی کند. ایمیلهای مورد استفاده در حمله BEC معمولاً حاوی چیزی جز متن نیستند، که به مهاجمان کمک میکند آنها را در ترافیک عادی ایمیل استتار کنند.
علاوه بر دور زدن فیلترهای امنیتی ایمیل، ایمیلهای BEC بهطور خاص طراحی شدهاند تا گیرنده را فریب دهند تا آنها را باز کند و بر اساس پیامی که حاوی آنها است، اقدام کند. مهاجمان از شخصی سازی برای تطبیق ایمیل با سازمان مورد نظر استفاده می کنند.
مهاجم ممکن است شخصی را که قربانی مورد نظر به طور مرتب از طریق ایمیل با او مکاتبه می کند جعل کند. برخی از حملات BEC حتی در وسط یک رشته ایمیل از قبل موجود رخ می دهد. معمولاً یک مهاجم جعل هویت فردی بالاتر در سازمان می شود تا قربانی را برای انجام درخواست مخرب ترغیب کند.
- مقاله مرتبط: آشنایی با انواع حملات سایبری + نحوه مقابله [54 حمله]
چرا شناسایی حملات BEC (سازش ایمیل تجاری) اینقدر سخت است؟
دلایل دیگری که شناسایی حملات BEC دشوار است ممکن است شامل موارد زیر باشد:
حملات سازش ایمیل تجاری (BEC) کم حجم هستند
افزایش غیرمعمول در ترافیک ایمیل می تواند فیلترهای امنیتی ایمیل را از حمله در حال انجام آگاه کند. اما حملات BEC بسیار کم حجم هستند و اغلب فقط از یک یا دو ایمیل تشکیل می شوند. آنها را می توان بدون ایجاد جهش در ترافیک ایمیل انجام داد. این حجم کم یک کمپین BEC را قادر می سازد تا به طور منظم آدرس IP منبع خود را نیز تغییر دهد و مسدود کردن کمپین را دشوارتر می کند.
آنها از یک منبع یا دامنه قانونی استفاده می کنند
حملات فیشینگ در مقیاس بزرگ اغلب از آدرس های IP می آیند که به سرعت در لیست بلاک قرار می گیرند. حملات BEC، به دلیل حجم کم، می توانند از آدرس های IP که شهرت خنثی یا خوبی دارند به عنوان منبع خود استفاده کنند. آنها همچنین از جعل دامنه ایمیل استفاده می کنند تا به نظر برسد که ایمیل ها از یک شخص واقعی می آیند.
آنها ممکن است در واقع از یک حساب ایمیل قانونی باشند
حملات BEC ممکن است از یک صندوق ورودی ایمیل قبلاً در معرض خطر برای ارسال پیام های مخرب خود از طرف یک شخص بدون اطلاع او استفاده کنند، بنابراین ممکن است ایمیل در واقع از یک آدرس ایمیل قانونی باشد. (این امر مستلزم تلاش بسیار بیشتری از سوی هکر است، اما چنین هزینهای از تلاش متمرکز مشخصه کمپین های BEC است.)
آنها بررسی های DMARC را پاس می کنند
تأیید اعتبار، گزارش و انطباق پیام مبتنی بر دامنه (DMARC) پروتکلی برای شناسایی ایمیل هایی است که از یک دامنه بدون مجوز ارسال می شوند. این به جلوگیری از جعل هویت یک دامنه کمک می کند. کمپینهای BEC به چند دلیل میتوانند از DMARC عبور کنند:
1) سازمانها ممکن است DMARC را برای مسدود کردن ایمیلها پیکربندی نکرده باشند.
2) مهاجمان ممکن است از یک منبع قانونی ایمیل ارسال کنند.
ایمیل های BEC معمولا شامل چه چیزهایی هستند؟
معمولاً ایمیلهای BEC حاوی چند خط متن هستند و شامل پیوندها، پیوستها یا تصاویر نمیشوند. در این چند خط، هدف آنها این است که هدف را وادار به انجام اقدامات مورد نظر خود کنند، خواه انتقال وجوه به یک حساب خاص یا اعطای دسترسی غیرمجاز به داده ها یا سیستم های محافظت شده باشد.
سایر عناصر رایج ایمیل BEC ممکن است شامل موارد زیر باشد:
حساسیت زمانی: کلماتی مانند “فوری”، “سریع”، “یادآوری”، “مهم” و “به زودی” اغلب در ایمیلهای BEC ظاهر میشوند، مخصوصاً در خط موضوع، تا گیرنده را وادار به انجام هرچه سریعتر عمل کند – قبل از آنها. متوجه شوید که ممکن است هدف یک کلاهبرداری باشند.
فرستنده معتبر: مهاجمان BEC به عنوان فردی مهم در سازمان ظاهر می شوند: برای مثال، مدیر مالی یا مدیر عامل.
جعل هویت کامل فرستنده: ایمیل های BEC ممکن است با جعل آدرس ایمیل آنها، تقلید از شیوه نوشتن افراد یا استفاده از تاکتیک های دیگر برای فریب قربانی خود، جعل هویت فرستندگان قانونی (مثلاً مدیر مالی یک سازمان) شوند.
ارائه دلیل برای درخواست: گاهی اوقات، برای افزودن مشروعیت به درخواست غیرمعمول، یک ایمیل BEC دلایلی را برای اینکه چرا این اقدام ضروری است ارائه می دهد. این نیز فوریت را به درخواست اضافه می کند.
دستورالعملهای خاص: مهاجمان دستورالعملهای واضحی را ارائه میدهند، مانند اینکه پول کجا میرود و چه مقدار باید ارسال شود – احتمال اینکه یک مقدار خاص مشروع به نظر برسد. مهاجمان ممکن است این اطلاعات را در ایمیل اولیه یا در ایمیل بعدی در صورت پاسخ قربانی درج کنند.
دستورالعمل عدم تماس با فرستنده ادعایی: اگر قربانی مورد نظر بتواند از طریق کانال ارتباطی دیگری به منبع فرضی ایمیل BEC برسد، ممکن است بتواند ایمیل را جعلی تشخیص دهد. برای جلوگیری از این امر، مهاجمان اغلب به قربانی دستور می دهند که با فرستنده تماس نگیرد یا درخواست را با شخص دیگری تایید نکند، شاید به نام اقدام سریع.
آیا دروازه های ایمیل ایمن (SEG) کمپین های سازش ایمیل تجاری (BEC) را مسدود می کنند؟
یک دروازه ایمیل امن (SEG) یک سرویس امنیتی ایمیل است که بین ارائه دهندگان ایمیل و کاربران ایمیل قرار می گیرد. آنها ایمیل های بالقوه مخرب را شناسایی و فیلتر می کنند، درست همانطور که یک فایروال ترافیک شبکه مخرب را حذف می کند.
SEG ها علاوه بر اقدامات امنیتی داخلی که اکثر ارائه دهندگان ایمیل قبلاً ارائه می دهند، محافظت بیشتری را ارائه می دهند (مثلاً Gmail و Microsoft Outlook برخی از محافظت های اولیه را قبلاً در اختیار دارند).
با این حال، SEG های سنتی برای شناسایی کمپین های BEC که به خوبی ساخته شدهاند به دلایلی که در بالا توضیح داده شد تلاش می کنند: حجم کم، فقدان محتوای بدیهی بدیهی، منبع به ظاهر قانونی برای ایمیل، و غیره.
به همین دلیل، آموزش امنیت سایبری کاربر و اقدامات امنیتی اضافی ایمیل برای جلوگیری از به خطر افتادن ایمیل های تجاری بسیار مهم است.
وقتی کاربران به کمپین سازش ایمیل تجاری (BEC) مشکوک هستند چه باید بکنند؟
درخواست های غیرمعمول، غیرمنتظره یا ناگهانی نشانه حمله احتمالی BEC است. کاربران باید پیام های احتمالی BEC را به تیم های عملیات امنیتی گزارش دهند. آنها همچنین می توانند با منبع ادعایی ایمیل چک کنند.
تصور کنید باب، حسابدار، ایمیلی از مدیر مالی آلیس دریافت می کند:
باب،
من باید برای مشتری چند کارت هدیه به پیتزا فروشی مورد علاقه اش بفرستم. لطفاً 10000 دلار کارت هدیه پیتزا خریداری کنید و آنها را به آدرس ایمیل این مشتری انتقال دهید: customer@example.com
لطفا این کار را سریع انجام دهید. این بسیار فوری است. ما نمی خواهیم این مشتری را از دست بدهیم.
من سوار هواپیما هستم و تا چند ساعت آینده دور از دسترس خواهم بود.
-آلیس
باب این درخواست را غیرعادی میداند: تحویل کارتهای هدیه پیتزا به مشتریان معمولاً وظیفه بخش حسابداری نیست. او به آلیس زنگ می زند، فقط اگر او هنوز “سوار هواپیما” نشده باشد. او تلفن را برمی دارد و از درخواستی که ظاهراً برای او فرستاده بی خبر است. او هم سوار هواپیما نمی شود. باب به تازگی یک حمله BEC را شناسایی کرده است.
چه اقدامات فنی دیگری می تواند سازش ایمیل تجاری (حملات BEC) را شناسایی و مسدود کند؟
تشخیص زیرساخت فیشینگ پیشرفته
برخی از ارائه دهندگان امنیت ایمیل برای شناسایی سرورهای فرمان و کنترل (C&C)، وب سایت های جعلی و سایر عناصری که مهاجمان در کمپین BEC یا حمله فیشینگ استفاده می کنند، وب را از قبل می خزند.
این امر مستلزم استفاده از رباتهای خزنده وب برای اسکن بخشهای بزرگ اینترنت است (موتورهای جستجو از رباتهای خزنده وب نیز استفاده میکنند، اما برای اهداف متفاوت). شناسایی زیرساخت حمله از قبل به ارائهدهنده امکان میدهد ایمیلهای غیرقانونی را درست هنگام ارسال مسدود کند، حتی اگر در غیر این صورت ممکن است از فیلترهای امنیتی عبور کنند.
تجزیه و تحلیل یادگیری ماشینی
یادگیری ماشین راهی برای خودکار کردن فرآیند پیشبینی نتایج بر اساس مجموعه دادههای بزرگ است. میتوان از آن برای شناسایی فعالیتهای غیرعادی استفاده کرد. برای مثال، مدیریت ربات Cloudflare از یادگیری ماشینی به عنوان یکی از روشهای شناسایی فعالیت ربات استفاده میکند.
برای توقف حملات BEC، یادگیری ماشینی میتواند به شناسایی درخواستهای غیرعادی، الگوهای ترافیک ایمیل غیرمعمول و سایر ناهنجاریها کمک کند.
تجزیه و تحلیل موضوعات ایمیل
از آنجایی که مهاجمان BEC اغلب سعی میکنند به یک رشته موجود پاسخ دهند تا به ایمیلهای خود مشروعیت بخشند، برخی از ارائهدهندگان امنیت ایمیل رشتهها را کنترل میکنند تا ببینند آیا ایمیلهای «از» یا «به» درون یک رشته بهطور ناگهانی تغییر میکنند یا خیر.
پردازش زبان طبیعی
این بدان معناست که به دنبال عبارات کلیدی در ایمیل ها باشید تا بدانید که مجموعهای از مخاطبین ایمیل معمولاً در مورد چه موضوعاتی با هم ارتباط دارند. به عنوان مثال، می توان ردیابی کرد که یک فرد مشخص در یک سازمان با چه کسی در مورد نقل و انتقال پول، روابط با مشتری یا هر موضوع دیگری ارتباط دارد. اگر ایمیل های دریافتی باب (از مثال بالا) به ندرت با روابط مشتری سروکار دارند، درج عباراتی مانند “یک مشتری” و “از دست دادن این مشتری” در ایمیل “آلیس” می تواند سیگنالی باشد که ایمیل بخشی از یک BEC است. حمله کنند.
همین حالا از کمک و راهنمایی ما بهرهمند شوید!
نیاز به خدمات امنیت سایبری دارید؟ همین حالا با کارشناسان ما ارتباط برقرار کنید!