سازش ایمیل تجاری Business Email Compromise (BEC) چیست؟

سازش ایمیل تجاری (Business Email Compromise) چیست؟ چگونه حملات BEC را شناسایی و مسدود کنیم؟ علائم ایمیل BEC
آنچه در این مقاله میخوانید:

سازش ایمیل تجاری (Business Email Compromise) چیست؟ چگونه حملات BEC را شناسایی و مسدود کنیم؟ ویژگی ها و علائم ایمیل BEC چیست؟

 

سازش ایمیل تجاری (BEC) چیست؟

سازش ایمیل تجاری (BEC) نوعی حمله مهندسی اجتماعی است که از طریق ایمیل انجام می شود. در حمله BEC، یک مهاجم یک پیام ایمیل را جعل می کند تا قربانی را فریب دهد تا برخی از اقدامات را انجام دهد – اغلب، انتقال پول به حساب یا مکانی که مهاجم کنترل می کند. حملات BEC با انواع دیگر حملات مبتنی بر ایمیل در چند زمینه کلیدی متفاوت است:

 

  • آنها حاوی بدافزار، پیوندهای مخرب، یا پیوست های ایمیل نیستند.
  • آنها افراد خاصی را در سازمان ها هدف قرار می دهند.
  • آنها برای قربانی مورد نظر شخصی سازی می شوند و اغلب شامل تحقیقات پیشرفته در مورد سازمان مورد نظر می‌شوند.

حملات BEC به ویژه خطرناک هستند زیرا حاوی بدافزار، لینک های مخرب، پیوست های ایمیل خطرناک یا سایر عناصری نیستند که فیلتر امنیتی ایمیل ممکن است شناسایی کند. ایمیل‌های مورد استفاده در حمله BEC معمولاً حاوی چیزی جز متن نیستند، که به مهاجمان کمک می‌کند آنها را در ترافیک عادی ایمیل استتار کنند.

علاوه بر دور زدن فیلترهای امنیتی ایمیل، ایمیل‌های BEC به‌طور خاص طراحی شده‌اند تا گیرنده را فریب دهند تا آنها را باز کند و بر اساس پیامی که حاوی آنها است، اقدام کند. مهاجمان از شخصی سازی برای تطبیق ایمیل با سازمان مورد نظر استفاده می کنند.

مهاجم ممکن است شخصی را که قربانی مورد نظر به طور مرتب از طریق ایمیل با او مکاتبه می کند جعل کند. برخی از حملات BEC حتی در وسط یک رشته ایمیل از قبل موجود رخ می دهد. معمولاً یک مهاجم جعل هویت فردی بالاتر در سازمان می شود تا قربانی را برای انجام درخواست مخرب ترغیب کند.

 

 

 

 

چرا شناسایی حملات BEC (سازش ایمیل تجاری) اینقدر سخت است؟

دلایل دیگری که شناسایی حملات BEC دشوار است ممکن است شامل موارد زیر باشد:

 

حملات سازش ایمیل تجاری (BEC) کم حجم هستند

افزایش غیرمعمول در ترافیک ایمیل می تواند فیلترهای امنیتی ایمیل را از حمله در حال انجام آگاه کند. اما حملات BEC بسیار کم حجم هستند و اغلب فقط از یک یا دو ایمیل تشکیل می شوند. آنها را می توان بدون ایجاد جهش در ترافیک ایمیل انجام داد. این حجم کم یک کمپین BEC را قادر می سازد تا به طور منظم آدرس IP منبع خود را نیز تغییر دهد و مسدود کردن کمپین را دشوارتر می کند.

 

آنها از یک منبع یا دامنه قانونی استفاده می کنند

حملات فیشینگ در مقیاس بزرگ اغلب از آدرس های IP می آیند که به سرعت در لیست بلاک قرار می گیرند. حملات BEC، به دلیل حجم کم، می توانند از آدرس های IP که شهرت خنثی یا خوبی دارند به عنوان منبع خود استفاده کنند. آنها همچنین از جعل دامنه ایمیل استفاده می کنند تا به نظر برسد که ایمیل ها از یک شخص واقعی می آیند.

 

آنها ممکن است در واقع از یک حساب ایمیل قانونی باشند

حملات BEC ممکن است از یک صندوق ورودی ایمیل قبلاً در معرض خطر برای ارسال پیام های مخرب خود از طرف یک شخص بدون اطلاع او استفاده کنند، بنابراین ممکن است ایمیل در واقع از یک آدرس ایمیل قانونی باشد. (این امر مستلزم تلاش بسیار بیشتری از سوی هکر است، اما چنین هزینه‌ای از تلاش متمرکز مشخصه کمپین های BEC است.)

 

آنها بررسی های DMARC را پاس می کنند

تأیید اعتبار، گزارش و انطباق پیام مبتنی بر دامنه (DMARC) پروتکلی برای شناسایی ایمیل هایی است که از یک دامنه بدون مجوز ارسال می شوند. این به جلوگیری از جعل هویت یک دامنه کمک می کند. کمپین‌های BEC به چند دلیل می‌توانند از DMARC عبور کنند:

1) سازمان‌ها ممکن است DMARC را برای مسدود کردن ایمیل‌ها پیکربندی نکرده باشند.

2) مهاجمان ممکن است از یک منبع قانونی ایمیل ارسال کنند.

 

 

ایمیل های BEC معمولا شامل چه چیزهایی هستند؟

معمولاً ایمیل‌های BEC حاوی چند خط متن هستند و شامل پیوندها، پیوست‌ها یا تصاویر نمی‌شوند. در این چند خط، هدف آنها این است که هدف را وادار به انجام اقدامات مورد نظر خود کنند، خواه انتقال وجوه به یک حساب خاص یا اعطای دسترسی غیرمجاز به داده ها یا سیستم های محافظت شده باشد.

سایر عناصر رایج ایمیل BEC ممکن است شامل موارد زیر باشد:

 

حساسیت زمانی: کلماتی مانند “فوری”، “سریع”، “یادآوری”، “مهم” و “به زودی” اغلب در ایمیل‌های BEC ظاهر می‌شوند، مخصوصاً در خط موضوع، تا گیرنده را وادار به انجام هرچه سریع‌تر عمل کند – قبل از آنها. متوجه شوید که ممکن است هدف یک کلاهبرداری باشند.

فرستنده معتبر: مهاجمان BEC به عنوان فردی مهم در سازمان ظاهر می شوند: برای مثال، مدیر مالی یا مدیر عامل.

جعل هویت کامل فرستنده: ایمیل های BEC ممکن است با جعل آدرس ایمیل آنها، تقلید از شیوه نوشتن افراد یا استفاده از تاکتیک های دیگر برای فریب قربانی خود، جعل هویت فرستندگان قانونی (مثلاً مدیر مالی یک سازمان) شوند.

ارائه دلیل برای درخواست: گاهی اوقات، برای افزودن مشروعیت به درخواست غیرمعمول، یک ایمیل BEC دلایلی را برای اینکه چرا این اقدام ضروری است ارائه می دهد. این نیز فوریت را به درخواست اضافه می کند.

دستورالعمل‌های خاص: مهاجمان دستورالعمل‌های واضحی را ارائه می‌دهند، مانند اینکه پول کجا می‌رود و چه مقدار باید ارسال شود – احتمال اینکه یک مقدار خاص مشروع به نظر برسد. مهاجمان ممکن است این اطلاعات را در ایمیل اولیه یا در ایمیل بعدی در صورت پاسخ قربانی درج کنند.

دستورالعمل عدم تماس با فرستنده ادعایی: اگر قربانی مورد نظر بتواند از طریق کانال ارتباطی دیگری به منبع فرضی ایمیل BEC برسد، ممکن است بتواند ایمیل را جعلی تشخیص دهد. برای جلوگیری از این امر، مهاجمان اغلب به قربانی دستور می دهند که با فرستنده تماس نگیرد یا درخواست را با شخص دیگری تایید نکند، شاید به نام اقدام سریع.

 

 

آیا دروازه های ایمیل ایمن (SEG) کمپین های سازش ایمیل تجاری (BEC) را مسدود می کنند؟

یک دروازه ایمیل امن (SEG) یک سرویس امنیتی ایمیل است که بین ارائه دهندگان ایمیل و کاربران ایمیل قرار می گیرد. آنها ایمیل های بالقوه مخرب را شناسایی و فیلتر می کنند، درست همانطور که یک فایروال ترافیک شبکه مخرب را حذف می کند.

SEG ها علاوه بر اقدامات امنیتی داخلی که اکثر ارائه دهندگان ایمیل قبلاً ارائه می دهند، محافظت بیشتری را ارائه می دهند (مثلاً Gmail و Microsoft Outlook برخی از محافظت های اولیه را قبلاً در اختیار دارند).

با این حال، SEG های سنتی برای شناسایی کمپین های BEC که به خوبی ساخته شده‌اند به دلایلی که در بالا توضیح داده شد تلاش می کنند: حجم کم، فقدان محتوای بدیهی بدیهی، منبع به ظاهر قانونی برای ایمیل، و غیره.

به همین دلیل، آموزش امنیت سایبری کاربر و اقدامات امنیتی اضافی ایمیل برای جلوگیری از به خطر افتادن ایمیل های تجاری بسیار مهم است.

 

 

وقتی کاربران به کمپین سازش ایمیل تجاری (BEC) مشکوک هستند چه باید بکنند؟

درخواست های غیرمعمول، غیرمنتظره یا ناگهانی نشانه حمله احتمالی BEC است. کاربران باید پیام های احتمالی BEC را به تیم های عملیات امنیتی گزارش دهند. آنها همچنین می توانند با منبع ادعایی ایمیل چک کنند.

تصور کنید باب، حسابدار، ایمیلی از مدیر مالی آلیس دریافت می کند:

 

باب،

من باید برای مشتری چند کارت هدیه به پیتزا فروشی مورد علاقه اش بفرستم. لطفاً 10000 دلار کارت هدیه پیتزا خریداری کنید و آنها را به آدرس ایمیل این مشتری انتقال دهید: customer@example.com

لطفا این کار را سریع انجام دهید. این بسیار فوری است. ما نمی خواهیم این مشتری را از دست بدهیم.

من سوار هواپیما هستم و تا چند ساعت آینده دور از دسترس خواهم بود.

-آلیس

 

 

باب این درخواست را غیرعادی می‌داند: تحویل کارت‌های هدیه پیتزا به مشتریان معمولاً وظیفه بخش حسابداری نیست. او به آلیس زنگ می زند، فقط اگر او هنوز “سوار هواپیما” نشده باشد. او تلفن را برمی دارد و از درخواستی که ظاهراً برای او فرستاده بی خبر است. او هم سوار هواپیما نمی شود. باب به تازگی یک حمله BEC را شناسایی کرده است.

 

چه اقدامات فنی دیگری می تواند سازش ایمیل تجاری (حملات BEC) را شناسایی و مسدود کند؟

 

تشخیص زیرساخت فیشینگ پیشرفته

برخی از ارائه دهندگان امنیت ایمیل برای شناسایی سرورهای فرمان و کنترل (C&C)، وب سایت های جعلی و سایر عناصری که مهاجمان در کمپین BEC یا حمله فیشینگ استفاده می کنند، وب را از قبل می خزند.

این امر مستلزم استفاده از ربات‌های خزنده وب برای اسکن بخش‌های بزرگ اینترنت است (موتورهای جستجو از ربات‌های خزنده وب نیز استفاده می‌کنند، اما برای اهداف متفاوت). شناسایی زیرساخت حمله از قبل به ارائه‌دهنده امکان می‌دهد ایمیل‌های غیرقانونی را درست هنگام ارسال مسدود کند، حتی اگر در غیر این صورت ممکن است از فیلترهای امنیتی عبور کنند.

 

تجزیه و تحلیل یادگیری ماشینی

یادگیری ماشین راهی برای خودکار کردن فرآیند پیش‌بینی نتایج بر اساس مجموعه داده‌های بزرگ است. می‌توان از آن برای شناسایی فعالیت‌های غیرعادی استفاده کرد. برای مثال، مدیریت ربات Cloudflare از یادگیری ماشینی به عنوان یکی از روش‌های شناسایی فعالیت ربات استفاده می‌کند.

برای توقف حملات BEC، یادگیری ماشینی می‌تواند به شناسایی درخواست‌های غیرعادی، الگوهای ترافیک ایمیل غیرمعمول و سایر ناهنجاری‌ها کمک کند.

 

تجزیه و تحلیل موضوعات ایمیل

از آنجایی که مهاجمان BEC اغلب سعی می‌کنند به یک رشته موجود پاسخ دهند تا به ایمیل‌های خود مشروعیت بخشند، برخی از ارائه‌دهندگان امنیت ایمیل رشته‌ها را کنترل می‌کنند تا ببینند آیا ایمیل‌های «از» یا «به» درون یک رشته به‌طور ناگهانی تغییر می‌کنند یا خیر.

 

پردازش زبان طبیعی

این بدان معناست که به دنبال عبارات کلیدی در ایمیل ها باشید تا بدانید که مجموعه‌ای از مخاطبین ایمیل معمولاً در مورد چه موضوعاتی با هم ارتباط دارند. به عنوان مثال، می توان ردیابی کرد که یک فرد مشخص در یک سازمان با چه کسی در مورد نقل و انتقال پول، روابط با مشتری یا هر موضوع دیگری ارتباط دارد. اگر ایمیل های دریافتی باب (از مثال بالا) به ندرت با روابط مشتری سروکار دارند، درج عباراتی مانند “یک مشتری” و “از دست دادن این مشتری” در ایمیل “آلیس” می تواند سیگنالی باشد که ایمیل بخشی از یک BEC است. حمله کنند.

 

همین حالا از کمک و راهنمایی ما بهره‌مند شوید!

نیاز به خدمات امنیت سایبری دارید؟ همین حالا با کارشناسان ما ارتباط برقرار کنید!

لطفا امتیاز دهید

این مقاله را به اشتراک بگذارید

با عضویت در خبرنامه ایمیلی از آخرین مقالات و کدهای تخفیف باخبر شو!

میخوای کسب و کار آنلاین
و پر فروش داشته باشی؟

با ما در ارتباط باش، میتونیم کمکت کنیم!

رشد و توسعه کسب و کار آنلاین با پانا مارکتینگ

پانا مارکتینگ در تمامی شهرهای کشور فعالیت دارد اما دفتر اصلی فعلی ما در مشهد می باشد. مطالعه بیشتر

راههای ارتباط با ما

با شما تماس می گیریم!