راه‌های توقف حملات فیشینگ چند شکلی

کمیته رکن چهارم – عوامل تهدید به سرعت در حال تکامل هستند و حملات مدرن پیچیده‌تر از قبل شده‌اند. بیاموزید که چرا هوش و گزارش‌های انسانی و هوش مصنوعی ضروری هستند.

بدافزار چند شکلی تغییرات را به سرعت – به دفعات هر ۱۵ تا ۲۰ ثانیه – اعمال می‌کند.

در این کمپین‌ها، مهاجمان تغییرات جزئی در همان ایمیل ایجاد می‌کنند – به عنوان مثال در خط موضوع یا نام فرستنده – همانطور که سیستم‌های امنیتی را بررسی می‌کنند تا ببینند چه چیزی ممکن است از بین برود.

حملات چند شکلی معمولاً با یک کمپین هدفمند شروع می‌شوند که برای گرفتن اعتبار کاربر طراحی شده است. هنگامی که چند کاربر اول طعمه را می‌گیرند، مهاجم از اعتبار آن‌ها برای هدف قرار دادن سایر کاربران استفاده می‌کند. مجدداً، تغییر پویا در حمله مانع از غربالگری پیام‌ها توسط کنترل‌های خودکار – معمولاً دروازه‌های ایمیل امن (SEG) می‌شود.

چرا حملات چند شکلی موفق هستند؟
کمپینی که فاقد یکنواختی است شبیه یک کمپین نیست و به‌روز نگه داشتن قوانین در دروازه را برای اپراتورهای امنیتی دشوار می‌کند. برای بسیاری از تیم‌های امنیت سایبری که فاقد پهنای باند هستند، یافتن دامنه کامل یک حمله چند شکلی به قرنطینه چالش‌برانگیز و زمان‌بر است.

حتی بدتر از آن، حملات چند شکلی نه تنها مؤثر هستند، بلکه به لطف کیت‌های خودکار و ارزان‌قیمت فروخته شده در بازار سیاه، راه‌اندازی آن‌ها بسیار آسان است.

به همین دلیل است که گزارش‌های انسانی، به‌علاوه هوش مصنوعی و اطلاعات تهدید برای یک استراتژی جامع دفاعی فیشینگ مورد نیاز هستند.

خطرات در سراسر جهان زیاد است
هزینه نقض داده‌ها در سال ۲۰۲۱، ۴.۲۴ میلیون دلار بود که ۱۰ درصد از میانگین این هزینه در سال ۲۰۱۹ که میزان آن ۳.۸۶ میلیون دلار بود، افزایش داشت.

میانگین زمان شکست – نفوذ اولیه به حرکت جانبی – ۱.۳۸ ساعت است.

متوسط زمان اقامت جهانی مهاجم ۲۴ روز است.

دستیابی به پلی مورفیسم از طریق منطق برنامه‌نویسی ساده در کیت‌های فیشینگ آسان است. با استفاده از قالب‌ها و فهرست‌های کلمات، مهاجمان می‌توانند به‌سرعت ایمیل‌های مشابه، اما کمی متفاوت را به صورت انبوه تولید کنند. با این حال، مهاجمان پیشرفته غالب در چشم‌انداز فیشینگ، روش بهتری برای ایجاد ایمیل‌های منحصربه‌فرد پیدا کرده‌اند.

Emotet، QakBot و دیگران مدتی است که از ایمیل‌های سرقت شده در مقیاس گسترده استفاده می‌کنند. علاوه‌بر داشتن موضوعات منحصربه‌فرد، ایمیل‌های فیشینگ معمولی آن‌ها دارای بدنه‌های منحصربه‌فردی هستند که دائماً درهم‌سازی‌های بار و URLهای محموله را تغییر می‌دهند.

بدون ردیابی دقیق تمام ویژگی‌های این بات‌نت‌ها، شناسایی ایمیل‌هایی که بخشی از یک کمپین هستند در بهترین حالت دشوار است.

در ادامه با پنج بینش برتر که به شما کمک می‌کند تا دفاع فیشینگ خود را در برابر حملات چند شکلی ارتقا دهید، آشنا شوید.

۱- همه تهدیدهای فیشینگ توسط فناوری مسدود نمی‌شوند
کنترل‌های محیطی اکثر ایمیل‌های فیشینگ را متوقف می‌کنند. از این گذشته، فناوری امنیتی برای جلوگیری از تهدیدات در حجم طراحی شده است. اما وقتی مهاجمان از فناوری برای فریب دادن فناوری شما استفاده می‌کنند چه اتفاقی می‌افتد؟

در اینجا به یک مثال توجه کنید.

آزمایشگاه مؤسسه ملی فناوری ایالات متحده (NIST) اطلاعیه‌ای را در مورد تهدیدی منتشر کرد.

محققان یک حمله Proof of Concept به نام ProofPudding ایجاد کردند تا نشان دهند چگونه می‌توان از الگوریتم یادگیری ماشینی برای یافتن نقاط ضعف در SEG Proofpoint استفاده کرد. Proofpoint سرصفحه‌های ایمیل را اضافه کرد که حاوی اطلاعات حساسی در مورد الگوریتم‌های آن‌ها بود. با ارسال انتخابی انواع ایمیل‌ها به دروازه، محققان قادر بودند تعیین کنند که کدام تغییرات و یا کلمات کلیدی خاص از طریق دروازه مسدود یا مجاز می‌شوند.

به عبارت دیگر، در حالی که SEG بسیاری از هزاران ایمیل فیشینگ را که می‌دید متوقف می‌کرد، فاقد بینش دانستن اینکه یک مهاجم تنظیمات را انجام داده بود، نداشت. کاری را که برای انجام آن برنامه‌ریزی شده بود، بارها و بارها و بارها انجام داد، اما به او دستور داده نشد که به دنبال سایر شاخص‌های دردسرساز بگردد.

۲- شهود انسان یک عنصر کلیدی است
برخلاف ماشین‌ها، انسان‌ها – هم کاربران آموزش دیده و هم تیم‌های امنیتی حرفه‌ای – مجهز به شهود هستند. آن‌ها می‌دانند یا می‌توانند آموزش ببینند که در هنگام نگاه کردن به ایمیل‌ها به دل خود اعتماد کنند. شهود انسان در زنجیره کشتار سایبری بسیار مهم است، به ویژه هنگامی که حملات فیشینگ چند شکلی رخ می‌دهد.

یک زنجیره کشتن معمولاً دارای چندین پیوند است که از شناسایی مهاجم تا اقدام بر روی اهداف را در بر می‌گیرد. مدافعان می‌خواهند از تحویل ایمیل باقی بمانند، نقطه‌ای که در آن نقض به یک امکان تبدیل می‌شود. وقتی ایمیل‌های مخرب از آن نقطه عبور می‌کنند، همانطور که برخی به ناچار انجام می‌دهند، تیم‌های امنیتی نیاز به دید دارند تا بتوانند سریع پاسخ دهند.

۳- بهترین آموزش آگاهی از تهدیدهای مربوطه تقلید می‌کند
در حالت ایده آل، آموزش آگاهی بر تهدیدهایی متمرکز می‌شود که از SEG شما فرار می‌کنند. برخی از شرکت‌ها بر اساس اطلاعات موجود، تهدیدهایی را که فکر می‌کنند احتمالاً ببینند، شبیه‌سازی می‌کنند.

اگر تیم‌های امنیتی شما یا سایر شرکت‌ها، یک فیش اعتباری را که از فاکتور جعلی استفاده می‌کند، اصلاح کرده‌اند، کاندیدای خوبی برای تمرین بعدی هستند و اگر آن ایمیل شکل خود را تغییر داد، موضوع‌ها، فرستنده‌ها یا هر عنصر دیگری را تغییر داد، آموزش به جلوگیری از حمله چند شکل بعدی کمک می‌کند.

۴- تشخیص کاربر عالی است، اما گزارش دادن بهتر است
گزارش ایمیل پیوند مهمی بین آگاهی و واکنش است. در واقع، این اولین گام در واکنش است، اولین اقدامی که یک انسان انجام می‌دهد. گزارش‌دهی واقعاً یک رفتار آموخته‌شده است، نوعی شرطی‌سازی که حافظه عضلانی ایجاد می‌کند تا کاربران قبل از بالا بردن دستشان دو بار فکر نکنند.

۵- در حالی که انسان ها کلید تشخیص هستند، اتوماسیون سرعت پاسخگویی را افزایش می‌دهد
وقتی ایمیل های فیشینگ به صندوق ورودی می‌رسند، ساعت در حال تیک تیک کردن است. به طور متوسط، تنها ۸۲ ثانیه طول می‌کشد تا کاربران شروع به کلیک روی یک کمپین فیشینگ کنند. برای متوقف کردن حمله به اتوماسیون برای سرعت بخشیدن به واکنش به تهدید نیاز دارید.

هنگامی که تیم‌های امنیتی سعی می‌کنند به صورت دستی به گزارش‌های ایمیل پاسخ دهند، معمولاً عقب می‌مانند. ایمیل‌های زیادی وجود دارد که اکثر آن‌ها بی‌ضرر هستند. اتوماسیون می‌تواند نویز را کاهش دهد و تهدیدات واقعی را شناسایی کند، به علاوه آن‌ها را اولویت‌بندی کند تا تحلیلگران بتوانند زمان محدود خود را بودجه‌بندی کنند.

در بهترین حالت، به لطف کاربران آموزش دیده و اتوماسیون پیشرفته، SOC شما یک ایمیل فیشینگ را در تعداد انگشت‌شماری صندوق ورودی شناسایی کرده است، اما چه کسی دیگر ایمیل فیشینگ را دریافت کرد؟ مجدداً، برای جستجوی سریع همه صندوق‌های ورودی و قرنطینه کردن تهدید قبل از وارد شدن آسیب پایدار به اتوماسیون تکیه خواهید کرد.

منبع: CoFence

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.