IPIment ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

ایمیل

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen - تاکیان

11 روش برای تشخیص ایمیل های اصلی از تقلبی وجلوگیری از فیشینگ

امروزه Phishing به یکی از مهم‌ترین مسائل مربوط به پرسنل امنیتی داده تبدیل شده‌است. به طور کلی، یک حمله فیشینگ تلفنی نسبتا آسان است و برای حمله‌کننده بسیار ارزان است. حملات پیچیده spear-phishing (فیشینگ نیزه ای)و whaling attacks (حملات نهنگ : حملاتی که بر افراد خاص متمرکز می‌شوند) زمان بیشتری صرف آماده‌سازی و تحقیق می‌کنند، اما می‌توانند بسیار ارزان باشند.Takian.ir Phishing Attacks

زمانی که از ایمیل تان استفاده می‌کنید و قبل از آن که روی لینک های موجود در آن کلیک کنید، ابتدا برخی از قوانین را در نظر بگیرید :
۱. آیا ایمیل درخواست اطلاعات شخصی یا حساسی مانند تاریخ تولد، شماره امنیت اجتماعی، شماره حساب و یا مشخصات ورود به سیستم را دارد؟ اکثر کسب و کارهای قانونی چنین داده‌هایی را در یک ایمیل درخواست نمی‌کنند.
۲. آیا ایمیل از شما می‌خواهد که روی یک لینک کلیک کنید تا به وب سایت دسترسی داشته باشید؟ اگر اینطور است، این سایت ممکن است جعلی باشد.
۳. آیا ایمیل به جای نام شما یک جمله عمومی (مثلا سلام کاربر عزیز) دارد؟ مطمئن باشید که بانک یا سرویس دهنده سرویس شما می‌دانند که شما چه کسی هستید و به طور معمول با نام خود به شما ایمیل خواهد داد.
۴. آیا ایمیل دارای یک فایل الصاقیه یا همان Attachment است؟ اگر منتظر دریافت یک فایل الصاقی نیستید، اصلا بر روی ان کلیک نکنید و تایید اعتبار فایل را ابتدا با فرستنده تصدیق کنید.
۵. هنگامی که شما ماوس خود را بر روی ایمیل حرکت می‌دهید، تمام ایمیل یک هایپر لینک است؟ اگر چنین باشد، احتمالا حمله فیشینگ است.
۶. اگر متن ایمیل پیشنهاد خوب و وسوسه کننده ای به شما بدهد، مانند مبلغ زیادی پول، یک کارت هدیه پیش‌پرداخت یا یک قطعه گران ‌قیمت الکترونیکی، احتمالا حمله فیشینگ است.
۷. مراقب ایمیل‌های احساسی باشید. مانند ایمیل هایی که خود را یک فرد خیرخواه معرفی نموده و برای مثلا کمک به بیماران از شما درخواست پول میکند. با اینکه بسیاری از موسسات خیریه از چنین تاکتیک‌هایی استفاده می‌کنند، اما این روش یک روش معروف است که توسط نفوذگران بکار می‌رود. بهتر است قبل از هراقدامی ابتدا با سازمان خیریه مورد نظر هماهنگی لازم را داشته باشید.
۸. اگر ایمیل ادعا می‌کند که شما یک مشکل فوری دارید، مانند یک ویروس و یا اینکه فضای ذخیره‌سازی ایمیل یا هاست شما پر شده است، و باید اقدام فوری انجام دهید، مراقب باشید. این یک تاکتیک متداول برای فیشینگ است.
۹. اگر ایمیل حاوی یک تهدید مستقیم است و شما را تحریک میکند که با کلیک روی یک لینک برای پلیس، اداره اگاهی، پلیس فتا و یا مانند آن، اقدام فوری کنید، احتمالا جعلی است.
۱۰. یک ایمیل ممکن است به نظر برسد از یک دوست است که درخواست پول می‌کند. هرگز بدون تماس با دوست خود و گرفتن تاییدیه، برای او پول ارسال نکنید.
۱۱. حتما به آدرس فرستنده ایمیل توجه کنید. شاید فرستنده از یک ایمیل مشابه استفاده کرده باشد مثلا بجای mahdi[@]test.abc از mehdi[@]tast.abc استفاده کرده باشد.
هرچند که امروزه حتی با باز کردن ایمیل و بدون کلیک بر روی فایل ها و لینک های موجود در ایمیل نیز میتوان سیستم کاربر را آلوده نمود، اما رعایت مسایل بالا میتواند تا حد بسیار بالایی خیال شما را راحت کند. البته بهترین پیشنهاد این است که همیشه ایمل های مشکوک را بدون باز کردن و خواند، مستقیماً به پوسه Spam یا Trash انتقال دهید.

IQY پسوند فایل جذاب هکرها برای عبور از آنتی ویروس

براساس پست منتشر شده در وبلاگ یکی از متخصصان امنیتی با نام Barkly، چالش جدید پیام‌های اسپم(Spam) به جای سوءاستفاده از فایل‌های Word یا سایر فایل‌های معمول، از فایل‌های iqy. استفاده می‌نماید. این فایل‌هاى ساده متنی به صورت پیش فرض با نرم‌افزار اکسل باز شده و برای دریافت اطلاعات از اینترنت مورد استفاده قرار می‌گیرند.  Takian.ir iqy file attack

این رویکرد می‌تواند برای عبور از نرم‌افزارهای آنتی ویروس و نصب تروجان‌های دسترسی از راه دور موسوم به FlawedAmmyy  و ایجاد کد نفوذ برای دسترسی از راه دور نرم‌افزارAmmyy Admin مورد استفاده قرار گیرد.

محققان می‌گویند اولین بار این مسئله توسط کاربری به آیدی @dvk01uk با اولین موج پیام‌های Spam که از این شیوه استفاده می‌نمود، شناسایی شده است. این موج در 25 می امسال به وقوع پیوست و متعاقب آن موج کوچکتری در 5 جوئن شناسایی شد. موج سوم نیز در 7 جوئن کشف گردید.

ایمیل‌هایی که ارسال شده‌اند محتوای خاصی نداشته و اساسا محتوای آن‌ها از انواع متداولی است که انتظار داریم. ایمیل‌ها در موج اول حملات دارای عنوان "صورتحساب پرداخت نشده" بود که در ظاهر، شخصی از طرف یک سازمان آن را ارسال نموده است.

وقتی این فایل‌ها باز می‌شوند سعی می‌کنند از آدرس URL که در اختیار دارند، داده دریافت نمایند. سپس نرم افزار اکسل از این آدرس داده‌هایی را دریافت می‌کند که این داده‌ها اسکریپت‌های PoweShell می‌باشند.

خوشبختانه نرم‌افزار آفیس به صورت پیش فرض محتواهای خارجی را مسدود می‌نماید و به کاربران هشدار می‌دهد. اما همیشه این شانس وجود دارد که کاربر ماکروها را فعال نماید. به محض اینکه این قابلیت فعال شود فایل iqy می‌تواند بدون ‌محدودیت اسکریپت‌های PowerShell  را دانلود نماید. مجوز دیگری نیز از قربانی خواسته می‌شود که در صورت موافقت با مجموعه‌ای از دانلودها حمله ادامه یافته و بدون محدودیت به بدافزار FlawedAmmyy  متصل می‌شود.Takian.ir iqy file malware downloader

به گفته جیمز لین(James Lyne) مدیر تحقیقات و توسعه موسسه SANS، یک گام اساسی برای مقابله با گونه‌های جدید، امنیت لایه بندی شده با کنترل‌های چندگانه در زمان اجرا(Runtime) می‌باشد.

وی افزود: "میزان انتشار این بدافزار کمتر از حد متوسط است با این حال از فروشندگان محصولات می‌خواهیم سریعا سیاست‌ها و محصولات خود را به روزرسانی نمایند. سازمان‌ها نیز در صورتی که به این نوع از فایل‌ها(iqy) نیازی ندارند دسترسی به آن‌ها را مسدود نمایند."

نیل شفیلد (Niall Sheffield) کارشناس امنیتی می‌گوید: " این نوع حملات به نوع خاصی از متدها دلالت دارد که عوامل مخرب برای عبور از آنتی ویروس‌ها مورد استفاده قرار می‌دهند. استفاده از یک فایل‌فرمت فراموش شده که آنتی ویروس توانایی اسکن و تعامل با آن را ندارد، بهره برداری از آن و بارگذاری در حافظه و سپس حصول نتیجه مورد نظر".

پاول داکلین (Paul Ducklin) کارشناس ارشد تکنولوژی نیز در این باره گفت: "استفاده از فرمت IQY ممکن است در پیام‌هایSpam موضوع جدیدی باشد اما در حملات سایبری مسئله جدیدی نیست." وی ادامه داد: "بسیاری از آنتی ویروس‌ها از شما محافظت می‌کنند در حالی جزئیاتی از نحوه نفوذ مهاجمان و کلاهبرداران در اختیار قرار نمی‌دهند." – که آیا این تهدید از طریق لینک فیشینگ در یک ایمیل، از طریق فایل‌های پیوست با فرمت‌های مختلف، یک سایت آلوده و یا از طريق یک درایو USB رخ داده است.

آیا ایمیل و پسورد ما تا کنون هک شده و لو رفته است؟

چگونه متوجه شویم که ایمیل و پسورد ما لو رفته است یا نه؟

معمولا شما برای ثبت نام و ورود به سایت های مختلف ممکن است از ایمیل های شخصی مختلفی استفاده کنید و اطلاعات شخصی فراوانی را در این سایتها وارد کرده باشید. با هک شدن این سایت ها، معمولا تمامی اطلاعات حیاتی مرتبط با کاربران سایت افشا شده و یا در دارک وب به قیمت های پایین به فروش میرسند تا جهت سوء استفاده های بعدی مورد استفاده قرار گیرند. همچنین بسیاری از سایت های تولید پسورد که به شما در تولید پسوردهای پیچیده کمک میکنند، معمولا دیتابیس های خود را به قیمت های بالایی را هکرها میفروشند.
بطور نمونه در May 2016 سایت لینکدین (linkedin.com) هک شد و بیش از 164میلیون امیل و پسورد لو رفت. البته نکته جالب این است که این هک در سال 2012 انجام شده بود و در سال 2016 لو رفت. یعنی حدود 4 سال از اطلاعات کاربران سوء استفاده میشده است و تازه پس از انتشار این خبر، بعضی از کاربران اقدام به تعویض پسورد خود کردند.Takian.ir have i been pwned
اگر سوال میکنید که چگونه میتوانیم بفهمیم که آیا ایمیل و پسورد ما سرقت شده است یا نه؟ میتوانید از سایت معروفی به اسم  من پنهان شده ام (have i been pwned) استفاده نمایید. این سایت با لقب HIBP ،یک سرویس رایگان شناخته شده در حوزه امنیت و حریم خصوصی است که فعالیت خود را از سال 2013 آغاز کرده است و به ما کمک میکند که چگونه از انتشار اطلاعات خود جلوگیری کنیم و حداقل بتوانیم از نشت اطلاعات خود از این لحظه به بعد جبوگیری کنیم.
براساس ادعای این سایت، در بخش جستجوی گذرواژه، از الگوریتم K-Anonymity استفاده شده است و پردازش هایی در سمت کاربر انجام میشود که از ارسال خود گذرواژه جلوگیری میشود (مقدار هش گذرواژه در سمت کاربر محاسبه شده و تنها پنج کاراکتر نخست به صورت گمنام ارسال میشود) هر چند که بعضی از کارشناسان ارسال پسورد را کاری خطرناک میدانند.

اگر میخواهید بدانید ایمیل شما جزو ایمیل های لو رفته بوده است، میتوانید به آدرس  https://haveibeenpwned.com مراجعه کرده و آدرس ایمیل خود را در آن وارد کنید. و در صورتی که ایمیل شما قبلا لو رفته باشد عبارت  (Oh no — pwned!) نمایش داده شده و سایت هایی که ایمیل شما را افشا کرده اند در زیر نمایش داده میشود. اما اگر ایمیل ما لو نرفته باشد عبارت سبز رنگ (Good news — no pwnage found!) نمایش داده میشود که قطعا خبر خوبی برای شماست.

همچنین اگر میخواهید بدانید گذرواژه شما جزو گذرواژه های تاکنون فاش شده قرار دارد نیز، میتوانید به آدرس https://haveibeenpwned.com/Passwords مراجعه کرده و گذرواژه های مورد استفاده خود را در آن وارد کرده و امنیت آنها را بررسی کنید.

در صورتی که شما دارای سایت یا دامین اختصاصی هستید و یا سازمانی هستید که کاربران از ایمیل های سازمانی ممکن است در اینترنت استفاده کنند، در  آدرس https://haveibeenpwned.com/DomainSearch میتوانید دامین خود را وارد کرده و پس از وریفای شدن، مشاهده کنید که کدامیک از ایمیل های این دامین مورد سوء  استفاده قرار گرفته است.