IPIment ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

فیشینگ

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen - تاکیان

11 روش برای تشخیص ایمیل های اصلی از تقلبی وجلوگیری از فیشینگ

امروزه Phishing به یکی از مهم‌ترین مسائل مربوط به پرسنل امنیتی داده تبدیل شده‌است. به طور کلی، یک حمله فیشینگ تلفنی نسبتا آسان است و برای حمله‌کننده بسیار ارزان است. حملات پیچیده spear-phishing (فیشینگ نیزه ای)و whaling attacks (حملات نهنگ : حملاتی که بر افراد خاص متمرکز می‌شوند) زمان بیشتری صرف آماده‌سازی و تحقیق می‌کنند، اما می‌توانند بسیار ارزان باشند.Takian.ir Phishing Attacks

زمانی که از ایمیل تان استفاده می‌کنید و قبل از آن که روی لینک های موجود در آن کلیک کنید، ابتدا برخی از قوانین را در نظر بگیرید :
۱. آیا ایمیل درخواست اطلاعات شخصی یا حساسی مانند تاریخ تولد، شماره امنیت اجتماعی، شماره حساب و یا مشخصات ورود به سیستم را دارد؟ اکثر کسب و کارهای قانونی چنین داده‌هایی را در یک ایمیل درخواست نمی‌کنند.
۲. آیا ایمیل از شما می‌خواهد که روی یک لینک کلیک کنید تا به وب سایت دسترسی داشته باشید؟ اگر اینطور است، این سایت ممکن است جعلی باشد.
۳. آیا ایمیل به جای نام شما یک جمله عمومی (مثلا سلام کاربر عزیز) دارد؟ مطمئن باشید که بانک یا سرویس دهنده سرویس شما می‌دانند که شما چه کسی هستید و به طور معمول با نام خود به شما ایمیل خواهد داد.
۴. آیا ایمیل دارای یک فایل الصاقیه یا همان Attachment است؟ اگر منتظر دریافت یک فایل الصاقی نیستید، اصلا بر روی ان کلیک نکنید و تایید اعتبار فایل را ابتدا با فرستنده تصدیق کنید.
۵. هنگامی که شما ماوس خود را بر روی ایمیل حرکت می‌دهید، تمام ایمیل یک هایپر لینک است؟ اگر چنین باشد، احتمالا حمله فیشینگ است.
۶. اگر متن ایمیل پیشنهاد خوب و وسوسه کننده ای به شما بدهد، مانند مبلغ زیادی پول، یک کارت هدیه پیش‌پرداخت یا یک قطعه گران ‌قیمت الکترونیکی، احتمالا حمله فیشینگ است.
۷. مراقب ایمیل‌های احساسی باشید. مانند ایمیل هایی که خود را یک فرد خیرخواه معرفی نموده و برای مثلا کمک به بیماران از شما درخواست پول میکند. با اینکه بسیاری از موسسات خیریه از چنین تاکتیک‌هایی استفاده می‌کنند، اما این روش یک روش معروف است که توسط نفوذگران بکار می‌رود. بهتر است قبل از هراقدامی ابتدا با سازمان خیریه مورد نظر هماهنگی لازم را داشته باشید.
۸. اگر ایمیل ادعا می‌کند که شما یک مشکل فوری دارید، مانند یک ویروس و یا اینکه فضای ذخیره‌سازی ایمیل یا هاست شما پر شده است، و باید اقدام فوری انجام دهید، مراقب باشید. این یک تاکتیک متداول برای فیشینگ است.
۹. اگر ایمیل حاوی یک تهدید مستقیم است و شما را تحریک میکند که با کلیک روی یک لینک برای پلیس، اداره اگاهی، پلیس فتا و یا مانند آن، اقدام فوری کنید، احتمالا جعلی است.
۱۰. یک ایمیل ممکن است به نظر برسد از یک دوست است که درخواست پول می‌کند. هرگز بدون تماس با دوست خود و گرفتن تاییدیه، برای او پول ارسال نکنید.
۱۱. حتما به آدرس فرستنده ایمیل توجه کنید. شاید فرستنده از یک ایمیل مشابه استفاده کرده باشد مثلا بجای mahdi[@]test.abc از mehdi[@]tast.abc استفاده کرده باشد.
هرچند که امروزه حتی با باز کردن ایمیل و بدون کلیک بر روی فایل ها و لینک های موجود در ایمیل نیز میتوان سیستم کاربر را آلوده نمود، اما رعایت مسایل بالا میتواند تا حد بسیار بالایی خیال شما را راحت کند. البته بهترین پیشنهاد این است که همیشه ایمل های مشکوک را بدون باز کردن و خواند، مستقیماً به پوسه Spam یا Trash انتقال دهید.

IQY پسوند فایل جذاب هکرها برای عبور از آنتی ویروس

براساس پست منتشر شده در وبلاگ یکی از متخصصان امنیتی با نام Barkly، چالش جدید پیام‌های اسپم(Spam) به جای سوءاستفاده از فایل‌های Word یا سایر فایل‌های معمول، از فایل‌های iqy. استفاده می‌نماید. این فایل‌هاى ساده متنی به صورت پیش فرض با نرم‌افزار اکسل باز شده و برای دریافت اطلاعات از اینترنت مورد استفاده قرار می‌گیرند.  Takian.ir iqy file attack

این رویکرد می‌تواند برای عبور از نرم‌افزارهای آنتی ویروس و نصب تروجان‌های دسترسی از راه دور موسوم به FlawedAmmyy  و ایجاد کد نفوذ برای دسترسی از راه دور نرم‌افزارAmmyy Admin مورد استفاده قرار گیرد.

محققان می‌گویند اولین بار این مسئله توسط کاربری به آیدی @dvk01uk با اولین موج پیام‌های Spam که از این شیوه استفاده می‌نمود، شناسایی شده است. این موج در 25 می امسال به وقوع پیوست و متعاقب آن موج کوچکتری در 5 جوئن شناسایی شد. موج سوم نیز در 7 جوئن کشف گردید.

ایمیل‌هایی که ارسال شده‌اند محتوای خاصی نداشته و اساسا محتوای آن‌ها از انواع متداولی است که انتظار داریم. ایمیل‌ها در موج اول حملات دارای عنوان "صورتحساب پرداخت نشده" بود که در ظاهر، شخصی از طرف یک سازمان آن را ارسال نموده است.

وقتی این فایل‌ها باز می‌شوند سعی می‌کنند از آدرس URL که در اختیار دارند، داده دریافت نمایند. سپس نرم افزار اکسل از این آدرس داده‌هایی را دریافت می‌کند که این داده‌ها اسکریپت‌های PoweShell می‌باشند.

خوشبختانه نرم‌افزار آفیس به صورت پیش فرض محتواهای خارجی را مسدود می‌نماید و به کاربران هشدار می‌دهد. اما همیشه این شانس وجود دارد که کاربر ماکروها را فعال نماید. به محض اینکه این قابلیت فعال شود فایل iqy می‌تواند بدون ‌محدودیت اسکریپت‌های PowerShell  را دانلود نماید. مجوز دیگری نیز از قربانی خواسته می‌شود که در صورت موافقت با مجموعه‌ای از دانلودها حمله ادامه یافته و بدون محدودیت به بدافزار FlawedAmmyy  متصل می‌شود.Takian.ir iqy file malware downloader

به گفته جیمز لین(James Lyne) مدیر تحقیقات و توسعه موسسه SANS، یک گام اساسی برای مقابله با گونه‌های جدید، امنیت لایه بندی شده با کنترل‌های چندگانه در زمان اجرا(Runtime) می‌باشد.

وی افزود: "میزان انتشار این بدافزار کمتر از حد متوسط است با این حال از فروشندگان محصولات می‌خواهیم سریعا سیاست‌ها و محصولات خود را به روزرسانی نمایند. سازمان‌ها نیز در صورتی که به این نوع از فایل‌ها(iqy) نیازی ندارند دسترسی به آن‌ها را مسدود نمایند."

نیل شفیلد (Niall Sheffield) کارشناس امنیتی می‌گوید: " این نوع حملات به نوع خاصی از متدها دلالت دارد که عوامل مخرب برای عبور از آنتی ویروس‌ها مورد استفاده قرار می‌دهند. استفاده از یک فایل‌فرمت فراموش شده که آنتی ویروس توانایی اسکن و تعامل با آن را ندارد، بهره برداری از آن و بارگذاری در حافظه و سپس حصول نتیجه مورد نظر".

پاول داکلین (Paul Ducklin) کارشناس ارشد تکنولوژی نیز در این باره گفت: "استفاده از فرمت IQY ممکن است در پیام‌هایSpam موضوع جدیدی باشد اما در حملات سایبری مسئله جدیدی نیست." وی ادامه داد: "بسیاری از آنتی ویروس‌ها از شما محافظت می‌کنند در حالی جزئیاتی از نحوه نفوذ مهاجمان و کلاهبرداران در اختیار قرار نمی‌دهند." – که آیا این تهدید از طریق لینک فیشینگ در یک ایمیل، از طریق فایل‌های پیوست با فرمت‌های مختلف، یک سایت آلوده و یا از طريق یک درایو USB رخ داده است.

احراز هویت دو مرحله ای، دیگر قابل اعتماد نیست

به گزارش سایت هک رید؛ تاکنون به کرات در اخبار، به واکاوی و بررسی وضعیت امنیت احراز هویت 2 مرحله ‌ای پرداخته شده و در برخی مواقع، غیرقابل نفوذ بودن این احراز هویت‌ها در بعضی سرویس‌ها مطرح شده است. البته در همه‌ی موارد، با فرض این مسئله که کاربران از دستگاه تلفن همراه خود، به خوبی مراقبت می‌کنند، امنیت احراز هویت 2 مرحله‌ای تأیید شده است.

Takian.ir hacker demonstrates how to bypass two factor authentication

بیشتر برنامه های رایانه ای، برای افزایش امنیت خود، از تأیید 2 مرحله ای را پیشنهاد می کنند و باور دارند که امکان دور زدن آن وجود ندارد. اما هم اکنون هکرها به روشی دست یافتند که به آسانی از این شیوه حفاظتی از طریق حملات فیشینگ عبور می کنند.

در این زمینه، هکرها به کمک حملات فیشینگ و جانمایی بدافزار «KnowBe4» می توانند اطلاعات مربوط به تأیید 2 مرحله ای را سرقت کرده، فرآیند تشخیص هویت را دور بزنند.

شرکت «Mitnick» -که در زمینه هک و نفوذ فعالیت می نماید- طی یادداشتی اعلام کرد: بدافزار «KnowBe4»، بیش از 17 هزار سازمان و نهاد را تحت تأثیر قرار داده است. این بدافزار، به یاری حملات فیشینگ، وارد دستگاه های رایانه ای می شود.

روش پیشین -که برای دور زدن تشخیص هویت 2 مرحله ای ارائه شد- به این ترتیب بود که اطلاعات با بهره گیری از روش ‌های مهندسی اجتماعی و سایر یورش های سنتی، علیه گذرواژه ‌ها انجام می گرفت و داشتنی های زیر، مورد نیاز بودند:

•    شناسه و گذرواژه‌ی حساب کاربری قربانی
•    شماره‌ تلفن همراه قربانی که سرویس احراز هویت 2 مرحله‌ای روی آن تعریف شده است
•    سرویس جعل شماره‌ی همراه
•    شماره‌ی رایانامه صوتی به منظور دسترسی از راه دور

اما در روشی نوین، هکرها با فرستادن رایانامه های فیشینگ، بدافزار بالا را به سامانه کاربران وارد می کنند و مقدمات سرقت اطلاعات مربوط به تأیید هویت 2 مرحله ای را فراهم می نمایند.

حمله فیشینگ به موسسات مالی ترکیه توسط کره شمالی

به گزارش سایت scmagazineuk.com، طبق تحقیقات صورت گرفته گروه هکری ای به نام کبری مخفی « Hidden Cobra» اقدام به هک و نفوذ به مؤسسات مالی ترکیه کرده است. کارشناسان مدعی شده اند، این گروه هکری وابسته به دولت کره شمالی است.Takian.ir hiddencobra

شرکت امنیت سایبری مک آفی «McAfee» طی گزارشی خبر از این حمله فیشینگ داد که توسط گروه مذکور انجام گرفته است. این شرکت امنیت سایبری اعلام نموده گروه «Hidden Cobra» همان گروه لازاروس «Lazarus Group» است که پیش از این هم اقدام به حملات سایبری گسترده ای نموده است.

گفتنی است بدافزاری که بانک ها و مؤسسات مالی ترکیه را هدف قرار داد «Bankshot» نام دارد.

طبق گزارش های موجود آخرین و بزرگ ترین حمله سایبری گروه لازاروس هک بزرگترین سیستم مالی جهان، سوئیفت (SWIFT) بوده است. در این حملات نیز همانند موضوع کنونی از روش فیشینگ استفاده شده  و شیوه کار این‌گونه بوده است که ایمیل های فیشینگ برای افراد مهم و مؤثر در بانک ها ارسال می شده و در پیوست آنها یک فایل ورد قرار داشته که به محض دانلود، فایل پیوست با بهره گیری از ادوبی فلش پلیر سیستم کاربر را آلوده می کرده است.

کد آسیب پذیری موجود در فلش پلیر «CVE-2018-4878» بوده که به تازگی توسط این شرکت وصله شده است.

طی گزارشی دیگر از شرکت امنیت سایبری مک آفی، آمده است که سه سرور بسیار بزرگ ترکیه نیز مورد حمله سایبری قرار گرفته است که این دفعه با انگیزه استخراج ارز های دیجیتالی این نفوذ صورت گرفته، گفتنی است برای استخراج بیت کوین نیازمند پردازش های سنگین و حل مسائل پیچیده ریاضی هستیم که از این رو هکر ها با در اختیار گرفتن کنترل سرور های بزرگ برای استخراج ارز های دیجیتالی تلاش می کنند.

سرقت ارز دیجیتالی اتریوم به روش فیشینگ

بعد از بزرگ ترین سرقت ارز دیجیتالی که در هفته گذشته صورت گرفت، این بار شاهد سرقت دوباره ارز های دیجیتالی هستیم.بعد از بزرگ ترین سرقت ارز دیجیتالی که در هفته گذشته صورت گرفت، این بار شاهد سرقت دوباره ارز های دیجیتالی هستیم.به نقل از سایت hackread، در تازه ترین رخداد های صورت گرفته در زمینه سرقت بیت کوین شاهد هستیم که هکر ها با طراحی حمله فیشینگ موفق شدند 150.000 دلار ارز دیجیتالی اتریوم (Ethereum) سرقت کنند. Takian.ir - ethereum
در بازه زمانی 26 الی 27 ژانویه بسیار از افراد ایمیلی دریافت کردند که در آن آمده بود در صورت نیاز به دریافت رویداد های کیف پول الکترونیکی خود از طریق لینک زیر نسبت به ثبت درخواست خود اقدام نمایید. حال کاربران مطلع نیستند که این ایمیل که با ساختاری موجه برای آنها ارسال شده است یک حمله فیشینگ بوده و قصد سرقت اطلاعات کیف پول الکترونیکی افراد را داشته است.
حاصل این حمله فیشینگ این‌گونه رقم خورد که تنها با وارد شدن اطلاعات مربوط به 71 کاربر هکر ها توانستند 150.000 دلار اتریوم سرقت کنند.

کدام پیام‌های فیشینگ دارای نرخ کلیک 100٪ هستند؟

به گزارش سایت هلپ نت سکیوریتی، در صورتی که سازمانی می‌خواهد شاهد کاهش نرخ کلیک باشد ، کارکنان آن می‌توانند تنها یک‌بار در سال آموزش لازم برای تشخیص ایمیل‌ها ، پیام‌ها و تماس‌های تلفنی فیشینگ را ببینند. پس کارمندان می‌آیند و می‌روند ( و نقش‌ها را تغییر می‌دهند ). دوم اینکه، تهدیدات در طول زمان تغییر می‌کنند. سوم اینکه دانش و عملکردهایی که به طور منظم تقویت نمی‌شوند، از دست خواهند رفت و در نهایت، آگاهی یک‌سان نیست." تنها دانستن یک تهدید وجود دارد، این همان چیزی است که دانستن اینکه چگونه به رسمیت شناختن و شناسایی و تهدید به آن پاسخ می‌دهد. به گفته محققان امنیتی، آموزش عمیق در مورد جلوگیری از فیشینگ برای ایجاد تغییر رفتاری پایدار مورد نیاز است.آماری که در آخرین گزارش سالانه این شرکت ثبت‌ شده، تفاوت ایجاد شده توسط هر دو ابزار مورد استفاده برای آموزش کاربران نهایی جهت تشخیص و اجتناب از حملات فیشینگ و نحوه استفاده از آن‌ها را نشان می‌دهد.در ایالات‌متحده، اغلب سازمان‌ها از آموزش آنلاین مبتنی بر کامپیوتر استفاده می‌کنند و حملات فیشینگ تلفنی را برای آموزش کارکنان شبیه‌سازی می‌کنند، در حالی که سازمان‌های بریتانیایی به طور کلی بیشتر آموزش منفعل را انتخاب می‌کنند. Takian.ir phishingtraining

روش‌های زیادی را برای تمرین در دست داشته باشید :1- همچنین ۴۶ درصد از سازمان‌های آمریکایی از این ابزارها یک هفته‌ای یا ماهانه استفاده می‌کنند، در حالی که سازمان‌های بریتانیایی تنها ۲۱ درصد موارد را انجام می‌دهند.2- در نتیجه، ۶۱ درصد از سازمان‌های آمریکایی نتایج قابل شمارش را از این تلاش‌ها می‌بینند، در حالی که ۲۸ درصد از ارگان‌ها ، بریتانیایی هستند.3- محققان خاطرنشان کردند که شما همچنین ممکن است وسوسه خود را با برنامه آموزش آگاهی امنیتی " آن را تنظیم کرده و آن را فراموش کنید"، اما این ایده‌آل نیست. 4- "وقتی برنامه‌های تست فیشینگ را برنامه ریزی و زمانبندی می‌کنید، ماه ها (یا حتی سال ها) پیش از آن، توانایی پاسخ دادن به تهدیدات در حال ظهور و تطبیق فعالیت‌ها بر اساس نتایج خود را از دست می‌دهید." 

سایر یافته‌های جالب این شرکت براساس اطلاعات ده‌ها میلیون نفر از حملات فیشینگ تلفنی گزارش داد و آن‌ها دریافتند که :  1-  تست‌های فیشینگ شخصی (آدرس ایمیل شخصی، نام و نام خانوادگی) هیچ کارآمدی نسبت به موارد غیر شخصی ندارند و به احتمال زیاد کاربران نهایی در اواسط هفته ، ایمیل‌های مشکوک را گزارش می‌کنند.2- موضوعات و آیتم‌هایی که برای کاربران نهایی بسیار وسوسه‌انگیز هستند :" به روز رسانی‌های امنیت خرید آنلاین "، " پیام صوتی شرکت از یک تماس‌گیرنده ناشناس " و " بهبود ایمیل شرکت‌ها " هستند.3- دو الگوی فیشینگ ( شبیه‌سازی شده ) در حدود ۱۰۰ درصد روی نرخ کلیک داشتند: یکی که به عنوان یک گذرواژه پایگاه اطلاعاتی راه‌اندازی شده بود، و دیگری که ادعا می‌کرد یک برنامه تخلیه ساختمان به روز را در بر می‌گیرد.  4- سازمان‌ها در ارتباطات مخابراتی، خرده فروشی، کالاهای مصرفی، دولت و صنعت گردشگری به طور متوسط بدترین میزان کلیک ( 15 تا 13 درصد) را دارند ، در حالی که صنایع پایه صنعتی، انرژی، مالی، حمل و نقل و دفاعی دارای بهترین نرخ ( 8٪ تا 3٪) را دارند.5- متوسط نرخ کلیک در هر چهار دسته ( شرکتی، تجاری، ابری و مصرف‌کننده ) در سال جاری در مقایسه با سال ۲۰۱۶ افت کرده ‌است. 6- محققان به ویژه شاهد بهبود قابل‌توجهی در نرخ‌های کلیک بر روی الگوهای مبتنی بر ابر ( پیام‌های مرتبط تجاری ) هستند که شامل پیغام‌ها در مورد دانلود اسناد از خدمات ذخیره‌سازی ابری، یا رفتن به یک سرویس به اشتراک گذاری آنلاین برای ایجاد یا ویرایش یک سند می‌باشند.

نظارت متخصصان infosec و کاربران نهایی نیز نشان داد که :Takian.ir click rates 4 categories
1- به طور متوسط ۵۳ درصد از افراد حرفه‌ای در سال ۲۰۱۷ فیشینگ را تجربه کردند.2- 95 درصد از سازمانها به کاربران نهایی درباره چگونگی شناسایی و جلوگیری از حملات فیشینگ آموزش می‌دهند.3- 45 درصد از سازمان‌ها گفته‌اند که در صورتی که کاربران آن‌ها همچنان بر روی حملات فیشینگ تلفنی ادامه دهند ، عواقب وجود دارد.4- نتيجه شامل مشاوره از يک مدير يا بخش فناوري اطلاعات، آموزش بيشتر و حذف دسترسی به سيستم، بلکه ختم (11 درصد از جرم) و مجازات پولي (5 درصد از جرم) است.5- بسیاری از کاربران نهایی می‌دانند که فیشینگ چیست، اما تنها ۱۶ درصد از آن‌ها می‌دانند که smishing چیست ". محققان اظهار داشتند: "از آنجایی که کارکنان بیشتر و بیشتر از گوشی‌های هوشمند برای اتصال به سیستم‌های سازمانی و داده‌ها استفاده می‌کنند، کارایی بالقوه نیروی کار بی‌تحصیل نیز نباید نادیده گرفته شود."