روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ علایم فیشینگ می‌تواند واضح و آشکار باشد –یک عدم همخوانی بین آدرس فرستنده و آدرس شرکت فرضی، ناپیوستگی‌های غیرمنطقی، نوتیفیکیشن‌هایی که ظاهراً از سوی سرویس‌های آنلاین هستند- اما همیشه هم این راحتی‌ها نمی‌شود یک ایمیل مشکوک را شناسایی کرد. با ما همراه بمانید تا توضیح دهیم چطور می‌شود یک ایمیل مشکوک را تجزیه و تحلیل کرد.

یکی از روش‌هایی که با آن چیزی تقلبی را موجه نشان می‌دهند دستکاری فیلد قابل‌رؤیتِ حاوی آدرس ایمیل است. این تکنیک نسبتاً در موارد فیشینگ دسته‌جمعی استفاده نمی‌شود اما می‌شود بیشتر آن را در پیام‌رسانی هدف‌دار دید. اگر پیامی به نظر واقعی آمد اما شک داشتید فرستنده واقعی باشد سعی کنید کمی دقیق‌تر شوید و هدر Received را چک کنید. ما در ادامه همین کار را کرده‌ایم:

دلایلی برای شک کردن

هر درخواست عجیبی می‌تواند پرچم قرمز آشکاری باشد. برای مثال ایمیلی که از شما درخواست می‌کند چیزی بیرون از نقش کاری خود انجام دهید. یا اجرای هر عمل غیراستاندارد می‌تواند هشداری باشد برای شما تا تجدید نظر کنید؛ خصوصاً اگر آن عمل از روی اضطرار (باید ظرف دو ساعت پرداخت شود!) بوده و اهمیت بالایی (خواسته‌ای از جانب مدیرعامل اجرایی!) هم داشته باشد. این‌ها ترفندهای استاندارد فیشینگ هستند. همچنین باید حواستان جمع باشد اگر چنین چیزهایی ازتان درخواست شد:

•         دنبال کردن لینکی در ایمیل در یک وبسایت خارجی که از شما اطلاعات محرمانه یا اطلاعات پرداختی می‌خواهد.
•         دانلود و باز کردن فایل (خصوصاً یک فایل قابل اجرا)
•         انجام اقداماتی مربوط به انتقال وجه یا دسترسی به سیستم‌ها یا سرویس‌ها.

چطور هدرهای ایمیل را پیدا کنیم؟

متأسفانه فیلد قابل‌رؤیت From را راحت می‌شود جعل کرد. هدر  Received اما باید دامنه واقعی فرستنده را نشان دهد. شما می‌توانید این هدر را در هر کلاینت ایمیلی پیدا کنید. اینجا ما از Microsoft Outlook بعنون نمونه استفاده می‌کنیم زیرا در کسب و کارهای مدرن به طور گسترده‌ای از آن استفاده می‌شود.

در Microsoft Outlook:

•         پیامی را که می‌خواهید چک کنید باز کرده،
•         در تب File گزینه  Properties را زده،
•         در پنجره Properties که باز می‌شود فیلد Received را در بخش Internet headers پیدا کنید.

پیش از رسیدن به گیرنده، ایمیل می‌تواند از بیش از یک نود میانجی عبور کند پس شاید چندین فیلد Received ببینید. شما به دنبال پایین‌ترینِ آن هستید که حاوی اطلاعاتی در مورد فرستنده واقعی است. 

چطور از هدر Received دامنه را چک کنیم؟

آسانترین روش برای استفاده از هدر Received استفاده از پورتال هوش تهدید ماست. برخی از قابلیت‌های آن رایگان است؛ بدین‌معنا که می‌توانید بدون ثبت‌نام از آن‌ها استفاده کنید. برای چک کردن آدرس آن را کپی کرده به پورتال هوش تهدید کسپرسکی رفته آن را در کادر جستجو پیست نموده (روی تب Lookup) و سپس روی گزینه Look up کلیک کنید. این پورتال همه اطلاعات موجود در مورد دامنه، اعتبار آن و جزئیات WHOIS باز خواهد گرداند. خروجی باید چیزی شبیه به این باشد:

خط اول شاید حکم Good یا علامت Uncategorized را نشان دهد. این فقط به این معناست که سیستم‌های ما از پیش این دامنه را که برای مقاصد شر استفاده شده بوده ندیده‌اند. مهاجمین موقع آماده‌سازی یک حمله هدف‌دار می‌توانند دامنه‌ی جدیدی را ثبت کرده و یا از دامنه قانونی نقض‌شده (که اعتبار و آوازه هم داشته) استفاده کنند. به دقت سازمانی را که دامنه برایش ثبت شده چک کنید تا ببینید آیا با آنی که فرستنده ظاهراً نشان می‌دهد مطابقت دارد یا نه. کارمند یک شرکت شریک در سوئیس برای مثال محال است از طریق دامنه ناشناس ثبت‌شده در مالزی ایمیل را ارسال کند. از قضا ایده خوبی است اگر برای چک کردن لینک‌های داخل ایمیل نیز از پورتال ما استفاده کنید (البته اگر جعلی به نظر می‌آیند). همچنین خوب است اگر برای بررسی هر پیوست پیامی از تب File Analysis استفاده کنید. Kaspersky Threat Intelligence Portal کلی قابلیت‌های مفید دیگر هم دارد اما بیشترشان در دسترس کاربرانی است که ثبت‌نام کرده‌اند. برای اطلاعات بیشتر در مورد این سرویس به تب About the Portal مراجعه کنید.

راهکارهای امنیتی

گرچه بررسی ایمیل‌های مشکوک ایده‌ی خوبیست اما اینکه نگذاریم ایمیل‌های فیشینگ به کاربران نهایی برسند حتی بهتر هم هست. از این رو همیشه توصیه می‌کنیم راهکارهای ضد فیشینگ را در سطح میل سرور سازمانی نصب کنید. افزون بر این، راهکاری با محافظت ضد فیشینگ که روی ایستگاه‌های کاری اجرا شده باشد ریدایرکت‌های لینک‌های فیشینگ را بلاک خواهد کرد (اگر سازندگان میل گیرنده را فریب داده باشند).  

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.