هشدار جدی در خصوص ایمیل‌های سازمانی جعلی یا BEC

اداره تحقیقات فدرال آمریکا FBI در هشدار اخیر خود، صاحبان کسب و کار و عموم مردم را در مورد تهدیدهای رو به رشدی تحت عنوان Businss Email Compromise یا "ایمیل‌های سازمانی جعلی" آگاه کرده است.

BEC Fraud چیست؟

ایمیل‌های سازمانی جعلی که با نام "کلاهبرداری مدیرعاملی" یا  CEO Fraud نیز شناخته می‌شوند، نوعی کلاهبرداری در فضای اینترنت هستند که خلافکراران با جعل هویت مدیرعامل یا یکی از مدیران بلند پایه سازمان‌ آن را اجرا می‌کنند.

بر اساس آمار ارائه شده از سوی FBI طی سال‌های 2013 تا 2016 کلاهبرداران با کمک این روش و ارسال ایمیل‌های سازمانی جعلی در بیش از 79 کشور، بالغ بر 2.3 میلیارد دلار درآمد کسب کرده‌اند.

ایمیل‌های سازمانی جعلی چطور اجرا می‌شوند؟

 حملات مبتنی بر ایمیل‌هی سازمانی جعلی -که به اختصار BEC نامیده می‌شوند- مانند حملات فیشینگ با استفاده از تکنیک‌های مهندسی اجتماعی شکل گرفته‌اند.

برای اجرای این کلاهبرداری، خلافکاران نیاز به شناخت دقیق افراد و قربانیان دارند. به همین منظور ابتدا با رصد کردن ارتباطات و رفتار کاربران در شبکه‌های اجتماعی و فضای مجازی اطلاعات کاملی از آنها به دست می‌آورند. سپس بر اساس شناخت بدست آمده، سناریوی فریب قربانی را طراحی می‌کنند. کلاهبرداران ایمیلی به ظاهر موجه و از طریق دامنه‌های جعلی برای قربانی می‌فرستند تا او به انجام خواسته‌های خود تشویق کنند.

در این نوع حمله‌ها، آدرس ایمیل فرستنده پیام که در ظاهر ایمیل مشاهده می‌شود به نظر درست می‌آید ولی خلافکاران آدرس ایمیل واقعی خود را در آدرس فرستنده پنهان قرار می‌دهند. لحن ایمیل و محتوی آن هم طوری تهیه می‌شود که دریافت کننده آن را باور کند.

محتوی ایمیل‌های سازمانی جعلی

 ایمیل‌های BEC معمولا درخواست فوری برای اطلاعات محرمانه، پرداخت یک صورت‌حساب یا یک خرید اینترنتی است و عموما با سو استفاده از هویت مدیران ارشد یا مدیرعامل سازمان برای کارمندان یا در مواردی برای شرکای کاری فرستاده می‌شود.

مثلا پیامی با هویت جعلی مدیر عامل و حاوی یک فاکتور برای کارمند بخش مالی فرستاده و وی را متقاعد می‌کنند که در اسرع وقت وجهی را از حساب شرکت به یک حساب ثالث که متعلق به کلاهبرداران است انتقال دهد.

تصویر زیر نمونه‌ای از این حمله است که بسیار زیرکانه طراحی شده است. در این ایمیل ابتدا مدیرعامل اعلام کرده است که در یک جلسه کاری است (در نتیجه، نمی‌تواند به تماس تلفنی پاسخ دهد) و یک درخواست بسیار مهم دارد. با بیان این مطلب؛ عملا کارمند خود را از تماس تلفنی منع کرده و در ادامه صورت‌حسابی را برای پرداخت فوری -همین امروز و پیش از بسته شدن بانک‌ها- برای او فرستاده است.

متن ایمیل احتمالا با شناختی که کلاهبرداران کسب کرده‌اند بسیار نزدیک به لحن مدیرعامل است و در انتهای ایمیل هم اعلام شده است که اگر موردی بود روی همین ایمیل اطلاع داده شود.

شناسایی قربانیان در فضای مجازی

هکرها برای بدست آوردن اطلاعات مورد نیاز ساخت چنین ایمیلی ممکن است ماه‌ها عملکرد و روابط فرد مورد نظر را در فضای مجازی تحت نظر گرفته و با استفاده از مهندسی اجتماعی موضوعاتی را که کاربر نسبت به آنها آسیب‌پذیر است، شناسایی کنند. با استفاده از این موضوعات احتمال جذب قربانی بالاتر می‌رود.

متاسفانه حملات BEC برخلاف حملات فیشینگ، حاوی لینک یا فایل پیوست مخرب نیستند و به همین دلیل شناسایی چنین ایمیل‌هایی دشوارتر است.

در سال‌های اخیر حملات BEC بسیار پر رنگ تر شده است. در طی دو سال گذشته هکرها توانسته اند با جعل هویت تامین کنندگان سخت افزار سرور از شرکت‌های google و facebook صد میلیون دلار کلاهبرداری کنند. در موردی دیگر این کلاهبرداران با جا زدن خود به عنوان وکیل در معامله املاک یک قاضی نیویورکی را فریب داده و مبالغ هنگفتی را به سرقت بردند.

راهکارهای مقابله با حملات BEC

استفاده از پروتکل‌های تائید اعتبار ایمیل

با توجه به این که در اغلب این ایمیل‎‌ها خلافکاران آدرس ایمیل واقعی را در فرستنده پنهان ایمیل قرار می‌دهند، بکارگیری راهکار تائید اعتبار ایمیلDMARC می‌تواند تا حدودی از وقوع حملات BEC جلوگیری کند.

اجرای سیاست‌های تائید چند مرحله‌ای

در تمام مواردی که با استفاده از ایمیل سازمانی جعلی کلاهبردای شده است، قربانی تنها بر اساس اعتماد به یک ایمیل، اقدام به پرداخت یک صورت حساب جعلی یا ارائه اطلاعات محرمانه کرده است. با تبیین سیاست‌های درست برای پرداخت هزینه‌ها و منوط کردن پرداخت به دریافت تائید از دو یا چند نفر یا از چند کانال مختلف (تماس تلفنی، تائید کتبی و ...)، می‌توان تا حدود زیادی این حملات را خنثی کرد.

این مورد در خصوص انتشار اطلاعات محرمانه نیز صدق می‌کند. با اجرا کرنن قوانین امنیتی چند مرحله‌ای در خصوص اشتراک‌گذاری و ارسال اطلاعات محرمانه، عملا از فرستادن اطلاعات محرمانه بدون تائید کارشناسان امنیتی جلوگیری خواهد شد.

آموزش کارمندان نسبت به حملات جدید

توصیه می‌شود که شرکت‌ها، در کنار استفاده از فناوری‌های مقابله با حملات سایبری؛ مسئله  آموزش کاربران و بهبود آگاهی سازمان را در نظر بگیرند. کارشناسان و کارمندان سازمان در صورت آشنایی با سناریوهای مختلف حملات امنیتی، می‌توانند بسیار کارامد عمل کنند.

لزوم توجه بیشتر به آدرس فرستنده

کاربران در فضای مجازی باید به آدرس ایمیل پیام‌های دریافتی خود توجه کنند. جعل کردن نام دامنه کار سختی نیست، چرا که هکرها ممکن است با تغییر نوشتاری دامنه -مثلا قرار دادن عدد 1 بجای حرف L یا عدد 0 بجای حرف O- یک دامنه مشابه را ثبت کنند. همچنین گاهی هکرها با اضافه کردن پسوند و پیشوند که با یک خط فاصله از نام دامنه جدا شده است نیز اقدام به ایجاد دامنه‌های مشابه می‌کنند.

حفظ حریم خصوصی در فضای مجازی

 یکی از مهمترین موارد امنیتی برای جلوگیری از این نوع حملات برای همه افرادی که با اینترنت سر و کار دارند، خودداری از تبادل ایمیل‌های مهم با سرویس‌های ایمیل رایگان است. در مقاله هزینه واقعی ایمیل رایگان برای کسب و کارها دلایل مربوط به عدم استفاده از ایمیل‌های رایگان در فضای کسب و کار تاکید شده است.

همچنین بهتر است سازمان‌ها با محدود کردن فعالیت کارکنان خود در شبکه‌های اجتماعی و تاکید بر بکارگیری روش‌های احراز هویت چند عاملی، احتمال سوء استفاده مجرمان سایبری از اطلاعات شخصی کارکنان را تا حدود زیادی کاهش دهند.

در همین رابطه می‌توانید کلاهبرداری‌های اینترنتی مبنتی بر حملات فیشینگ را مطالعه کنید. در حملات فیشینگ کلاهبرداران سعی می‌کنند با جعل هویت، یک یا چند قربانی را متقاعد کنند که به خواسته آنها عمل کنند و با هدایت آنها به یک آدرس جعلی، اطلاعات شخصی یا اطلاعات مالی قربانیان را بدست می‌آورند.