בשנת 2025, פושעי סייבר לא רק עוקפים הגנות מסורתיות - הם הופכים אותן לכלי נשק.
גל חדש של מתקפות פישינג מנצל לרעה שירותים מהימנים כמו גוגל כדי לחמוק אפילו מתיבות הדואר הנכנס המודעות ביותר לאבטחה. הודעות אלו עוברות לעתים קרובות בדיקות SPF, DKIM ו-DMARC. הן מגיעות מדומיינים לגיטימיים. הן נושאות את סימן ה-V הירוק המרגיע ב-Google Workspace. ובכל זאת - הן זדוניות.
הבעיה? אימות דוא"ל לא בודק התנהגות.
| שכבת אבטחה | קָטֵגוֹרִיָה | מַטָרָה | מה זה מגן |
|---|---|---|---|
| SPF (מסגרת מדיניות שולחים) | אימות | מאמת את כתובת ה-IP של שרת השליחה | מונע זיוף של שרתי שולחים |
| DKIM (דואר מזוהה באמצעות מפתחות דומיין) | אימות | מבטיח את שלמות ההודעה | מגן על ההודעה מפני שיבוש |
| DMARC (אכיפת מדיניות) | אימות | יישור SPF/DKIM עם שולח גלוי | מונע שימוש לא מורשה בדומיין From: |
| הגנה מפני זיוף מותגים | אפס אמון/אמון תוכן | מזהה התחזות של מותגים, לא רק של דומיין | מונע פישינג ויזואלי בעזרת עיצוב מטעה |
| ניתוח כתובות URL ודף | אפס אמון/התנהגות | מנתח קישורים מוטמעים ודפי נחיתה | מזהה פישינג ומלכודות אישורים |
| Sandbox אמולציית התנהגות ( MetaDefender Sandbox ) | אפס אמון/התנהגות | בוחן התנהגות דינמית של קישורים, קבצים וטפסים | מזהה כוונה, תוכנות זדוניות, פעולות זיהוי אישיות (IOCs) - אפילו בתחומים מהימנים |
כדי לעמוד בקצב, צוותי אבטחה ארגוניים זקוקים ליותר מאשר אותות מבוססי אמון. הם זקוקים לזיהוי מבוסס התנהגות. וכאן נכנס לתמונה OPSWAT MetaDefender Sandbox .
נחתם, נסגר ונפגע: פרצת ההשמעה החוזרת של DKIM
טקטיקה מתפתחת אחת היא מתקפת DKIM חוזרת - שבה תוקף משתמש מחדש בכותרת דוא"ל חתומה באופן לגיטימי, אך מוסיף תוכן זדוני מעבר לחלק החתום.
כך זה עובד:
- DKIM משתמש בחתימה כדי לוודא שחלק מההודעה לא שונה.
- אבל אם משתמשים בתג l= (אורך), רק חלק מההודעה נחתם.
- תוקף יכול להכניס תוכן זדוני לאחר החלק החתום הזה - ולהשאיר את בדיקת ה-DKIM שלמה לחלוטין.
- DMARC עובר, כי הוא תלוי ב-SPF או DKIM כדי לאמת את המקור.
התוצאה? הודעה מאומתת לחלוטין המספקת תוכן פישינג.
שימוש לרעה בפישינג ב-OAuth: חטיפת אמון מתוך התראות גוגל
מגמה מטרידה נוספת היא ניצול לרעה של תשתית OAuth של גוגל.
התוקפים הם:
- יצירת אפליקציות OAuth מזויפות עם שמות כמו "עדכון אבטחה של גוגל" או "נדרשת בדיקת חשבון"
- שליחת התראות אבטחה חתומות על ידי גוגל המודיעות למשתמשים על אפליקציות אלה
- הטמעת קישורי פישינג בהתראות אלו - מגובה על ידי הדומיינים הלגיטימיים של גוגל ללא מענה
כל פיתוי הפישינג מופיע בפורמט של גוגל, תוך שימוש בהתראות משורשרות ומוניטין של דומיין כדי לנטרל את המשתמשים. זה לא מזויף - זה מתארח על ידי גוגל.
סימן ה-וי הירוק לא מספיק
זוהי תחושת ביטחון כוזבת. הודעה שעוברת SPF, DKIM ו-DMARC עדיין עשויה:
- מכילים דפי איסוף אישורים
- השתמש בטריקים של ממשק משתמש כדי להסתיר שדות התחברות
- ניצול רווחים לבנים כדי לעכב מטענים זדוניים
- אירוח דפי כניסה מזויפים של מיקרוסופט או גוגל על תשתית לגיטימית (למשל, sites.google.com)
אימות דוא"ל מאמת רק את מקור ההודעה - לא את מה שהיא עושה.
MetaDefender Sandbox שכבת הגנה קריטית להתנהגות דוא"ל
Sandbox של MetaDefender של OPSWAT מוסיף נראות קריטית. במקום להסתמך על חתימות או אימות שולח, ארגז החול מדמה את התנהגות הדוא"ל:
- בדיקת קישורים דינמית - מעקב אחר קישורים מוטמעים בסביבה מאובטחת כדי להעריך את התנהגות הדף בזמן אמת.
- ניתוח ממשק משתמש ופריסה - מזהה מסכי כניסה מזויפים, שדות נסתרים ומלכודות אישורים
- זיהוי זרימת פישינג – מזהה הפניות מחדש, הגשת טפסים ונקודות קצה הנשלטות על ידי תוקפים
מכיוון שהוא לא סומך על דוא"ל כברירת מחדל, MetaDefender Sandbox מזהה מה פתרונות מבוססי אימות מפספסים. אפילו מיילים חתומים, מאומתים ו"סומנים בירוק" יכולים להיות נשק נשק. MetaDefender חושף את הכוונה האמיתית.
מה שחברות חייבות לעשות עכשיו
פישינג מתפתח. גם ההגנות שלך חייבות להתפתח. כך תתקדמו:
- אימוץ Email Security ללא אמון – אל תסתמכו אך ורק על כותרות ומטא-דאטה. בדקו את תוכן הדוא"ל והתנהגותו .
- הוסף ארגז חול מבוסס התנהגות – שפר את מחסנית הזיהוי שלך עם ניתוח דינמי עבור קישורים, טפסים ומטענים.
- התראות Secure ואימיילים של המערכת – OAuth וניצול לרעה של הדומיין הופכים אפילו אימיילים של התראות לווקטור איום פוטנציאלי.
בדוק מה שאימות לבדו לא יכול לראות
גלו כיצד OPSWAT MetaDefender Sandbox מזהה פישינג מתקדם - אפילו ממקורות "מהימנים" כמו התראות גוגל. דברו עם מומחה עוד היום וגלו כיצד תוכלו להציב את ארגז החול המתקדם שלנו בחזית אסטרטגיית אבטחת הדוא"ל שלכם.
