כפי שדווח על ידי thehackernews.com , גורם איום בחסות מדינה יוחס לקמפיין פישינג מסוג "חנית פישינג" שכוון נגד עיתונאים בארצות הברית. הפורצים, המכונים APT37 , התקינו זן חדש של תוכנה זדונית בשם GOLDBACKDOOR. הם ביצעו פריסה של דלת אחורית בתהליך הדבקה רב-שלבי כדי להתחמק מגילוי.
התוקפים המנוסים הללו ידעו גם שהדרך הטובה ביותר להימנע מגילוי על ידי מנועי אנטי-וירוס היא להימנע משליחת קבצים מצורפים זדוניים מלכתחילה. במקום זאת, הם שלחו הודעת דוא"ל המכילה קישור להורדת ארכיון ZIP משרת מרוחק שנועד להתחזות לפורטל חדשות המתמקד בצפון קוריאה. בקובץ מוטמע סקריפט של Windows המשמש כנקודת מוצא להפעלת סקריפט PowerShell שפותח מסמך זדוני ובמקביל מתקין את הדלת האחורית GOLDBACKDOOR. זה איפשר לתוקפים לאחזר פקודות משרת מרוחק, להעלות ולהוריד קבצים, להקליט קבצים ולהסיר מרחוק את הדלת האחורית מהמכונות שנפרצו.
על פי דוח אירועי הפרת הנתונים של Verizon לשנת 2021 , שיעור הקליקים החציוני בסימולציות פישינג הוא 3%, ובחלק מהארגונים הוא מגיע ל-20-40%! בהתחשב בכך שרוב הארגונים חווים כמות גבוהה במיוחד של דוא"ל זדוני, נדרשות רק כמה עשרות דוא"ל לפני שהתקפות אלו מצליחות. אין זה מפתיע ש-85% מהפרצות כוללות אלמנט אנושי, שכן דוא"ל מספק לתוקפים נתיב ישיר לעובדים. מסגרות אבטחה ויוזמות תאימות נפוצות רבות דורשות הכשרה למודעות משתמשים, אך ברור שזה אינו מספיק.
האם זה יכול לקרות לך?
הסיבה לכך שמתקפות דוא"ל זדוניות כה יעילות היא הנדסה חברתית. בפרט, פישינג מהווה 81% מההנדסה החברתית, וזוהי אחת הפעולות המובילות בפועל לפריצה (לפי Verizon). התקפות פישינג מבקשות להתחזות לאדם או מותג מהימן על מנת לספק תוכן זדוני או לגנוב אישורים, אך כאשר תוכן זה מתארח באתר אינטרנט, הוא אינו ניתן לזיהוי על ידי מנועי אנטי-וירוס מבוססי דוא"ל.
כפי שהוכיח מקרה הנוזקה הרב-שלבי של GOLDBACKDOOR, הודעות הזיוף יכלו להישלח מכתובת הדוא"ל האישית של גורם מודיעין דרום קוריאני לשעבר, תוך ניצול דפי פורטל חדשות דומים שנועדו להתקין דלת אחורית ולגנוב מידע רגיש.
חלק מהתוקפים המתקדמים הבינו גם שחלק מפתרונות אבטחת הדוא"ל סורקים כתובות URL בנוסף לקבצים מצורפים, כך שהתפתחו התקפות מתקדמות יותר כדי להתחמק מגילוי באמצעות מקצרי כתובות URL, הפניות או כתובות URL ייחודיות.
הערך של ניתוח מוניטין של כתובת URL בזמן לחיצה
המציאות היא ש-AV הוא רק עמוד התווך הראשון של אבטחת דוא"ל; ארגונים זקוקים גם להגנה מפני דוא"ל זדוני שאינו כולל קבצים מצורפים. MetaDefender Email Security דוחה התקפות פישינג במספר מימדים. ראשית, דוא"ל עם כתובות URL ידועות של פישינג נחסם לפני שהוא מגיע לתיבת הדואר הנכנס של המשתמש. לאחר מכן, ניתן לנטרל דוא"ל עם כתובות URL חשודות על ידי חשיפתו לטקסט רגיל. לבסוף, המוניטין של כתובות URL נבדק בכל פעם שלוחצים עליהן, ומגן על המשתמשים גם לאחר מסירת דוא"ל.
ניתוח מוניטין זה כולל את כתובת ה-IP של השולח, כותרות הדוא"ל (למשל, כתובת FROM, דומיין FROM, כתובת REPLY-TO) וגוף הדוא"ל, כולל כל היפר-קישור מוסתר. OPSWAT MetaDefender Cloud אוספת נתונים ממקורות מקוונים מרובים בזמן אמת המתמחים בכתובות IP, דומיין ומוניטין של כתובות URL כדי לספק שירות חיפוש שמחזיר תוצאות מצטברות למשתמשים שלנו. פונקציונליות זו משמשת את MetaDefender Email Security מה שמאפשר לזהות איומים כמו בוטנטים או אתרי פישינג שלא יימצאו באמצעות סריקת קבצים בעת גישה לתוכן.
OPSWAT פתרון Email Security מפחית טעויות אנוש על ידי גילוי התקפות פישינג פוטנציאליות במספר שלבים ומגן על משתמשים מפני התקפות הנדסה חברתית, כך שמחלקת ה-IT יכולה להסתמך פחות על מודעות המשתמשים.
צרו קשר עם OPSWAT ושאלו כיצד נוכל לעזור לכם לשפר את אבטחת הדוא"ל שלכם באמצעות הגנה מפני אנטי-וירוסים ופיג'ינג. הורידו את המסמך הטכני שלנו בחינם כדי ללמוד עוד על שיטות עבודה מומלצות לאבטחת דוא"ל .
