ایمیل یکی از ابزار ساده و قدیمیه روزمره است که بخاطر فناوری منسوخ شده اش (SMTP) براحتی مورد سوءاستفاده و حملات فیشینگ، ویروس و بدافزارها قرار میگیره..
این مسئله باعث میشه ایمیل به همون اندازه که مفیده، خطرناک هم باشه. توقف حملات مدل جدیدتری که به Ransomware معروفه و از طریق ایمیل تخریب میکنه داره روز به روز مشکل تر میشه.
این مقاله در مورد نحوه عملکرد حملات و روشهای پیشگیری اطلاعاتی به شما خوانندگان عزیز ارائه میده، چیزی که این وسط خیلی مهمه اینه که این حملات برای فعال شدن وابسته به کاربرند، پس این مقاله رو از دست ندید و با کسب آگاهی، این ایمیلها رو بشناسید و یادبگیرید چطور باهاشون برخورد کنید.
نحوه کار حملات و اینکه چرا متوقف کردنشون مشکله
بدافزارهای جدید و به خصوص Ransomware خیلی باهوشند. این ویروس بطور مستقیم به ایمیل فرستاده نمیشه و به همین دلیل آنتی ویروس ایمیل نمیتونه شناساییش کنه. این حملات بطور یکپارچه از دستورات/اسکریپت های بی ضرری که در فایلهای دیگه (معمولا فایلهای ورد حاوی ماکرو) جا میدن استفاده میکنند.
این اسکریپتها بی سر و صدا فعال میشن و با دانلود فایلهای مخرب از اینترنت نصب/حمله رو شروع میکنند. این حملات معمولا دوباره روی سرورهای وب سایت یا سرورهای ایمیل هایی که در معرض خطر قرار گرفته بودند همیزبانی میشه و اغلب کاربر حتی از ورودشون هم بی اطلاعه. بخاطر ماهیت ساده و رایج دستوراتی که در خودِ حمله استفاده شده، آنتی ویروس بدون اثر گذاری روی عملکرد کاربر، نمیتونه شناساییش کنه.
وقتی که حمله اجرا میشه، از اجازه های کاربر استفاده میکنه و تو کل سیستمش فعال میشه و فایلهایی که بهشون دسترسی داره رو رمزگذاری یا پنهان میکنه. متاسفانه این مسئله نیازهای ضروری کاربر رو که دسترسی به ویرایش و پاک کردن فایلهاست تخریب میکنه.
چطوری میشه ازش پیشگیری کرد؟
کامپیوتر میزبان یه سری اندازه گیری ها داره که میتونه از این واقعه پیشگیری کنه. اول از همه یه سیستم قرنطینه/فیلتر ایمیل وجود داره که فایلهای docm و جاوااسکریپت رو بلاک میکنه، مگر فایلهایی رو که فرستنده تو لیست سفیدش باشه، چون این روش، رایجترین روش ارسال فایلهای حاوی بدافزاره. روش دیگه فایلهای زیپ هستند، اما مسدود کردن این فایلها روی کارکرد اثر منفی میذارن.
علاوه بر این، سیستم قرنطینه از RBL ها استفاده میکنه. RBL لیست سرورهاییه که بعنوان اسپم مخرب یا بدافزار شناخته شده اند. اگه یه سروری تو RBL لیست شده باشه، سرورهامون به طور خودکار ایمیلهاشونو قرنطینه میکنه، مگر اینکه خودتون اونها رو از اسپم دربیارید و تو لیست سفید قرار بدید.
در این صورت ایمیل دیگه جزء اسپم نمیره و فایلهاش باز میشن، اما خط بعدی دفاع، فیلتر وب است. این فیلتر از یه سیستم لیست سیاه استفاده میکنه که یه لیست از شرکتهای خدمات دامنه/سرور/آی پی است که بعنوان ویروسهای مخرب/اسپم شناخته شده اند. چون این شرکتها تو لیست سیاه قرار میگیرن دیگه ویروس در اکثر موارد نمیتونه دانلود بشه.
متاسفانه این حمله ها معمولا به صورت موج هایی از حملات بزرگ پخش میشن و چند سرور با هم تو این حملات شرکت میکنند. تضمینی وجود نداره که همشون کشف و وارد لیست سیاه بشن.
چون رایج ترین فایلهایی که برای حملات استفاده میشن، فایلهای word document هستند، یه راه دیگه پیشگیری استفاده از MS Word Protected Mode است. ورد به طور پیشفرض فایلهایی رو که از منابع ناشناخته (منابعی غیر از سرور خود شما) اومده باشند به صورت حفاظت شده باز میکنه و در نتیجه اسکریپت ها نمیتونن اجرا بشن.
این فایلها معمولا حاوی عکسی هستند که نشون میدن چطوری فایل رو از حالت حفاظت شده خارج کنید، چون برای اینکه بتونید فایل رو ببینید باید از این حالت بیرون بیاد. اما این یه حقه است. همه فایلهای این مدلی اهداف شومی دارند.
مورد آخر، در بدترین حالت ممکن، شرایطیه که سیستمتون آلوده شده باشه. در این حالت میتونیم سرور رو به حالت قبل از حمله ویروس برگردونیم. دقت کنید که اگه این اتفاق براتون افتاد باید به محض اینکه متوجه شدید شرکت ارائه دهنده خدمات ایمیلتون رو در جریان بذارید. بدونید که بهترین حفاظت از طریق آگاه بودن کاربرها انجام میشه.
چطور میشه ایمیل های مشکوک رو تشخیص داد؟
متاسفانه بخاطر ماهیت SMTP (فناوری ایمیل)، هیچ راه مناسبی برای تأیید فرستنده وجود نداره، و اصولا همین مسئله بدافزارها و فیشینگها رو وسوسه کرده که کارهای خبیثانه شون رو از راه ایمیل توزیع کنند.
معمولا حملات برای ترغیب گیرنده پیام به باز کردنش از مهندسی اجتماعی استفاده میکنند. روشهای رایجی که استفاده میشه عبارتند از:
1- پیامهای شخصی معمول، مثل فلانی (اسم شما رو اینجا مینویسند) عزیز، لطفا فایل پیوست شده رو ببین.
2- فریب دادن: این مدل ایمیلها طوری جعل میشن که آدرس فرستنده شبیه آدرسی باشه که شما میشناسیدش یا شبیه آدرس یکی از همکارها یا کارمندهای شرکتتون.
3- ایمیل تهدیدکننده: مثل "اگر .... اکانتتون بسته میشه" یا "اگه ... نکنید استفاده از خدمات ایمیل براتون پولی میشه" و از این دست پیامها.
3- ایمیل ظاهری رسمی داره مثلا از آدرسهایی مثل
آدرس ایمیل جهت جلوگیری از رباتهای هرزنامه محافظت شده اند، جهت مشاهده آنها شما نیاز به فعال ساختن جاوا اسكریپت دارید
یا
آدرس ایمیل جهت جلوگیری از رباتهای هرزنامه محافظت شده اند، جهت مشاهده آنها شما نیاز به فعال ساختن جاوا اسكریپت دارید
و غیره استفاده میکنه.
4- ایمیل ظاهرا کاملا بی ضرره با عنوانهایی مثل "عکسهای تعطیلاتمون" یا "دعوتنامه عروسی" و غیره. که البته زیاد رایج نیست.
چطوری اینها رو تشخیص بدیم؟
اولین اقدام اینه که به همه ایمیلها به چشم مظنون نگاه کنید، مثلا اگه یه ایمیل گرفتید که ظاهرا از شرکت بیمه ماشینتون بود، از خودتون بپرسید: من از این شرکت بیمه گرفتم؟ آدرس ایمیلمو بهشون داده بودم؟ و آیا شرکت بیمه به جای تلفن زدن با ایمیل با من ارتباط برقرار میکنه؟
اگه جوابتون به این سوالها "نه" بود، یعنی تونستید درست تشخیص بدید و این ایمیل اسپمه.
همینطور برای ایمیلهای دیگه ای که از شرکتهای مختلف براتون میاد و شما انتظارشو نداشتید، یا تو خبرنامه ایمیلیشون آدرستونو ندادید، همشون احتمالا قلابی اند.
مثلا اگه شما تو بانک ملی حساب ندارید و یه ایمیل از بانک ملی دریافت میکنید، مشخصه که این ایمیل تقلبیه.
اما بعضی وقتها انقدرها هم واضح نیست. مثلا شاید از طرف یکی از دوستها، همکارها یا اقوامتون ایمیلی دستتون برسه، اینها رو هم باید نقد کنید: آیا منتظر ایمیلی از این فرد بودید؟ کلماتی که استفاده شده به اون فرد میخوره؟ از شما چیزی خواسته، مثل کلیک کردن روی یه لینک یا باز کردن پیوست یا غیره؟
اگه مشکوک بود، از خودشون بپرسید که به شما ایمیل فرستادند یا نه (اما روی دکمه reply نزنید، یه جور دیگه بپرسید) یا از شرکت ارائه دهنده خدمات ایمیلتون بخواهید هدرهای ایمیلتونو چک کنند.
فایلهایی که اسمشون حاوی .pdf.html یا .pdf.zip باشه
در نگاه اول فکر میکنید یه فایل PDF هست و شاید متوجه پسوند اصلی که .html هست نشید.
وقتی فایل رو از حالت زیپ خارج میکنید، باید حواستونو جمع کنید. یکی از روشهای رایج اینه که فایل، پسوندِ PDF داره ولی ظاهرش شبیه فایلِ PDF نیست و حتی اگه دقیقتر نگاه کنید متوجه میشید این فایل doc یا docx نیست، بلکه docm است.
اگه اشتباها یکی از این فایلها رو باز کنید، MS Word بطور پیشفرض، فایل رو در حالت حفاظت شده باز میکنه، اما فایل طوری مهندسی شده که شما رو تشویق میکنه که فایل رو از این حالت خارج کنید.
و وقتی هم از این حالت خارجش میکنید، هیچ تغییری نمیکنه و فقط به همین سادگی سیستمونو آلوده کرده!. هر فایلی که ازتون خواست برای مشاهده محتوا، اونو از حالت محافظت شده خارج کنید، مطمئن باشید که بدافزاره.
این مراحل و روشها رو بکار بگیرید تا آگاهانه تر با ایمیلهاتون برخورد کنید. تفاوت پاک موندن و آلوده شدن در همین چیزهاست.
یادتون باشه که همیشه فرض رو بر این بذارید که همه ایمیلهایی که بهتون میرسه آلوده اند، مگر اینکه خلافش ثابت بشه. برعکس نکنید. حتی اگه ظاهرا از آدرس آشنایی بود:
- به تمام پیوست ها مشکوک بشید.
- اگه شک کردید یا حدس میزنید یه چیز آلوده رو باز کردید، بلافاصله به شرکت ارائه دهنده خدمات ایمیلتون اطلاع بدید.
- اگه مطمئن نیستید یا کمک لازم دارید میتونید از تیم پشتیبانی دارکوب کمک بگیرید. شماره های تماس ما رو از پایین صفحه سایت بردارید و باهامون تماس بگیرید.