ایمیل‌های فیشینگ

در حملات قدیمی، نشانی ایمیل ارسالی از سوی مهاجمان دارای نام دامنه‌ای مشابه با نشانی سایت رسمی سازمانی بود که در ایمیل وانمود می‌شد فرستنده ایمیل است. اما در حملات اخیر، مهاجمان از سرویس‌دهندگان عمومی ایمیل برای ارسال ایمیل‌های فیشینگ استفاده کرده‌اند و در عوض از تکنیک متفاوتی جهت فریب قربانی و متقاعد کردن او به باز کردن پیوست مخرب بهره گرفته‌اند. بدین‌ترتیب که در آنها القا می‌شود فرستنده، یک شریک تجاری یا نماینده زیرمجموعه‌ای از همان شرکت هدف حمله است و دریافت‌کننده می‌بایست سند پیوست را در مهلت درج شده در ایمیل (به دلایلی همچون پایان مناقصه، جرایم احتمالی یا لزوم بازبینی تنظیمات دستگا‌ه‌ها) ملاحظه کند.

باید تأکید کرد که ایمیل‌های فیشینگ به‌طور اختصاصی ویژه هر شرکت مورد حمله طراحی و سفارشی شده‌اند

رعایت موارد زیر نقشی اساسی در ایمن ماندن از گزند این تهدیدات دارد:

-آموزش کارکنان در استفاده امن از ایمیل‌ها و تشخیص پیام‌های فیشینگ

-محدود کردن دسترسی برنامه‌ها به سطح SeDebugPrivilege (تا حد ممکن)

-نصب نرم‌افزار ضدویروس با قابلیت مدیریت تنظیمات امنیتی آن به‌صورت متمرکز بر روی تمامی سیستم‌ها به همراه به‌روز نگاه داشتن بانک‌های داده و اجزای راهکارهای امنیتی

-استفاده از حساب‌های کاربری دارای سطح دسترسی Administrator تنها در زمان نیاز؛ پس از استفاده از این حساب‌های کاربری بر روی سیستم، نسبت به راه‌اندازی مجدد (Restart) آن سیستم اقدام شود

-اجرای سیاست سخت‌گیرانه در خصوص میزان پیچیدگی رمزهای عبور و تغییر دوره‌ای آنها

-حذف همه ابزارهای دسترسی از راه دور ثالث فاقد مجوز نصب، در صورت مشکوک به آلوده بودن دستگاه در کنار پویش آن توسط نرم‌افزار ضدویروس و تغییر رمز عبور تمامی حساب‌های کاربری که برای ثبت ورود (Logon) در آن سیستم مورد استفاده قرار گرفته‌اند

-رصد ارتباطات شبکه‌ای برای ردیابی وجود هر گونه ابزار دسترسی از راه دور نصب شده بدون اصالت‌سنجی صحیح با تمرکز ویژه بر روی ابزارهای موسوم به RMS از جمله TeamViewer

-پالایش و مسدودسازی ارتباطات به سرورها و نشانی‌های آلوده

-عدم استفاده از نگارش‌های منسوخ شده TeamViewer شامل نسخه ۶ و قبل از آن.

-باید توجه داشت از آنجا که در این حملات از نرم‌افزارهای مدیریت از راه دور مجاز استفاده می‌شود، این نرم‌افزارها به دلیل معتبر بودن توسط ضدویروس حذف نشده و صرفا فایل‌های مخرب هستند که ضدویروس به آنها واکنش نشان خواهد داد. لذا در صورتی که نرم‌افزار مدیریت از راه دور در همان مرحله پویش سیستم‌های سازمانی کشف شد باید از معتبر بودن دلیل نصب آن اطمینان حاصل شود.

به نقل از مرکز راهبردی افتا