كيف تتعامل مع مرفقات البريد الإلكتروني؟

تم اكتشاف حملة بريد إلكتروني جديدة باستخدام PDF

يجب أن يكون أمان البريد الإلكتروني هو الأولوية القصوى لأنه لا يزال ناقل الهجوم الأولي الأول لخروقات البيانات ، وفقا لشركة IBM. على الرغم من ذلك ، تستمر هجمات البريد الإلكتروني المتطورة في أخذ ضحاياها بشكل فعال ، مستغلة العامل البشري ، الذي تورط في 82٪ من جميع الانتهاكات هذا العام. لسوء الحظ ، تم تحديد حملة توزيع برامج ضارة أخرى باستخدام مرفقات PDF في الشهر الماضي ، حيث وجد المتسللون طريقة جديدة لتهريب البرامج الضارة إلى أجهزة الضحايا.

دعونا نلخص كيف تم تنفيذ الهجوم

استفادت حملة الجرائم الإلكترونية الجديدة - التي اكتشفتها HP Wolf Security - من سلوك المستخدم غير المؤكد ، لتوزيع Snake Keylogger على نقاط النهاية الضعيفة بواسطة ملفات PDF.

أرسل ممثلو التهديد أولا بريدا إلكترونيا يحمل سطر الموضوع "فاتورة التحويلات" ، لخداع الضحايا للاعتقاد بأنهم سيحصلون على أموال مقابل شيء ما. عندما تم فتح ملف PDF ، طلب Adobe Reader من المستخدم فتح مستند مضمن - ملف DOCX - والذي قد يكون مريبا ولكنه مربك إلى حد ما للضحية ، حيث يتم تسمية المستند المضمن "تم التحقق منه". هذا يجعل الضحية تعتقد أن قارئ PDF قد قام بمسح الملف ضوئيا وأنه جاهز للاستخدام.

من المحتمل أن يحتوي ملف Word على ماكرو ، إذا تم تمكينه ، تنزيل ملف النص المنسق (RTF) من الموقع البعيد وتشغيله. سيحاول الملف بعد ذلك تنزيل البرامج الضارة Snake Keylogger.

لكي ينجح الهجوم ، يجب أن تظل نقاط النهاية المستهدفة عرضة لعيب معين. ومع ذلك ، لم يرسل المهاجمون هذه المرة الشفرة الضارة ، لكنهم خدعوا الضحية لتنزيلها ، متجاوزين دفاعات البوابة القائمة على الكشف.

يعتقد مجتمع الأمن السيبراني أن العديد من الخروقات الأمنية كان من الممكن تجنبها. على سبيل المثال ، تم تحديد الخلل الحالي في عام 2017 وكان من الممكن منع سلسلة الهجمات الأخيرة إذا حافظ جميع مسؤولي الأجهزة على تحديث أنظمة التشغيل الخاصة بهم.

وفقا ل DBIR من Verizon ، هناك أربعة مسارات رئيسية لمعلومات الشركة: بيانات الاعتماد ، والتصيد الاحتيالي ، واستغلال نقاط الضعف ، وشبكات الروبوت. يمكن أن يؤدي الفشل في حظر عنصر واحد فقط إلى اقتحام الشبكة. في هذه الحالة ، استخدم المهاجمون عنصرين للهجوم: عملية احتيال تصيد عبر البريد الإلكتروني مصممة جيدا لتضليل المستخدمين المطمئنين وثغرة أمنية مستغلة لتثبيت الملفات الضارة.

تدابير الحماية شائعة الاستخدام

نظرا لأن حملة الجرائم الإلكترونية الجديدة استخدمت البريد الإلكتروني لتوزيع Snake Keylogger على نقاط النهاية الضعيفة عبر ملفات PDF ، فإن أفضل ممارسات الأمان لم تكن ستعمل بشكل صحيح للأسباب التالية:

• تظهر عمليات استغلال نقاط الضعف في غضون أيام ، لكن الأمر يستغرق أسابيع - أو شهورا - لتصحيحها.
• حلول أمان البريد الإلكتروني التقليدية حلول في منع هجمات فورية عدم وجود توقيعات مضادة للفيروسات للكشف عنها.
• حلول Sandbox كأحد الأساليب المتقدمة للكشف عن التهديدات، ولكنها لا تناسب البريد الإلكتروني لأنها تضيف وقتًا إضافيًا للمعالجة قبل التسليم.
• بالإضافة إلى التأثير السلبي على الإنتاجية ، يمكن لبعض تهديدات أمان البريد الإلكتروني التهرب من اكتشاف وضع الحماية. في هذه الحالة ، تم تطبيق هاتين الطريقتين:

  
  

  • التنفيذ المتأخر للإجراء

  إذا أراد المتسللون التأكد من أن برامجهم الضارة لا تعمل في بيئة الرمل، فإن هناك طريقة أخرى شائعة تتمثل في انتظار تفاعل المستخدم النهائي. قد يكون ذلك بالنقر بالماوس أو الكتابة على لوحة المفاتيح أو فتح تطبيق معين – فالخيارات لا حصر لها. المهم بالنسبة للمهاجم هو أن حلول الرمل حلول التعامل مع هذه الإجراءات. بدون إجراء المستخدم هذا، حلول الرمل اكتشاف هذه الهجمات.

  • أحصنة طروادة ووحدات الماكرو

  تعود ملفات طروادة إلى عصور قديمة تعود إلى اليونان القديمة، لذا فإن الفضل يعود إلى حلول مكافحة الفيروسات حلول الصندوق الرملي حلول اكتشاف أنواع عديدة من ملفات طروادة. حلول القائمة على الاكتشاف إلى الفشل بمجرد إخفاء البرامج الضارة في مستندات Microsoft Office التي تدعم الماكرو. الجانب السلبي الوحيد للهجمات القائمة على الماكرو بالنسبة للمهاجمين هو أنها تتطلب من المستخدم النهائي تمكينها، لذا فهي غالبًا ما تكون مصحوبة بهجوم هندسي اجتماعي.

فلسفة انعدام الثقة

يجب على المؤسسات أن تفترض أن جميع رسائل البريد الإلكتروني والمرفقات ضارة. قد تكون ملفات الإنتاجية الشائعة، مثل مستندات Word أو ملفات PDF، مصابة ببرامج ضارة هجمات فورية ولكن من غير الواقعي حظر الوصول إلى البريد الإلكتروني أو مستندات Word. حلول مكافحة الفيروسات و sandbox حلول بقدرتها على اكتشاف الهجمات المتقدمة. كما رأينا في الهجوم أعلاه، فإن استخدام الحماية القائمة على الاكتشاف فقط هو نهج خاطئ بشكل أساسي. بدلاً من ذلك، يجب على المؤسسات اعتماد نهج أمان قائم على عدم الثقة مع حل استباقي يعامل جميع الملفات على أنها ضارة ويقوم بتنظيفها في الوقت الفعلي. يمكن تسليم هذه المرفقات التي تم تنظيفها على الفور إلى المستخدم، وبالتالي لا تعيق إنتاجية الأعمال، بينما تتيح في الخلفية الوقت لإجراء مزيد من التحليل القائم على الكشف (أو الديناميكي)، والذي، إذا نجح، يمكنه حتى إرسال الملف الأصلي إلى المستخدم.

MetaDefender Email Security هو مثل هذا الحل. يوفر نهجا شاملا لنزع سلاح المرفقات ونصوص البريد الإلكتروني والرؤوس ، عن طريق إزالة جميع المحتويات التي يحتمل أن تكون ضارة وإعادة بنائها كملف نظيف. وبالتالي ، فإن هذه الملفات قابلة للاستخدام وآمنة بالكامل ، مما يوفر حماية كافية للمستخدمين غير الآمنين ضد الهجمات الموضحة أعلاه.

OPSWAT يحمي المؤسسات من عمليات الاستغلال والمحتوى المسلح دون الحاجة إلى الكشف. وهو أسرع 30 مرة من اكتشاف وضع الحماية أيضا!

إذا كنت ترغب في معرفة المزيد حول كيفية سد ثغرات أمان البريد الإلكتروني لحماية مؤسستك من التهديدات المتقدمة ، فقم بتنزيل المستند التقني المجاني الخاص بنا ، "أفضل الممارسات ل Email Security وحماية البنية التحتية الحرجة" ، أو اقرأ المزيد من المدونات حول هذا الموضوع هنا.

الاتصال OPSWATاليوم واسألنا كيف يمكننا المساعدة في تحسين أمان بريدك الإلكتروني.