كيف تتعامل مع مرفقات البريد الإلكتروني؟

تم اكتشاف حملة بريد إلكتروني جديدة باستخدام PDF

يجب أن يكون أمان البريد الإلكتروني هو الأولوية القصوى لأنه لا يزال ناقل الهجوم الأولي الأول لخروقات البيانات ، وفقا لشركة IBM. على الرغم من ذلك ، تستمر هجمات البريد الإلكتروني المتطورة في أخذ ضحاياها بشكل فعال ، مستغلة العامل البشري ، الذي تورط في 82٪ من جميع الانتهاكات هذا العام. لسوء الحظ ، تم تحديد حملة توزيع برامج ضارة أخرى باستخدام مرفقات PDF في الشهر الماضي ، حيث وجد المتسللون طريقة جديدة لتهريب البرامج الضارة إلى أجهزة الضحايا.

دعونا نلخص كيف تم تنفيذ الهجوم

استفادت حملة الجرائم الإلكترونية الجديدة - التي اكتشفتها HP Wolf Security - من سلوك المستخدم غير المؤكد ، لتوزيع Snake Keylogger على نقاط النهاية الضعيفة بواسطة ملفات PDF.

أرسل ممثلو التهديد أولا بريدا إلكترونيا يحمل سطر الموضوع "فاتورة التحويلات" ، لخداع الضحايا للاعتقاد بأنهم سيحصلون على أموال مقابل شيء ما. عندما تم فتح ملف PDF ، طلب Adobe Reader من المستخدم فتح مستند مضمن - ملف DOCX - والذي قد يكون مريبا ولكنه مربك إلى حد ما للضحية ، حيث يتم تسمية المستند المضمن "تم التحقق منه". هذا يجعل الضحية تعتقد أن قارئ PDF قد قام بمسح الملف ضوئيا وأنه جاهز للاستخدام.

من المحتمل أن يحتوي ملف Word على ماكرو ، إذا تم تمكينه ، تنزيل ملف النص المنسق (RTF) من الموقع البعيد وتشغيله. سيحاول الملف بعد ذلك تنزيل البرامج الضارة Snake Keylogger.

لكي ينجح الهجوم ، يجب أن تظل نقاط النهاية المستهدفة عرضة لعيب معين. ومع ذلك ، لم يرسل المهاجمون هذه المرة الشفرة الضارة ، لكنهم خدعوا الضحية لتنزيلها ، متجاوزين دفاعات البوابة القائمة على الكشف.

يعتقد مجتمع الأمن السيبراني أن العديد من الخروقات الأمنية كان من الممكن تجنبها. على سبيل المثال ، تم تحديد الخلل الحالي في عام 2017 وكان من الممكن منع سلسلة الهجمات الأخيرة إذا حافظ جميع مسؤولي الأجهزة على تحديث أنظمة التشغيل الخاصة بهم.

وفقا ل DBIR من Verizon ، هناك أربعة مسارات رئيسية لمعلومات الشركة: بيانات الاعتماد ، والتصيد الاحتيالي ، واستغلال نقاط الضعف ، وشبكات الروبوت. يمكن أن يؤدي الفشل في حظر عنصر واحد فقط إلى اقتحام الشبكة. في هذه الحالة ، استخدم المهاجمون عنصرين للهجوم: عملية احتيال تصيد عبر البريد الإلكتروني مصممة جيدا لتضليل المستخدمين المطمئنين وثغرة أمنية مستغلة لتثبيت الملفات الضارة.

تدابير الحماية شائعة الاستخدام

نظرا لأن حملة الجرائم الإلكترونية الجديدة استخدمت البريد الإلكتروني لتوزيع Snake Keylogger على نقاط النهاية الضعيفة عبر ملفات PDF ، فإن أفضل ممارسات الأمان لم تكن ستعمل بشكل صحيح للأسباب التالية:

• تظهر عمليات استغلال نقاط الضعف في غضون أيام ، لكن الأمر يستغرق أسابيع - أو شهورا - لتصحيحها.
• تواجه حلول أمن البريد الإلكتروني التقليدية صعوبة في منع هجمات فورية نظراً لعدم وجود توقيعات مضادة للفيروسات لاكتشافها.
• Sandbox ظهرت الحلول كنهج واحد للكشف المتقدم عن التهديدات ، لكنها ليست مناسبة تماما للبريد الإلكتروني لأنها تضيف وقتا إضافيا للمعالجة قبل التسليم
• بالإضافة إلى التأثير السلبي على الإنتاجية ، يمكن لبعض تهديدات أمان البريد الإلكتروني التهرب من اكتشاف وضع الحماية. في هذه الحالة ، تم تطبيق هاتين الطريقتين:

  
  

  • التنفيذ المتأخر للإجراء

  إذا أراد المتسللون التأكد من عدم تنفيذ برامجهم الضارة في بيئة رمل ، فإن هناك طريقة شائعة أخرى وهي انتظار تفاعل المستخدم النهائي. قد يكون هذا نقرة على الماوس أو الكتابة على لوحة المفاتيح أو فتح تطبيق معين - الخيارات لا حدود لها إلى حد كبير. الشيء المهم للمهاجم هو أن حلول وضع الحماية لا يمكن أن تفسر هذه الإجراءات. بدون إجراء المستخدم هذا ، لا يمكن لحلول وضع الحماية اكتشاف هذه الهجمات.

  • أحصنة طروادة ووحدات الماكرو

  ملفات أحصنة طروادة قديمة قدم اليونان القديمة ، لذلك بفضل حلول مكافحة الفيروسات ووضع الحماية يمكنهم اكتشاف أنواع قليلة من ملفات طروادة. تميل الحلول المستندة إلى الكشف إلى الفشل بمجرد إخفاء البرامج الضارة في مستندات Microsoft Office الممكنة بماكرو. الجانب السلبي الوحيد للهجمات المستندة إلى الماكرو بالنسبة للمهاجمين هو أنها تتطلب من المستخدم النهائي تمكينها ، لذلك غالبا ما تكون مصحوبة بهجوم الهندسة الاجتماعية.

فلسفة انعدام الثقة

يجب على المؤسسات أن تفترض أن جميع رسائل البريد الإلكتروني والمرفقات خبيثة. قد تكون الملفات الإنتاجية الشائعة، مثل مستندات Word، أو ملفات PDF، مصابة ببرمجيات خبيثة هجمات فورية ولكن من غير الواقعي منع الوصول إلى البريد الإلكتروني أو مستندات Word. حلول مكافحة الفيروسات وصندوق الحماية محدودة بقدرتها على اكتشاف الهجمات المتقدمة. وكما رأينا في الهجوم أعلاه، فإن استخدام الحماية القائمة على الاكتشاف فقط هو نهج خاطئ في الأساس. بدلاً من ذلك، يجب على المؤسسات أن تتبنى نهجاً أمنياً خالياً من الثقة مع حل استباقي يتعامل مع جميع الملفات على أنها ضارة وينظفها في الوقت الحقيقي. يمكن تسليم هذه المرفقات المعقمة إلى المستخدم على الفور، وبالتالي عدم إعاقة إنتاجية العمل، بينما في الخلفية إتاحة الوقت لمزيد من التحليل القائم على الكشف (أو التحليل الديناميكي)، والذي يمكن أن يرسل الملف الأصلي إلى المستخدم، في حال نجاحه.

MetaDefender Email Security هو مثل هذا الحل. يوفر نهجا شاملا لنزع سلاح المرفقات ونصوص البريد الإلكتروني والرؤوس ، عن طريق إزالة جميع المحتويات التي يحتمل أن تكون ضارة وإعادة بنائها كملف نظيف. وبالتالي ، فإن هذه الملفات قابلة للاستخدام وآمنة بالكامل ، مما يوفر حماية كافية للمستخدمين غير الآمنين ضد الهجمات الموضحة أعلاه.

OPSWAT يحمي المؤسسات من عمليات الاستغلال والمحتوى المسلح دون الحاجة إلى الكشف. وهو أسرع 30 مرة من اكتشاف وضع الحماية أيضا!

إذا كنت ترغب في معرفة المزيد حول كيفية سد ثغرات أمان البريد الإلكتروني لحماية مؤسستك من التهديدات المتقدمة ، فقم بتنزيل المستند التقني المجاني الخاص بنا ، "أفضل الممارسات ل Email Security وحماية البنية التحتية الحرجة" ، أو اقرأ المزيد من المدونات حول هذا الموضوع هنا.

الاتصال OPSWATاليوم واسألنا كيف يمكننا المساعدة في تحسين أمان بريدك الإلكتروني.