انواع حملات ایمیل و اقدامات خنثی کننده

در دوران کودکی  بعد از ایجاد یک حساب کاربری ایمیل، منتظر دریافت ایمیل در صندوق پستی خود بودیم. متاسفانه روزگار عوض شده است. در موقعیت کنونی وقتی نامه‌رسان اسم ما را صدا می‌زند ابروهایمان چندثانیه به حالت تفکر بالا می‌رود که چه کسی ممکن است وقت گذاشته باشد برای من نامه‌ایی بنویسید و آن را به آدرس من ارسال کرده باشد. امروزه صندوق پستی ما مملو از هزاران ایمیل خوانده نشده است اما زمان آن فرا رسیده که در دنیای مجازی امروز که همه چیز دیجیتالی شده، کمی بیشتر احتیاط کنیم. نیازی نیست برای انجام هرکاری از منزل خارج شویم. همه‌چیز به درب منزل ما می‌آید. امروزه تحولات زیادی در سرویس‌ها بوجود آمده و ما باید بعنوان مصرف کننده از آخرین اطلاعات امنیتی  شبکه دیجیتالی آگاه باشیم.

امیدوارم با خواندن مطالب بالا، خاطرات قدیمی برایتان تداعی شده باشد. بیایید به موضوع خودمان بپردازیم. موضوع اصلی این است که در شبکه‌های دیجیتال کلاهبرداری‌های زیادی اتفاق می‌افتد،  یکی از معروف‌ترین و موفق‌ترین حملاتی که توسط مهاجمان انجام می‌شود، حملات فیشینگ است. بسیاری از ما به‌ ‎واسطه آموزش و آگاهی کافی سازمان‌ها در مورد حملات فیشینگ با آن آشنا هستیم. البته حملات دیگری نیز حول محور ایمیل وجود دارد. بیایید یکی یکی نگاه کنیم. این مقاله بیشتر مبتنی بر تئوری است تا اینکه یک مقاله فنی باشد.

ایمیل‌های جعلی یا ایمیل‌های فیشینگ

اکثر سیستم‌های ایمیل برای ‌اینکه بتوانند بین ایمیل‌های قانونی و غیرقانونی تفاوت قائل شوند، بدرستی پیکربندی نمی‌شوند. در نتیجه، مهاجمان از ابزارهای مختلفی برای ایجاد ایمیل‌های فیشینگ استفاده می‌کنند. آنها می‌توانند به روشهای مختلفی اقدام به جعل آدرسهای ایمیل قانونی بکنند. مهاجمان گاهی از سرویس‌های SMTP نیز استفاده می‌کنند مانند جعل DNS سرور و ارسال ایمیل از طریق سرویس‌های SMTP به کارمندان داخلی سازمان‌ها که در ظاهر ایمیل‌های معتبری به‌نظر می‌رسند ولی عملا آسیب‌های جدی به سازمان‌ها وارد می‌کنند.

موفق‌ترین سناریوی این حمله زمانی است که کاربر روی فایل پیوست که همراه ایمیل ارسال شده است کلیک کند. ممکن است فایل‌های پیوست حاوی ویروس‌های ماکرو باشند و دسترسی به Shell (یک قطعه نرم‌افزاری که به کاربر مجوز دسترسی مستقیم به سیستم‌عامل را می‌دهد) را دراختیار مهاجم قرار دهند. گاهی هم این ایمیل‌های فیشینگ حاوی لینک‌هایی برای انجام تراکنش مالی یا استخراج اطلاعات شخصی کاربران است، که هرکدام از این موارد مشکلات زیادی را برای کاربر به همراه خواهد داشت.

حملات  SMTP

SMTP پروتکلی است که برای ارسال و دریافت ایمیل‌ها مورد استفاده قرار میگیرد. سرورهایی که سرویس SMTP را اجرا می‌کنند، برای تایید هویت فرستنده، از احرازهویت (AUTH) استفاده می‌کنند. علاوه بر احرازهویت STARTTLS, S/MIME و DMARC نیز جزو ابزارهای حفاظتی برای سرویس‌های SMTP می‌باشند. سازمان‌ها در کنار همه این ابزارها، می‌توانند از روش‌های جانبی و سفارشی‌ دیگری نیز برای حفاظت از سرویس‌های ایمیل خود استفاده کنند.

راهکار رمزگذاری ایمیل EEA یا Email Encryption Alliance، بعنوان بخشی از معماری ایمیل پیاده‌سازی می‌شود. در صورتی که امکان دسترسی عمومی به EEA یک سرویس ایمیل فراهم باشد، مهاجم می‌تواند از حمله تونل تقسیم (split-tunnel attack) استفاده کند. یک حمله تونل تقسیم موفق، با دسترسی به EEA از دروازه‌های امنیتی عبور میکند. زیرا EEA پیام‌های سرور را بدون بررسی بدافزار رمزگشایی و مسیریابی می‌کند.

حملات به فضای ذخیره‌سازی صندوق‌ پستی

داده‌های در معرض خطر، ساده‌ترین عبارتی است که می‌توانیم برای این حمله بکار ببریم. حتی پس از رمزگذاری سیستم های فایلینگ، کماکان آسیب پذیری‌های گوناگونی در دسترس هستند که امکان سوء استفاده را فراهم می‌کنند. یکی از این آسیب‌ها، حمله دسترسی مستقیم به حافظه یا همان DMA (Direct Memory Attack) است.

این حمله به این صورت هدفگذاری شده که با کمک گیری از مداخله متن باز (Open Source  intervention) از سخت افزار برای خواندن یا نوشتن مستقیم در حافظه اصلی استفاده کند. همچنین Ghost، یکی دیگر از حملات سرریز بافر است که می‌تواند بدون استفاده از سخت‌افزار انجام شود.

حملات بازیابی ایمیل

پروتکل‌های POP3 و IMAP (پروتکل دسترسی به پیام در اینترنت) دو پروتکلی هستند که برای بازیابی ایمیل‌ها از سرور از طریق اتصال به TCP/IP مورد استفاده قرار می‌گیرند. پیاده‌سازی POP3 ساده است، امکان اتصال یک کاربر را در هر بار فراهم می‌کند و هرگز پیام‌ها پس از پردازش ذخیره نمی‌شوند. در حالیکه IMAP مزیت ذخیره‌سازی پیام‌ها و بازیابی ایمیل از صندوق‌های پستی مختلف را فراهم می‌کند. اما هر دو پروتکل، هویت‌نامه کاربر را بدون رمزگذاری از طریق شبکه ارسال می‌کنند. در نتیجه، اگر کاربری از یک شبکه وای‌فای عمومی استفاده کند، مهاجمان پس از برقراری یک ارتباط موفق و بدست آوردن کنترل شبکه می‌توانند هویت نامه‌ها را براحتی جمع‌آوری کنند.

حملات لایه انتقال ایمیل

ایمیل‌ها از طریق اینترنت منتقل می‌شوند؛ بنابراین مسیرهای زیادی برای انتقال ایمیل‌ها از منبع تا مقصد در شبکه اینترنت وجود دارد. برخی از این مسیر‌ها کنترل می‌شوند و برخی قابل کنترل و اعتماد نیستند. این امکان وجود دارد که در مسیرهای غیرقابل کنترل و نامعتبر، این ایمیل‌ها توسط دیگران نظارت شود یا محتوی ایمیل‌ها را دستکاری کنند.

پروتکل امنیتی لایه انتقال یا TLS ( Transport Layer Security) بعنوان یک کانال رمزگذاری برای ایمیل مورد استفاده قرار می‌گیرد. با این حال حملات MITM یا مرد میانی؛ می‌تواند از طریق روترهای غیرقابل کنترل که در بالا اشاره شد در فاصله بین مبدا تا مقصد انجام شود. در صورتی که منبع یا مقصد از رمزنگاری پشتیبانی نکنند و پیام‌ها به صورت متن صریح ارسال شوند، این حمله می‌تواند به راحتی محتوی پیام را در معرض دسترسی مهاجمان قرار دهد.

روشهای جلوگیری از حملات

• اجرای برنامه‌های بیشتر برای آگاه سازی مداوم کارمندان سازمان‌ها در خصوص حملات فیشینگ
• نصب افزونه‌های امنیتی و به‌روزرسانی‌های منظم
• اجرایی شدن  پروتکل امنیتی TLS برای انتقال داده‌ها
• استفاده از پروتکل‌های امن و غیرفعال کردن پروتکل‌های ضعیف مانند SSLv2
• رمزنگاری ایمیل قبل از ارسال؛ استفاده  از کلیدهای امنیتی برای اسناد حساس و اینکه کلیدها فقط بین فرستنده و گیرنده منتقل شود.
• داشتن سیاست‌ها و رویه‌ها و دستورالعمل‌ها جهت استفاده از اطلاعات حساس
• استفاده از DMARC(Domain-based Message Authentication, Reporting and Conformance)، SPF(Sender Policy Framework) و DKIM(Domain Keys Identified Mail)
• عدم ذخیره‌سازی اطلاعات رمزنگاری نشده در RAM
• در نهایت، برخورداری از یک شبکه دیجیتال امن، کاملا بستگی به خود افراد و سازمان‌ها دارد. به عنوان یک راهکار ساده اما بسیار مهم، بخاطر داشته باشید که هر زمان ایمیل مشکوکی حاوی پیوست یا لینک دریافت کردید؛ پیش از هر کاری با یک فرد متخصص مشورت کرده یا قبل از بازکردن آن، روش‌های درست برخورد با این دست ایمیل‌ها را در اینترنت جستجو کنید.

 منبع