در ماه جاری (سپتامبر) شرکت SaltedHash متوجه یک ایمیل فیشینگ شد که از فیلترهای این شرکت عبور کرده و به صندوق ایمیل عمومی رسیده بود. کارمندان به سرعت متوجه مجرمانه بودن ایمیل شدند و آن را گزارش دادند.

این ایمیل به کاربران Office 365 هشدار می‌داد که ظرفیت اکانت آن‌ها رو به پایان است و برای حل این مشکل از کاربر می‌خواست یک فایل پیوت HTML را باز کند و دستورات آن را دنبال کند. سپس کاربر به یک صفحه لاگین جعلی مانند صفحات لاگین Office 365 هدایت می‌شد و از او خواسته می‌شد اطلاعات حساب Office 365 خود را وارد کند.

بعدا مشخص شد SaltedHash تنها هدف این حمله نبوده و این حمله بخشی از یک کارزار فیشینگ بزرگتر بوده که آژانس‌های دولتی، سازمان‌های صنعتی، شرکت‌های تجاری، دانشگاه‌ها و … را هدف گرفته.

پس از قربانی شدن اکانت یک کاربر، مهاجمان با استفاده از کتاب آدرس قربانی، قربانیان بعدی را پیدا می‌کنند و ایمیل‌هایی که به این قربانیان جدید فرستاده می‌شوند، از اکانت قربانی قبلی ارسال می‌شوند. وقتی دریافت‌کننده ایمیلی را از یک فرد آشنا دریافت می‌کند، احتمال اعتماد و فریب خوردن وی بیشتر می‌شود.

از آن جا که اکثر شرکت‌ها از Office 365 برای Exchange, One Drive, Skype و سرویس‌های دیگر استفاده می‌کنند، با قربانی شدن اکانت Office 365 ممکن است آسیب‌های شدیدی رخ دهد.

پیشگیری و مقابله

هر چند کنترل‌های تکنیکی‌ای مثل فیلتر ایمیل یا مانیتورینگ دامنه وجود دارند، اما مشکل اصلی در فیشینگ عامل انسانی است. اگر این کنترل‌ها موفق به جلوگیری از اسپم نشوند، آخرین خط دفاع فرد قربانی خواهد بود. در چنین مواقعی احراز هویت چندعامله می‌تواند امنیت را بسیار بهبود دهد. اما باید خاطر نشان کرد که گنجاندن جریان‌های کاری و الگوهای اداری معمول در آگاه‌سازی کارمندان نیز باعث تقویت امنیت می‌شود به طوری که در هنگام مواجه با تهدید، کارمند مشکوک شده و احتمالا تهدید را گزارش می‌کنند، مثل اتفاقی که در SaltedHash افتاد.

برای دیدن علائم حمله، اینجا کلیک نمایید.