مراقب ایمیل های خود باشید

بهره گیری حمله کنندگان اینترنتی از مضامین جذاب مانند پیام های تبریک

شرکت Elitecore Technologies ارائه کننده محصولات مدیریت یکپارچه تهدیدات (UTM) با نام Cyberoam که از تکنولوژی شناسه کاربر در تمامی قابلیت های دستگاه بهره می برد، به تازگی گزارش سه ماهه سوم سال ۲۰۰۸ خود را در باره تهدیدها و آلودگی های پست الکترونیک، ارایه کرد. این گزارش نشان می دهد که اسپمرها برای مخفی کردن نیت های بد خواهانه خود از سرویس دهنده های ایمیل معتبر و مشهور و مخصوصا شناسه های وب میل استفاده می کنند. بد افزارهای پنهان شده در سایت های مشروع به شدت در حال گسترش هستند و البته اسپمر ها نیز همچنان به استفاده از مضامین جذاب مانند پیام های تبریک و یا سایر پیام های دروغین برای افزایش کارایی پیام ها ادامه می دهند.

با بهینه سازی روش های فیلترینگ، هرزنامه نویسان راه های جدیدی را برای ارسال اسپم ها از طریق میل سرورهای معتبر و دامین های مشهور به جای استفاده از آدرس های IP شناخته شده برای ارسال اسپم و یا سرورهای bot مورد شناسایی قرار گرفته یافته اند. آنها با سرقت اعتبارنامه های فرستندگان که شامل پروسه نام نویسی می شود، هزاران اکانت مجانی را با استفاده از الگوریتم هایی که برای شکستن CAPTCHA ها مورد استفاده قرار می گیرد ایجاد می کنند. این به این معنی است که آن ها می توانند رویه هایی که برای جلوگیری از ثبت نام خودکار مورد استفاده قرار می گیرند را از میان بردارند.

اسپم هایی با مضامینی چون: ویدیوهای وحشتناک، آگهی ها و اعلان های دروغین، نامه های تبریک روزهای خاص، نامه های عاشقانه و نامه های تبریک که برای استفاده در حملات عظیم طراحی شده اند و تمامی مضامین دیگری که با استفاده از روانشناسی اجتماعی و تحریک حس کنجکاوی می توانند کاربران را فریب دهند، از جمله پیام هایی هستند که توسط اسپمرها تهیه و ارسال می گردند. مزامین بدخواهانه اغلب شامل اسپم های فلش هستند که یا در وب سایت های قانونی که هک شده اند و یا در وب سایت های عمومی محبوب مانند Blogspot و Flicker جا سازی شده اند و با بد جلوه دادن راه حل های امنیتی سعی می کنند تا به نتایج بهتری دست پیدا کنند.

Abhilash Sonwane مدیر محصول Cyberoam می گوید: "با توجه به ماهیت ترکیبی گفته شده حملات، راه حل های امنیتی متحد شامل آنتی ویروس ها، نرم افزار های ضد بد افزار و راه حل های فیلترینگ محتوا که دومین و سومین لایه های حفاظتی را تشکیل می دهند می توانند با جلوگیری از دانلود بد افزار از این وب سایت ها و ایجاد مانع بر سر راه دسترسی های سهوی کاربران به وب سایت های مملو از بد افزار، خطر آلوده شدن سیستم ها را تا حد زیادی کاهش دهند. حتی با وجود اینکه با بهره گیری از یک راه حل کارآمد ضد اسپم در داخل درگاه می توان از گسترش اسپم ها از طریق آدرس های ایمیل رسمی جلوگیری کرد اما با این وجود اسپم هایی که شامل لینک به بد افزارها هستند می توانند از این لایه های شناسه ایمیل های شخصی عبور کنند. آگاهی دادن به کاربران و ایجاد توانایی پاسخ گویی سریع در آن ها در شبکه های متحد می تواند تا حد زیادی از بروز چنین حملاتی بکاهد.

اسپمرها حتی از مواردی مانند علاقه کاربران به حفاظت از خودشان در برابر حملات اینترنتی نیز سوء استفاده می کنند. برای مثال ارسال ایمیلی از آدرس admin@microsoft.com که به گونه ای طراحی شده است تا مانند یک هشدار برای نصب یک به روز رسانی بر روی نرم افزار محبوبی چون IE۷ به نظر برسد با عبارتی که می گوید وب سایت Microsoft در برابر این به روز رسانی هیچ مسئولیتی ندارد، یکی از این روش هاست. کاربرانی که بر روی لینک موجود در این ایمیل کلیک کنند، به یک فایل بد خواهانه اجرایی آلوده خواهند شد.

اگر چه استفاده از راه حل های آزمایش شده و مشهور با توجه به این که حدود ۵۵ درصد فایل های بدخواهانه دارای طول عمری کمتر از یک روز کامل هستند، تا حد زیادی می تواند جلوی سیستم های آلوده (یا به اصطلاح زامبی ها) را بگیرد، این راه حل ها نیز برای حفظ دقت خود نیاز به بروز رسانی های مداوم دارند.

گفتنی است کشورهای آلمان و چین به ترتیب با ۷۹ و ۷۸ درصد جلوگیری از IP های آدرس سیستم های آلوده، تا کنون سریع ترین واکنش ها را از خود نشان داده اند. در حالی که Telecom Italia و Verzion در میان هفت دامین اصلی میزبان سیستم های آلوده قرار داشته اند، Ukrtel و Airtel Broadband اعضای جدیدی هستند که به تازگی به این مجموعه اضافه شده اند. علاوه بر این Brasil Telecome نیز یکی از شرکت هایی است که به زودی به لیست ۱۰ دامین آلوده اصلی اضافه خواهد شد.

بر همین اساس Cyberoamاز تکنولوژی RPD™ برای بررسی ترافیک های حجیم اینترنتی به صورت Real-time استفاده می کند. بر خلاف فیلترهای رایج اسپم، این تکنولوژی تنها به محتوای ایمیل توجه نمی کند، بلکه این سیستم قادر است تا اسپم ها را در هر زبانی و در تمامی پیام ها با هر فرمت (شامل تصاویر، HTML و غیره) و همچنین کاراکترهای غیر انگلیسی، کاراکترهای تک و دوبایتی و تمامی موارد دیگر شناسایی کند. این تکنولوژی با توجه به طبیعت برنامه نویسی خود قادر است تا توانایی های منحصر به فردی در زمینه جلوگیری از نفوذ اسپم ها به نمایش بگذارد.

Cyberoam این تکنولوژی را با ابزارهای "UTM بر پایه شناسه کاربر" خود ترکیب کرده است. همین مساله عملکرد هویت محور را در تمامی بخش ها گسترش داده و به کار می گیرد. با فاصله گرفتن از راه حل های سنتی وابسته به آدرس های IP، این تکنولوژی می تواند تشخیص دهد که هرکس در شبکه دقیقا مشغول به چه کاری است. این مساله باعث افزایش قابلیت مدیریت IT و دستیابی به سیاست های کنترلی بهتر و در نهایت شفاف سازی هرچه بیشتر فعالیت های صورت گرفته بر روی شبکه خواهد شد.