סיכונים, סימולציה והגנה על תעבורת הדואר

(מאמר ראשון בסדרה)
אחת הבעיות הנפוצות כיום בהגנה על הארגון היא הגנה על שירות הדואר הארגוני, בחצי שנה האחרונה כמות ורמת המתקפות מול תשתיות הדואר התעצמה באופן קיצוני. הונאות ומניפולציות שונות מול תשתיות הדואר דואר, כגון פישינג הפכו לדבר שגרתי וארגונים רבים אינם מסוגלים להתמודד עם הבעיה, ולכן גוברים המקרים של גניבת זהויות, העברת כספים לגורם לא מורשה, הורדת תוכן זדוני לביצוע מתקפה מקומית וכן הלאה.

מה קורה ביומיום, במקרי תקיפה בהם תוקף אשר פורץ לתיבת הדואר ממשיך את המתקפה לפי מספר נקודות עיקריות:

• יצירת חוק Outlook לטובת העברת דואר אל תיבת דואר חיצונית
• שימוש בתיבת הדואר לשליחת דואר פישינג לנמענים באותו דומיין בארגון או נמענים חיצוניים
• שליחת דואר פנים ארגוני עם קוד זדוני לטובת ביצוע מתקפה בתוך הרשת הארגונית
• שליחת דואר למטרות הסוואה בכדי לבצע פעולה מתקדמת יותר

הערה – תשתיות הדואר אשר חוות מתקפות על בסיס יומי הם תשתיות דואר, כגון: Exchange Online, Exchange On-Premises, G-Suite ותשתיות דואר נוספות, כיום שום תשתית דואר אינה חסינה מפני סיכונים בתשתית הדואר.

סיכונים בתשתיות הדואר

הסיכונים בתשתית הדואר הם רחבות, החל מאפשרויות העברת דואר לגורם חיצוני (לפי מספר רמות) ועד ביצוע deception שונים מול תיבות דואר.

כידוע, מתקפות פישינג הם מתקפות המתבססות על הנדסה חברתית וביצוע מניפולציה מול משתמשים בכדי להשיג מידע מסוים. לעיתים קרובות מתקפות פישינג נועדו לטובת ביצוע מתקפות מתקדמות וקבלת גישה לנתונים רגישים, כגון מספרים של חשבונות בנק, תשתיות פנים ארגוניות וכן הלאה.

כיום מתקפות פישינג מכילות מניפולציות שונות ומתקדמות מול משתמשי קצה, ולעיתים ישנם מתקפות פישינג מרשימות אשר גורמות למשתמשי קצה ללחוץ על קישורים בלי הבחנה. אם נתמקד לרגע בסוגי מתקפות פישינג נוכל לחלק אותם למספר סוגים:

• פישינג רגיל – לרוב נעשה ע"י חובבנים וקמפיין המתקפה אינו מושקע כלל, במקרים מסוימים יכול להיעשות לטובת הסוואה מול מתקפה אחרת.
• Spear phishing– פישינק ממוקד, לרוב קמפיין מושקע והתוקף אסף מידע (recon) ביצירת הקמפיין ואף משקיע בפורמים של המתקפה ולכן מוצג היטב עם מניפולציות.
• Whale phishing– פישינג מול CEO, כמו הפישינג הממוקד רק ברמת C-Level, גם כאן נאסף מידע (Recon) ברמת בכירים למינהם וקמפיין המתקפה מושקע מאד במטרה

רק בשנה האחרונה (2018) מתקפות פישינג עלו מדרגה וסיפקו מגוון מניפולצות לטובת פעולות שונות, בין היתר:

אימות חשבון

הנפוץ מבינהן, לרוב ישלח מייל מתוך גורם "אמין" עם תוכן המבקש לאמת את המשתמש בדרך כלשהיא עם קישור וטופס אשר נראה דומה למקורי ולעיתים אף קשה לזהות הבדלים.
מקרה נפוץ לאחרונה הוא דואר שלא נשלח מתוך Office 365 ומבקש מהמשתמש לוודא את הסיבה

הונאת בכירים

מייל מתחזה אשר יכול לכלול מזהה דומה, כגון: שם משתמש, שם דומיין, תוכן בעל ענין וכן הלאה. במקרים כאלה התוכן של הדואר יכלול הודעה עם ענין בין מספר גורמים בכירים לטובת העברת כספים לספקים, העברת כספים לחשבון בנק ועוד.
תופעה שמתרחשת בארגונים רבים ובתדירות גבוהה מול ולכן משתמשים בכירים נופלים פעם אחר פעם בעברת כספים לגורמים חיצוניים, ובמקרים אלה מדובר על העברות כספים גבוהות.

שיתוף קבצים

מייל עם הודעת דואר לשיתוף קובץ ארגוני, מתוך Cloud Storage. התחיל עם הונאה מתקדמת של Phish Point והמשיך עם מתקפות דומות. במקרה זה נעשה שימוש גם ברמת תיוג HTML ושינוי URL.

למרות מדובר על מתקפות בנות מספר חדשים, עד היום מתקפה זאת לא טופלה ע"י מספר וונדורים מרכזיים וניתן לעקוף כל Sandbox בצורה פשוטה (דוגמאות להורדה זמינות להורדה ברשת).

סימולציה וביצוע Deception בסיסי

ביצוע הונאות באמצעות תעבורת הדואר יכולות להיות מגוונות עם אפשרויות שונות, למשל: שם תצוגה זהה, שם דומיין זהה, כתובת דואר זהה ולעיתים אפשר לשלב את כולם יחדיו ולקבל משהו ממש אמיתי.

למשל, בדוגמה המצורפת קיבלתי "מייל" עם שם תצוגה, כתובת מייל ובקשה מסוימת.

חשוב להדגיש כי שליחת הדואר נעשתה מתוך מתוך מנגנון הכולל תקנים שונים כגון: Dkim.

כיום האפשרויות בשליחת דואר מתוך מנגנון מסוים פשוטה יותר מאשר בעבר, בגלל שכיום ישנם מנגנונים ברשת המאפשרים ביצוע התחזות עם כל הפרמטרים הדרושים. אחד הדברים היותר מטרידים (ופסיכים) שאותם מנגנונים כוללים תקני דואר מתקדמים (ולא רק SPF) ולכן הם מצליחים לעבור בקלות את כל המסננים הקיימים.

איך מבצעים סימולציה

בכדי לבצע סימולציה וכן Deception בסיסי אנו יכולים לפעול לפי כמה הנחות עבודה, לפי סימולצית תקיפה (כגון העברת כספים) וכן הלאה. בדוגמה המצורפת הסימולציה בנויה על בסיס מספר נקודות:

• בחירת מנגנון Deception ברשת, למשל http://www.anonymailer.net/ או https://emkei.cz/ (ישנם רבים ברשת רק לבחור באחד טוב)
• כתיבת מייל עם תוכן בעל ענין ותוכן מניפולטיבי , נוכל להוסיף קצת ענין למייל עם קישור מתוך מנגנון Shadow URL.

במקרה הנוכחי המייל ישלח מתוך אותו מנגנון חיצוני לתיבת הדואר האמיתי של המשתמש, כולל קישור חיצוני ומלל.

בדוגמה נוספת שלחתי מייל מעצמי לעצמי בכדי לבדוק עד כמה המערכת יכולה לעצור אותי, אך ללא הצלחה וקיבלתי את המייל כמו גדול.

מכיוון שבדוגמה הנ"ל שלחתי מייל לדואר שלי אין בזה כל כך ענין, אבל בסקרי סיכונים שאני מבצע אני שולח דואר אמיתי על סמך מידע ידוע ומצליח לעקוף את רוב מנגנוני הגנת הדואר הקיימים כיום!

מה יקרה כאשר המייל ישלח? פשוט מאוד, יגיע לתיבת הדואר ללא כל הפרעה.
טיפ: נסו להגדיר חוק ברמת תשתית הדואר הכולל Deception ולאחר מכן בצעו שוב את הבדיקה, גם אז המייל יעבור ללא כל הפרעה בגלל האופן של אותו מנגנון ברשת.

מה יקרה אם נבצע Reply לדואר? רק מערכות בודדות יצליחו לתפוס את הבעיה ולהתריע על Deception.
בדוגמה המצורפת, מערכת IronScales הופעלה לאחר הבדיקה הראשונה והצליחה לתפוס את הדואר הבעייתי כבר בתחילת התהליך, לתת מידע ולעצור את המייל.

לסיכום

סיכונים במערכת הדואר אינם חדשים אך מתחדשים עם הזמן ובמיוחד סיכונים ברמת תעבורת הדואר עם פישינג מתקדם. ישנם דרכים רבות בכדי להתמודד עם פישינג ולהקטין את הכמויות באופן משמעותי.
איך מבצעים? מה מומלץ ועוד טיפים נוספים במאמר הבא.