התחזות והגנה עם Defender for Office
כיצד מתפתחות מחדש תקיפות דואר בשנת 2021? תקיפות דואר שונות המבוססות על גבי פישינג ממשיכות להתפתח בחודשים האחרונים, בינהם אחוז תקיפות אשר מבוססות על BEC. איך אפשר להתמודד? במאמר, התחזות והגנה עם Defender for Office נוכל להבין אך אפשר לנצל חלק מהאפשרויות של Defender for Office להוריד את הסיכונים ולהגביר חיכוך עם התוקף בשכבת הדואר.
תקיפות דואר לא נעלמו לרגע ואף התעצמו, הם אינם מקבלים את אותה תשומת לב כמו תקיפות שמתבססות על Ransomware או תקיפות אשר מתבססות על שרשרת תקיפה אבל הם עדיין גורמות לנזקים פשוטים וחזקים.
בחודשים האחרונים, מאות אלפי דולרים אבדו, לעיתים חורבן כלכלי ורגשי ובמקרים מסוימים אף התאבדות, ואלה הן רק חלק מהתוצאות של תקיפות דואר אשר מתבססות על פישינג ובפרט על BEC.
כאמור התקפות מסוג זה אינן זוכות לאותה תשומת לב ויחסי ציבור גבוהים כמו אלה של פריצות וזליגת מידע, למה? כי התקפות BEC הן תקיפות פשוטות – אך עדיין חזקות. בתקיפות דואר, במקום לפתח אפליקציות בעלי אופי התקפי וזדוני או שרשראות תקיפה מורכבות, כל מה שהתוקפים צריכים לעשות הוא לשלוח דוא"ל פשוט – בדרך כלל מבצע חיקוי של חשבונות דוא"ל כמו עמית לעבודה או באמצעות חשבון שנפרץ, ומשם להעלים קורבנות כדי להעביר כספים בצורה שונה.
גרוע מכך, שחקני BEC גדלים ומתפתחים לשחקנים מתוחכמים יותר עם טכניקות חדשניות, וזה בהחלט עובד, למשל, הסכום הממוצע המבוקש בהתקפות BEC אשר מבוססות על העברה בנקאית היה בשנת 2020 עם סכום של 48$ אלף דולר ברבעון השלישי ומשם עלה לסכום של 75$ אלף דולר ברבעון הרביעי.
על פי דיווח של Cofense שניתח מיליוני הודעות דואר הקשורים להתקפות שונות, 57 אחוזים היו הודעות דוא"ל פישינג שמטרתן לגנוב שמות משתמש וסיסמאות של קורבנות. שאר הודעות הדוא"ל הזדוניות נוצלו בהתקפות BEC למינהם.
מתוך כל אותן הודעות דואר, 45 אחוזים כללו תוכן כלשהוא הקשור אל Microsoft, ותוקפי דואר מתסמכים על פיתיונות הקשורים אל Microsoft 365 בצורה כזאת או אחרת, כמו גם באמצעות דפי נחיתה והתחזות שמטרתם לדלות פרטי משתמש.
תקיפות דואר משתנות מעת לעת וכוללות אינספור קמפיינים, למשל, קמפיין פישינג שנעשה באוקטובר העמיד פנים שהיא הודעה אוטומטית מול הפלטפורמה של Microsoft Teams שמדווחת ליוזרים שיש להם צ'אט של Teams שלא נענה. למעשה, התקיפה נועדה לדלות פרטי משתמש וסיסמאות.
אז מה עושים? התמודדות עם תקיפות דואר חייב להיות מהלך ארגוני אינהרנטי וקורהנטי כי אחוז התקיפות גדל, הטקטיקות מתחוכמות יותר, התוקפים מתעצמים, ואנו (הבלו טים) נשאר לנו רק להקטין את הבעיות, ליצור חיכוך ככל האפשר עם תוקפים ולוודא שאנו עם היד על הדופק.
דפנדר, פישינג ואימפרסונציה
האפשרויות של Exchange Online Protection יחד עם Microsoft Defender for Office הם מעין אולר שוויצרי רב תכליתי, משמע, אינספור אפשרויות ויכולות שלא בהכרח מכירים או מנצלים את כולם, ואף לעיתים לא משתמשים בהם בצורה לא נכונה, ומכאן מתחילה הבעיה.
אם נקח לדוגמה את Exchange Online Protection שמכיל מספר אפשרויות כמו זאת של אנטי פישינג, אז Microsoft Defender for Office מכילות אפשרויות של Impersonation מתקדמות.
כאמור, אימפרסונציה היא התחזות והיא למעשה המקום בו נראה כי הודעת דוא"ל נכנסת ומגיעה משולח או מתוך דומיין מוכר וידוע אך שונה במקצת, כגון דוא"ל אשר מגיע מתוך הדומיין של Microsoft.com. במצב כזה, המטרה היא לפתות (lure email) את הנמען ולתת תחושת ביטחון שהמייל שהם מקבלים מקורו בשולח או דומיין מהימן ואילו זה סך הכל ניסיון לסחוף את היוזר לפעולה לא רצויה.
תוקפים מבצעים מניפולציות שונות, טכניקות מתקדמות והמון הנדסה חברתית בכדי לגרום ליוזרים להקליק על קישורים, להבין שמדובר על "דואר אמין" וכן הלאה.
ברמת הגדרה ואפשרויות של impersonation לדואר נכנס מאפשרות הגדרה של עד 60 כתובות דואר מוגדרות למדיניות אבטחה (פוליסי) אחד אשר כפופות לבדיקות התחזות שונות. הבדיקות פועלות לפי פרמטרים שונים, למשל, אם השולח מעולם לא שלח מייל אל הנמען לפני כן, ולכן אם מתגלה ניסיון כזה, המדיניות מפעילה מצבי מנע שונים, כגון חסימת הודעה.
ברגע שמבצעים מדיניות הגנה באמצעות הגדרות אימפרסונציה ואנטי פישינג אנו מקבלים מספר אפשרויות הן בצד הזיהוי וכן יידוע היוזרים לגבי פיסיבילטי של התחזות, בין היתר:
- התחזות ברמת דומיין עם אותה כתובת דומיין
- התחזות ברמת יוזר עם אותה כתובת דואר
- התחזות ברמת יותר עם אותה תצוגת שם משתמש
- שולח שלא ביצע קשר ואינו שלח מיילים לעולם לנמען (התקשרות ראשונית)
- תווים שונים בתצוגת השולח או מניפולציה בשם תצוגת המשתמש השולח
חווית משתמש עם דואר חשוד
חווית המשתמש עם דואר חשוד נחלקת לחוויות שונות וזאת בהתאם לסוג התקיפה, סוג התחזות ומניפולציה. משתמש אשר מקבל דואר חשוד בהתאם לנקודות שהוזכרו קודם לכן יקבל סימון של המייל או לחלופין המייל ייכנס ישירות לתיקיית Junk או להסגר במיידי.
בדוגמה שלפנינו אפשר לראות כי המשתמש קיבל דואר מנמען בעל תצוגת שם משתמש זהה וכן כתובת דואר משולח אשר שלח דואר בעבר.
בדוגמה נוספת ניתן לראות כי הנמען קביל פריט דואר משולח שאינו מוכר או אינו מתכתב איתו לעיתים קרובות
חווית המשתמש משתנה בהתאם לשולח ובהתאם לסוג התקיפה, בדוגמאות הנ"ל ובאלה הדומות להם ניתן לראות כי בכל פעם נעשה זיהוי שונה ולכן הטיפ ואותה הודעה למשתמש היא שונה.
הפעלת IMPERSONATION
הפעלת impersonation וכן הפעלת יכולות של אנטי פישינג הן קלות ואינם מצריכות פעולות אגרסיביות מול תיבות הדואר ומסתכמות הפעלה פשוטה. כן מומלץ לדלוור למשתמשי קצה לגבי הודעות דואר וטיפים שיופיעו בממשקי Outllook השונים.
ניתן להגדיר impersonation וכן safety tips מתוך הפוליסי של Office365 AntiPhish ואף להוסיף חוק מבוסס MFL. תחילה נבצע הגדרות impersonation ברמת הדומיין וכן ברמת Mailbox intelligence.
לאחר מכן נבצע הגדרות Safety Tips לתרחישים השונים כמו נמען ראשון, או תצוגת שם משתמש זהה ובהתאם לתרחישים שהוזכרו קודם לכן.
במקרים שמעויינים להרחיב את השימוש של First Contact Safety tips ניתן להגדיר את הודעת המשתמש (הטיפ) עם הודעה מקוסטמת במנגנון Mail Flow Rules לפי הפרמטר וכן Header של X–MS–Exchange–EnableFirstContactSafetyTip.
כמו כל תעבורת דואר גם במקרה של impersonation ניתן לתחקר את תעבורת הדואר ופריטי הדואר דרך ממשק impersonation או באמצעות ממשק Explorer.ולנתח את הארטיפקטים של שולח, דומיין, פרמטרים, headers ומידע נוסף.
לסיכום
תקיפות דואר ממשיכות להתעצם והתוקפים ממשיכים להתפתח, אם בעבר היינו מגדירים מדיניות אבטחה לאמחמירה בשכבת הדואר, כיום אנו צריכים להחמיר עם מדיניות האבטחה, והיכולות של impersonation הם רק חלק קטן מאוד בפאזל של Microsoft Defedner for Office.
בהפעלה של impersonation מומלץ לבצע כמו בכל אכיפת מדיניות בדיקות שונות ואז להפעיל על כלל הארגון בצורה מסודרת.
מאמרים נוספים של הגנה על שכבת הדואר
