Site icon

סיכונים, סימולציה והגנה על תעבורת הדואר

(מאמר ראשון בסדרה)
אחת הבעיות הנפוצות כיום בהגנה על הארגון היא הגנה על שירות הדואר הארגוני, בחצי שנה האחרונה כמות ורמת המתקפות מול תשתיות הדואר התעצמה באופן קיצוני. הונאות ומניפולציות שונות מול תשתיות הדואר דואר, כגון פישינג הפכו לדבר שגרתי וארגונים רבים אינם מסוגלים להתמודד עם הבעיה, ולכן גוברים המקרים של גניבת זהויות, העברת כספים לגורם לא מורשה, הורדת תוכן זדוני לביצוע מתקפה מקומית וכן הלאה.

מה קורה ביומיום, במקרי תקיפה בהם תוקף אשר פורץ לתיבת הדואר ממשיך את המתקפה לפי מספר נקודות עיקריות:

הערה – תשתיות הדואר אשר חוות מתקפות על בסיס יומי הם תשתיות דואר, כגון: Exchange Online, Exchange On-Premises, G-Suite ותשתיות דואר נוספות, כיום שום תשתית דואר אינה חסינה מפני סיכונים בתשתית הדואר.

סיכונים בתשתיות הדואר

הסיכונים בתשתית הדואר הם רחבות, החל מאפשרויות העברת דואר לגורם חיצוני (לפי מספר רמות) ועד ביצוע deception שונים מול תיבות דואר.

כידוע, מתקפות פישינג הם מתקפות המתבססות על הנדסה חברתית וביצוע מניפולציה מול משתמשים בכדי להשיג מידע מסוים. לעיתים קרובות מתקפות פישינג נועדו לטובת ביצוע מתקפות מתקדמות וקבלת גישה לנתונים רגישים, כגון מספרים של חשבונות בנק, תשתיות פנים ארגוניות וכן הלאה.

כיום מתקפות פישינג מכילות מניפולציות שונות ומתקדמות מול משתמשי קצה, ולעיתים ישנם מתקפות פישינג מרשימות אשר גורמות למשתמשי קצה ללחוץ על קישורים בלי הבחנה. אם נתמקד לרגע בסוגי מתקפות פישינג נוכל לחלק אותם למספר סוגים:

רק בשנה האחרונה (2018) מתקפות פישינג עלו מדרגה וסיפקו מגוון מניפולצות לטובת פעולות שונות, בין היתר:

אימות חשבון – הנפוץ מבינהן, לרוב ישלח מייל מתוך גורם "אמין" עם תוכן המבקש לאמת את המשתמש בדרך כלשהיא עם קישור וטופס אשר נראה דומה למקורי ולעיתים אף קשה לזהות הבדלים.
מקרה נפוץ לאחרונה הוא דואר שלא נשלח מתוך Office 365 ומבקש מהמשתמש לוודא את הסיבה

הונאת בכירים – מייל מתחזה אשר יכול לכלול מזהה דומה, כגון: שם משתמש, שם דומיין, תוכן בעל ענין וכן הלאה. במקרים כאלה התוכן של הדואר יכלול הודעה עם ענין בין מספר גורמים בכירים לטובת העברת כספים לספקים, העברת כספים לחשבון בנק ועוד.

תופעה שמתרחשת בארגונים רבים ובתדירות גבוהה מול ולכן משתמשים בכירים נופלים פעם אחר פעם בעברת כספים לגורמים חיצוניים, ובמקרים אלה מדובר על העברות כספים גבוהות.

שיתוף קבצים – מייל עם הודעת דואר לשיתוף קובץ ארגוני, מתוך Cloud Storage. התחיל עם הונאה מתקדמת של Phish Point והמשיך עם מתקפות דומות. במקרה זה נעשה שימוש גם ברמת תיוג HTML ושינוי URL.

למרות מדובר על מתקפות בנות מספר חדשים, עד היום מתקפה זאת לא טופלה ע"י מספר וונדורים מרכזיים וניתן לעקוף כל Sandbox בצורה פשוטה (דוגמאות להורדה זמינות להורדה ברשת).

סימולציה וביצוע Deception בסיסי

ביצוע הונאות באמצעות תעבורת הדואר יכולות להיות מגוונות עם אפשרויות שונות, למשל: שם תצוגה זהה, שם דומיין זהה, כתובת דואר זהה ולעיתים אפשר לשלב את כולם יחדיו ולקבל משהו ממש אמיתי.

למשל, בדוגמה המצורפת קיבלתי "מייל" עם שם תצוגה, כתובת מייל ובקשה מסוימת.

חשוב להדגיש כי שליחת הדואר נעשתה מתוך מתוך מנגנון הכולל תקנים שונים כגון: Dkim.

כיום האפשרויות בשליחת דואר מתוך מנגנון מסוים פשוטה יותר מאשר בעבר, בגלל שכיום ישנם מנגנונים ברשת המאפשרים ביצוע התחזות עם כל הפרמטרים הדרושים.

אחד הדברים היותר מטרידים (ופסיכים) שאותם מנגנונים כוללים תקני דואר מתקדמים (ולא רק SPF) ולכן הם מצליחים לעבור בקלות את כל המסננים הקיימים.

איך מבצעים סימולציה

בכדי לבצע סימולציה וכן Deception בסיסי אנו יכולים לפעול לפי כמה הנחות עבודה, לפי סימולצית תקיפה (כגון העברת כספים) וכן הלאה. בדוגמה המצורפת הסימולציה בנויה על בסיס מספר נקודות:

במקרה הנוכחי המייל ישלח מתוך אותו מנגנון חיצוני לתיבת הדואר האמיתי של המשתמש, כולל קישור חיצוני ומלל.

בדוגמה נוספת שלחתי מייל מעצמי לעצמי בכדי לבדוק עד כמה המערכת יכולה לעצור אותי, אך ללא הצלחה וקיבלתי את המייל כמו גדול.


מכיוון שבדוגמה הנ"ל שלחתי מייל לדואר שלי אין בזה כל כך ענין, אבל בסקרי סיכונים שאני מבצע אני שולח דואר אמיתי על סמך מידע ידוע ומצליח לעקוף את רוב מנגנוני הגנת הדואר הקיימים כיום!

מה יקרה כאשר המייל ישלח? פשוט מאוד, יגיע לתיבת הדואר ללא כל הפרעה.
טיפ: נסו להגדיר חוק ברמת תשתית הדואר הכולל Deception ולאחר מכן בצעו שוב את הבדיקה, גם אז המייל יעבור ללא כל הפרעה בגלל האופן של אותו מנגנון ברשת.

מה יקרה אם נבצע Reply לדואר? רק מערכות בודדות יצליחו לתפוס את הבעיה ולהתריע על Deception.
בדוגמה המצורפת, מערכת IronScales הופעלה לאחר הבדיקה הראשונה והצליחה לתפוס את הדואר הבעייתי כבר בתחילת התהליך, לתת מידע ולעצור את המייל.

לסיכום

סיכונים במערכת הדואר אינם חדשים אך מתחדשים עם הזמן ובמיוחד סיכונים ברמת תעבורת הדואר עם פישינג מתקדם. ישנם דרכים רבות בכדי להתמודד עם פישינג ולהקטין את הכמויות באופן משמעותי.

איך מבצעים? מה מומלץ ועוד טיפים נוספים במאמר הבא.

Exit mobile version