شناسایی و جلوگیری از فیشینگ کد QR در Microsoft ۳۶۵: درک خطرات امنیتی ایمیل Exchange و استراتژی‌های کاهش آن

حمله سایبری از طریق ایمیل یکی از بدترین کابوس‌ها در این دوران دیجیتال است که بیشتر ارتباطات از طریق ایمیل انجام می‌شود. کسب‌وکارهایی که از سرورهای ایمیل Microsoft Exchange استفاده می‌کنند، در صورت عدم اعمال تدابیر حفاظتی اضافی، در معرض تهدیدات زیادی قرار دارند.

برای کمک به ایمن‌سازی زیرساخت‌های امنیتی ایمیل Exchange و حفاظت در برابر نشت داده‌ها، در این مقاله به بررسی خطرات موجود برای کاربران Exchange پرداخته و استراتژی‌های مختلفی برای محافظت از این سیستم‌ها در برابر تهدیدات جاری و نوظهور ارائه می‌دهیم—که تمام این موارد گام‌های ضروری برای کاهش خطرات هستند.

اهمیت هوش امنیتی ایمیل

blog whaling esm w450 e1746440988274 شناسایی و جلوگیری از فیشینگ کد QR در Microsoft 365: درک خطرات امنیتی ایمیل Exchange و استراتژی‌های کاهش آن خرداد ۱۴۰۵

هوش امنیتی ایمیل به استراتژی‌ها، فناوری‌ها و بهترین شیوه‌هایی اشاره دارد که برای محافظت از ارتباطات ایمیلی در برابر خطرات مختلف نیاز است. با اینکه ایمیل یکی از مهم‌ترین کانال‌های حمله در دنیای امروز است، درک خطرات پلتفرم‌های محبوب مانند امنیت Exchange همچنان یک بخش مهم از ملاحظات امنیتی است. این مقاله به طور عمیق به مفهوم خطرات Exchange پرداخته و توضیح می‌دهد که چه خطراتی وجود دارد و چه اقداماتی برای مدیریت این خطرات امنیتی ایمیل لازم است—که جزو عناصر حیاتی برای کاهش سطح حمله شما محسوب می‌شود.

درک خطرات ایمیل Exchange

email lock esm w479 شناسایی و جلوگیری از فیشینگ کد QR در Microsoft 365: درک خطرات امنیتی ایمیل Exchange و استراتژی‌های کاهش آن خرداد ۱۴۰۵

کسب‌وکارهایی که از Exchange برای ایمیل استفاده می‌کنند، در معرض خطرات مداوم قرار دارند: حملاتی که سرور ایمیل آن‌ها را هدف قرار می‌دهند. این خطرات در چند سال اخیر به دلیل تهدیدات پیشرفته فضای سایبری برجسته‌تر شده‌اند. طبق گزارش CISA، بیش از ۹۰% از نقض‌های امنیتی از طریق ایمیل ارسال می‌شوند.

علاوه بر این، شاخص هوش تهدید X-Force شرکت IBM نشان می‌دهد که ایمیل هنوز هم اولین کانال حمله است، به این معنا که نیاز به تدابیر امنیتی قوی‌تر برای ایمیل Exchange رو به افزایش است.

آسیب‌پذیری‌های امنیتی در Exchange چیز جدیدی نیستند.

در واقع، فقط در فوریه ۲۰۲۰، مایکروسافت یک وصله برای یک آسیب‌پذیری بحرانی منتشر کرد که بسیاری از نسخه‌های Exchange را از سال ۲۰۱۰ تحت تأثیر قرار داده بود و مسیری را برای مهاجمان فراهم می‌کرد تا سیستم‌های آلوده را به تصرف خود درآورند. این دوباره نشان داد که گاهی اوقات نظارت دائمی و اقدام سریع حتی زمانی که آسیب‌پذیری‌ها کشف می‌شوند، ضروری است. البته، آسیب‌پذیری‌های بیشتری در امنیت Microsoft Exchange در همین ماه کشف شده‌اند که بیشتر نشان‌دهنده ضعیف بودن سابقه امنیتی آن است.

با توجه به اینکه چشم‌انداز تهدیدات سایبری همچنان در حال تغییر و تکامل است، سازمان‌ها باید با درک مکانیزم‌های چنین حملاتی، پیشتاز باقی بمانند و تدابیر دفاعی مناسب را پیاده‌سازی کنند که از استراتژی‌های کلی کاهش ریسک پشتیبانی کنند.

چگونه حملات پیشرفته کار می‌کنند

ایمن‌سازی ایمیل‌های Exchange در برابر حملات پیشرفته مستلزم درک روش‌هایی است که مهاجمان استفاده می‌کنند. هنگامی که یک مهاجم به سیستم Exchange آسیب‌پذیر دسترسی پیدا کرد، کد مخرب را در مسیرهای قابل دسترسی از طریق وب در سرور آپلود می‌کند. این آلودگی به آن‌ها این امکان را می‌دهد که دزدی اطلاعات حساس انجام دهند و اقدامات مخرب بیشتری برای تضعیف بیشتر سیستم هدف انجام دهند.

چرخه زندگی یک حمله معمولاً شامل بهره‌برداری از آسیب‌پذیری‌های سرورهای Exchange برای دسترسی اولیه، اجرای دستورات بیشتر در شبکه برای بررسی سرورهای دیگر Exchange و جمع‌آوری اطلاعات دقیق در مورد صندوق‌های پستی خاص، شامل نقش‌ها و مجوزها است.

حساب‌های جدید مهاجمان در سرور آلوده به آن‌ها دسترسی مدیر را می‌دهد، که این اجازه را به آن‌ها می‌دهد که به انجام سایر فعالیت‌ها بدون جلب توجه ادامه دهند. در راستای پنهان‌کاری، ممکن است Microsoft Defender Antivirus و به‌روزرسانی‌های خودکار را غیرفعال کنند تا محیطی ایجاد کنند که برای فعالیت طولانی مدت‌شان مناسب باشد — و به این ترتیب از سیستم‌های تشخیص تهدیدات پایه عبور کنند.

ریسک‌های کلیدی مرتبط با سرورهای Exchange

cyberattack esm w509 شناسایی و جلوگیری از فیشینگ کد QR در Microsoft 365: درک خطرات امنیتی ایمیل Exchange و استراتژی‌های کاهش آن خرداد ۱۴۰۵

بیشتر این حملات فیشینگ به‌صورت ایمیل به‌وجود می‌آیند که ممکن است خود را به‌عنوان منبع معتبر معرفی کنند و باعث دزدی اعتبارنامه‌ها توسط هکرها برای دسترسی به سرورهای Exchange شما شوند. طبق گزارش APWG، حملات فیشینگ به اوج خود رسیده‌اند و میلیون‌ها تلاش به‌طور ماهانه گزارش می‌شود.

علاوه بر این، باج‌افزار یکی از تهدیدات بزرگ است. مهاجمان می‌توانند داده‌های ایمیل را رمزگذاری کرده و برای باز کردن آن درخواست باج کنند. گزارشی از Cybersecurity Ventures پیش‌بینی می‌کند که خسارات جهانی باج‌افزار تا سال ۲۰۳۱ به ۲۶۵ میلیارد دلار خواهد رسید، که اقدامات پیشگیرانه برای جلوگیری از این امر توصیه می‌شود.

ریسک‌های امنیتی ایمیل همچنین شامل تهدیدات داخلی، هم مخرب و هم غیر عمدی، هستند. کاربران مشروع گاهی اوقات می‌توانند داده‌های حساس را به خطر بیندازند و در مواقع دیگر به‌طور مخرب عمل کنند. با توجه به موارد فوق، یک سازمان باید رویکردی چندبعدی برای امنیت ایمیل Exchange در نظر بگیرد — رویکردی که در برابر تهدیدات داخلی و خارجی محافظت کرده و به‌طور فعال سطح حمله را کاهش دهد.

ایمن‌سازی سرورهای ایمیل Exchange: نکات و مشاوره‌ها

بنابراین، مدیریت سریع وصله‌ها برای کاهش اثرات ریسک‌ها ضروری است. استراتژی مؤثر در شرایط فعلی، وصله کردن سیستم‌ها به موقع است، زیرا بیشتر مجرمان سایبری بر آسیب‌پذیری‌های بدون وصله تمرکز دارند. با این حال، فعال کردن نرم‌افزار آنتی‌ویروس در سرورها نیز اهمیت زیادی دارد. این کار اطمینان می‌دهد که به‌روزرسانی‌های منظم و فرآیندهای اسکن اجرا می‌شوند تا تهدیدات قبل از آنکه به مقیاس بزرگتری برسند شناسایی و حذف شوند، که این یک اصل پایه‌ای در مدیریت آسیب‌پذیری است.

بنابراین، نکته اصلی نظارت بر فعالیت‌های مشکوک است: یک سازمان باید در زمانی که هشدارها رفتار غیرعادی را در سرورهای خود نشان می‌دهند محتاط باشد و هرگونه انحراف را به موقع مدیریت کند تا از نقض‌های احتمالی جلوگیری شود. در آخرین نکته، کنترل دسترسی مهم است؛ دسترسی به سرور را فقط به افرادی که به آن نیاز دارند بدهید و به‌طور دوره‌ای مجوزها را در گروه‌های برجسته بازبینی کنید تا برخی از ریسک‌ها را کاهش دهید.

ایجاد یک محیط ایمیل Exchange ایمن واقعی همچنین به معنای تقویت دید و کنترل عملیاتی در پشت صحنه است. یکی دیگر از اجزای حیاتی هر استراتژی مؤثر امنیت ایمیل Exchange نظارت بر حساب‌های سرویس است. سازمان‌ها باید به الگوهای استفاده عادی برنامه‌ها بر اساس حساب‌های سرویس توجه کنند و هنگام شناسایی انحرافات، زمان‌های ورود را بررسی کنند.

در نهایت، سرمایه‌گذاری در راه‌حل‌های امنیتی مدیریت‌شده راه درازی خواهد بود. می‌توان با کارشناسان امنیتی همکاری کرد تا سیستم‌های امنیتی ایمیل Exchange را ایمن‌تر پیکربندی کرده و دفاع‌های امنیتی اضافی به‌طور بهینه عمل کنند.

 

اطلاعات امنیتی ضروری است

business corporate protection safety security concept esm w500 شناسایی و جلوگیری از فیشینگ کد QR در Microsoft 365: درک خطرات امنیتی ایمیل Exchange و استراتژی‌های کاهش آن خرداد ۱۴۰۵

اطلاعات امنیتی نقش مهمی در محافظت از سرورهای Exchange ایفا می‌کند. هنگامی که داده‌ها از منابع مختلف جمع‌آوری می‌شوند، سازمان‌ها می‌توانند تصویری کلی از تهدیدات احتمالی داشته باشند. طبق گزارش International Journal of Information Security، اطلاعات امنیتی ایمیل مؤثر باعث کاهش زمان شناسایی و پاسخ‌گویی و بهبود قابلیت‌های شناسایی تهدیدات در زمان واقعی می‌شود.

در نهایت، باید به برخی آمار نگران‌کننده در زمینه امنیت ایمیل اشاره کرد: خطای انسانی باعث ۹۰% از نقض‌ها می‌شود و بنابراین نیاز به آموزش و آگاهی بیشتر دارد، طبق گزارش CISA. در عین حال، دو سوم گزارش دادند که حملات سایبری پیچیده‌تر شده‌اند و بنابراین نیاز به اقدامات پیشرفته‌تری برای حفاظت از تهدیدات ایمیل دارند.

با توجه به اینکه چشم‌انداز تهدیدات امنیت ایمیل Exchange به‌طور مداوم در حال تحول است، برای سازمان‌هایی که به سرورهای Microsoft Exchange وابسته هستند، آگاهی از ریسک‌ها و اتخاذ اقدامات امنیتی جدی بسیار مهم است. بنابراین، یک سازمان می‌تواند به‌طور قابل توجهی آسیب‌پذیری خود را در برابر تهدیدات سایبری با داشتن نگرش پیشگیرانه نسبت به اطلاعات امنیتی ایمیل و برنامه‌ریزی استراتژیک کاهش دهد.

این امر به آن‌ها اطلاعات مورد نیاز برای حفاظت از ارتباطات دیجیتالشان در برابر اصطکاک‌های فراگیر و حملات سایبری را فراهم می‌کند.

تشخیص و جلوگیری از حملات فیشینگ QR Code در Microsoft 365

با مدرن‌تر شدن و دیجیتالی شدن جهان در همه جا، حمله‌کنندگان روش‌های جدیدی برای دور زدن امنیت و سرقت داده‌ها کشف می‌کنند. در مورد Microsoft 365، حملات خستگی احراز هویت چندعاملی (MFA fatigue) تأثیرات زیادی بر سازمان‌ها گذاشت که نیاز به روش‌های قوی احراز هویت MFA را بیش از پیش نمایان کرد. به‌طور مشابه، حملات فیشینگ QR Code (quishing) پس از دوران پساکووید به یکی از حملات اصلی تبدیل شده‌اند. بنابراین، Microsoft به‌طور مداوم تکنیک‌های شناسایی و پیشگیری خود را برای جلوگیری از حملات فیشینگ QR Code و مسدود کردن تهدیدات مضر در سازمان بهبود می‌بخشد. با این حال، آیا فکر می‌کنید هر سازمانی حداقل از بهداشت امنیتی پایه پیروی می‌کند؟ متاسفانه، خیر!

QR Code چیست؟

QR (Quick Response) کد یک بارکد مربعی است که می‌توان آن را با دوربین گوشی هوشمند یا سایر دستگاه‌های خواندن مانند اسکنرها اسکن کرد. QR کد اطلاعاتی مانند URL وب‌سایت‌ها، اطلاعات محصولات و غیره را در بر دارد. هنگامی که شما یک QR کد را اسکن می‌کنید، شما را به وب‌سایت‌ها و سایت‌های پرداخت هدایت می‌کند و از شما می‌خواهد اپلیکیشن‌ها را دانلود کنید، به فایل‌ها دسترسی پیدا کنید و غیره.

چگونه QR Code ها برای حملات فیشینگ استفاده می‌شوند؟

از آنجا که QR کد دسترسی بدون تماس فراهم می‌کند، کسب‌وکارها تمایل دارند از این فناوری بیشتر استفاده کنند، به‌ویژه در دوران پاندمی COVID-19. این تکنولوژی به کاربران کمک می‌کند تا به‌راحتی پرداخت‌ها را انجام دهند یا به سایت‌ها، فایل‌ها و غیره دسترسی پیدا کنند و از محدودیت‌های پیشگیری از COVID-19 پیروی کنند. حمله‌کنندگان از این فناوری با وارد کردن یک QR کد مخرب استفاده می‌کنند که کاربران را به سایت‌های مشکوک هدایت می‌کند، از آنها می‌خواهد اپلیکیشن‌های مشکوک را دانلود کنند و غیره. به این ترتیب، آن‌ها به‌طور مؤثر داده‌ها و اعتبارنامه‌های ورود قربانی را سرقت می‌کنند.

الگوهای مختلف حملات فیشینگ QR کد که توسط Defender for Office 365 فاش شده است:

  • تغییر مسیر URL

  • حداقل یا بدون متن (کاهش سیگنال‌ها برای شناسایی با یادگیری ماشین)

  • سوء استفاده از برندهای شناخته شده

  • سوء استفاده از زیرساخت‌های ارسال که برای ارسال ایمیل‌های مشروع شناخته شده‌اند

  • درج QR کدها در پیوست‌ها

  • استفاده از انواع طعمه‌های اجتماعی، از جمله احراز هویت دوعاملی، امضای اسناد و غیره

QR code phishing شناسایی و جلوگیری از فیشینگ کد QR در Microsoft 365: درک خطرات امنیتی ایمیل Exchange و استراتژی‌های کاهش آن خرداد ۱۴۰۵

چرا QR Code ها اغلب برای حملات فیشینگ ترجیح داده می‌شوند؟

حمله‌کنندگان QR کدها را ترجیح می‌دهند زیرا این روش یک راه آسان برای هدایت قربانیان به سایت‌های مخرب و دانلود اپلیکیشن‌های مضر مانند URL ها است. همچنین، می‌توان آن‌ها را به‌راحتی با قرار دادن URL در مکانی که شناسایی آن دشوار است، مدیریت کرد. دلایل اصلی استفاده از QR کدها در حملات فیشینگ عبارتند از:

  • حمله از محیط‌های کاری با امنیت بالا به دستگاه‌های شخصی منتقل می‌شود که امنیت کمتری دارند.

  • از URL ها، که یکی از شایع‌ترین بردارهای سرقت اعتبارنامه‌ها هستند، برای سرقت اعتبارنامه‌های قربانی استفاده می‌کنند.

  • QR کدها تنها به‌عنوان تصاویر در جریان ایمیل قابل مشاهده هستند و تا زمانی که نمایش داده نشوند، غیرقابل خواندن هستند. بنابراین، شناسایی بارکدهای مخرب برای ارائه‌دهندگان امنیتی چالش‌برانگیز می‌شود.

حملات فیشینگ مرتبط با QR کدها در حال افزایش است، طبق گزارش MSRC در سپتامبر ۲۰۲۳. این حملات در یک هفته به‌تنهایی ۲۳ درصد افزایش یافته‌اند. آیا این تهدیدآمیز نیست؟ بیایید بررسی کنیم که چگونه می‌توان حملات فیشینگ QR کد را در Microsoft 365 شناسایی و مسدود کرد.

چگونه Defender for Office 365 حملات فیشینگ QR کد را شناسایی می‌کند؟

مایکروسافت به‌طور مداوم تکنیک‌های خود را برای ارائه بالاترین سطح امنیت به سازمان‌ها بهبود می‌بخشد. مایکروسافت Defender و Exchange Online Protection با قابلیت‌های پیشرفته، تکنیک‌های مختلفی برای شناسایی فیشینگ دارند. بیایید دقیقاً بررسی کنیم که چگونه می‌توان حملات فیشینگ QR کد را در Microsoft 365 شناسایی کرد.

شناسایی تصویر در Exchange Online Protection

  • Defender for Office 365 و Exchange Online Protection از تکنولوژی‌های پیشرفته استخراج تصویر برای شناسایی QR کد در پیام‌ها در جریان ایمیل استفاده می‌کنند.

  • آن‌ها متادیتای URL را از QR کد استخراج کرده و این سیگنال را به قابلیت‌های موجود در حفاظت و فیلتر کردن تهدیدات برای URL ها ارسال می‌کنند.

  • URL همچنین می‌تواند به یک محیط سندباکس برای انفجار ارسال شود، و تهدیدات مخرب قبل از رسیدن به صندوق پستی کاربر شناسایی و مسدود می‌شوند.

شناسایی سیگنال تهدید توسط Microsoft Defender

MS Defender و EOP از سیگنال‌های مختلف جریان ایمیل برای شناسایی و واکنش به پیام‌ها استفاده می‌کنند. سیگنال QR کد در ترکیب با اطلاعات فرستنده، هدرهای پیام، فیلتر کردن محتوا و جزئیات گیرنده استفاده می‌شود و رابطه بین آن‌ها به الگوریتم‌های یادگیری ماشین وارد می‌شود تا محتوای مخرب شناسایی و مطابق با آن واکنش نشان داده شود.

تجزیه و تحلیل URL در Microsoft Defender

URL هایی که از QR کدها استخراج می‌شوند:

  • توسط مدل‌های یادگیری ماشین تجزیه و تحلیل می‌شوند.

  • با منابع داخلی و خارجی اعتبار بررسی می‌شوند.

  • برای مجوزهای Microsoft Defender for Office 365 Plan 1/Plan 2 به محیط سندباکس ارسال می‌شوند تا خطر انفجار آن‌ها ارزیابی شود.

قوانین مبتنی بر هریستیک

مایکروسافت قوانین هریستیک را در Defender for Office 365 و EOP پیاده‌سازی می‌کند، که مجموعه‌ای از الگوریتم‌ها هستند که برای شناسایی و پاسخ به تهدیدات امنیتی مانند اسپم، بدافزار و فیشینگ براساس رفتار آن‌ها طراحی شده‌اند. این روش لایه‌ای اضافی از حفاظت را برای ایمن‌سازی کاربران در برابر تهدیدات پیشرفته فراهم می‌آورد و الگوها و رفتارها در داده‌ها را برای شناسایی نیت مخرب تجزیه و تحلیل می‌کند.

چگونه حملات فیشینگ QR کد را در Microsoft 365 پیشگیری کنیم؟

از آن‌جایی که هر کسی می‌تواند هدف آسانی برای حملات فیشینگ QR کد باشد، ضروری است که تدابیر امنیتی را اعمال کرده و داده‌های حساس در سازمان را محافظت کنید.

  • با یکپارچگی داخلی در تمام نقاط انتهایی، ایمیل‌ها، برنامه‌های ابری و غیره، XDR (تشخیص و پاسخ گسترش یافته) دید واضح، تحلیل‌ها و قطع اتوماتیک حملات را در برابر مهاجمان مخرب فراهم می‌کند.

  • Microsoft Defender XDR همچنین از حملات دشمن در میانه (AiTM) جلوگیری می‌کند، زیرا سرقت اعتبارنامه حساب‌ها در فیشینگ QR کد حیاتی است.

  • Microsoft Defender برای Endpoint در اندروید و iOS دارای قابلیت‌های ضد فیشینگ برای مسدود کردن سایت‌های فیشینگ و محافظت در برابر دانلود یا نصب بدافزار از طریق لینک URL است.

  • اطمینان حاصل کنید که کارکنان خط مقدم فقط زمانی از QR کدها برای احراز هویت استفاده کنند که این کدها توسط منابع معتبر مانند مدیران یا سرپرستان به اشتراک گذاشته شده باشند، تا از سرقت اعتبارنامه‌ها از طریق درخواست‌های ورود جعلی جلوگیری شود.

  • از آموزش شبیه‌سازی حمله استفاده کنید تا کاربران نهایی را آموزش دهید و آن‌ها را از نشانه‌های حملات فیشینگ آگاه کنید. این کار به جلوگیری از افتادن کاربران به دام حملات به‌طور ناخودآگاه کمک می‌کند.

  • اطمینان حاصل کنید که تدابیر امنیتی اساسی Microsoft 365، مانند فعال‌سازی MFA، اعمال اصول اعتماد صفر و غیره، پیروی شده و به‌طور دوره‌ای مطابق با نیازهای امنیتی تنظیم شوند.

  • همچنین، تنظیمات پیکربندی خود را نظارت کنید، حساب‌های اولویت‌دار را مدیریت و محافظت کنید، قوانین جریان ایمیل را بررسی کنید و هرگونه تغییر غیرمعمول در سیاست‌های سازمان خود را پیگیری کنید.

  • اطمینان حاصل کنید که ضد اسپم، ضد بدافزار، ضد فیشینگ، پیوست‌های امن و موارد دیگر به‌درستی در سازمان شما پیکربندی شده‌اند.

  • شما می‌توانید از طریق روند «ارسال» نمونه‌های مثبت غلط یا منفی غلط خود را به مایکروسافت برای تحلیل بیشتر ارسال کنید.

  • علاوه بر این، با استفاده از بینش‌های Microsoft Secure Score برای فیشینگ، حفاظت در برابر فیشینگ را تقویت و بهینه‌سازی کنید.

امیدوارم این وبلاگ به شما کمک کند تا اهمیت اعمال تدابیر امنیتی مناسب و گام‌های مورد نیاز برای شناسایی و پیشگیری از فیشینگ QR کد را در سازمان خود درک کنید. همواره به‌روز باشید و ایمن بمانید!

جست و جو

Search
جدید ترین مقالات
مطالب پیشنهادی

ما به عنوان نماینده رسمی IT Researches (شرکت سهامی خاص رایان نت) در ایران، ارائه دهنده انحصاری محصولات اورجینال مایکروسافت هستیم. دفتر ما در لندن، با نام تجاری Talee، همچنین شریک رسمی مایکروسافت در بریتانیا به شماره همکاری: ۴۵۶۰۰۶۲ است. تخصص و تعهد ما به کیفیت، ما را به منبع قابل اعتمادی برای محصولات مایکروسافت در منطقه تبدیل کرده است.

برخی از مشتریان شرکت :
1
2
3
4
5
6
7
8
9
10
Search

نماینده رسمی IT Researches در ایران

اطلاعات تماس

  • تهران، پایین تر از میدان فلسطین، ساختمان پزشکان، طبقه سوم، واحد ۱۹
  • انگلستان: 442071759009+
  • خط سراسری: 021-28422 و 90000901