فریب نقش کلیدی در فعالیتهای مخرب هکرهای کلاه سیاه دارد، اما همانطور که مایکروسافت اخیراً نشان داد، میتواند به سلاحی قدرتمند علیه همین هکرها تبدیل شود.
اوایل امسال در رویداد BSides که در اکستر انگلستان برگزار شد، “رئیس واحد deception” مایکروسافت، راس بوینگتون، پروژهای بلندپروازانه را معرفی کرد که مجرمان سایبری را به Honeypotهایی شبیه به مشترکین واقعی با دسترسی به سرویس ابری Azure مایکروسافت جذب میکرد تا اطلاعاتی درباره آنها جمعآوری کرده و عملیاتشان را مختل کند.
مایکروسافتاعلام کرده است که روزانه حدود ۲۵,۰۰۰ سایت فیشینگ را نظارت میکند و به ۲۰ درصد از آنها اطلاعات ورود Honeypot ارائه میدهد. زمانی که مهاجمی وارد مشترک جعلی میشود، تمام فعالیتهای او ثبت میشود و این امکان را به مایکروسافت میدهد تا تاکتیکها، تکنیکها و روشهای تهدیدآفرین (TTP) را شناسایی کند.
راجر گرایمز، از متخصصان امنیت سایبری، درباره این پروژه گفت: «این پروژه به نظر یک طرح deception در مقیاس بزرگ است. بیشتر پروژههای فریب شامل چند نقطه کوچک هستند، اما این یکی تعداد زیادی مشترک جعلی با صدها کاربر و محتوای شبیهسازیشده دارد که در نوع خود بسیار بزرگ است.»
بازی ذهنی با مهاجمان
کریس دوکیچ، بنیانگذار Display Now، گفت: «یکی از نکات جالب در ارائه مایکروسافت در BSides، استفاده از مشترکین جعلی Azure برای نقشهبرداری زیرساختهای طرحهای فیشینگ بود. این سطح جدیدی از فریب است که به مایکروسافت امکان میدهد اطلاعات لازم درباره مهاجمان در سراسر جهان را جمعآوری کرده و پیش از اجرای گسترده حملاتشان، آنها را خنثی کند.»
استیون کُوسکی، مدیر ارشد فناوری در SlashNext، افزود: «استفاده از زیرساخت ابری برای ایجاد محیطهای فریب مقیاسپذیر و پویا، یک تغییر نوآورانه در تاکتیکهای آن است. این روش امکان نظارت و تحلیل در لحظه رفتار مهاجمان را در یک اکوسیستم کنترلشده و واقعی فراهم میکند.»
Honeypot، ابزاری برای همه نیست
فریب ابزاری مؤثر برای مقابله با مجرمان دیجیتال است، اما برای همه سازمانها مناسب نیست. وکلاف وینچالک، مدیرعامل 555vCTO، گفت: «تاکتیکهای فریب منابع زیادی نیاز دارند. تنظیم درست و نظارت مداوم بر آنها به نیروی انسانی نیاز دارد. همچنین باید مشخص شود که با اطلاعات جمعآوریشده چه باید کرد.»
گرایمز نیز گفت: «سازمانهای متوسط معمولاً زمان یا منابع کافی برای انجام این نوع پروژهها ندارند و فناوریهای فریب معمولاً برای هشدارهای اولیه و کاهش هزینهها و زمان خرابی استفاده میشوند.»
مقابله با فیشینگ
شان لاولند، کارشناس امنیت سایبری، اظهار داشت: «deception میتواند ابزاری قدرتمند برای مقابله با فیشینگ باشد. استفاده از داراییهای جعلی مثل ایمیلها، سایتها یا اطلاعات ورود ساختگی، مهاجمان را به دام میاندازد و بدون به خطر انداختن اطلاعات واقعی، تاکتیکهایشان افشا میشود.»
او افزود: «این روش تهدیدات را از اهداف واقعی دور کرده و در عین حال اطلاعات لازم درباره روشهای فیشینگ را جمعآوری میکند.»
کُوسکی هشدار داد که مهاجمان همچنان به نوآوری در حملات فیشینگ ادامه میدهند. او گفت: «فیشینگ همچنان یکی از بزرگترین تهدیدات برای افراد و سازمانها است. ابزارهای جدید فیشینگ مبتنی بر هوش مصنوعی و اطلاعات شخصی موجود برای مهاجمان، شرایط را به نفع آنها تغییر خواهد داد.»
در نهایت، گرایمز توصیه کرد: «اگر از فناوریهای فریب استفاده میکنید، مطمئن شوید که محیط فریب با سیستمهای واقعی شما همخوانی دارد. اشتباه رایج کاربران جدید این است که سیستمهای فریب آنها با محیط واقعیشان تطابق ندارد و خدمات یا پورتهایی که ارائه میدهند با آنچه شرکت واقعاً استفاده میکند، متفاوت است.»
