تاکتیک‌های فیشینگ سنتی همچنان از سد پیشرفته‌ترین سامانه‌های امنیتی عبور می‌کنند!

پژوهش‌های جدید نشان می‌دهد که حتی پیچیده‌ترین و بالغ‌ترین سامانه‌های امنیت سازمانی همچنان در برابر حملات با استفاده از تاکتیک‌های فیشینگ سنتی آسیب‌پذیر هستند؛ حملاتی که سال‌هاست یکی از رایج‌ترین تهدیدات فضای سایبری محسوب می‌شوند.

این بررسی که قرار است در رویداد Black Hat Europe در اوایل دسامبر ارائه شود، تلاش کرده است با استفاده از نشانه‌های دقیق مبتنی بر «احراز هویت‌های ناموفق فیشینگ‌-مقاوم» رفتار مهاجمان را شناسایی کند.
پژوهشگران Okta طی ۲۶ ماه، لاگ‌های احراز هویت FastPass را بررسی کرده‌اند و تلاش‌ها را با سه روش تحلیل کرده‌اند:

• تحلیل کارشناسان امنیت

• طبقه‌بندی مبتنی بر مدل‌های زبانی بزرگ (LLM)

• اعتبارسنجی توسط مشتریان سازمانی

نتایج نشان می‌دهد که بسیاری از لایه‌های امنیتی فعلی — از جمله گذرگاه های ایمیل (Email Gateway)، امنیت نقطه پایانی و برنامه‌های آموزشی منابع انسانی — به تنهایی کافی نیستند و فیشینگ همچنان یک ریسک عملیاتی دائمی برای سازمان‌ها محسوب می‌شود.

به گفته فی لیو، پژوهشگر ارشد فناوری‌های نوظهور در Okta:
«این عدد هیچ‌وقت به صفر نرسید. حملات فیشینگ یک ریسک پایدار هستند، نه حادثه‌های پراکنده.»

بررسی‌ها همچنین مشخص کرده است:

• سازمان‌های آمریکایی بیشترین هدف این حملات بوده‌اند.

• Office 365 همچنان محبوب‌ترین هدف برای حملات جعل SSO در سطح سازمانی است.

چرا فیشینگ هنوز این‌قدر موفق است؟

با وجود آموزش‌های گسترده، آگاهی عمومی و ابزارهای امنیتی متعدد، فیشینگ همچنان یکی از موفق‌ترین بردارهای حمله باقی مانده است.
مهم‌ترین دلایل پایداری این تهدید عبارت است از:

۱. خدمات Evil Proxy که خریدشان بسیار آسان و ارزان است

مهاجمان حتی بدون مهارت فنی بالا می‌توانند قابلیت‌های پیچیده فیشینگ را خریداری و اجرا کنند.

۲. نرخ پایین استفاده از احراز هویت مقاوم در برابر فیشینگ

تنها ۴۰٪ از کاربران Okta حداقل ماهی یک بار از این نوع احراز هویت استفاده می‌کنند.
این یعنی اکثریت سازمان‌ها هنوز در برابر حملات فیشینگ آسیب‌پذیر هستند.

۳. بسیاری از سازمان‌ها حتی متوجه حملات فیشینگ مسدود شده هم نمی‌شوند

در ۵ مورد از ۷ حادثه Evil Proxy، ادمین‌های سازمان تا زمان ارسال نوتیفیکیشن امنیتی حتی از وقوع حمله خبر نداشتند.

نکته مثبت:

این تحقیق نشان داد که همکاری میان سازمان‌ها در اشتراک‌گذاری اطلاعات امنیتی در حال افزایش است؛ موضوعی که در گذشته بسیار دشوار بود.

جمع‌بندی Vulnerbyte

با توجه به اینکه تکنیک‌های مهاجمان دائماً پیشرفته‌تر می‌شود، سازمان‌ها باید:

• سناریوهای واکنش (Playbook) مشخصی برای فیشینگ داشته باشند

• لایه‌های مقاومت در برابر فیشینگ را تقویت کنند

• سازمان‌ها باید درباره تلاش‌های فیشینگ، IOCها، و الگوهای حملات با یکدیگر تبادل اطلاعات کنند؛ چون این همکاری باعث می‌شود حملات مشابه سریع‌تر شناسایی و دفع شوند.

به قول لیو:
«فیشینگ ساده است و هنوز هم یکی از مؤثرترین روش‌ها برای نفوذ به درب ورودی سازمان‌هاست. نیازی به نوآوری نیست؛ بیشتر سازمان‌ها از نظر ساختار شبیه هم هستند.»

منابع: