مایکروسافت برای مبارزه با حملات Phishing، حساب‌های جعلی یا Honeypot در سرویس Azure ایجاد می‌کند .

مایکروسافت از تاکتیک‌های فریبنده برای مقابله با مهاجمان Phishing استفاده می‌کند. آنها حساب‌های کاربری جعلی اما واقعی به نظر می‌رسند (به نام honeypot tenants) ایجاد می‌کنند که به سرویس‌های Azure دسترسی دارند. هدف این است که با استفاده از این حساب‌ها، مجرمان سایبری را به سمت این تله‌ها جلب کنند و از طریق آن‌ها اطلاعات و داده‌هایی درباره این مهاجمان جمع‌آوری کنند.

مایکروسافت با استفاده از داده‌های جمع‌آوری‌شده از تله‌های فیشینگ (honeypots) می‌تواند:

1. زیرساخت‌های مخرب را شناسایی و نقشه‌برداری کند: یعنی بفهمد که مهاجمان سایبری از چه شبکه‌ها و ابزارهایی استفاده می‌کنند.
2. فهم عمیق‌تری از عملیات Phishing پیشرفته پیدا کند: با بررسی داده‌ها، مایکروسافت می‌تواند پیچیدگی و روش‌های حملات فیشینگ را بهتر درک کند.
3. کارزارهای Phishing را به طور گسترده مختل کند: مایکروسافت می‌تواند در مقیاس بزرگ‌تر حملات فیشینگ را مختل و متوقف کند.
4. مجرمان سایبری را شناسایی کند: با استفاده از داده‌ها، مایکروسافت می‌تواند افراد و گروه‌های مهاجم را شناسایی کند.
5. سرعت فعالیت‌های مجرمان سایبری را به طور قابل توجهی کاهش دهد: با مختل کردن حملات و دسترسی به اطلاعات، مایکروسافت می‌تواند پیشروی و کار مهاجمان را کندتر کند.

Ross Bevington راهبرد مایکروسافت برای مقابله با Phishing (از طریق ایجاد تله‌های فریبنده و جذب مهاجمان سایبری) و تأثیرات منفی که این تاکتیک بر حملات فیشینگ گذاشته، را در این کنفرانس شرح داده است.

توهم موفقیت Phishing

هدف از این کار، جذب مهاجمان سایبری است تا به این محیط‌های فریبنده حمله کنند و در نتیجه، تیم مایکروسافت بتواند اطلاعات مربوط به روش‌ها و حملات آن‌ها را جمع‌آوری و تحلیل کند.

شرکت‌ها یا پژوهشگران معمولاً یک تله فریبنده (honeypot) راه‌اندازی می‌کنند و منتظر می‌مانند تا مهاجمان سایبری آن را کشف کرده و به آن حمله کنند. علاوه بر اینکه این تله‌ها حمله‌کنندگان را از محیط واقعی دور می‌کنند، هدف دیگر آن‌ها جمع‌آوری اطلاعات درباره روش‌هایی است که مهاجمان برای نفوذ به سیستم‌ها استفاده می‌کنند. این اطلاعات بعداً می‌تواند برای تقویت امنیت شبکه واقعی و جلوگیری از حملات مشابه در آینده به کار گرفته شود.

هرچند مفهوم اصلی راهبرد Bevington’s مشابه روش‌های سنتی است (استفاده از تله‌های فریبنده برای مقابله با مهاجمان سایبری)، اما تفاوت مهم این است که به‌جای اینکه منتظر بماند تا مهاجمان به تله بیفتند، خودشان به سراغ مهاجمان می‌روند و آن‌ها را هدف قرار می‌دهند.

به جای این که فقط منتظر بمانند تا مهاجمان به تله‌ها حمله کنند، تیم بوینگتون خودشان به سایت‌های فیشینگ می‌روند و اطلاعات کاربری جعلی را وارد می‌کنند تا مهاجمان را فریب داده و بتوانند رفتار و روش‌های آن‌ها را زیر نظر بگیرند.

این شرایط به مهاجمان اجازه می‌دهد که بدون هیچ مانع خاصی وارد تله‌های فریبنده شوند و به دنبال نشانه‌هایی از این‌که ممکن است در تله افتاده باشند بگردند. این امر می‌تواند به مایکروسافت کمک کند تا رفتارها و روش‌های حمله آن‌ها را رصد کند.

مایکروسافت اعلام کرده است که به طور روزانه حدود ۲۵,۰۰۰ سایت فیشینگ را رصد می‌کند. از این تعداد، حدود ۲۰٪ از آن‌ها با اطلاعات کاربری تله‌های فریبنده (honeypot credentials) تغذیه می‌شوند؛ در حالی که سایر سایت‌ها توسط CAPTCHA یا سایر مکانیزم‌های ضد ربات مسدود می‌شوند.

وقتی که مهاجمان موفق به ورود به این تله‌های جعلی می‌شوند، مایکروسافت می‌تواند با ثبت و تحلیل فعالیت‌های آن‌ها، اطلاعات بیشتری درباره رفتارها و شیوه‌های حمله آن‌ها جمع‌آوری کند.

اطلاعات جمع‌آوری‌شده شامل موارد زیر است:

1. آدرس‌های IP (IP addresses): نشانی‌های اینترنتی که مهاجمان از آن‌ها استفاده می‌کنند.
2. مرورگرها (browsers): نوع و نسخه مرورگری که مهاجمان برای دسترسی به تله‌های جعلی استفاده می‌کنند.
3. موقعیت جغرافیایی (location): مکان فیزیکی مهاجمان.
4. الگوهای رفتاری (behavioral patterns): نحوه تعامل و رفتار مهاجمان هنگام کار با تله‌ها.
5. استفاده از VPNها یا VPSها (whether they use VPNs or VPSs): اینکه آیا مهاجمان از شبکه‌های خصوصی مجازی (VPN) یا سرورهای خصوصی مجازی (VPS) استفاده می‌کنند یا خیر.
6. کیت‌های فیشینگ (phishing kits) که به آن‌ها وابسته‌اند: ابزارها و تکنیک‌هایی که مهاجمان برای انجام حملات فیشینگ استفاده می‌کنند.

مایکروسافت با کاهش سرعت پاسخ‌ها، تلاش می‌کند تا تجربه مهاجمان را مختل کند. این کار می‌تواند به جلوگیری از انجام سریع اقدامات آن‌ها کمک کند و به مایکروسافت این امکان را می‌دهد که زمان بیشتری برای رصد و تحلیل رفتارهای مهاجمان داشته باشد.

این تکنولوژی باعث می‌شود مهاجمان در یک محیط فریبنده گیر کنند و در این حین، مایکروسافت اطلاعات ارزشمندی جمع‌آوری می‌کند که می‌تواند به تقویت امنیت در برابر حملات آینده کمک کند.

بیشتر آدرس‌های IP که مایکروسافت از طریق تکنیک‌های فریب‌دهی جمع‌آوری می‌کند، جدید یا منحصر به فرد هستند و اطلاعات کمتری درباره آن‌ها در پایگاه‌های داده تهدید موجود وجود دارد. این نشان‌دهنده این است که بیشتر مهاجمان یا روش‌های مورد استفاده آن‌ها ممکن است برای مایکروسافت و دیگر تیم‌های امنیتی جدید و ناشناخته باشند.

با استفاده از این روش، مایکروسافت می‌تواند شواهد و اطلاعاتی جمع‌آوری کند که نشان می‌دهد کدام گروه‌ها یا سازمان‌ها پشت حملات سایبری قرار دارند، و این شامل گروه‌های مالی و همچنین گروه‌های دولتی و سازمان‌های رسمی می‌شود که به طور خاص برای اهداف سیاسی یا اقتصادی حملات را انجام می‌دهند.

مایکروسافت با استفاده از منابع و امکانات خود به شیوه‌ای گسترده و مؤثر به ردیابی مهاجمان و تحلیل تکنیک‌ها و روش‌های آن‌ها می‌پردازد، در حالی که دیگر شرکت‌ها ممکن است به روش‌های متداول‌تر و محدودتر اکتفا کنند.