شش تهدید سایبری در حال رشد (قسمت اول)

به نظر می‌رسد که هکرهای بزهکار هرگز نمی‌خوابند. درست در همان زمانی که فکر‌می‌کنید تمام راه‌های نفوذ را بسته‌اید و تجارت‌تان را در برابر خطرهای امنیت الکترونیک به‌‌طور کامل محافظت کرده‌اید، دوباره حفره و راه نفوذ جدیدی پیدا می‌شود که باعث بی‌خوابی شما در نیمه شب خواهد شد. این عامل می‌تواند یک پیامک با محتوای آلوده باشد یا تعقیب‌کننده‌ای که تمام مراحل فعالیت‌های آنلاین شما را دنبال‌می‌کند یا حتی ممکن است فناوری جدیدی مانند ارتباطات وای‌فای داخل خودرو باشد

برای مشاهده ادامه خبر به ادامه مطلب مراجعه کنید

که خط سیر دیگری برای حمله‌های دیجیتال به‌وجود می‌آورد.

مواظب این تهدیدها باشید، چون می‌توانند گوشی هوشمند شما را به یک بات‌نت ارسال پیامک تبدیل کنند، جریان الکتریسیته را قطع کرده یا در سیگنال‌های GPS تداخل ایجاد کنند.

اگر شما مدیر IT شرکتی باشید که از کارمندان و سیستم‌های شرکت محافظت‌می‌کنید یا فردی باشید که تلاش دارد امنیت داده‌های شخصی خود را تأمین کند، در هر صورت این تهدیدها (که برخی به سرعت در حال رشد هستند و برخی در حال ظهور) خطرهای بالقوه‌ای را برای شما در پی خواهد داشت. خوشبختانه چندین روال و ابزار امنیتی وجود دارد که به شما کمک می‌کند در این نبرد بر خلافکاران پیروز شوید.

1- بدافزارهای پیامکی
رادنی جوف رئیس و متخصص فناوری ارشد شرکت پیامک‌های موبایلی Neustar و مدیر Conficker Work Group (ائتلافی از محققان امنیتی) است. او می‌گوید: «درحالی‌که ویروس‌های تلفن‌های هوشمند به نسبت نادر و کمیاب هستند، حمله‌های مبتنی بر پیامک بیشتر معمول شده‌اند. اکنون دیگر پی‌سی‌ها به خوبی محافظت می‌شوند، به همین دلیل، برخی از هکرهای کلاه‌سیاه به سراغ تجهیزات قابل حمل رفته‌اند. انگیزه اصلی آنان به طورمعمول مالی است. پیامک راهی برای نفوذ و کسب درآمد در اختیار آن‌ها قرار می‌دهد.»خویی نگوین، مدیر گروه محصولات امنیت موبایلی در سیمانتک تأیید می‌کند که با استفاده روز‌افزون مردم از تلفن‌های هوشمند، حمله‌های مبتنی بر پیامک‌های متنی که سیستم‌عامل‌های تلفن‌های هوشمند را هدف گرفته‌اند نیز معمول‌تر شده‌اند. او می‌افزاید: «به طور کلی فقط مصرف‌کننده‌های این دستگاه‌ها نیستند که در معرض خطر قرار گرفته‌اند. بلکه هر کارمندی که با استفاده از یک تلفن هوشمند متعلق به شرکت، گرفتار یک آلودگی پیامکی شود، می‌تواند کل شبکه تجاری و داده‌های آن را به خطر بیاندازد و حتی ممکن است مرتکب تخلف از قوانین شرکتی شود.»

نگوین توضیح می‌دهد: «این دقیقاً شبیه حمله‌هایی است که به کامپیوترهای شخصی انجام می‌شود. یک SMS یا MMS به همراه ضمیمه‌ای که ادعا می‌شود تصویر جالبی است، به دست کاربر می‌رسد و از او می‌خواهد که این فایل را باز کند. زمانی که کاربر تصویر را دانلود‌می‌کند، بدافزاری روی دستگاه نصب‌خواهد شد و هنگامی که این بدافزار اجرا شود، مجوزهای دسترسی را در اختیار گرفته و شروع به تکثیر خود از طریق فهرست مخاطبان تلفن می‌کند. مخاطبانی که به نوبه خود پیامکی از تلفن کاربر آلوده دریافت می‌کنند.» به گفته جوف به این ترتیب هکرها بات‌نتی برای ارسال اسپم از طریق پیامک‌های متنی به‌وجود می‌آورند که پیام‌هایش حاوی لینکی به محصولی است که هکر می‌فروشد و شما به ازای هر یک از این پیامک‌ها باید هزینه بپردازید. او می‌افزاید که در برخی موارد، بدافزار شروع به خرید آهنگ‌های تماسی (Ring tone) می‌کند که هزینه آن در صورت‌حساب دوره‌ای شما منظور خواهد شد و به این ترتیب جیب هکر فروشنده آهنگ، پر پول‌تر  خواهد شد.

نگوین می‌گوید: «ترفند دیگر پیامکی حاوی لینکی برای دانلود یک App است که ادعا می‌شود دسترسی رایگان به اینترنت را فراهم می‌آورد، اما در واقع تروجانی است که چندین هزار پیامک (آن هم با نرخ ویژه 2 دلار به ازای هر پیامک!) از طریق تلفن همراه کاربر ارسال خواهد کرد.»کریرهای بی‌سیم می‌گویند، که برای مبارزه با این حمله‌ها تلاش می‌کنند. به عنوان نمونه برندا رانی (Brenda Raney) سخنگوی شرکت مخابراتی ورایزون می‌گوید شرکتش پیامک‌ها را برای یافتن حمله‌های بدافزاری اسکن کرده و پیامک‌های آلوده را در شبکه‌های سلولی بلوک می‌کند. این شرکت حتی با واحدهای جنایی فدرال برای خنثی کردن حمله‌ها همکاری دارد.

اما همان‌گونه که جوف به تمسخر می‌گوید: «هنوز هیچ راه‌حلی برای حماقت پیدا نشده است.» و حتی برای اشتباهات کارمندان نیز روش پیش‌گیری وجود ندارد. برای نمونه، او تعریف می‌کند که چگونه او و دیگر متخصصان امنیتی درباره کرم‌هایی که از طریق پیامک تلفن‌های هوشمند را تهدید می‌کنند، به تک‌تک کارمندان یک شرکت توضیح داده‌اند و درست پس از پایان آموزش بسیاری از آن‌ها بازهم روی لینک‌ها کلیک می‌کنند.جوف پیشنهاد می‌کند که برای دور نگه داشتن این تهدیدها از تلفن‌های کاربران، نهادهای تجاری باید قوانین شرکتی را سخت‌گیرانه‌تر‌کنند و تعداد افرادی را که مجوز ارسال پیامک از طریق تلفن‌ها و شبکه سازمان دارند و همچنین نوع کارهایی را که از طریق پیامک می‌توان به انجام رساند، محدودتر کنند. راه‌حل دیگر غیرفعال‌کردن کامل پیامک‌ها است؛ دست‌کم تا زمانی که صنایع نحوه مبارزه با این تهدیدها را بیابند. برای کاربران، بهترین دفاع مراجعه به عقل سلیم است. از کلیک روی لینک‌ها یا ضمیمه‌های پیامک‌هایی که از افراد ناشناس دریافت می‌کنید، پرهیز کنید. درباره کسانی هم که می‌شناسید،‌ نهایت احتیاط را به کار ببرید، چون ممکن است ناخواسته جزئی از یک بات‌نت باشند.

2- نفوذ به گریدهای هوشمند
یکی از اشتباه‌های رایج این است که تنها شبکه‌های باز (مثلاً‌شبکه بی‌سیمی که در شرکت شما برای دسترسی بازدیدکنندگان عام به اینترنت فراهم شده است) قابل هک‌کردن هستند. جاستین مورهاوس  معتقد است، این تصور اصلاً درست نیست. او یکی از مشاوران ارشد Startum Security است که در کنفرانس امنیتی DefCon سال گذشته درباره امنیت شبکه سخنرانی کرده است. او می‌گوید: «یافتن یک نقطه دسترسی برای اتصال به شبکه‌ای که به اصطلاح "بسته" نامیده می‌شود، چندان هم  دشوار نیست.» (شکل1)به عنوان مثال، در سال گذشته کرم‌استاکس نت ده‌ها هزار کامپیوتر ویندوزی را که سیستم‌های SCADA زیمنس را اجرا می‌کردند، آلوده کرد و این آلودگی بیش از هر چیز از طریق فلش‌های یواس‌بی آلوده منتقل‌شده است.

شکل 1- به عقیده جاستین مورهاوس از شرکت Startum Security نیاز به آزمون‌های نفوذ در گریدهای هوشمند بسیار حیاتی است.

جوف می‌گوید: «استاکس نت ثابت کرد که ایجاد خرابی‌های بالقوه فاجعه‌آفرین در شبکه‌های کنترل صنعتی، چندان هم دشوار نیست.» به گفته مورهاوس، گریدهای هوشمند یکی دیگر از نقاط حمله خواهند بود. گریدهایی که برای ساده‌تر‌‌کردن مدیریت نیرو، در قسمت‌های مختلف از اندازه‌گیری‌های الکترونیک استفاده می‌کنند. شرکت‌های فراهم‌کننده خدمات در سراسر دنیا، شروع به آزمایش و نصب تجهیزات اندازه‌گیری هوشمند در خانه‌ها و ساختمان‌های تجاری مشتریان کرده‌اند. این فناوری که قادر‌است داده‌ها را به یک سیستم مرکزی ارسال  کرده یا از آن دریافت کند، می‌تواند برای کارکنان بخش IT نیز بسیار مفید باشد. به عنوان مثال، آن‌ها می‌توانند با باز کردن یک کنسول، میزان برق مصرفی یک قسمت از ساختمان را مشاهده کنند (شکل2).

شکل 2- تجهیزات هوشمند اندازه‌گیری مانند این کنتور، به یک گرید هوشمند متصل می‌شوند تا عملیات مدیریت انرژی را ساده‌تر کنند. متخصصان می‌گویند، ممکن است بتوان به آن‌ها نفوذ کرد.

اما گریدهای هوشمند ممکن است در برابر حمله‌هایی که به هکرهای بدذات اجازه می‌دهد برق خانه‌ها یا مراکز تجاری را قطع کرده و از این طریق خسارت‌های دیگری به بار بیاورند، نفوذپذیر باشد. مثلاً به گفته مورهاوس، یک شرکت خدمات‌رسانی آلمانی به نامYello Strom  از یک سیستم‌گرید استفاده می‌کند که همانند یک کیت اتوماسیون خانه عمل می‌کند. حسگرهای این سیستم با استفاده از شبکه وای‌فای صاحبخانه میزان مصرف انرژی را به سرور مرکزی  گزارش می‌دهند.به گفته مورهاوس، به همین دلیل کاربران نهایی می‌توانند به شبکه خانگی خود وارد شده و کنترل زیرسیستمی که وظیفه انتقال نیرو را بر‌عهده دارد، به دست بگیرند. او می‌گوید: «مسئله این است که این نوع شبکه‌ها به درستی تقسیم‌بندی و محافظت نمی‌شوند. زمانی که یک هکر توانست وارد یک قسمت شود، ممکن است با او همانند یک کاربر مورد اطمینان رفتار شود و او به سایر قسمت‌ها نیز دسترسی پیدا کند. آیا این احتمال وجود دارد که آن‌ها بتوانند یک ایستگاه کوچک توزیع یا یک شهر را از کار بیاندازند؟ به یقین ممکن است. آن‌ها ممکن است یک "در پشتی" در سیستم تعبیه کنند که اجازه می‌دهد، در هر زمان دلخواه برق را قطع کنند.»

شرکت‌های فراهم کننده خدمات در امریکا، به طورمعمول از شبکه‌های اختصاصی کابلی یا بی‌سیم خود استفاده می‌کنند، اما مورهاوس نگران این موضوع است که برخی از آن‌ها ممکن است به استفاده از روش  Yello Strom روی بیاورند و به جای شبکه‌های اختصاصی از شبکه‌های خانگی کاربران استفاده کنند.یکی دیگر از نگرانی‌ها، نفوذپذیری خود تجهیزات اندازه‌گیری (نه شبکه آن‌ها) است که به نوبه خود باز هم بر گرید هوشمند شرکت تأثیر خواهد گذاشت. به عنوان مثال، محققان شرکت ارائه‌کننده خدمات امنیتی IOActive مستقر در سیاتل، چندین باگ در تجهیزات اندازه‌گیری گریدهای هوشمند یافته‌اند که هکرها می‌توانند با استفاده از آن‌ها به شبکه گرید دست یافته و برق برخی مشترکان را قطع کنند. مورهاوس می‌گوید: «هکرها از اخبار رسانه‌ها برای آگاهی از فناوری به‌کار رفته در این گریدها استفاده کرده و بعد به سراغ زیرساخت‌ها رفته و راه‌های نفوذ را کشف می‌کنند. پس اگر به عنوان مثال وال- مارت گریدی را بر مبنای فناوری‌های زیمنس معرفی کند، یک هکر به سادگی پاسخ بسیاری از پرسش‌ها را درباره یافتن و نفوذ به آن کنترل کننده در اختیار خواهد داشت.»

مورهاوس معتقد است کاراترین اقدام بازدارنده در این مورد ایزولاسیون کامل است. یک گرید هوشمند نباید به هیچ‌وجه با شبکه دیگری تعامل داشته باشد. او می‌گوید: «به واسطه وجود خطر احتمالی نفوذ و در دست‌گرفتن کنترل سیستم‌های توزیع نیرو، لازم است که تمام شبکه‌های بسته نیز آزمون‌های نفوذپذیری را انجام دهند و مطمئن شوند که فایروال شبکه به‌صورت کامل از آن محافظت می‌کند. او استفاده از ابزارهایی نظیرCore Impact و Metasploit را پیشنهاد می‌کند.»قانون «ایزولاسون کامل» باید درباره کاربران خانگی نیز صدق ‌کند. مورهاوس می‌گوید: «کاربران خانگی نیز نباید به هیچ عنوان داده‌های‌گریدهای هوشمند را روی شبکه‌هایشان منتقل‌کنند.» همچنین او توصیه می‌کند که کاربران با تجهیزات هوشمند اندازه‌گیری منازلشان آشنا باشند و بتوانند تشخیص دهند که آیا این تجهیزات دستکاری شده است یا خیر و همین‌طور از تأمین‌کنندگان خدمات بپرسند که چه تمهیدات امنیتی برای محافظت از ابزار اندازه‌گیری و شبکه مرتبط با آن اندیشیده شده است.

3- جعل حساب‌های شبکه‌های اجتماعی
بسیاری از افراد از شبکه‌های اجتماعی برای ارتباط با دوستان، افراد خانواده یا همکاران استفاده می‌کنند و این امر آن‌ها را در برابر تکنیک جدیدی که جعل حساب‌های شبکه‌های اجتماعی نامیده می‌شود، نفوذپذیر می‌کند. روال کار به این ترتیب است که یک شیاد وانمود می‌کند، یکی از آشنایان شما یا دوست یکی از دوستان شما است و از این طریق به شما نزدیک می‌شود و شما را گول می‌زند تا اطلاعات شخصی و محرمانه خود را فاش کنید. پس از آن او از این اطلاعات برای به دست گرفتن کنترل سایر حساب‌های شما یا حتی جعل هویت شما استفاده می‌کند.به گفته جوف، در یک روش معمول، شخصی روی یکی از این شبکه‌های اجتماعی، مثلاً LinkedIn، با شما تماس می‌گیرد و خود را دوست دوست شما یا همکار یکی از آشنایان شما معرفی می‌کند. این «دوست جدید» از طریق ایمیل یا پیامک به‌صورت مستقیم با خود شما تماس می‌گیرد.

ممکن است تعجب کنید که این دوست جدید خارج از شبکه اجتماعی و به طورمستقیم با شما تماس گرفته است، اما او کاملاً موجه به نظر می‌رسد. زیرا شما فکر می‌کنید او با یکی از افرادی که می‌شناسید و به آن‌ها اطمینان دارید، ارتباط دارد. در سناریویی دیگر، فرد شیاد خود را به جای شخص دیگری که شما قبلاً می‌شناخته‌اید، معرفی کرده و مثلاً ادعا می‌کند که یکی از دوستان دوران دبیرستان شما است. این افراد اطلاعات خود را از طریق بررسی ردپاهای عمومی شما یا مراجعه به فهرست همکاران شما در شبکه‌ای مانند LinkedIn کسب می‌کنند. جایی که شما اطلاعات حرفه‌ای خود را در آن  وارد کرده‌اید.

هنگامی که فرد شیاد ارتباطی را با شما برقرار‌کرد، از روش‌های مختلفی برای سرقت اطلاعات شخصی شما استفاده می‌کند. مثلاً به کمک چت، از نام افراد خانواده شما، گروه‌های موسیقی مورد علاقه‌تان، سرگرمی‌ها و سایر اطلاعات به ظاهر کم اهمیت آگاه می‌شود و در نهایت از این اطلاعات به عنوان رمز عبور یا پاسخ سؤال‌های امنیتی سایت‌های بانکداری، ایمیل و دیگر سایت‌ها استفاده می‌کند.هما‌ن‌طور که جوف اشاره می‌کند، ایده موجود در پشت کلاهبرداری از طریق شبکه‌های اجتماعی، قدمتی هزاران ساله دارد. به‌دست‌آوردن اطلاعات شخصی افراد و سوء استفاده از آن ترفندی بسیار قدیمی است. شبکه‌های اجتماعی امروزی، راهی جدید برای کلاهبرداران هنرمند و خلافکاران فراهم آورده‌اند تا به شما نزدیک‌تر شوند. این ترفند در اغلب موارد کار می‌کند، زیرا به طور معمول هیچ روشی وجود ندارد که شما به کمک آن متوجه شوید، شخصی که می‌خواهید به او اعتماد کنید، دقیقاً همان کسی است که ادعا می‌کند.

جوف می‌گوید: «مشکل ارتباط از طریق شبکه اجتماعی یا LinkedIn این است که شما به رابط‌های وبی محدود هستید. نمی‌توانید IP یا اطلاعات Header پیام‌ها را بررسی کنید. همه چیز در یک دنیای دوستانه و دل چسب به شما عرضه می‌شود.» مورهاوس از شرکت Startum Security معتقد است که خلافکاران به شکل فزآینده‌ای ماهرتر می‌شوند. آن‌ها ابتدا یک هدف را در‌نظر‌می‌گیرند، سپس شروع به تحقیق می‌کنند. این فرد چگونه آدمی است؟ چه کسانی را دنبال (Follow) می‌کند؟ دوست دارد چه کارهایی انجام دهد؟مورهاوس می‌گوید، علاوه بر این‌ها، حمله‌های مبتنی بر شبکه‌های اجتماعی ممکن است با کلاهبرداری‌های ایمیلی یا وبی هم ترکیب شوند. شما ممکن است با کسی در LinkedIn دوست شوید؛ سپس ایمیلی از آن شخص دریافت کنید که به نظر می‌رسد از طریق LinkedIn ارسال شده است، اما در واقع ایمیلی جعلی است. زمانی که شما روی لینک پاسخ کلیک می‌کنید، به یک سایت LinkedIn جعلی هدایت‌می‌شوید. ورود به آن سایت، نام کاربری و رمز عبور شما را برای سارق آشکار خواهد کرد.

مورهاوس نوع دیگری از حمله‌ها را توضیح می‌دهد که شرکت‌ها را همانند افراد هدف می‌گیرد. کلاهبردار یک صفحه شبکه‌اجتماعی ایجاد کرده و وانمود می‌کند که این صفحه رسمی یک شرکت بزرگ؛ مثلاً تولیدکننده کالاهای اداری Staples است. کلاهبردار برای معتبر جلوه‌دادن این صفحه حتی ممکن است ادعا کند که این صفحه روشی رسمی برای تماس با شرکت یا ثبت شکایات است.این صفحه حتی ممکن است برای ترغیب افراد به عضو شدن، کوپن‌های تخفیفی (مطمئناً جعلی) نیز عرضه کند و هنگامی که افراد این صفحه را به شبکه دوستانشان‌معرفی کنند، این صفحه به شکلی ویروسی‌گسترش می‌یابد. به گفته مورهاوس، زمانی که این صفحه صدها یا هزاران عضو پیدا کرد، صاحب صفحه سعی می‌کند آن‌ها را فریب داده و اطلاعات شخصی‌شان را برباید. این کار ممکن است از طریق دعوت به ثبت‌نام برای دریافت کوپن‌های بیشتر یا شرایط ویژه  فروش انجام شود.

این حمله‌ای دوگانه است. مشتریان ضرر می‌کنند، چون اطلاعات شخصی آن‌ها فاش شده است و شرکت هم آسیب می‌بیند، چون افراد این صفحه جعلی را با شرکت واقعی مرتبط فرض کرده و تصمیم می‌گیرند که دیگر از این شرکت خرید نکنند.به عقیده جوف بهترین دفاع افراد در برابر این حمله‌ها درست ‌همانند حمله‌های پیامکی، تکیه بر عقل سلیم است. خلافکاران معمولاً نمی‌توانند به خوبی نقش یک فرد یا شرکت خاص را بازی‌کنند و برای گول‌زدن شما لینک‌ها و ایمیل‌های فیشینگ را ارسال می‌کنند. آن‌ها ممکن است سعی کنند مانند یک دوست رفتار کنند، اما نمی‌توانند شخصیت آن دوست را به دقت بازسازی کنند. در برخی موارد این حمله‌ها از طریق هدرهای ایمیل یا آدرس‌های IP قابل‌ردیابی است. همچنین بیشتر این حمله‌ها کلی و بدون هدف هستند، به گونه‌ای که هر کسی که اندکی محتاط باشد متوجه جعلی بودن آن‌ها خواهد شد (شکل3و4).

شکل 3- به نظر می‌رسد که این ایمیل از سوی یکی از دوستان شما در LinkedIn ارسال شده باشد، اما به دقت به نام دامنه آن نگاه کنید، ‌با استفاده از این روش متوجه خواهید شد که این یک ایمیل جعلی است

شکل 4- اگر روی یک پیام جعلی LinkedIn کلیک کنید، به یک سایت جعلی هدایت می‌شوید. این روشی برای سرقت نام کاربری و رمز عبور شما است.

دیگر احتیاط‌های پیشگیرانه هرچند ممکن است بدیهی به نظر برسند، اما اغلب مورد غفلت قرار می‌گیرند. اگر کسی ادعا می‌کند که دوست دوست شما یا آشنای همکار شما است، مطمئن شوید که همکار یا دوست شما هویت این فرد جدید را تأیید می‌کند. همچنین ایده خوبی است اگر دسترسی به اطلاعات شخصی خود را در تنظیمات امنیتی شبکه‌های اجتماعی مورد استفاده‌تان محدود کنید. به این ترتیب، اطلاعات تماس شما، پست‌ها، عکس‌ها و سایر موارد در معرض دید همگان  نخواهد بود.برای شرکت‌ها این کار کمی دشواتر است. به گفته جوف، هیچ راهی وجود ندارد که مانع از ایجاد صفحه جعلی یک شرکت در شبکه‌های اجتماعی شود، اما شرکت‌ها می‌توانند از ابزارهای پایش نظیر  Social Mention استفاده کرده و ببینند که نام شرکت در مجامع آنلاین چگونه مورد استفاده قرار می‌گیرد. در این صورت اگر یک صفحه بدون مجوز پیدا شود، می‌توان از صاحبان شبکه اجتماعی خواست که نسبت به حذف آن صفحه جعلی اقدام کنند.

ماهانه شبکه