تاکتیک‌های اساسی برای محافظت از اکوسیستم‌های‌ ایمیل

از آنجایی که امنیت‌ ایمیل یک چشم انداز همیشه در حال تغییر است، تمرکز بر مرتبط‌ترین مسائل در چشم انداز تهدید، جایی است که سازمان‌ها باید از آن شروع کنند.

بنابراین، کدام تاکتیک‌های‌ ایمیل مرتبط‌ترین و مبرم‌ترین مسائلی هستند که باید روی آن تمرکز کنیم؟ بر اساس بینش‌های Cofense، این سه نوع حمله از سال ۲۰۲۱ رایج‌ترین آن‌ها بوده‌اند:

• فیشینگ اعتبارنامه
• به خطر انداختن‌ ایمیل تجاری (BEC)
• بدافزار‌ها

به گفته تحلیلگران مرکز دفاع فیشینگ Cofense، فیشینگ اعتبارنامه، حدود ۷۰ درصد از تمام حملات را تشکیل می‌دهد که BEC با ۷ درصد پشت سر این حملات قرار می‌گیرد و بدافزار (به همراه چند مورد دیگر) بقیه موارد را تشکیل می‌دهند. وقتی به آن اعداد نگاه می‌کنید و آن‌ها را با مواردی که در طول یک حمله فیشینگ اعتبارنامه موفقیت‌آمیز کنار گذاشته می‌شوند ترکیب می‌کنید، مشخص می‌شود که توقف حملات اعتبارنامه‌ای باید در اولویت باشد. این بدان معنا نیست که توقف حملات BEC و بدافزار مهم نیست، بلکه قطعاً مهم هستند. حملات موفق، مانند حملات باج‌افزاری، اغلب برای مهاجم بسیار سودآور و برای قربانی بسیار دردناک و پرخطر هستند.

برای هر سه این حملات، چند تاکتیک اساسی وجود دارد که سازمان‌ها باید اتخاذ کرده تا اطمینان حاصل کنند که از اکوسیستم‌ ایمیل خود محافظت می‌نمایند.

آموزش کاربران
حملات فیشینگ اعتبارنامه به دنبال سرقت نام‌های کاربری و رمز‌های عبور هستند و اغلب با استفاده از نمایش‌های جعلی از صفحات ورود واقعی انجام می‌شوند. بنابراین آموزش کاربران بسیار مهم بوده و اولین و بهترین گام برای ایمن نگه داشتن یک شرکت است. آموزش در زمینه تجارت واقعی بسیار کلیدی است، زیرا در صنعت تمایل بیشتری به تمرکز بر حجم نسبت به کیفیت وجود دارد. به عبارت دیگر، وقت کارمندان خود را با شبیه‌سازی‌های آموزشی که مرتبط نیستند تلف نکنید و به جای آن مستقیماً به سراغ آنچه که باید بدانند بروید.

این مسأله در مورد تهدیدات BEC و بدافزار نیز صادق است. پیوست‌های طرف‌های ناشناس خارجی همیشه مشکوک هستند و کسی که از طرف یکی از مدیران شرکت درخواست کارت‌های هدیه، حواله‌های وایری، کلاهبرداری‌های عاشقانه یا سایر تراکنش‌های مالی می‌کند، هرگز نباید بررسی و دانلود شود. تمام این انواع حملات در وهله اول توسط کارکنان آموزش داده می‌شود.

گزارش‌دهی
رویکرد دوم این است که اطمینان حاصل شود که کارمندان می‌توانند با مشاهده یک تهدید، آن را گزارش کنند. مرکز عملیات امنیتی شما (SOC) نمی‌تواند به آنچه که نمی‌بیند پاسخ دهد، بنابراین یک قابلیت گزارش‌دهی به SOC شما این امکان را می‌دهد تا دید مورد نیاز را به آنچه از طریق‌ ایمیل برای شما ارسال می‌شود داشته باشد. قابلیت‌های گزارش‌دهی حیاتی هستند، بنابراین یکی را انتخاب کنید که به راحتی استقرار یابد، از طیف وسیعی از پلتفرم‌ها در سازمان شما پشتیبانی کند، بتواند در هنگام گزارش شبیه‌سازی به کاربران بازخورد ارائه کند، و مهمتر از همه، ‌ ایمیل کامل را برای تجزیه و تحلیل به باکس سواستفاده‌های SOC ارائه دهد.

پاسخ سریع
رویکرد سوم ایجاد یک قابلیت واکنش سریع است که به شما امکان می‌دهد یک تهدید واقعی را جهت‌گیری کنید و به سرعت به آن پاسخ دهید. اگر هم بتوانید “عامل مخرب و بد” را شناسایی کنید و هم به “عامل مخرب و بد” پاسخ دهید، بنابراین تهدید را خنثی یا محدود کنید، سازمان خود را از یک حمله نجات داده‌اید. این فقط به گزارشگر یک‌ ایمیل بالقوه مخرب محدود نمی‌شود، بلکه به همه گیرندگان آن‌ ایمیل مربوط می‌شود. اکثر حملات بیش از یک‌ ایمیل را به یک شرکت ارسال می‌کنند، بنابراین اگر یکی از آن‌ها را پیدا کرده‌اید، احتمالاً‌ ایمیل بیشتری در راه دارید. یافتن‌ ایمیل‌های دیگر زمانی مهم است که نخواهید تهدیدی در صندوق ورودی کاربران وجود داشته باشد.

تجزیه و تحلیل پس از دریافت
در نهایت، قابلیت‌های موقعیت‌یابی که می‌توانند تکامل یابند و تهدید‌ها را بطور فعال شناسایی کنند، خطر را حتی بیشتر کاهش می‌دهد. دروازه‌های‌ ایمیل امن (Secure Email Gateway) یا SEG‌ها، یکی از روش‌ها هستند، اما ما به طور مداوم می‌بینیم که تهدید‌ها از این دروازه‌ها عبور می‌کنند، بنابراین نیاز به تجزیه و تحلیل و قابلیت‌های پاسخ پس از تحویل را الزامی می‌کنند. هر SEG موجود در بازار امروز دارای نقاط ضعفی است.

به‌طور سنتی، شرکت‌ها SEG‌ها را به‌صورت سری روی هم قرار می‌دهند تا احتمال شناسایی یک تهدید را افزایش دهند؛ که یک راه حل تجزیه و تحلیل پس از تحویل، که با دانش درباره آنچه در تمام SEG‌ها وجود دارد، از نظر عملکردی مؤثرتر و همچنین مقرون به صرفه‌تر است.

درک رایج‌ترین تهدید‌ها برای تعیین محل مصرف انرژی و منابع محدود، بسیار مهم است. همه انواع حملات‌ ایمیل خطرناک هستند، اما با آموزش، گزارش، تجزیه و تحلیل، شناسایی و پاسخ به خوبی اجرا شده، خطر تسلیم شدن در برابر هر یک از رویکرد‌های حمله‌ ایمیلی که در مورد آن صحبت کردیم را می‌توان کاهش داد.

بیشتر بخوانید

چرا هرگز نباید از یک پروکسی سرور رایگان استفاده کنید

برخی از وب سایت‌ها می‌توانند محتوای خود را برای مخاطبان در مکان‌های جغرافیایی خاص محدود کنند. برای غلبه بر مسدودسازی، ممکن است از یک سرور پراکسی یا شبکه خصوصی مجازی (VPN) استفاده کنید. آن‌ها درخواست وب شما را پردازش می‌کنند و آن‌ها را از طریق سرور‌های مختلف در مکان‌های مجاز هدایت می‌نمایند.

اما این لزوماً امن‌ترین راه برای وبگردی نیست. افرادی که پشت آن سرور‌ها هستند ممکن است یک هانی پات برای رهگیری داده‌های شما راه‌اندازی کنند. بنابراین، شما از یک لیست پروکسی امن و رایگان برای حفظ امنیت و ناشناس بودن به طور همزمان استفاده می‌کنید.

هانی پاتینگ یا Honeypotting چیست؟
هانی پات طعمه‌ای برای فریب مهاجمان احتمالی است. اغلب از honey potting برای شناسایی هکر‌ها، دفاع از سیستم در برابر حملات و یافتن آسیب‌پذیری‌های سیستم استفاده می‌شود.

در این فرآیند، یک کامپیوتر یا شبکه مشابه شبکه واقعی راه‌اندازی می‌شود. اما این یک سیستم ایزوله است که به دقت نظارت می‌شود. هنگامی که هکر‌ها این شبکه را به عنوان یک کندوی بالقوه پر از شهد هدف قرار می‌دهند، اطلاعات مربوط به پارامتر‌های مختلف جمع‌آوری می‌شود تا هویت آن‌ها آشکار شود و تهدید‌ها مشخص شوند.

سازمان‌های مجری قانون از این ترفند برای ردیابی آدرس‌های IP و مکان هکر‌ها استفاده می‌کنند. شرکت‌ها از honey potting برای یافتن آسیب‌پذیری‌های سیستم خود و توسعه امنیت کلی سیستم در برابر حملات مشابه استفاده می‌کنند.

هنگامی که از یک سرور پراکسی رایگان استفاده می‌کنید نیز همین اتفاق می‌افتد. هر زمان که درخواستی را از طریق یک سرور پراکسی ارسال می‌کنید، اغلب داده‌ها را در میانه راه رهگیری می‌کند و حتی می‌تواند آن‌ها را دستکاری کند.

نشت داده‌ها بزرگترین تهدید استفاده از یک سرور پراکسی رایگان است. سرور بین شما و وب سرور مورد نظر می‌تواند اطلاعات مهمی را در مورد شما و سیستم شما نشت و نشر دهد.

آیا سرور‌های پروکسی رایگان واقعاً رایگان هستند؟
هیچ چیز در این دنیا رایگان نیست. ممکن است یک سرور پراکسی رایگان به صورت آنلاین پیدا کنید و فکر کنید کسی آن را برای کمک به افراد راه‌اندازی کرده است. اما هرگز اینطور نیست. از سرور‌های پروکسی برای جذب شما به شبکه و جمع‌آوری اطلاعات در مورد شما استفاده می‌شود.

اگر هنگام استفاده از سرور‌های پراکسی، نوار آدرس مرورگر خود را از نزدیک تماشا کنید، خواهید دید که سرور پروکسی به جای HTTPS از اتصالات HTTP استفاده می‌کند. این یعنی چی؟

اتصالات HTTPS داده‌های شما را رمزگذاری می‌کنند، بنابراین هیچ کس نمی‌تواند آن‌ها را در راه ربوده باشد. اما اتصالات HTTP داده‌های رمزگذاری نشده را ارسال می‌کنند که به راحتی می‌توان آن‌ها را ربوده و در میانه راه دستکاری کرد.

ارائه‌دهندگان خدمات پروکسی این اطلاعات را جمع‌آوری می‌کنند و از آن‌ها برای نقشه‌برداری فعالیت آنلاین شما برای نمایش تبلیغات هدفمند استفاده می‌کنند. آن‌ها حتی می‌توانند کد HTML یا جاوا اسکریپت وب سایت شما را برای نمایش تبلیغات تغییر دهند.

اما همه چیز به اینجا ختم نمی‌شود. اگر شخص شرور و مهاجم سرور پروکسی را میزبانی کند، می‌تواند اطلاعات حساسی مانند رمز عبور، اطلاعات بانکی یا اطلاعات کارت اعتباری شما را بدزدد و از طرف شما فعالیت‌های کلاهبرداری انجام دهد.

رایانه شما همچنین می‌تواند به عنوان بخشی از سرور پروکسی بدون رضایت شما مورد استفاده قرار گیرد. همه این‌ها فقط به یک چیز اشاره دارد. سرور‌های پروکسی رایگان در واقع رایگان نیستند. آن‌ها برای شما هزینه امنیتی دارند!

آیا همه پروکسی‌های رایگان بد هستند؟
اگرچه اکثر سرور‌های پروکسی رایگان قابل اعتماد نیستند، اما همچنان می‌توانید سرور‌های پراکسی رایگانی را پیدا کنید که اطلاعات شما را به سرقت نبرند یا سیستم شما را در برابر حملات آسیب‌پذیر نکنند.

اما این پروکسی‌ها اغلب توسط ارائه‌دهندگانی که ما به عنوان ارائه‌دهندگان پراکسی ممتاز می‌شناسیم ارائه می‌شوند. ممکن است یک پراکسی پریمیوم دریافت کنید که به اندازه پراکسی‌های ممتاز هزینه‌ای برای شما ندارد اما محیط امنی برای مرور وب در اختیار شما قرار می‌دهد.

این سرور‌ها نیز بدون جمع‌آوری اطلاعات شما، ناشناس بودنتان را حفظ می‌کنند. برخی از آن‌ها یک نسخه آزمایشی رایگان برای بررسی عملکرد سرور ارائه می‌دهند.

چگونه یک پروکسی سرور رایگان را بررسی کنیم؟
شما می‌توانید یک لیست پراکسی رایگان را با چکر‌های مختلف موجود به صورت آنلاین بررسی کنید. این چکر‌ها پارامتر‌های مختلف آن سرور‌های پروکسی را اندازه‌گیری می‌کند و بهترین گزینه ممکن برای اتصال را به شما نشان می‌دهد.

به عنوان مثال، یک سرور پروکسی ایمن باید همیشه یک پروتکل HTTPS داشته باشد تا اطلاعات شما قبل از شروع به کار رمزگذاری شود. سرعت اتصال یک سرور پروکسی خوب نیز نسبتاً سریع خواهد بود.

شما می‌توانید اطلاعات این چکر‌ها را برای تعیین امن‌ترین سرور پروکسی تجزیه و تحلیل کنید. اما اگر نمی‌خواهید زحمت آزمون و خطا را تحمل کنید یا برای اتصال به یک وب‌سایت عجله دارید، می‌توانید از پروکسی‌های رایگان تأیید شده توسط Proxyway استفاده کنید.

پس بهترین سرور‌های پروکسی رایگان کدامند؟
به سادگی از فهرست پراکسی رایگان ذکر شده در بالا برای تماشای محتوای خاص مکان یا مرور وب به صورت ناشناس استفاده کنید. Proxyway تمام سرور‌های پراکسی را بر اساس جنبه‌های مختلف آزمایش می‌کند و آن‌ها را تأیید می‌کند تا بتوانید به شکل قابل اعتمادی از آن سرور‌ها استفاده کنید.

آن‌ها اطلاعات شما را نمی‌دزدند یا با تغییر محتوای شما تبلیغات هدفمندی را به شما نشان نمی‌دهند. رایانه شما همچنین به عنوان بخشی از شبکه پروکسی توسط این ارائه‌دهندگان استفاده نخواهد شد. با این سرور‌های پراکسی رایگان، بدون به خطر انداختن امنیت خود، بیشترین بهره را می‌توانید از یک سرور پراکسی ببرید.

بیشتر بخوانید

بدافزاری که از طریق بسته بارگذاری ویندوز ۱۱ توزیع می‌شود

بدافزار " ردلاین " برای فریب کاربران ویندوز ۱۰ خود را در قالب بسته نصب ویندوز ۱۱ جا می‌زند و از همین رو موفق به توزیع گسترده خود شده است.

به گزارش زد دی نت، کارشناسان امنیتی هشدار می‌دهند که ردلاین بدافزار چندان پیچیده‌ای نیست، اما در فضای مجازی و از طریق شبکه‌های زیرزمینی در قالب خدمات ماهانه با هزینه ۱۵۰ دلار فروخته می‌شود و از آن برای سرقت ارزرمز سایر کاربران مانند بیت کوین یا اتریوم استفاده می‌شود.

سارقان از روش‌های مختلفی برای اقناع کاربران به منظور بارگذاری این بدافزار استفاده می‌کنند و بررسی‌های شرکت اچ پی نشان می‌دهد که معمولاً این بدافزار در قالب بسته به روزرسان ویندوز ۱۱ توزیع شده و کاربران رایانه‌های شخصی و به خصوص ویندوز ۱۰ به همین شیوه برای بارگذاری و نصب آن اقناع می‌شوند.

طراحان این بدافزار برای افزایش احتمال بارگذاری و نصب بدافزار مذکور دامنه‌های تقلبی را نیز ثبت کرده‌اند که در آنها سایت‌هایی مشابه با سایت مایکروسافت طراحی شده و بدافزار مذکور در قالب بسته نصب ویندوز ۱۱ در دسترس است.

نام دامنه صفحه ارتقای جعلی ویندوز ۱۱ توسط یک فرد روس ثبت شده است. در عین حال صفحه اصلی ارتقا ویندوز ۱۱ مایکروسافت در دامنه Microsoft.com میزبانی می‌شود. هدف این بدافزار سرقت رمزهای عبور ذخیره شده در مرورگرهای وب، داده‌های تکمیل شونده به صورت خودکار مانند اطلاعات کارت اعتباری و همچنین فایل‌های ارزها و کیف پول دیجیتال است.

بیشتر بخوانید

استفاده هکرهای ایرانی از Backdoor جدید Marlin در کمپین جاسوسی «Out to Sea»

به ادعای هکرنیوز، یک گروه تهدید دائمی پیشرفته (APT) که با ایران ارتباط دارد، مجموعه ابزار بدافزار خود را بروزرسانی کرده است تا backdoor جدیدی به نام Marlin را به عنوان بخشی از یک کمپین جاسوسی طولانی‌مدت که در‌آوریل ۲۰۱۸ آغاز شده است، شامل شود.

شرکت امنیت سایبری اسلواکی ESET این حملات را که با اسم رمز “Out to Sea” از آن یاد شده، در حالی که به طور قطعی فعالیت‌های خود را به گروه دوم ایرانی که تحت نام Lyceum ردیابی می‌شود (Hexane با نام مستعار SiameseKitten) مرتبط می‌داند، به یک عامل تهدید به نام OilRig (معروف به APT34) نسبت داده است.

مجموعه ESET در گزارش تهدید T3 ۲۰۲۱ خود که با هکر نیوز به اشتراک گذاشته است، خاطرنشان کرد: “قربانیان این کمپین شامل سازمان‌های دیپلماتیک، شرکت‌های فناوری، و سازمان‌های پزشکی در اسرائیل، تونس و امارات متحده عربی هستند”.

طبق این ادعا، این گروه هکری که حداقل از سال ۲۰۱۴ فعال است، به دولت‌های خاورمیانه و بسیاری از بخش‌های تجاری از جمله صنایع شیمیایی، انرژی، مالی و مخابراتی حمله می‌کند. در‌آوریل ۲۰۲۱، این عامل سایبری یک نهاد لبنانی را با ایمپلنتی به نام SideTwist هدف قرار داد. از طرفی نیز، کمپین‌هایی که قبلاً به Lyceum نسبت داده شده بود، شرکت‌های فناوری اطلاعات در اسرائیل، مراکش، تونس و عربستان سعودی را هدف گرفته بودند.

زنجیره‌های آلودگی Lyceum همچنین به این دلیل قابل توجه هستند که از زمانی که کمپین در سال ۲۰۱۸ آشکار شد (با DanBot شروع شد و در سال ۲۰۲۱ به Shark و Milan منتقل شد) با حملاتی که در آگوست ۲۰۲۱ شناسایی شدند، باعث نفوذ مجموعه جدید داده‌های بدافزاری به نام مارلین شدند.

تغییرات به همین جا ختم نمی‌شود. با تفاوت قابل توجهی از OilRig TTP‌های سنتی، که شامل استفاده از DNS و HTTPS برای ارتباطات command-and-control (C&C) می‌شود، مارلین از OneDrive API مایکروسافت برای عملیات C2 خود استفاده می‌کند.

مجموعه ESET، با اشاره به اینکه دسترسی اولیه به شبکه با استفاده از spear-phishing و همچنین دسترسی از راه دور و نرم‌افزار‌های مدیریتی مانند ITbrain و TeamViewer به دست آمده، شباهت‌ها در ابزار‌ها و تاکتیک‌های بین backdoor‌های OilRig و Lyceum را “بیش از حد متعدد و خاص” عنوان کرد.

محققان می‌گویند: «backdoor متعلق به ToneDeaf در اصل با C&C خود از طریق HTTP/S ارتباط برقرار می‌کرد، اما شامل یک روش ثانویه، تونلینگ DNS بود که به درستی کار نمی‌کند. Shark علائم مشابهی دارد و در جایی روش ارتباطی اولیه آن از DNS استفاده می‌کند اما یک گزینه ثانویه HTTP/S غیر کاربردی دارد».

اساساً ToneDeaf که از جمع‌آوری اطلاعات سیستم، آپلود و دانلود فایل‌ها و اجرای دستورات shell دلخواه پشتیبانی می‌کند؛ این مورد، یک خانواده بدافزار است که توسط عامل APT34 با هدف قرار دادن طیف گسترده‌ای از صنایع فعال در خاورمیانه در جولای ۲۰۱۹ به کار گرفته شده است.

علاوه بر این، یافته‌ها همچنین به استفاده همپوشانی از DNS بعنوان یک کانال ارتباطی C&C اشاره کرد؛ در حالی که از HTTP/S به عنوان یک روش ارتباطی ثانویه و استفاده از فولدر‌های متعدد در دایرکتوری فعال یک Backdoor برای آپلود و دانلود فایل‌ها از سرور C&C استفاده می‌شود.

بیشتر بخوانید

هدفگیری میلیون‌ها کاربر با کلون های Pirate Bay

تبلیغات بد یا مخرب به عنوان یک تهدید به سرعت محبوبیت پیدا کرده‌اند. این مورد شامل طرح‌های کلاهبرداری تبلیغاتی با فریب بازدیدکنندگان وب سایت‌ها است. طبق یک گزارش، تبلیغات نادرست و فریبکارانه در سه ماهه سوم سال ۲۰۲۱ شاهد افزایش ۲۳۱ درصدی بود. این نوع حملات معمولاً در وب‌سایت‌های تورنت و مستهجن به صورت قارچ گونه مشاهده می‌شوند. به تازگی یک کمپین جعل هویت وب سایت تورنت معروف Pirate Bay در فضای سایبری مشاهده شده است.

چه خبر است؟
سایبرنیوز پنج دامنه مخرب را کشف کرده که به عنوان The Pirate Bay در فضای سایبری در حال خودنمایی بوده‌اند. این دامنه‌ها هر ماه با استفاده از محتوای رایگان برای جذب اهداف، تبلیغات مخرب را به بیش از هفت میلیون کاربر ارائه می‌کردند.

همه وب‌سایت‌ها لینک‌های مگنت دانلود تورنت جعلی و چندین آگهی ارائه شده در پس‌زمینه صفحات را به صورت انباشته ارائه می‌دهند. آن‌ها این اطمینان را حاصل می‌کنند که با کلیک بر روی یک تبلیغ، چندین آگهی مخفی و احتمالاً مخرب ایجاد می‌شود. علاوه بر این، وب‌سایت‌ها فایل‌های تورنت مصنوعی را ارائه می‌کنند که فایل‌های مخرب جاوا اسکریپت را منتشر می‌کنند.

اهمیت این فعالیت‌ها در چیست؟
فایل‌های مخرب جاوا اسکریپت برای شناسایی کاربران، ثبت فعالیت‌های آن‌ها و ارائه تبلیغات مزاحم به آن‌ها استفاده می‌شود. این می‌تواند برای استخراج داده‌های شخصی قربانی، ایجاد backdoor به سیستم آلوده، یا نصب باج‌افزار، در میان سایر فعالیت‌های مخرب، مورد استفاده قرار می‌گیرد. کمپین‌های بدافزار در سایت‌های تورنت جعلی گسترده شده‌اند زیرا مهاجمان به راحتی می‌توانند دانلود‌ها را قانونی و حقیقی جلوه دهند. از آنجایی که باز کردن یک فایل تورنت مستلزم ارائه مجوز از سوی کاربر است، برخی ممکن است سهوا بدون اینکه متوجه شوند چه چیزی به آن‌ها ضربه‌زده است، بدافزار را دانلود کنند.

چرا سایت‌های تورنت؟
کلاهبرداران همچنین می‌توانند از شبکه‌های تبلیغاتی قانونی برای گسترش کمپین‌های تبلیغات بد و نمایش تبلیغات مخرب در سایت‌های معروف استفاده کنند.

در حالی که آن‌ها را می‌توان در هر نوع وب سایتی ارائه کرد، سایت‌های تورنت محبوب‌ترین گزینه هستند زیرا این سایت‌ها به عنوان دروازه‌ای برای فایل‌های غیرقانونی در بازار سیاه عمل می‌کنند. علاوه بر این، سایت‌های تورنت در مقایسه با وب‌سایت‌های دیگر، از نفوذ بیشتری در میان کاربران برخوردار هستند.

نتیجه‌گیری
متأسفانه برای خنثی کردن سایت‌های تورنت تقلبی کار زیادی نمی‌توان انجام داد. با این حال، یادگیری در مورد ایمنی آنلاین و اجرای برنامه‌های adblocker و آنتی ویروس قابل اعتماد می‌تواند کمک زیادی به محافظت از کاربران کند. علاوه بر این، مطمئن‌ترین راه برای ایمن ماندن این است که کاربران تبلیغات را با دقت بخوانند و از کلیک روی لینک‌های مشکوک خودداری نمایند.

بیشتر بخوانید

آسیب‌های جبران‌ناپذیر جرایم سایبری خارج از کنترل در دنیای واقعی

باج‌افزار‌ها و حملات آنلاین می‌توانند منجر به عواقب مرگبار در دنیای واقعی شوند. دولت‌ها باید در پاسخ به مشکلات، حضور فعالتری در این عرصه داشته باشند.

در سال ۲۰۲۲، حوادث سایبری باعث اختلال واقعی و پایدار در آسایش روزمره ما خواهد شد که حتی شاید بتواند مردم را به مسیر مرگ بکشاند. این به دلیل پیشرفت ژئوپلیتیکی بزرگی نیست، بلکه به این دلیل است که گروهی از جنایتکاران نیمه پیچیده، سازمان یافته و عمدتاً روسی به طور فزاینده‌ای از کنترل خارج شده‌اند.

چند سالی است که ترکیبی عجیب از هالیوود و مجموعه نظامی_صنعتی به ما می‌گوید که حملات سایبری تهدیدی وجودی برای بشریت است، اما واقعیت چیز دیگری بوده است. آسیب‌های سایبری که توسط افراد مخرب تحمیل می‌شود بسیار جدی است، اما عمدتاً به روش‌های نفوذی و برنده و عمدتاً نامرئی انجام می‌شوند. نزدیک‌ترین مورد، افراد عادی هستند که در مواجهه با «حمله سایبری» یا مقدار کمی پول از دست می‌دهند و یا نامه‌ای از شرکت که با آن تجارت می‌کنند دریافت می‌نمایند که به آن‌ها می‌گویند برخی از داده‌های شخصی که ارزش آن را نمی‌دانند، توسط افرادی در قاره دیگری که هیچکس واقعاً هویت آن‌ها را نمی‌داند، به سرقت رفته است. یک استثنای عجیب وجود دارد (به عنوان مثال، دولت روسیه علاقه زیادی به ضربه زدن به اوکراین دارد) اما برای اکثر مردم در بیشتر کشور‌ها، حملات سایبری چندان مورد توجه قرار نگرفته است.

اما این حالت تغییر خواهد کرد، زیرا مجرمان سایبری به طور فزاینده‌ای به روش‌هایی حمله می‌کنند که عواقب بسیار آسیب‌رسان‌تر و قابل مشاهده‌تری دارند. در نیمه اول سال ۲۰۲۱، اختلال در خط لوله Colonial Pipeline در ایالات متحده باعث خالی شدن دو سوم پمپ بنزین‌ها در کارولینای جنوبی شد که باعث اوجگیری وحشت و تمام خطرات ناشی از آن شد. غذا‌های تازه در مقادیر زیادی در سوئد به این دلیل که مغازه‌های سوپرمارکت کار نمی‌کردند به افراد داده می‌شد. مدارس در نیوزلند و بریتانیا آسیب دیدند. خطرناکتر از همه، مراقبت‌های بهداشتی مورد هدف قرار گرفت. در ماه می‌، کل سرویس بهداشتی ایرلند برای هفته‌ها فلج شد و در طول بهار و تابستان ده‌ها بیمارستان در اروپا و ایالات متحده به دلیل حملات باج‌افزاری از دریافت خدمات سیستم‌های حیاتی محروم شدند.

در ماه ژوئن، حملات سایبری در نشست سالانه کشور‌های G7 در کرنوال در دستور کار قرار گرفت و بسیاری از بزرگان صنعت امنیت سایبری‌ امیدوار بودند که این مسأله همراه با مقابله جو بایدن با ولادیمیر پوتین به دلیل پناه دادن به جنایتکاران در خاک روسیه، جریان را تغییر دهد. با این حال، بعید است که این اتفاق بیفتد، زیرا ما هنوز تقریباً هیچ راهی برای مجازات مجرمان سایبری نداریم.

پس از یک سکون کوتاه مدت، فعالیت باج‌افزار‌ها در سال ۲۰۲۱ ادامه یافت و خطر کمتری را در پی نداشت. علیرغم توجه جهانی به فعالیت‌های آن‌ها، فقدان تحریم‌های قابل قبول، این جرات را به جنایتکاران داده است تا به مراکزی از جمله به مراکز مراقبت از کودکان و بیمارستان‌ها در ایالات متحده و سیستم رزرو واکسن کووید در داخل و اطراف رم حمله کنند. بدتر از آن این است که، توجه سیاسی به این مشکلات سایبری در حال کاهش است.

در آینده‌ای نزدیک، دولت‌ها، بازرسان و محققان باید از خود حضور بیشتری نشان دهند. حملات باج افزار، حملاتی سودآور برای مهاجمین هستند. در سال ۲۰۲۱، گروه هکر‌های DarkSide که خط لوله Colonial Pipeline را غیرفعال کردند، تنها در ۹ ماه حداقل ۹۰ میلیون دلار (۶۶ میلیون پوند) درآمد کسب کردند. Emisoft، یک شرکت امنیت سایبری، مجموع پرداخت باج در سال ۲۰۲۰ را حداقل ۱۸ میلیارد دلار محاسبه کرده است. و این بدان معناست که مهاجمان در مورد ایجاد صدمات فیزیکی واقعی تردید‌های کمتری دارند. هیچ مدرک مستقیمی وجود ندارد که نشان دهد کسی در نتیجه حملات سایبری امسال به بیمارستان‌ها جان خود را از دست داده است. اما جلوگیری از دریافت واکسن توسط افراد همچنان یک عمل خشونت‌آمیز است، حتی اگر از راه دور توسط رایانه انجام شود. در سال ۲۰۲۲، زمانی که آن چهره‌های مخفی که در پشت صفحه نمایش خود پنهان شده‌اند، باعث صدمه یا مرگ واقعی انسان شوند، زمانیست که آسیب بزرگ و فیزیکی از اعمال سایبری بروز پیدا خواهند کرد.

بیشتر بخوانید

آلودگی هزاران کاربر QNAP به باج‌افزار DeadBolt

به گزارش infosecurity magazine ، هزاران کاربر QNAP تأمین‌کننده استوریج متصل به شبکه (NAS)، به یک نوع باج‌افزار جدید آلوده شده‌اند.

مجموعه QNAP که مرکز آن در تایوان است، این هفته گفت که مشتریان و کاربران باید فوراً سیستم‌های خود را به آخرین نسخه سیستم‌عامل‌های QTS ارتقا دهند و برای کاهش مخاطرات این کمپین اقداماتی را برای قطع دستگاه‌ها از اینترنت انجام دهند.

این باج‌افزار جدید که «DeadBolt» نامیده می‌شود، در ازای ارائه یک کلید رمزگشایی، 0.03 بیت‌کوین (۱۱۰۰ دلار) مطالبه می‌کند.

در این اطلاعیه آمده است: “این یک حمله شخصی نیست. شما به دلیل امنیت ناکافی ارائه شده توسط فروشنده خود (QNAP) هدف قرار گرفته اید”.

شرکت اینونتوری Censys هفته گذشته ادعا کرد که حدود ۵۰۰۰ دستگاه از این دست تحت تأثیر این باج‌افزار قرار گرفته‌اند، اگرچه این تعداد، از مجموع ۱۳۰۰۰۰ دستگاه در سراسر جهان می‌باشد.

جالب اینجاست که تأمین‌کننده مشاهده کرده که تعداد آلودگی‌ها به شکل قابل ملاحظه‌ای بین ۲۶ و ۲۷ ژانویه به شدت کاهش یافت.

در این بیانیه آمده است: «در طول شب، تعداد سرویس‌های باج‌افزار DeadBolt حدود ۱۰۶۱ مورد کاهش یافت و به ۳۹۲۷ سرویس آلوده در دسترس اینترنت عمومی رسید».

دلیل دقیق این کاهش در حال حاضر مشخص نیست و ما به نظارت بر وضعیت ادامه می‌دهیم. اما اوایل امروز، Malwarebytes گزارش داد که QNAP یک بروزرسانی خودکار اجباری را برای سیستم عامل مبتنی بر لینوکس خود به نام QTS برای رفع این آسیب‌پذیری منتشر کرده است. این بروزرسانی ظاهراً فایل اجرایی باج‌افزار را حذف کرد و تغییرات اینترفیس وب ایجاد شده توسط باج‌افزار را به حالت قبل باز می‌گرداند.

اخاذی‌ها از QNAP به آن‌ها این فرصت را داده بودند تا معادل ۵۰ بیت کوین (1.8 میلیون دلار) را برای رمزگشایی تمام داده‌های مشتری بپردازند، اما به نظر نمی‌رسد که آن‌ها به این خواسته‌ها تن داده باشند.

بیشتر بخوانید