5 نشانه هک شدن سایت وردپرس شما (و نحوه رفع آن)

در حال حاضر، بیش از 455 میلیون وب‌سایت با وردپرس طراحی شده‌اند که این واقعیت را نشان می‌دهد که سیستم مدیریت محتوای منبع باز یک هدف سودآور برای مجرمان سایبری است و چرا امنیت باید اولویت اصلی کاربران WP باشد .

بله ، نشانه هایی وجود دارد که نشان می دهد وردپرس یا هر وب سایت شما هک شده است ، و راه هایی برای رفع آن وجود دارد . این مقاله پنج راه را ارائه می دهد که می توانید متوجه شوید که وب سایت شما هک شده است یا خیر، و سپس چند راه برای حل هک ارائه می دهد .

به یاد داشته باشید که یک مهاجم مخرب راه های مختلفی برای دسترسی دارد. ممکن است یک بدافزار یا یک پلاگین شرور باشد ، اما ممکن است چیز شوم تری باشد ، مثلاً ایمیل شما هک شده باشد یا گوشی هوشمند/ رایانه شما دارای نرم افزارهای جاسوسی باشد . در اینجا چند نشانه وجود دارد که نشان می دهد وب سایت شما هک شده است .

 1-شما نمی توانید وارد حساب کاربری خود شوید
اگر نمی توانید وارد حساب کاربری خود شوید ، این یک نشانه کلاسیک است که نشان می دهد شما هک شده اید . با این حال ، علیرغم اینکه یک نشانه کلاسیک است ، یکی از کمترین موارد رایج است . بسیاری از هکرها نمی خواهند شما متوجه شوید که هک شده اید . این به آن‌ها اجازه می‌دهد اطلاعات مشتری شما را جمع‌آوری کنند و / یا شما را در وب‌سایت خود نگه می‌دارند تا بتوانند به بهره‌برداری از آن ادامه دهند .

2-پرونده ها و اسکریپت های ناشناخته
برای کسانی از شما که از برنامه نویسی اطلاع دارید ، ممکن است بتوانید وب سایت خود را از هرگونه بدافزار و خطرات امنیتی پاک کنید . اگر مهارت دارید ، می توانید به کد وردپرس خود نگاه کنید ، ممکن است اسکریپت های ناشناخته و پرونده های احتمالاً ناشناخته را در وردپرس خود مشاهده کنید . این اغلب به دلیل افزونه های ناعادلانه است که پرونده های خود را پشت سر می گذارند که ممکن است توسط هکرها یا سایر بدافزارها در تاریخ بعدی استفاده شود .

3-وب سایت شما کند شد
این سیگنالی است که شخصی به دلایل ناعادلانه از وب سایت شما استفاده می کند. این می تواند هر چیزی باشد ، از افرادی که از تصاویر شما و از پهنای باند خود استفاده می کنند ، تا افراد اسپم شده از وب سایت Google Safe شما به یکی از موارد ناخوشایند خود هدایت شوند .

یکی دیگر از دلایلی که وب سایت شما ممکن است برای بارگیری بسیار طولانی تر از حد معمول طول بکشد این است که ممکن است به خطر بیفتد و به عنوان بخشی از یک بات نت در مقیاس بزرگتر استفاده شود . در سال 2018 ، محققان 20،000 وب سایت به خطر افتاده وردپرس را که به عنوان یک بات نت برای انجام حملات سایبری کار می کردند ، شناسایی کردند .

4-موارد عجیب و غریب در وب سایت شما
یک ترفند احمقانه این است که پاپ آپ را به وب سایت خود اضافه کنید . این احمقانه است زیرا شما را به هک هشدار می دهد و باعث واکنش شما می شود . در واقعیت ، آنها پیوندهایی به وب سایت های اسپم اضافه می کنند که بینندگان بی گناه شما از بین می روند . پس از مدتی به دلیل داشتن یک وب سایت مشکوک توسط موتورهای جستجو ممنوع می شوید .

5-درآمد ترافیک یا وابسته شما کاهش یافته است
این یکی دیگر از نشانه های کلاسیک است که نشان می دهد وب سایت شما هک شده است . مهاجم از ترافیک شما و شاید حتی پول وابسته شما برای اهداف خود استفاده می کند . اغلب ، این رفتارهای عجیب و غریب در تجزیه و تحلیل شما است که به شما در مورد هک وردپرس هشدار می دهد .

چطوری میشه اینو تعمیر کرد
اول از همه ، شما باید منبع حمله را شناسایی کنید . اگر نه ، می توانید گزارش های دسترسی سرور خود را بررسی کنید. هنگامی که می دانید حمله از کجا آمده است ، می توانید اقداماتی را برای مسدود کردن آن آدرس IP انجام دهید .

سپس باید شروع به تغییر رمز عبور خود – برای حساب وردپرس خود و همچنین هر FTP یا حساب های میزبانی مرتبط با سایت خود کنید . حتما از رمزهای عبور قوی استفاده کنید که حدس زدن آن ها دشوار است .

علاوه بر این ، می‌توانید ایمیل اصلی وردپرس را فقط در صورت بروز مشکل تغییر دهید . باید افزونه های خود را مرور کنید تا متوجه شوید که آیا یکی از آنها باعث ایجاد مشکل شده است یا خیر . اگر افزونه امنیتی نصب کرده اید، لاگ های آن را بررسی کنید تا ببینید آیا سرنخ هایی وجود دارد یا خیر .

شما باید از طریق افرادی که به آنها مجوز داده اید بروید ، زیرا ممکن است درگیر یک کلاهبرداری وردپرس یا یک وب سایت جعلی شده باشند و ناآگاهانه اطلاعات خود را از دست داده باشند. همچنین ممکن است لازم باشد به میزبان وب خود نیز مشکوک شوید زیرا آنها اغلب هک می شوند یا اطلاعات مشتری را به صورت آنلاین بدون هیچ گونه احراز هویت امنیتی افشا می کنند.

اگر هنوز مطمئن نیستید با یک شرکت امنیتی وب سایت مانند Sucuri یا سرویسی مانند WP Masters تماس بگیرید تا به آنها اجازه دهید در وب سایت شما اجرا شوند ، آن را تعمیر کنند ، هکرها را حذف کنند، بدافزار را حذف کنند و کنترل کامل بر وب سایت خود را دوباره به دست آورند. این اغلب تنها راه قطعی برای بازگرداندن کنترل کامل وب سایت شما است . در نهایت ، باید هر کد مخربی که ممکن است به سایت شما تزریق شده باشد را پاک کنید .

بیشتر بخوانید
irsasafe ۱۴۰۱-۰۶-۰۷ 0 دیدگاه

آسیب‌پذیری صد‌ها هزار روتر نسبت به حملات از راه دور بعلت نقص Realtek SDK

یک آسیب‌پذیری جدی که بر روی eCos SDK ساخته شده توسط شرکت سمی‌کانداکتور تایوانی Realtek تأثیر می‌گذارد ، می‌تواند دستگاه‌های شبکه بسیاری از تأمین‌ کنندگان را در معرض حملات از راه دور قرار دهد .

این حفره امنیتی که تحت عنوان CVE-2022-27255 ردیابی می‌شود و دارای درجه «شدت بالا» است ، به‌عنوان یک سرریز بافر مبتنی بر استک توصیف شده است که می‌تواند به مهاجم راه دور اجازه دهد تا در دستگاه‌هایی که از SDK استفاده می‌کنند ، خرابی ایجاد کند یا به اجرای کد دلخواه دست یابد . یک چنین حمله‌ای را می‌توان از طریق رابط WAN با استفاده از پکت‌های SIP ساخته و طراحی شده ، انجام داد .

اساساً Realtek eCos SDK به شرکت‌هایی ارائه می‌شود که روتر‌ها ، اکسس پوینت‌ها و ریپیتر‌هایی که توسط SoC‌های خانواده RTL819x تولید می‌کنند ، ارائه می‌شود . SDK عملکرد‌های پایه روتر ، از جمله اینترفیس مدیریت وب و استک شبکه را پیاده‌ سازی می‌کند . تأمین‌کنندگان می‌توانند در ادامه آن این SDK را ایجاد کنند تا عملکرد‌های سفارشی و نام تجاری خود را به دستگاه اضافه کنند .

مجموعه Realtek در ماه مارس و زمانی که انتشار یک پچ را اعلام کرد ، مشتریان را در مورد آسیب‌پذیری eCos SDK مطلع کرد . با این حال ، این مربوط به OEM‌هایی است که از SDK استفاده می‌کنند تا اطمینان حاصل کنند که پچ در دستگاه‌های کاربر نهایی توزیع می‌شود .

یافته محققین شرکت امنیت سایبری فارادی سکیوریتی مستقر در آرژانتین توسط Realtek برای کشف این آسیب‌پذیری تأیید شده است . محقق فارادی ، اکتاویو جیاناتیمپو ، که در حال ارائه جزئیات یافته‌ها در روز جمعه در کنفرانس DEF CON در لاس وگاس است ، قبل از این رویداد اطلاعاتی را با خبرگزاری‌های حوزه امنیت سایبری به اشتراک گذاشت .

این محقق گفت که این آسیب‌پذیری می‌تواند از راه دور (مستقیماً از اینترنت) برای هک کردن روتر‌های آسیب‌دیده که با تنظیمات پیش‌فرض اجرا می‌شوند مورد سواستفاده قرار گیرد . و نکته قابل توجه اینکه هیچ تعامل کاربری برای بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری مورد نیاز نیست .

وی توضیح داد : «کد آسیب‌پذیر بخشی از استک شبکه است که اگر دستگاه به اینترنت متصل باشد ، مهاجم فقط باید یک پکت ارسال کند تا کنترل دستگاه را در دست بگیرد .»

جیاناتیمپو گفت که آن‌ها تقریباً ۲۰ تأمین‌کننده را شناسایی کرده‌اند که از SDK آسیب‌پذیر برای محصولات خود استفاده می‌کنند ، از جمله Tenda ، Nexxt ، Intelbras و  D-Link . با این حال ، ممکن است تأمین‌کنندگان دیگری نیز وجود داشته باشند که تحت تأثیر این آسیب‌پذیری هستند اما هنوز آن‌ها شناسایی نشده‌اند .

جیاناتیمپو خاطرنشان کرد : «فرآیند شناسایی محصولات OEM آسیب‌دیده به دلیل عدم رؤیت زنجیره تأمین آن‌ها ، بسیار نگران‌کننده است .»

در حالی که هیچ نشانه‌ای مبنی بر سواستفاده از این نقص در فضای سایبری وجود ندارد ، ممکن است تعداد قابل توجهی از دستگاه‌ها به دلیل این آسیب‌پذیری در معرض حملات قرار گیرند ، بنابراین چنین مشکلی ممکن است برای عاملان مخرب بسیار وسوسه‌انگیز باشد .

فارادی جستجوی Shodan را انجام داده و بیش از ۶۰۰۰۰ روتر آسیب‌پذیر را شناسایی کرده است که پنل مدیریت آن‌ها در معرض دید قرار گرفته است . علاوه بر این ، Mercadolibre ، بزرگترین سایت تجارت الکترونیک در آمریکای لاتین ، بر اساس پیشخوان فروش نمایش داده شده در صفحات محصول، ۱۳۰۰۰۰ دستگاه تحت تأثیر این آسیب‌پذیری را فروخته است . همچنین آنطور که در گزارش ها مشاهده گردیده ، ایران نیز در بین مخاطبان این آسیب پذیری قرار دارد .

جیاناتیمپو توضیح داد : «پنل ادمین به طور پیش فرض فعال نیست، بنابراین تعداد کل دستگاه‌های در معرض نمایش باید بیشتر باشد . شناسایی از راه دور روتر‌های آسیب‌دیده مستلزم راه‌اندازی این آسیب‌پذیری است که خارج از محدوده تحقیقاتی ما است .»

عوامل تهدید برای هدف قرار دادن آسیب‌پذیری‌های Realtek SDK در حملات خود شناخته شده‌اند . سال گذشته نیز محققان بهره‌برداری از یک نقص را تنها چند روز پس از افشای آن مشاهده کردند .

بیشتر بخوانید
irsasafe ۱۴۰۱-۰۵-۲۶ 0 دیدگاه

سواستفاده هکر‌های چینی از باگ zero-day در فایروال سوفوس

هکر‌های چینی از یک اکسپلویت روز صفر (zero-day) برای یک آسیب‌پذیری با شدت بحرانی در فایروال سوفوس سواستفاده می‌کنند. آن‌ها یک شرکت بزرگ را به خطر انداخته و به سرور‌های وب میزبانی شده در فضای ابری که توسط قربانی مدیریت می‌شد، نفوذ کردند.

سواستفاده از روز صفر

مجموعه Volexity یک حمله از یک گروه APT چینی را فاش کرد که تحت عنوان DriftingCloud معرفی شده است. عامل تهدید از اوایل ماه مارس، فقط سه هفته قبل از انتشار یک پچ توسط Sophos، از نقص CVE-۲۰۲۲-۱۰۴۰ RCE سواستفاده کرده است.

در ماه مارس، Sophos یک توصیه امنیتی درباره این نقص RCE منتشر کرد که بر پورتال کاربر و وب‌ادمین فایروال Sophos تأثیر می‌گذارد.

سه روز بعد، این تأمین‌کننده فایروال هشدار داد و فاش کرد که مجرمان سایبری از این نقص امنیتی برای هدف قرار دادن سازمان‌های مختلف در آسیا سواستفاده می‌کنند.

مهاجمان از نقص‌های روز صفر برای به خطر انداختن فایروال برای نصب webshell backdoors و بدافزار‌ها برای فعال کردن سیستم‌های بیرونی خارج از شبکه محافظت شده توسط Sophos Firewall سواستفاده نمودند.

اطلاعات بیشتر

مهاجم از فریمورک Behinder استفاده می‌کرده که گمان می‌رود توسط سایر گروه‌های APT چینی که از نقص CVE-۲۰۲۲-۲۶۱۳۴ در سرور‌های Confluence استفاده می‌کردند، استفاده می‌شد.

دسترسی به فایروال Sophos اولین گام در حمله است که با تغییر پاسخ‌های DNS برای وب سایت‌های خاص شرکت‌های قربانی، حمله Man-in-the-Middle (MitM) را فعال می‌کند.

مهاجم با استفاده از کوکی‌های سِشِن به سرقت رفته با موفقیت به صفحات مدیریت CMS دسترسی پیدا می‌کند و متعاقباً یک افزونه مدیریت فایل را برای دستکاری فایل‌ها در وب‌سایت نصب می‌کند.

راه حل
سوفوس این نقص را برطرف کرده و اقدامات کاهشی و ضروری را برای کمک به سازمان‌ها در استفاده از فایروال و محافظت در برابر عوامل تهدید که از آسیب‌پذیری سواستفاده می‌کنند، ارائه کرد.

بیشتر بخوانید
a.fayyazi ۱۴۰۱-۰۳-۳۱ 0 دیدگاه

تاکتیک‌های اساسی برای محافظت از اکوسیستم‌های‌ ایمیل

از آنجایی که امنیت‌ ایمیل یک چشم انداز همیشه در حال تغییر است، تمرکز بر مرتبط‌ترین مسائل در چشم انداز تهدید، جایی است که سازمان‌ها باید از آن شروع کنند.

بنابراین، کدام تاکتیک‌های‌ ایمیل مرتبط‌ترین و مبرم‌ترین مسائلی هستند که باید روی آن تمرکز کنیم؟ بر اساس بینش‌های Cofense، این سه نوع حمله از سال ۲۰۲۱ رایج‌ترین آن‌ها بوده‌اند:

• فیشینگ اعتبارنامه
• به خطر انداختن‌ ایمیل تجاری (BEC)
• بدافزار‌ها

به گفته تحلیلگران مرکز دفاع فیشینگ Cofense، فیشینگ اعتبارنامه، حدود ۷۰ درصد از تمام حملات را تشکیل می‌دهد که BEC با ۷ درصد پشت سر این حملات قرار می‌گیرد و بدافزار (به همراه چند مورد دیگر) بقیه موارد را تشکیل می‌دهند. وقتی به آن اعداد نگاه می‌کنید و آن‌ها را با مواردی که در طول یک حمله فیشینگ اعتبارنامه موفقیت‌آمیز کنار گذاشته می‌شوند ترکیب می‌کنید، مشخص می‌شود که توقف حملات اعتبارنامه‌ای باید در اولویت باشد. این بدان معنا نیست که توقف حملات BEC و بدافزار مهم نیست، بلکه قطعاً مهم هستند. حملات موفق، مانند حملات باج‌افزاری، اغلب برای مهاجم بسیار سودآور و برای قربانی بسیار دردناک و پرخطر هستند.

برای هر سه این حملات، چند تاکتیک اساسی وجود دارد که سازمان‌ها باید اتخاذ کرده تا اطمینان حاصل کنند که از اکوسیستم‌ ایمیل خود محافظت می‌نمایند.

آموزش کاربران
حملات فیشینگ اعتبارنامه به دنبال سرقت نام‌های کاربری و رمز‌های عبور هستند و اغلب با استفاده از نمایش‌های جعلی از صفحات ورود واقعی انجام می‌شوند. بنابراین آموزش کاربران بسیار مهم بوده و اولین و بهترین گام برای ایمن نگه داشتن یک شرکت است. آموزش در زمینه تجارت واقعی بسیار کلیدی است، زیرا در صنعت تمایل بیشتری به تمرکز بر حجم نسبت به کیفیت وجود دارد. به عبارت دیگر، وقت کارمندان خود را با شبیه‌سازی‌های آموزشی که مرتبط نیستند تلف نکنید و به جای آن مستقیماً به سراغ آنچه که باید بدانند بروید.

این مسأله در مورد تهدیدات BEC و بدافزار نیز صادق است. پیوست‌های طرف‌های ناشناس خارجی همیشه مشکوک هستند و کسی که از طرف یکی از مدیران شرکت درخواست کارت‌های هدیه، حواله‌های وایری، کلاهبرداری‌های عاشقانه یا سایر تراکنش‌های مالی می‌کند، هرگز نباید بررسی و دانلود شود. تمام این انواع حملات در وهله اول توسط کارکنان آموزش داده می‌شود.

گزارش‌دهی
رویکرد دوم این است که اطمینان حاصل شود که کارمندان می‌توانند با مشاهده یک تهدید، آن را گزارش کنند. مرکز عملیات امنیتی شما (SOC) نمی‌تواند به آنچه که نمی‌بیند پاسخ دهد، بنابراین یک قابلیت گزارش‌دهی به SOC شما این امکان را می‌دهد تا دید مورد نیاز را به آنچه از طریق‌ ایمیل برای شما ارسال می‌شود داشته باشد. قابلیت‌های گزارش‌دهی حیاتی هستند، بنابراین یکی را انتخاب کنید که به راحتی استقرار یابد، از طیف وسیعی از پلتفرم‌ها در سازمان شما پشتیبانی کند، بتواند در هنگام گزارش شبیه‌سازی به کاربران بازخورد ارائه کند، و مهمتر از همه، ‌ ایمیل کامل را برای تجزیه و تحلیل به باکس سواستفاده‌های SOC ارائه دهد.

پاسخ سریع
رویکرد سوم ایجاد یک قابلیت واکنش سریع است که به شما امکان می‌دهد یک تهدید واقعی را جهت‌گیری کنید و به سرعت به آن پاسخ دهید. اگر هم بتوانید “عامل مخرب و بد” را شناسایی کنید و هم به “عامل مخرب و بد” پاسخ دهید، بنابراین تهدید را خنثی یا محدود کنید، سازمان خود را از یک حمله نجات داده‌اید. این فقط به گزارشگر یک‌ ایمیل بالقوه مخرب محدود نمی‌شود، بلکه به همه گیرندگان آن‌ ایمیل مربوط می‌شود. اکثر حملات بیش از یک‌ ایمیل را به یک شرکت ارسال می‌کنند، بنابراین اگر یکی از آن‌ها را پیدا کرده‌اید، احتمالاً‌ ایمیل بیشتری در راه دارید. یافتن‌ ایمیل‌های دیگر زمانی مهم است که نخواهید تهدیدی در صندوق ورودی کاربران وجود داشته باشد.

تجزیه و تحلیل پس از دریافت
در نهایت، قابلیت‌های موقعیت‌یابی که می‌توانند تکامل یابند و تهدید‌ها را بطور فعال شناسایی کنند، خطر را حتی بیشتر کاهش می‌دهد. دروازه‌های‌ ایمیل امن (Secure Email Gateway) یا SEG‌ها، یکی از روش‌ها هستند، اما ما به طور مداوم می‌بینیم که تهدید‌ها از این دروازه‌ها عبور می‌کنند، بنابراین نیاز به تجزیه و تحلیل و قابلیت‌های پاسخ پس از تحویل را الزامی می‌کنند. هر SEG موجود در بازار امروز دارای نقاط ضعفی است.

به‌طور سنتی، شرکت‌ها SEG‌ها را به‌صورت سری روی هم قرار می‌دهند تا احتمال شناسایی یک تهدید را افزایش دهند؛ که یک راه حل تجزیه و تحلیل پس از تحویل، که با دانش درباره آنچه در تمام SEG‌ها وجود دارد، از نظر عملکردی مؤثرتر و همچنین مقرون به صرفه‌تر است.

درک رایج‌ترین تهدید‌ها برای تعیین محل مصرف انرژی و منابع محدود، بسیار مهم است. همه انواع حملات‌ ایمیل خطرناک هستند، اما با آموزش، گزارش، تجزیه و تحلیل، شناسایی و پاسخ به خوبی اجرا شده، خطر تسلیم شدن در برابر هر یک از رویکرد‌های حمله‌ ایمیلی که در مورد آن صحبت کردیم را می‌توان کاهش داد.

بیشتر بخوانید
a.fayyazi ۱۴۰۱-۰۲-۳۱ 0 دیدگاه

هشدار گروه هکری « Anonymous » به شرکت‌های فعال در روسیه

هشدار گروه هکری « انانیموس » در خصوص قطع فعالیت خود به شرکت‌های فعال در روسیه.

۴۸ ساعت فرصت دارید تا روسیه را ترک کنید.

گروه هکری « Anonymous » که ترجمه فارسی آن «ناشناس» می‌شود به شرکت‌هایی که همچنان در روسیه به فعالیت خود ادامه می‌دهند اخطار داد که در صورت عدم ترک روسیه، وب‌سایت‌های مرتبط به آن‌ها را هک خواهند کرد . شرکت هایی همچون Nestle , Citrix , Burger King و …

این گروه هکری تاکنون چندین سازمان دولتی روسیه را هدف حملات هکری قرار داده و پیش تر اسناد سازمان‌های دولتی روسیه را که درباره جنگ اوکراین به دست آورده بود را منتشر کرده است.
این گروه به این شرکت‌ها ۴۸ ساعت فرصت داده است و هشدار داده در صورت عدم ترک در انتظار حملات هکری به وب‌سایت‌های خود باشند.

شرکت نستله پس از فشارهایی که به دلیل فعالیت در روسیه بر این شرکت وارد شده روز چهارشنبه اعلام کرد که برخی از فعالیت‌های غیر ضروری خود در روسیه را به حالت تعلیق در می‌آورد. سهام این شرکت پس از انتقادهای گسترده ۱/۳ درصد افت کرد

بیشتر بخوانید
a.fayyazi ۱۴۰۱-۰۱-۰۳ 0 دیدگاه

چرا هرگز نباید از یک پروکسی سرور رایگان استفاده کنید

برخی از وب سایت‌ها می‌توانند محتوای خود را برای مخاطبان در مکان‌های جغرافیایی خاص محدود کنند. برای غلبه بر مسدودسازی، ممکن است از یک سرور پراکسی یا شبکه خصوصی مجازی (VPN) استفاده کنید. آن‌ها درخواست وب شما را پردازش می‌کنند و آن‌ها را از طریق سرور‌های مختلف در مکان‌های مجاز هدایت می‌نمایند.

اما این لزوماً امن‌ترین راه برای وبگردی نیست. افرادی که پشت آن سرور‌ها هستند ممکن است یک هانی پات برای رهگیری داده‌های شما راه‌اندازی کنند. بنابراین، شما از یک لیست پروکسی امن و رایگان برای حفظ امنیت و ناشناس بودن به طور همزمان استفاده می‌کنید.

هانی پاتینگ یا Honeypotting چیست؟
هانی پات طعمه‌ای برای فریب مهاجمان احتمالی است. اغلب از honey potting برای شناسایی هکر‌ها، دفاع از سیستم در برابر حملات و یافتن آسیب‌پذیری‌های سیستم استفاده می‌شود.

در این فرآیند، یک کامپیوتر یا شبکه مشابه شبکه واقعی راه‌اندازی می‌شود. اما این یک سیستم ایزوله است که به دقت نظارت می‌شود. هنگامی که هکر‌ها این شبکه را به عنوان یک کندوی بالقوه پر از شهد هدف قرار می‌دهند، اطلاعات مربوط به پارامتر‌های مختلف جمع‌آوری می‌شود تا هویت آن‌ها آشکار شود و تهدید‌ها مشخص شوند.

سازمان‌های مجری قانون از این ترفند برای ردیابی آدرس‌های IP و مکان هکر‌ها استفاده می‌کنند. شرکت‌ها از honey potting برای یافتن آسیب‌پذیری‌های سیستم خود و توسعه امنیت کلی سیستم در برابر حملات مشابه استفاده می‌کنند.

هنگامی که از یک سرور پراکسی رایگان استفاده می‌کنید نیز همین اتفاق می‌افتد. هر زمان که درخواستی را از طریق یک سرور پراکسی ارسال می‌کنید، اغلب داده‌ها را در میانه راه رهگیری می‌کند و حتی می‌تواند آن‌ها را دستکاری کند.

نشت داده‌ها بزرگترین تهدید استفاده از یک سرور پراکسی رایگان است. سرور بین شما و وب سرور مورد نظر می‌تواند اطلاعات مهمی را در مورد شما و سیستم شما نشت و نشر دهد.

آیا سرور‌های پروکسی رایگان واقعاً رایگان هستند؟
هیچ چیز در این دنیا رایگان نیست. ممکن است یک سرور پراکسی رایگان به صورت آنلاین پیدا کنید و فکر کنید کسی آن را برای کمک به افراد راه‌اندازی کرده است. اما هرگز اینطور نیست. از سرور‌های پروکسی برای جذب شما به شبکه و جمع‌آوری اطلاعات در مورد شما استفاده می‌شود.

اگر هنگام استفاده از سرور‌های پراکسی، نوار آدرس مرورگر خود را از نزدیک تماشا کنید، خواهید دید که سرور پروکسی به جای HTTPS از اتصالات HTTP استفاده می‌کند. این یعنی چی؟

اتصالات HTTPS داده‌های شما را رمزگذاری می‌کنند، بنابراین هیچ کس نمی‌تواند آن‌ها را در راه ربوده باشد. اما اتصالات HTTP داده‌های رمزگذاری نشده را ارسال می‌کنند که به راحتی می‌توان آن‌ها را ربوده و در میانه راه دستکاری کرد.

ارائه‌دهندگان خدمات پروکسی این اطلاعات را جمع‌آوری می‌کنند و از آن‌ها برای نقشه‌برداری فعالیت آنلاین شما برای نمایش تبلیغات هدفمند استفاده می‌کنند. آن‌ها حتی می‌توانند کد HTML یا جاوا اسکریپت وب سایت شما را برای نمایش تبلیغات تغییر دهند.

اما همه چیز به اینجا ختم نمی‌شود. اگر شخص شرور و مهاجم سرور پروکسی را میزبانی کند، می‌تواند اطلاعات حساسی مانند رمز عبور، اطلاعات بانکی یا اطلاعات کارت اعتباری شما را بدزدد و از طرف شما فعالیت‌های کلاهبرداری انجام دهد.

رایانه شما همچنین می‌تواند به عنوان بخشی از سرور پروکسی بدون رضایت شما مورد استفاده قرار گیرد. همه این‌ها فقط به یک چیز اشاره دارد. سرور‌های پروکسی رایگان در واقع رایگان نیستند. آن‌ها برای شما هزینه امنیتی دارند!

آیا همه پروکسی‌های رایگان بد هستند؟
اگرچه اکثر سرور‌های پروکسی رایگان قابل اعتماد نیستند، اما همچنان می‌توانید سرور‌های پراکسی رایگانی را پیدا کنید که اطلاعات شما را به سرقت نبرند یا سیستم شما را در برابر حملات آسیب‌پذیر نکنند.

اما این پروکسی‌ها اغلب توسط ارائه‌دهندگانی که ما به عنوان ارائه‌دهندگان پراکسی ممتاز می‌شناسیم ارائه می‌شوند. ممکن است یک پراکسی پریمیوم دریافت کنید که به اندازه پراکسی‌های ممتاز هزینه‌ای برای شما ندارد اما محیط امنی برای مرور وب در اختیار شما قرار می‌دهد.

این سرور‌ها نیز بدون جمع‌آوری اطلاعات شما، ناشناس بودنتان را حفظ می‌کنند. برخی از آن‌ها یک نسخه آزمایشی رایگان برای بررسی عملکرد سرور ارائه می‌دهند.

چگونه یک پروکسی سرور رایگان را بررسی کنیم؟
شما می‌توانید یک لیست پراکسی رایگان را با چکر‌های مختلف موجود به صورت آنلاین بررسی کنید. این چکر‌ها پارامتر‌های مختلف آن سرور‌های پروکسی را اندازه‌گیری می‌کند و بهترین گزینه ممکن برای اتصال را به شما نشان می‌دهد.

به عنوان مثال، یک سرور پروکسی ایمن باید همیشه یک پروتکل HTTPS داشته باشد تا اطلاعات شما قبل از شروع به کار رمزگذاری شود. سرعت اتصال یک سرور پروکسی خوب نیز نسبتاً سریع خواهد بود.

شما می‌توانید اطلاعات این چکر‌ها را برای تعیین امن‌ترین سرور پروکسی تجزیه و تحلیل کنید. اما اگر نمی‌خواهید زحمت آزمون و خطا را تحمل کنید یا برای اتصال به یک وب‌سایت عجله دارید، می‌توانید از پروکسی‌های رایگان تأیید شده توسط Proxyway استفاده کنید.

پس بهترین سرور‌های پروکسی رایگان کدامند؟
به سادگی از فهرست پراکسی رایگان ذکر شده در بالا برای تماشای محتوای خاص مکان یا مرور وب به صورت ناشناس استفاده کنید. Proxyway تمام سرور‌های پراکسی را بر اساس جنبه‌های مختلف آزمایش می‌کند و آن‌ها را تأیید می‌کند تا بتوانید به شکل قابل اعتمادی از آن سرور‌ها استفاده کنید.

آن‌ها اطلاعات شما را نمی‌دزدند یا با تغییر محتوای شما تبلیغات هدفمندی را به شما نشان نمی‌دهند. رایانه شما همچنین به عنوان بخشی از شبکه پروکسی توسط این ارائه‌دهندگان استفاده نخواهد شد. با این سرور‌های پراکسی رایگان، بدون به خطر انداختن امنیت خود، بیشترین بهره را می‌توانید از یک سرور پراکسی ببرید.

بیشتر بخوانید
a.fayyazi ۱۴۰۰-۱۲-۱۴ 0 دیدگاه

اعلان جنگ گروه هکری Anonymous به روسیه

در پی تهاجم ارتش روسیه به خاک اوکراین ، گروه هکری انانیموس که سابق بر این فعالیت گستردهای در هک وبسایتهای دولتی کشورهای مختلف و به خصوص فعالیت در آمریکا داشت اعلام کرده که قصد دارد وبسایتهای دولتی روسیه را هک کند.

گروه انانیموس که اولین سوابق فعالیت آن به سال 2008 (اولین نشانههای وجودی از سال 2003 ظاهر شدهاند) باز می‌گردد، سالهاست به صورت ناشناسی به عنوان هکتیویسم فعالیت کرده و انجمنی سیال است که به قول خودشان، هر کسی میتواند عضو آن شود. همانطور که میدانید نشانه این گروه ماسکی متعلق به شمایل صورت گای فاکس، سرباز انگلیسی در قرن 17 میلادی است که اقدام‌کنندگان رویدادی تاریخی موسوم به توطئه باروت بود.

جدای از این مورد انانیموس عملیات بسیاری در سالهای گذشته در زمینه سیاسی انجام داده که شاید مهمترین آنها هک هزاران صفحه متعلق به داعش در سال 2015 یا هک وبسایت سازمان ملل و ساخت صفحهای به اسم کشور تایوان با نشان و اطلاعات مربوط به این منطقه خودمختار از سرزمین چین در سال 2020 باشد.

به هر حال انانیموس این روزها در فکر حملاتی جدید علیه دولت روسیه است که خود را درگیر جنگ و تجاوز به خاک کشور اوکراین کرده است. چندین حساب توییتر مرتبط با این گروه ادعا کردند که بسیاری از وب سایت های مرتبط با دولت روسیه، از جمله وب سایت خبری روسیه تودی، تحت حمایت دولتی را حذف کرده‌اند. البته این خبرگزاری نیز تایید کرد که روز پنجشنبه مورد هدف «حمله سایبری پیشرفته‌ای از نوع DDoS» قرار گرفته است.

این فعالیتهای هکری در واقع بخشی از یک جنگ سایبری است که Anonymous علیه مسکو در انتقام از تهاجم ارتش این کشور به اوکراین اعلام کرده است. این گروه در حساب کاربری اصلی خود در توییتر اقدامات اخیر را اینطور توضیح میدهد :

Anonymous در حال حاضر عملیات خود علیه فدراسیون روسیه را آغاز می‌کند. عملیات ما دولت روسیه را هدف قرار می‌دهد و به احتمال زیاد بخش خصوصی نیز تحت تأثیر قرار خواهد گرفت.

این بیانیه توییتری در ادامه می گویند که آنها فقط خواهان صلح در منطقه و «آینده‌ای برای تمام بشریت» هستند. انانیموس در ادامه میگوید که اقدامات آنها به طور کامل مربوط به اقدامات دولت روسیه و شخص ولادیمیر پوتین خواهد بود.

البته چند ساعت پیش نیز این وبسایت با انتشار تصاویری در حساب توییتری خود اطلاعات گسترده‌ای را به صورت تصاویری از پایگاه داده وزارت دفاع دولت روسیه منتشر کرد که نشان می‌دهد اقدامات آنها دامنه وسیعی خواهد داشت.

به هر حال باید منتظر مانده و ببینیم چه اقداماتی از سوی این گروه هکری به وقوع خواهد پیوست یا خیر. این اقدامات می‌تواند در ابعاد کوچک از ایجاد اختلال در عملکرد بخش‌های مختلف زیرساختی گرفته و در ابعاد وسیع موجب اختلال یا قطع ارائه خدمات در هماهنگی بین قوا منتج شود. البته به دلیل وسعت دامنه عملکردی هیچ نوع تصوری نمی‌توان از برنامه‌های هکرها داشت و تنها اقدام آن است که منتظر انتشار اخباری بیشتر در این زمینه بمانیم.

بیشتر بخوانید
a.fayyazi ۱۴۰۰-۱۲-۱۲ 0 دیدگاه

بدافزاری که از طریق بسته بارگذاری ویندوز ۱۱ توزیع می‌شود

بدافزار " ردلاین " برای فریب کاربران ویندوز ۱۰ خود را در قالب بسته نصب ویندوز ۱۱ جا می‌زند و از همین رو موفق به توزیع گسترده خود شده است.

به گزارش زد دی نت، کارشناسان امنیتی هشدار می‌دهند که ردلاین بدافزار چندان پیچیده‌ای نیست، اما در فضای مجازی و از طریق شبکه‌های زیرزمینی در قالب خدمات ماهانه با هزینه ۱۵۰ دلار فروخته می‌شود و از آن برای سرقت ارزرمز سایر کاربران مانند بیت کوین یا اتریوم استفاده می‌شود.

سارقان از روش‌های مختلفی برای اقناع کاربران به منظور بارگذاری این بدافزار استفاده می‌کنند و بررسی‌های شرکت اچ پی نشان می‌دهد که معمولاً این بدافزار در قالب بسته به روزرسان ویندوز ۱۱ توزیع شده و کاربران رایانه‌های شخصی و به خصوص ویندوز ۱۰ به همین شیوه برای بارگذاری و نصب آن اقناع می‌شوند.

طراحان این بدافزار برای افزایش احتمال بارگذاری و نصب بدافزار مذکور دامنه‌های تقلبی را نیز ثبت کرده‌اند که در آنها سایت‌هایی مشابه با سایت مایکروسافت طراحی شده و بدافزار مذکور در قالب بسته نصب ویندوز ۱۱ در دسترس است.

نام دامنه صفحه ارتقای جعلی ویندوز ۱۱ توسط یک فرد روس ثبت شده است. در عین حال صفحه اصلی ارتقا ویندوز ۱۱ مایکروسافت در دامنه Microsoft.com میزبانی می‌شود. هدف این بدافزار سرقت رمزهای عبور ذخیره شده در مرورگرهای وب، داده‌های تکمیل شونده به صورت خودکار مانند اطلاعات کارت اعتباری و همچنین فایل‌های ارزها و کیف پول دیجیتال است.

بیشتر بخوانید
a.fayyazi ۱۴۰۰-۱۱-۲۶ 0 دیدگاه

استفاده هکرهای ایرانی از Backdoor جدید Marlin در کمپین جاسوسی «Out to Sea»

به ادعای هکرنیوز، یک گروه تهدید دائمی پیشرفته (APT) که با ایران ارتباط دارد، مجموعه ابزار بدافزار خود را بروزرسانی کرده است تا backdoor جدیدی به نام Marlin را به عنوان بخشی از یک کمپین جاسوسی طولانی‌مدت که در‌آوریل ۲۰۱۸ آغاز شده است، شامل شود.

شرکت امنیت سایبری اسلواکی ESET این حملات را که با اسم رمز “Out to Sea” از آن یاد شده، در حالی که به طور قطعی فعالیت‌های خود را به گروه دوم ایرانی که تحت نام Lyceum ردیابی می‌شود (Hexane با نام مستعار SiameseKitten) مرتبط می‌داند، به یک عامل تهدید به نام OilRig (معروف به APT34) نسبت داده است.

مجموعه ESET در گزارش تهدید T3 ۲۰۲۱ خود که با هکر نیوز به اشتراک گذاشته است، خاطرنشان کرد: “قربانیان این کمپین شامل سازمان‌های دیپلماتیک، شرکت‌های فناوری، و سازمان‌های پزشکی در اسرائیل، تونس و امارات متحده عربی هستند”.

طبق این ادعا، این گروه هکری که حداقل از سال ۲۰۱۴ فعال است، به دولت‌های خاورمیانه و بسیاری از بخش‌های تجاری از جمله صنایع شیمیایی، انرژی، مالی و مخابراتی حمله می‌کند. در‌آوریل ۲۰۲۱، این عامل سایبری یک نهاد لبنانی را با ایمپلنتی به نام SideTwist هدف قرار داد. از طرفی نیز، کمپین‌هایی که قبلاً به Lyceum نسبت داده شده بود، شرکت‌های فناوری اطلاعات در اسرائیل، مراکش، تونس و عربستان سعودی را هدف گرفته بودند.

زنجیره‌های آلودگی Lyceum همچنین به این دلیل قابل توجه هستند که از زمانی که کمپین در سال ۲۰۱۸ آشکار شد (با DanBot شروع شد و در سال ۲۰۲۱ به Shark و Milan منتقل شد) با حملاتی که در آگوست ۲۰۲۱ شناسایی شدند، باعث نفوذ مجموعه جدید داده‌های بدافزاری به نام مارلین شدند.

تغییرات به همین جا ختم نمی‌شود. با تفاوت قابل توجهی از OilRig TTP‌های سنتی، که شامل استفاده از DNS و HTTPS برای ارتباطات command-and-control (C&C) می‌شود، مارلین از OneDrive API مایکروسافت برای عملیات C2 خود استفاده می‌کند.

مجموعه ESET، با اشاره به اینکه دسترسی اولیه به شبکه با استفاده از spear-phishing و همچنین دسترسی از راه دور و نرم‌افزار‌های مدیریتی مانند ITbrain و TeamViewer به دست آمده، شباهت‌ها در ابزار‌ها و تاکتیک‌های بین backdoor‌های OilRig و Lyceum را “بیش از حد متعدد و خاص” عنوان کرد.

محققان می‌گویند: «backdoor متعلق به ToneDeaf در اصل با C&C خود از طریق HTTP/S ارتباط برقرار می‌کرد، اما شامل یک روش ثانویه، تونلینگ DNS بود که به درستی کار نمی‌کند. Shark علائم مشابهی دارد و در جایی روش ارتباطی اولیه آن از DNS استفاده می‌کند اما یک گزینه ثانویه HTTP/S غیر کاربردی دارد».

اساساً ToneDeaf که از جمع‌آوری اطلاعات سیستم، آپلود و دانلود فایل‌ها و اجرای دستورات shell دلخواه پشتیبانی می‌کند؛ این مورد، یک خانواده بدافزار است که توسط عامل APT34 با هدف قرار دادن طیف گسترده‌ای از صنایع فعال در خاورمیانه در جولای ۲۰۱۹ به کار گرفته شده است.

علاوه بر این، یافته‌ها همچنین به استفاده همپوشانی از DNS بعنوان یک کانال ارتباطی C&C اشاره کرد؛ در حالی که از HTTP/S به عنوان یک روش ارتباطی ثانویه و استفاده از فولدر‌های متعدد در دایرکتوری فعال یک Backdoor برای آپلود و دانلود فایل‌ها از سرور C&C استفاده می‌شود.

بیشتر بخوانید
a.fayyazi ۱۴۰۰-۱۱-۲۶ 0 دیدگاه

هدفگیری میلیون‌ها کاربر با کلون های Pirate Bay

تبلیغات بد یا مخرب به عنوان یک تهدید به سرعت محبوبیت پیدا کرده‌اند. این مورد شامل طرح‌های کلاهبرداری تبلیغاتی با فریب بازدیدکنندگان وب سایت‌ها است. طبق یک گزارش، تبلیغات نادرست و فریبکارانه در سه ماهه سوم سال ۲۰۲۱ شاهد افزایش ۲۳۱ درصدی بود. این نوع حملات معمولاً در وب‌سایت‌های تورنت و مستهجن به صورت قارچ گونه مشاهده می‌شوند. به تازگی یک کمپین جعل هویت وب سایت تورنت معروف Pirate Bay در فضای سایبری مشاهده شده است.

چه خبر است؟
سایبرنیوز پنج دامنه مخرب را کشف کرده که به عنوان The Pirate Bay در فضای سایبری در حال خودنمایی بوده‌اند. این دامنه‌ها هر ماه با استفاده از محتوای رایگان برای جذب اهداف، تبلیغات مخرب را به بیش از هفت میلیون کاربر ارائه می‌کردند.

همه وب‌سایت‌ها لینک‌های مگنت دانلود تورنت جعلی و چندین آگهی ارائه شده در پس‌زمینه صفحات را به صورت انباشته ارائه می‌دهند. آن‌ها این اطمینان را حاصل می‌کنند که با کلیک بر روی یک تبلیغ، چندین آگهی مخفی و احتمالاً مخرب ایجاد می‌شود. علاوه بر این، وب‌سایت‌ها فایل‌های تورنت مصنوعی را ارائه می‌کنند که فایل‌های مخرب جاوا اسکریپت را منتشر می‌کنند.

اهمیت این فعالیت‌ها در چیست؟
فایل‌های مخرب جاوا اسکریپت برای شناسایی کاربران، ثبت فعالیت‌های آن‌ها و ارائه تبلیغات مزاحم به آن‌ها استفاده می‌شود. این می‌تواند برای استخراج داده‌های شخصی قربانی، ایجاد backdoor به سیستم آلوده، یا نصب باج‌افزار، در میان سایر فعالیت‌های مخرب، مورد استفاده قرار می‌گیرد. کمپین‌های بدافزار در سایت‌های تورنت جعلی گسترده شده‌اند زیرا مهاجمان به راحتی می‌توانند دانلود‌ها را قانونی و حقیقی جلوه دهند. از آنجایی که باز کردن یک فایل تورنت مستلزم ارائه مجوز از سوی کاربر است، برخی ممکن است سهوا بدون اینکه متوجه شوند چه چیزی به آن‌ها ضربه‌زده است، بدافزار را دانلود کنند.

چرا سایت‌های تورنت؟
کلاهبرداران همچنین می‌توانند از شبکه‌های تبلیغاتی قانونی برای گسترش کمپین‌های تبلیغات بد و نمایش تبلیغات مخرب در سایت‌های معروف استفاده کنند.

در حالی که آن‌ها را می‌توان در هر نوع وب سایتی ارائه کرد، سایت‌های تورنت محبوب‌ترین گزینه هستند زیرا این سایت‌ها به عنوان دروازه‌ای برای فایل‌های غیرقانونی در بازار سیاه عمل می‌کنند. علاوه بر این، سایت‌های تورنت در مقایسه با وب‌سایت‌های دیگر، از نفوذ بیشتری در میان کاربران برخوردار هستند.

نتیجه‌گیری
متأسفانه برای خنثی کردن سایت‌های تورنت تقلبی کار زیادی نمی‌توان انجام داد. با این حال، یادگیری در مورد ایمنی آنلاین و اجرای برنامه‌های adblocker و آنتی ویروس قابل اعتماد می‌تواند کمک زیادی به محافظت از کاربران کند. علاوه بر این، مطمئن‌ترین راه برای ایمن ماندن این است که کاربران تبلیغات را با دقت بخوانند و از کلیک روی لینک‌های مشکوک خودداری نمایند.

بیشتر بخوانید
a.fayyazi ۱۴۰۰-۱۱-۲۶ 0 دیدگاه