ITanalyze

به ندرت پیش می‌آید شرکت‌ها یا آژانس‌های دولتی‌ از فایل‌های پی‌دی‌اف استفاده نکنند. آن‌ها اغلب از امضاهای دیجیتال برای تضمین اعتبار این داکیومنت‌ها استفاده می‌کنند. وقتی در هر پی‌دی‌اف‌خوانی یک فایل امضاشده را باز می‌کنید، این برنامه پرچمی را نمایش خواهد داد که نشان از امضا شدنِ داکیومنت دارد. حتی در این پرچم قید می‌شود که این امضا توسط چه کسی صورت گرفته است. در حقیقت شما توسط آن می‌توانید به منوی اعتبارسنجیِ امضا دسترسی داشته باشید.

بنابراین، تیمی از محققین از چندین دانشگاه آلمانی بر آن شدند تا اعتبار و استحکام امضاهای پی‌دی‌افی را مورد بررسی و آزمایش قرار دهند. ولادیسلاو ملادنوو از دانشگاه رور بوخوم، یافته‌های این تیم را در کنگره‌ی ارتباطات آشوب (36C3) به اشتراک گذاشتند.

کار محققین آسان بود: دستکاریِ محتواهای یک داکیومنت پی‌دی‌افیِ امضاشده بدون باطل کردنِ امضا در طی این فرآیند. به طور نظری، مجرمان سایبری می‌توانستند همین کار را برای ابلاغ اطلاعات غلط و یا افزودن محتوای آلوده به فایل امضاشده انجام دهند. از اینها گذشته، کلاینت‌هایی که از بانک، داکیومنت امضاشده دریافت می‌کنند احتمالاً به آن اعتماد نموده و روی هر لینکی که داخل آن باشد کلیک می‌کنند. این تیم برای پلت‌فرم‌های مختلف 22 پی‌دی‌اف‌خوانِ محبوب انتخاب کردند و به شکل نظام‌مندی نتایج آزمایشات خود را بدان‌ها خوراندند.

ساختار فایل پی‌دی‌اف

بگذارید ابتدا برایتان از فرمت پی‌دی‌اف بگوییم. هر فایلی شامل چهار بخش می‌شود: هدر که نشان‌دهنده‌ی نسخه‌ی پی‌دی‌اف است؛ بدنه که نشان‌دهنده‌ی محتوای اصلیِ دیده‌شده توسط کاربر است؛ بخش Xref که در واقع یک دایرکتوری است که آیتم‌های داخل بدنه و لوکیشن‌هایشان را فهرست می‌کند (برای نمایش محتوا)؛ و در نهایت تریلر که با آن، پی‌دی‌اف‌خوان‌ها شروع می‌کنند به خوانشِ داکیومنت. تریلر شامل دو پارامتر مهم است که به برنامه‌ می‌گویند پردازش فایل کجا شروع شود و کجا بخش Xref باید آغاز گردد.

یک تابع بروزرسانی افزایشیلنگر[1] داخل فرمت یکپارچه‌سازی شده است که به کاربر اجازه می‌دهد (بعنوان مثال) بخشی از متن را هایلایت کرده و یا کامنت بگذارد. اگر بخواهیم از نگاه فنی به ماجرا نگاه کنیم، این تابع سه بخش را اضافه می‌کند: بروزرسانی‌هایی برای بدنه، یک دایرکتوری‌ِ جدید Xref و یک تریلر جدید. این می‌تواند به طور مؤثری تغییر نحوه‌ی دیده‌شدن آیتم‌ها توسط کاربر و نیز افزودن محتوای جدید را در پی داشته باشد. در اصل، یک امضای دیجیتال همچنین یک بروزرسانی افزایشی نیز می‌باشد که کارش افزودن یک المان دیگر و شاید بخش‌های مکاتبه‌ای به فایل است.

حمله‌ی ISAلنگر[2]

نخست، این تیم سعی کرد با استفاده از یک ویرایشگر متنی بخش‌های بیشتری را به همراه بروزرسانی افزایشیِ دیگر اضافه کند. اگر بخواهیم دقیق‌تر بگوییم، این در حقیقت یک حمله نیست- این تیم صرفاً از تابعِ اجراشده توسط سازندگان آن فرمت استفاده کرد. وقتی یک کاربر فایلی را که بدین‌طریق دستکاری می‌شود باز می‌کند، پی‌دی‌اف‌خوان معمولاً پیامی را نشان می‌دهد که می‌گوید امضای دیجیتال معتبر است اما داکیومنت دستکاری شده است. بدتر اینکه یکی از پی‌دی‌اف‌خوان‌ها (LibreOffice) حتی پیام را هم نشان نداده بود.

آزمایش جدید، شامل حذف دو بخش نهایی -یعنی افزودن یک آپدیت به بدنه و نه Xref و تریلر جدید- می‌شود. برخی اپلیکیشن‌ها کار با چنین فایلی را قبول نکردند. دو پی‌دی‌اف‌خوان متوجهِ نبودِ این دو بخش شدند و به طور خودکار آن‌ها را بدون اینکه خواننده در مورد این تغییر محتوایی مطلع شود اضافه کردند. سه تای دیگر هم بدون هیچ اعتراضی، مجوزِ این عمل را روی فایل صادر کردند.

سپس، محققین این سوال برایشان پیش آمد که اگر فقط امضای دیجیتال را در آپدیت «دستیِ» خود کپی کنند چه؟ دو پی‌دی‌اف‌خوانِ دیگر هم فریب خوردند-  Foxit و MasterPDF. به طور کلی، از این 22 پی‌دی‌اف‌خوان 11 پی‌دی‌اف‌خوان ثابت کردند که در برابر چنین دستکاری‌های ساده‌ای آسیب‌پذیری هستند. افزون بر اینها، شش تای این پی‌دی‌اف‌خوان‌ها هم هیچ علامتی مبنی بر دستکاری شدن داکیومنت از خود نشان ندادند. در پنج مورد دیگر هم کاربر برای افشا و ابلاغ هر نشانه‌ای از دستکاری باید منو را وارد می‌کرد و البته اعتبار امضای دیجیتال را نیز به صورت دستی مورد بررسی قرار می‌داد (صِرفِ باز کردن فایل کافی نبود).

حمله‌ی SWAلنگر[3]

امضای یک داکیومنت دو فیلد مهم را به عنوان بروزرسانیِ افزایشی به بدنه/محتوا اضافه می‌کند. این دو فیلدشامل امضا و ByteRange می‌شود که به دقت آنچه امضا شده است را تشریح می‌کند. در مورد دوم که اشاره کردیم چهار پارامتر وجود دارد- تعریف آغاز فایل، تعداد بایت‌های قبل از کد امضا، بایتی که تعیین می‌کند کد امضا کجا تمام می‌شود و تعداد بایت‌های بعد از امضا- زیرا امضای دیجیتال در حقیقت توالی کاراکترهای تولیدشده توسط ابزارهای رمزنگاری (از کدِ داکیومنت پی‌دی‌اف) است. طبیعتاً امضا نمی‌تواند خودش را امضا کند، بنابراین آن بخشی که درش ذخیره می‌شود از فرآیند محاسبات امضایی خارج می‌شود.

محققین تلاش داشتند بلافاصله بعد از امضا، فیلد ByteRange دیگری را اضافه کنند. دو ارزش اولِ داخل آن دست‌نخورده باقی ماندند؛ تنها آدرس آخر کد امضاها عوض شد. نتیجه این بود که فضای بیشتری در فایل ایجاد شد و همین به آیتم‌های آلوده اجازه داد تا بتوانند اضافه شوند و بخش Xref نیز آن‌ها را تشریح کند. به لحاظ تئوری، اگر این فایل به درستی خوانده می‌شود، پی‌دی‌اف‌خوان نمی‌توانست براحتی مسیر خود را تا این بخش طی کند. با این حال، از این 22 اپلیکیشن، 17 اپ در مقابل چنین حمله‌ای آسیب‌پذیری نشان دادند.

USFلنگر[4] (جعل جهانی امضا)

این تیم تحقیقاتی برای دقت بیشتر و سنجش بهتر همچنین تصمیم گرفت این اپ‌ها را در برابر یک ترفند استاندارد تست نفوذ مورد آزمایش قرار دهند؛ به موجب این تست نفوذ در واقع تلاش می‌شود جای فیلدهای عدد با فیلدهای عدد ناصحیح عوض شود و یا اصلاً براحتی این فیلدها توسط محققین حذف شوند. بخش آزمایش روی محتوا که رسید، کاشف به عمل آمد که امضای واقعی جایش با ارزش x00 0 عوض شده بود و این درحالیست که همچنان دو پی‌دی‌اف‌خوان آن را معتبر تلقی کرده بودند.

و اگر این امضا آنجا جا می‌ماند ولی بخش ByteRange (یعنی اطلاعات در مورد اینکه دقیقاً چه چیزی امضا شده است) حذف می‌شد چه؟ یا اگر مقدار  null به جای ارزش‌های واقعی گذاشته می‌شد چه؟ در هر دو مورد برخی پی‌دی‌اف‌خوان‌ها روی اعتبار چنین امضایی صحّه گذاشتند. به طور کلی، از این 22 برنامه 4 برنامه حاوی خطاهای پیاده‌سازی بودند که امکان اکسپلویت‌شدن در آن‌ها وجود داشت. خلاصه‌ی نتایج نشان می‌دهد که از این 22 پی‌دی‌اف‌خوان 21 عددِ آن‌ها آسیب‌پذیر بودند. از این روست که می‌گوییم امکان دارد فایل پی‌دی‌افی با محتوای آلوده و یا اطلاعات غلط ساخته شود که به چشم کاربر بسیار معتبر بیاید.

جالب اینجاست که آن یک اپلیکیشن باقیمانده که فریب هیچ‌یک از ترفندهای تیم تحقیقاتی را نخورد Adobe Reader 9 بود. مشکل این است که این پی‌دی‌اف‌خوان خودش در معرض آسیب‌پذیری RCE است و توسط کاربران لینوکسی مورد استفاده قرار می‌گیرد (صرفاً به این دلیل که آخرین نسخه‌اش در دسترس ایشان است).

نتیجه‌گیریِ عملی

نتیجه‌گیری عملی‌ای که می‌شود از کل این تحقیق گرفت بدین‌ شرح است: ابتدا، هیچ‌کس نباید چشم و گوش بسته به امضاهای دیجیتالی پی‌دی‌اف اعتماد کند. اگر جایی چک‌مارک سبز دیدید این لزوماً بدین معنا نیست که امضا معتبر است. دوم اینکه، حتی یک داکیومنت امضاشده هم می‌تواند در معرض خطر قرار گیرد. بنابراین پیش از باز کردن هر نوع فایل دریافتی به صورت آنلاین و یا کلیک روی هر لینکی داخلشان مطمئن شوید روی کامپیوترتان یک راهکار امنیتی قابل‌اطمینان نصب است.

لنگر[1]  incremental update

لنگر[2] Incremental saving attack

لنگر[3] Signature wrapping attack

لنگر[4] Universal signature forgery

منبع: کسپرسکی آنلاین

تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛

برای داشتن یک تحلیلگرِ امنیتی، به شخص خاص با مهارت‌های درخور نیاز است. چنین فردی باید علاوه بر داشتن حس کنجکاوی به ریزه‌کاری و ظرایف توجهی زیادی داشته باشد، باهوش باشد و البته سخت‌کوش و ساعی. همچنین باید به محض سر برآوردن حملات، از خود واکنشی سریع و بجا نشان دهد. چنین تحلیلگرانی تمام مهارت خود را در طول شیفت‌های طولانی کاری خود می‌گذارند تا ضمن شناسایی مؤلفه‌های امنیتی‌ای که می‌شود تا حدی مورد اغماض قرار داد روی مواردی که ارزش بررسی کردن دارد تحقیق و تحلیل بعمل آورند. این نیروها بسیار مهم و باارزشند اما در هر صورت باز هم با انسان سر و کار داریم و خوب همه می‌دانیم که انسان جایزالخطاست. در ادامه با ما همراه شوید تا 7 توصیه برای بهبود عملکرد مرکز عملیات امنیت ( SOC) خدمتتان ارائه دهیم.

موانع و تاکتیک‌های امنیتی
چالش‌هایی که بر سر راه SOC یا همان مرکز عملیات امنیت وجود دارد یکی دو تا نیست: حجم حملات سایبری‌ و فعالیت‌های مبتنی بر شبکه‌های اینترنتی‌ای که امروزه با آن مواجهیم، نظارت تمام هشدارهای امنیتی را محال کرده است. مراکز عملیات امنیت در واقع فقط اندازه‌ای وقت دارند که بتوانند چند عامل محدود هشدار را لحاظ کنند. همین باعث می‌شود برخی رخدادها از زیر دست تحلیلگران دررفته، مهاجمین بی‌هیچ نگرانی‌ای جا خشک کنند و کلی هم در این میان مثبت کاذب بوجود بیاید. تازه نگوییم که چقدر از زمان و توجه تیم امنیتی نیز در این بین هدر می‌رود. این واقعیت، موضع امنیتی سازمان را به خطر می‌اندازد. یک شرکت معمولی برای شناسایی اینکه محیط آی‌تیِ آن دستکاری شده است به 197 روز زمان نیاز دارد. این تعداد روز را مؤسسه‌ی Ponemon در مطالعه‌ی هزینه‌ی یک نقض اطلاعاتی در سال 2018 برآورد کرده است. هزینه‌ی کل نظارت، بررسی و تعمیر یک نقض اطلاعاتی به طور متوسط 3.86 میلیون دلار و یا به ازای هر سابقه‌ی گم‌شده یا به سرقت‌رفته 148 دلار تخمین زده شده است. به طور کلی، هزینه‌ی یک نقض به مدت زمانی که در شناسایی‌اش تعلیق پیش می‌آید بستگی دارد. هر قدر نقض سریعتر شناسایی شده و تحت کنترل قرار گیرد، هزینه‌ی کلی برای قربانی کمتر درخواهد آمد. رخدادهایی که در عرض 30 روز تماماً حل و فصل می‌شوند به طور متوسط 1 میلیون دلار هزینه خواهند داشت.
خلاصه بگوییم: سه مانع اصلی وجود دارد که نمی‌گذارد تحلیلگران امنیتی تصمیماتی در لحظه بگیرند:
•    اطلاعات و داده‌های بیش از حد برای پردازش
•    معنی ناکافی- متوجه نمی‌شویم داده دارد به ما چه می‌گوید و فایل‌های لاگ اغلب اطلاعات مفیدی در خود ندارند
•    حافظه‌ی ناکافی- ما اطلاعات دو ساعت پیش را به زور به خاطر داریم چه برسد به چند روز پیش، چند هفته‌ی پیش و یا چندین ماه پیش

1.    بگذارید داده‌ها برایتان کار کنند
آیا از تمام آن داده‌هایی که دارید جمع می‌کنید ارزش واقع بدست آورده‌اید؟ اگر از این داده‌ها برای گرفتن تصمیماتی منطقی استفاده نمی‌کنید پس یعنی چنین اطلاعاتی علناً به هیچ دردتان نمی‌خورد. با نرم‌افزارهای عملیات‌های امنیتیِ امروزی، تحلیل خودکار میسر شده و همین می‌تواند به شما این فرصت را بدهد تا هر از چندگاهی به نحوه‌ی استفاده از داده‌های لاگ خود تغییراتی انقلابی دهید. آنچه مهم است چگونگیِ نظارت، بکارگیری و تحلیل این داده‌ها برای شناسایی فعالیت آلوده در محیط آی‌تی شماست.

2.    به جنبش کوچک داده‌ها بپیوندید
برخی تیم‌های SecOps  از بیش از صد منبع اطلاعاتی، داده جمع‌آوری کرده و هر چیزی را از رویدادهای سیستم عامل اندپوینت گرفته تا لاگ‌های وضعیت روتر مورد نظارت قرار می‌دهند. اما بیش از 99.99 درصد این اطلاعات هیچگاه به کار نمی‌آیند. این می‌تواند به طور قابل‌ملاحظه‌ای هزینه‌های شما را بالا ببرد بدون آنگه ذره‌ای چشم‌انداز امنیتی‌تان ارتقا پیدا کرده باشد. متود بهتر، جمع‌آوریِ صرفِ چیزهایی است که بدان‌ها نیاز دارید.

3.    مؤلفه‌های مرتبط را مورد سنجش قرار دهید
فرقی ندارد سازمان چقدر بزرگ است و کسب و کار مربوطه تا چه حدی روی فناوری‌های امنیتی سرمایه‌گذاری کرده، بهر حال برخی حملات همیشه موفقیت‌آمیز انجام خواهد شد. رهبران امنیت اطلاعات اغلب معیارهایی درست می‌کنند که نشان می‌دهد مقابله با نقض‌های امنیتی تا چه حد سخت است- که این در اصل هیچ ارتباط خاصی با اصل موضوع ندارد. و CISOها نیز اغلب برای توجیه بودجه‌های خود یک‌سری معیارهای تهدید وضع می‌کنند. در عوض، رهبران و مدیران می‌بایست سوالات نافذتری در خصوص ارزشی که از سرمایه‌گذاری‌های خود در عملیات‌های امنیتی بدست می‌آورند بپرسند.

4.    آمادگی عوامل غیرمنتظره را داشته باشید
مجرمان سایبری سعی خواهند کرد آسیب‌پذیری‌هایی را مورد هدف قرار دهند که می‌دانند خطرات‌شان در ردیف پایین اهمیت قرار دارد. تعداد این آسیب‌پذیری‌ها کم نیست و اغلب هم غیرمنتظره پیشامد می‌کنند. تقریباً محال است بتوان تمام حملاتی را که امکان فرود روی چنین آسیب‌پذیری‌هایی دارند پیش‌بینی کرد.

5.    به سازمان‌های جفت  تکیه نکنید؛ در عوض، دفاعی فعالانه را در ذهن متصور شوید
رویه‌ها و جریانات کاری که پیش از این کسب و کارهای ما را محافظت می‌کرد اکنون دیگر آنقدرها هم کارساز نیستند. بیشترِ تمهیدات و محک‌زنی‌ها که رهبران کسب و کارهای دیگر انجام می‌دهند حول محور محافظت‌هایی معقول می‌چرخد. در عوض، باید نسبت به معنای دفاع از خود در جهان دیجیتال تجدید نظر کنیم. دفاع موفق شما را ملزم می‌کند به اتخاذ رویکردی فعال و مقدماتی در مقابل حملاتی که ناگزیر تجربه‌شان خواهید کرد.

6.    مدیریتِ صِرفِ شکست‌های انسانی را کنار بگذارید
تحلیلگران و مدیران وقتی شکست‌های عملیاتی خود را پنهان می‌کنند اتفاقاً دارند کار را برای خودشان سخت‌تر نیز می‌کنند. در حقیقت آن‌ها نمی‌گذارند آسیب‌پذیری‌های شناخته‌شده عیان شود. در عوض، SOC باید محیطی باشد که در آن کارمندان بتوانند در مورد آنچه می‌توانند پیدا کنند صادق باشند و از اخراج شدن واهمه نداشته باشند. ادغام اتوماسیون و نرم‌افزار تحلیل امنیت در SOC‌ها که در آن‌ها اغلب شاهد شکست‌های انسانی هستیم می‌تواند به طور چشمگیری کارایی کلیِ عملیات‌ها را ارتقا دهد.

7.    زبان مهم است
این یک «ویروس» -انگل میکروسکوپی که با سرعتی بی‌سابقه نشر می‌شود- روی شبکه‌ی اینترنتی شما نیست. اسمش را «بدافزار» -جسمی بی‌جان در محیط آی‌تی شما- هم نمی‌شود گذاشت. ما در واقع با یک‌سری مجرم انسان سر و کار داریم که دارند کاملاً تعمدی دست به اقداماتی آلوده از طریق کد مخرب می‌زنند. و خوب هدفشان هم کاملاً واضح است: آسیب زدن به کسب و کار شما. باید جدیت، حجم و منشأ انسانی تهدید را شناسایی کنیم.
حملات سایبری همچنان خواهند بود و جنگیدن با آن‌ها نبردی خواهد بود ابدی. با این حال، با بکارگیری 7 مورد فوق می‌توانید جریان کاری مؤثر و کارامدی را ایجاد کرده و از آن مهمتر اینکه به تحلیلگران خود انگیزه دهید تا فکر نکنید زیر تله‌ای از داده‌های بی‌ربط دارند مدفون می‌شوند.

منبع: کسپرسکی آنلاین

تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛

شنبه ششم مهر ماه 98 در خبری که از سوی شبکه خبر منتشر شده است، سامانه ارزی کشور مورد حمله DDoS قرار گرفته است. DDoS نوعی حمله به شدت مرموز است که برای جلوگیری و دفع آن هیچ راه حل مشخصی وجود ندارد.

در ابتدا گزارش حمله دیداس از سوی روابط عمومی یکی از سامانه های ارزی شروع شد و پس از آن در مدت کوتاهی باقی سامانه های مربوط به حوزه ارز نیز درگیر حمله زامبی ها شدند.

مسئول امنیت یکی از پایگاه هایی که مورد حمله قرار گرفته بود به پایگاه خبری ایرنا گفت: بتدا در تماسی با مسئولین سایت، درخواست پول کردند و اعلام کردند اگر پولی که مد نظر آنهاست پرداخت نکند کاری می کنند که سایت از دسترس خارج شود.

هرچند مکانیزم هایی برای مقابله با این حمله در نظر گرفته شده بود اما فشار و شدت حمله به شدتی زیاد بود که بازهم سایت داون شد. گفته می شود حدود 15 هزار بات فقط در یک روز شناسایی شده است.

این حملات فقط مخصوص یک پایگاه نبوده و وبسایت های زیادی مورد حمله قرار گرفته اند. حجم حملات اتفاق افتاده 20 برابر استاندارد های جهانی بوده است. تحقیقات به عمل امده نشان می دهد اکثر این حملات از سوی کشورهایی مانند روسیه، اکراین و قزاقستان صورت گرفته است.

هرچند نمی توان هیچ راه حل قطعی و مشخصی برای حملات DDoS تعریف کرد اما توصیه میشود وب سایت های حوزه ارز دیجیتال و سامانه های ارزی دیگر از سرویس های کلود بیس استفاده کنند.

حمله DDoS چیست؟

این نوع از حمله که حمله زامبی ها معروف است می تواند برای افراد عادی و یا سرور ها رخ دهد. DDoS مخفف Distributed Denial of Service است. زمانی این حمله رخ می دهد که حجم زیادی از تقاضاهای کاذب و دروغین به سمت سرور هدایت شود. حجم زیاد درخواست ها در یک لحظه باعث کندی سرور و در نتیجه از کار افتادن سرور می شود.
به طور معمول یک راه حل مشخص برای مبارزه و یا جلوگیری از این مشکل وجود ندارد. تنها راه حلی که می تواند گاهی نجات دهنده باشد آن است که سرور در زمان تشخیص مقدار زیاد تقاضا که نامتعارف باشد، دسترسی به یک تقاضای جدید را محدود کند.

مرکز مدیریت راهبردی افتای ریاست جمهوری اخبار مربوط به حملات سایبری موفق به تاسیسات نفتی و زیرساخت‌های حیاتی ایران را تکذیب کرد.

به گزارش خبرگزاری مهر، مرکز مدیریت افتای ریاست جمهوری در اطلاعیه ای اعلام کرد: بر اساس رصدهای صورت گرفته برخلاف ادعاهای امروز رسانه های غربی حمله سایبری موفقی به تاسیسات نفتی و سایر زیرساخت های حیاتی کشور صورت نگرفته است.

مرکز مدیریت راهبردی افتا از همه خبرگزاری ها، سایت های خبری، نشریات و فعالان فضای مجازی خواست تا قبل از انتشار اینگونه اخبار، از طریق مراجع ذی‌صلاح از صحت آن‌ها اطمینان کامل حاصل کنند.

در طول پروسه‌ی ثبت‌نام، برخی سرویس‌های آنلاین از شما می‌خواهند با آپلود کردن سلفی‌ای که خودتان و کارت شناسایی‌تان را نشان می‌دهد هویت خود را تأیید کنید. روش خوبی برای احراز هویت است نه؟ دیگر نیازی نیست به اداره‌ای آن سر شهر رفته و پشت صف‌های طولانی بایستید. فقط کافیست عکسی گرفته، آن را آپلود نموده و کمی صبر کنید تا اکانت‌تان توسط ادمین تأیید گردد.

متأسفانه نه تنها وبسایت‌های قانونی و معتبر به چنین سلفی‌هایی علاقمندند که همچنین فیشرها نیز عاشق آن‌ها هستند. در ادامه با ما همراه شوید تا توضیح دهیم اسکم چه عملکردی دارد؛ چرا مجرمان سایبری به دنبال عکس‌های شما با کارت‌های شناسایی‌تان می‌گردند و چطور می‌شود دُم به تله‌ی این فیشرها نداد.

تأیید هویت شما

این روزها سناریوی تجاری معمول اینطور شروع می‌شود: ایمیلی از بانک، سیستم پرداختی یا یک شبکه‌ی اجتماعی می‌آید مبنی بر اینکه جهت «امنیت بیشتر» (و یا دلایل دیگر) باید هویت خود را تأیید کنید.

لینک، شما را به صفحه‌ای هدایت می‌کند که درش یک فرم است و این فرم شما را وادار به وارد کردن اطلاعات اکانت، جزئیات مربوط به کارت اعتباری، آدرس، شماره تلفن یا اطلاعات دیگر می‌کند. در نهایت از شما خواسته می‌شود با کارت شناسایی یا سایر اسناد و مدارک معتبر خود سلفی‌ای واضح و با کیفیت آپلود کنید. برای چند لحظه هم که شده با خود بگویید- آیا آپلود سلفی با کارت شناسایی ایده‌ی خوبیست؟ شاید آن‌ها اسکمر باشند. آنوقت باید چه کرد؟

چرا کلاهبرداران باید سلفی شما را با کارت‌شناسایی بخواهند؟

همانطور که پیشتر گفتیم، برخی سرویس‌های آنلاین کاربر را ملزم به آپلود سلفی‌ای با کارت شناسایی‌شان می‌کنند. اگر سلفی‌ای با اسکمرها ارسال کنید آن‌ها قادر خواهند بود اکانت‌هایی با نام شما بسازند (برای مثال در مبادلات رمزارزی) و از این طریق امور پولشوئی خود را پیش ببرند. در نتیجه، ممکن است سر و کارتان به قانون و جریانات قضایی بیافتد. تجربه‌ی خوشایندی نمی‌تواند باشد مگر نه؟

سلفی شما با کارت شناسایی در بازار سیاه حکم طلا را خواهد داشت. اسکمرها می‌توانند آن را با قیمت بسیار بالایی برای فروش بگذارند و خریداران نیز می‌توانند هر طور که دلشان می‌خواهد از نام شما سوءاستفاده کنند.

نشانه‌های معمول یک کلاهبرداری آنلاین

خبری خوش برای همه‌مان: کلاهبرداری آنلاین نمی‌تواند با دقت بالا (جوری که مو لای درزش نرود) انجام شود؛ بالاخره یک جای کار نشتی‌هایش مشهود خواهد بود. در حقیقت با کمی بررسی روی ایمیل یا وبسایت فیشینگ که لینک، کاربر را بدان هدایت می‌کند همیشه پارامترهای مشکوکِ زیادی رو خواهد شد.

• خطاها و اشتباهات تایپی

اکثر اوقات،  فرم پست الکترونیکی و ورود اطلاعات، نثر چندان درستی ندارد. سوال ما از شما این است: آیا وبسایت‌ها و ایمیل‌های رسمی متعلق به سازمان‌های بزرگ دچار اشتباهات تایپی و گرامری می‌شوند؟

• آدرس مشکوک فرستنده

چنین پیام‌هایی اغلب از آدرس‌های ثبت‌شده روی سرویس‌های رایگان ایمیل آمده و یا متعلق به شرکت‌هایی‌اند که هیچ ارتباط و پیوندی را شرکت مذکور در ایمیل ندارند.

• نام دامنه همخوانی ندارد

حتی اگر آدرس فرستنده به نظر قانونی بیاید، سایتی که میزبانیِ فرم فیشینگ را می‌کند احتمالاً در دامنه‌ای بی‌ربط یا جعلی قرار داده شده است. در برخی موارد، این آدرس می‌تواند بسیار شبیه (اما همچنان متفاوت) باشد (با این حال در برخی موارد این تفاوت‌ها بسیار فاحش‌ است). برای مثال، پیامی فرضاً از لینکدین که به دلایلی کاربران را دعوت می‌کند عکسی را در دراپ‌باکس آپلود کنند.

• ضرب‌الاجل شدید

اغلب، نویسندگان چنین ایمیل‌هایی تمام تلاش خود را می‌کنند تا گیرنده را هل کنند و به عجله بیاندازند. برای مثال می‌گویند این لینک تا 24 ساعت دیگر منقضی خواهد داشت. اسکمرها غالباً به عنوان آخرین چاره به همین روش روی می‌آورند؛ زیرا حس اضطرار خیلی وقت‌ها قوه‌ی تعقل را از کار می‌اندازد. اما سازمان‌های برجسته و سرشناس هیچگاه بی‌دلیل شما را هُل نمی‌کنند.

• درخواست اطلاعاتی که از پیش ارائه داده شده است

خیلی دقت کنید بخشی از اطلاعاتی که از قبل دادید دوباره ازتان خواسته نشود (برای مثال، آدرس ایمیل یا شماره تلفن). در خصوص موارد بانکی، شما و هویت‌تان یک بار هنگام افتتاح حساب تأیید شده است؛ دیگر چرا باید -هم به بهانه‌ی «امنیت بیشتر»- دوباره از شما این اطلاعات خواسته شود؟.

• درخواست به جای ارائه

بسیاری از منابع، قابلیت‌های پیشرفته شامل قابلیت‌های امنیت‌محور را در ازای گرفتن اطلاعات از شما ارائه می‌دهند (اما در اکانت شخصی‌تان روی وبسایت نه از طریق ایمیل). اصولاً هم پیشنهادی است که می‌توانید ردش کنید. اما در فرمی که از لینک (در برخی ایمیل‌های اسکم) باز می‌شود تنها یک دکمه وجود دارد؛ انگار که می‌خواهد بگوید هیچ گزینه‌‌ی دیگری غیر از آپلود سلفی وجود ندارد.

• هیچ اطلاعاتی در مورد آن روی وبسایت رسمی وجود ندارد

شاید یک وقت‌هایی لازم باشد روی منبعی که خیلی وقت است استفاده نکرده بودید، هویت‌تان را باری دیگر تأیید کنید؛ اما این جزو استثنائات است و یک نه قانون. جزئیات امور و جریانات باید روی وبسایت رسمی سرویس موجود بوده و قابل جست‌وجو در گوگل باشد.

سلفی‌های خود را با کارت‌شناسایی‌تان ارائه ندهید

به منظور جلوگیری از سرقت هویت‌تان توسط کلاهبرداران اینترنتی، نسبت به هر درخواستِ داده‌ای هشیار و آگاه باشید؛ خصوصاً وقتی پای داکیومنت‌ها در میان باشد.

• اگر درخواست‌‌ها در جهت تأیید هویت‌تان در سرویس‌هایی باشد که مدتی از آن‌ها استفاده می‌کردید سعی کنید نهایت احتیاط و دقت را به خرج دهید. اگر دل دل می‌کنید که پیام را رد کنید یا قبول، به دنبال اطلاعات روی وبسایت رسمی آن شرکت بگردید.
• به کیفیت متن دقت زیادی کنید. یادتان باشد خطاهای گرامری، لغات پس و پیش‌شده و اشتباه‌های املایی در مکاتبات و ارتباطات سازمان‌های واقعی و سرشناس به ندرت رخ می‌دهد.
• چک کنید که پیام از کجا آمده است و لینک‌ها به کجا اشاره دارند. شرکت‌ها از دامنه‌های رسمی میلینگ‌ها را ارسال می‌کنند و هر گونه مورد استثنا در وبسایت آن‌ها به طور شفافی توضیح داده خواهد شد. نظرسنجی‌ها، فرم‌های لاگین و سایر صفحات رسمی نیز معمولاً در منابع رسمی قید می‌شوند.
• هر محدودیتی من جمله قاب زمانی ضرب‌الاجلی برای ارائه‌ی اطلاعات باید در گوشتان همچون زنگ خطر بزرگی صدا دهد. بهتر است این ضرب‌الاجل را نادیده بگیرید تا اینکه دودستی اطلاعات خود را در اختیار مجرمان سایبری قرار دهید.
• اگر شک دارید، به سرویس مشتری زنگ بزنید. اما از شماره‌ی ارائه‌شده در پیام استفاده نکنید- در عوض آن را در وبسایت رسمی یا ایمیل تأیید ثبت‌نام پیدا کنید.
• از برنامه‌ی مطمئن آنتی‌ویروس استفاده کنید که شما را در مقابل کلاهبرداری‌های آنلاین و فیشینگ محافظت می‌‌کند. 

 تهیه و تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)

منبع: کسپرسکی آنلاین

آزمون‌های مدرسه طبق روال پیش نمی‌رود؟ خوب این برای هر کسی می‌تواند اتفاق بیافتد. خیلی از کسانی که در این آزمون‌ها موفق نمی‌شوند خودشان را جمع و جور می‌کنند و آزمون را دوباره می‌دهند و یا هدفشان را به طور کلی تغییر می‌دهند. اما در برخی موارد معدود، دانش‌آموزان ممکن است وسوسه شوند برای رسیدن به موفقیت راه‌های رایج را دور زده و یک‌جورهایی دست به تخلف بزنند. در طول سال‌ها، صنعتی زیرزمینی حول محور همین وسوسه شکل گرفته و همچنان در حال رشد است. در این صنعت، تالارهای گفت‌وگو و ویدیوهای آموزشی وجود دارد که در آن‌ها مطالب مختلفی آموزش داده می‌شود: از هک کردن سیستم مدرسه گرفته تا گواهی‌نامه‌های تقلبی و دیپلم‌های جعلی که در بازار سیاه به فروش گذاشته می‌شوند. در این خبر قصد داریم کمی بیشتر به این فضا بپردازیم و در نهایت، راهکاری برای مقابله با این اقدامات خدمتتان ارائه دهیم.

دسترسی به نمره‌ها

بسیاری از مدارس پلت‌فرم‌های اطلاعاتیِ مبتنی بر وب را در فرمت فعالیت‌های مدرسه‌ای، تکالیف، ارزیابی، روابط بین معلمین و اولیا و غیره معرفی کرده‌اند. به یک سری از این‌ها می‌شود در اینترنت دسترسی پیدا کرد و البته اگر به عقبه‌ی بسیاری از چنین پلت‌فرم‌ها -از جمله برخی از آن‌ها که به طور گسترده مورد استفاده قرار می‌گیرند- نگاه کنیم می‌بینیم بسیار آسیب‌پذیری بوده‌اند.

یکی از محبوب‌ترین پلت‌فرم‌های اطلاعاتی در مدرسه PowerSchool است. PowerSchool بیشتر به آسیب‌پذیری CVE-2007-1044 معروف است که به مهاجم اجازه می‌داد محتوای فولدر ادمین را از طریق یک یوآرالِ به شدت حرفه‌ای فهرست‌وار ثبت کند. تأثیر این آسیب‌پذیری به تنظیمات وب سرور و آنچه فولدر در خود دارد وابسته است.

به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ با این حال، آسیب‌پذیری‌های گزارش‌شده و اکسپلویت‌هایی نظیر آن به مهاجم اجازه‌ی دور زدن احراز هویت برای دسترسی به اطلاعات را نمی‌دهند. برای همین مسیر ساده‌تری نیز وجود دارد: استفاده از اطلاعات محرمانه‌ی اکانت.

درگاه PowerSchool مثل خیلی از پلت‌فرم‌های دیگر تنها توسط نام کاربری و رمزعبور محافظت می‌شود.

در ماه مارس 2019، دانش‌آموزان اظهار داشتند با هدف تغییر نمره‌ها و بهتر کردنِ روند حضور و غیابشان، PowerSchool را هک کرده‌اند. و به این دلیل که افراد روی چندین سایت از یک سری اطلاعات اکانت یکسان استفاده می‌کرده‌اند، این احتمال وجود داشته که چنین پورتال‌هایی با استفاده جزئیاتِ اکانت سرقت‌شده‌ یا مجدداً استفاده‌شده هک شوند. استفاده از روش‌های گوناگون این اکانت‌ها می‌توانند مورد دستبرد قرار گیرند- از کپی کردن از روی استیکی نوتِ کیبورد معلم گرفته تا یک هکِ واقعی و جمع کردن اطلاعات محرمانه روی شبکه‌ی اینترنتی مدرسه یا دانشکده. تازه خیلی از دانش‌آموزان نیز می‌توانند یک هکر زیرزمینی استخدام کنند تا آن‌ها این کار را برایشان انجام دهند.

سرویس‌های هک و مدارک جعلی در بازارهای سیاه

یک جست‌وجوی آنلاین در تاریخ 12 ژوئن در نهایت ما را با یک آفری مواجه کرد که پرده از خیلی رازها برداشت: هک کردن سرویس‌ها و صدور گواهی‌ها و مدارک جعلی با موضوع دلخواه متقاضی. این آفر، روند ساده و شفافی هم داشت، یک فرم سفارش و اطلاعات تماس.

ارتقای سطح امنیت در حوزه‌ی آموزش و پرورش

با این تفاسیر مدارس، دانشکده‌ها و دانشگاه‌ها و حتی کارمندانی که در این بخش‌ها کار می‌کنند باید چه کار کنند تا در دام چنین نقشه‌های شومی نیافتند؟

تا حد امکان سعی کنید از احراز هویت دو عاملی استفاده کنید، خصوصاً وقتی پای دسترسی به نمرات و ارزیابی‌های مربوط به دانش‌آموزان وسط است. دسترسی به سایت را سخت کنید تا هر هکری نتواند براحتی وارد شاهراه‌های سایت شود.
داخل محوطه مدرسه دو شبکه‌ی جداگانه‌ی اینترنت بی‌سیم تعبیه کنید؛ یکی برای کارمندان و دیگری برای دانش‌اموزان. شاید بهتر باشد شبکه‌ی اینترنتی سومی نیز در کار باشد: مخصوص کسانی که به مدرسه سر می‌زنند.
یک خط مشی قوی برای رمزعبور کارمندان اعمال کنید و همه را به نگهداری از اطلاعات محرمانه‌ی خود ترغیب نمایید.
برای داشتن یک محافظت همه‌جانبه که طیف وسیعی از تهدیدها را پوشش دهد از راه‌حل امنیتی قوی مانند اندپوینت سکیوریتی کسپرسکی برای سازمان‌ها استفاده کنید.

منبع: کسپرسکی آنلاین  

اسپمرها هر روز، میلیاردها پیام ارسال می‌کنند که خوب البته اغلب اوقات این پیام‌ها در قالب آگهی‌های تبلیغاتی هستند (بله و بسیار هم آزاردهنده) اما عموماً بی‌خطرند. اما هر چند وقت یک بار ممکن است فایل مخربی به یکی از پیام پیوست شود. برای تحریک گیرنده‌ی پیام برای باز کردن فایل خطرناک، این فایل مخرب اغلب خود در قالب چیزی مهیج و وسوسه‌انگیز ظاهر می‌شود... فایلی کارامد و مهم... چیزی مانند یک داکیومنت کاری، پیشنهادی عالی، گیفت کارد با لوگوی شرکتی سرشناس و غیره. توزیع‌کنندگان بدافزار فرمت‌های «دست‌آموز» مخصوص به خود را دارند. با ما همراه شوید تا 4 پیوست فایل مخرب که امسال از همه خطرناک‌تر بوده‌اند خدمتتان معرفی کنیم.

آرشیوهای ZIP و RAR

به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ مجرمان سایبری عاشق اینند که در آرشیوها، بدافزار پنهان کنند. برای مثال، فایل‌های ZIP با عنوان‌های تحریک‌کننده مانند Love_You0891 (ممکن است اعداد با هم فرق داشته باشند) توسط مهاجمین استفاده می‌شدند تا بتوانند باج‌افزار GandCrab را در روز ولنتاین پخش کنند. عده‌ای دیگر از اسکمرها نیز چند هفته بعد از انتشار این باج‌افزار در حال ارسال آرشیوهایی با تروجان Qbot روئت شدند؛ تروجانی که تخصصش سرقت اطلاعات است. در سال جاری نیز قابلیت WinRAR جالبی مشاهده کردیم. هنگام ساخت آرشیو، فرد می‌تواند قوانینی برای آن‌پک کردن محتوا به سیستم‌فولدر وضع کند. خصوصاً اینکه محتواها می‌تواند در فولدر استارت‌آپ ویندوز انتقال داده شوند و همین باعث می‌شود با هر ریبوت جدید، اجرا شوند. بنابراین، توصیه می‌کنیم کاربران WinRAR برای رفع این مشکل سریعاً آن را آپدیت کنند.

داکیومنت‌های مایکروسافت آفیس

فایل‌های مایکروسافت آفیس، خصوصاً داکیومنت‌های ورد (DOC، DOCX) و اسپردشیت‌های اکسل (XLS، XLSX، XLSM)، ارائه‌ها و تمپلت‌ها خوراک اصلیِ مجرمان سایبری‌اند. این فایل‌ها می‌توانند حاوی ماکروهای جاسازی‌شده باشند؛ برنامه‌های کوچکی که داخل فایل اجرا می‌شوند. مجرمان سایبری برای دانلود بدافزار از ماکروها به عنوان اسکریپ استفاده می‌کنند. اغلب اوقات این پیوست‌ها هدفشان، کارمندان ادارات است. آن‌ها خود را در قالب قرارداد، صورتحساب، هشدارهای مالیاتی و پیام‌های اضطراری از سوی مدریت ارشد جا می‌زنند. برای مثال، یک تروجان بانکداری تحت عنوان Ursnif خود را در قالب یک هشدار پرداختی به کاربران ایتالیایی جا زد. اگر قربانی فایل را باز می‌کرد و به فعالسازی مارکوها (که به دلایل امنیتی، به طور پیش‌فرض غیرفعال است)رضایت می‌داد، این تروجان روی کامپیوتر فرد دانلود می‌شد.

فایل‌های پی‌دی‌اف

خیلی‌ها از خطرات ماکروها در داکیومنت‌های مایکروسافت آفیس باخبرند؛ اما اغلب نمی‌دانند در فایل‌های پی‌دی‌اف ممکن است دام‌هایی پنهان شده باشد. با این وجود، پی‌دی‌اف‌ها می‌توانند بدافزار را در خود مخفی کنند. این فرمت می‌تواند برای ساخت و اجرای فایل‌های JavaScript مورد استفاده قرار گیرد. علاوه بر این، مجرمان سایبری عاشق پنهان کردن لینک‌های فیشینگ در داکیومنت‌های پی‌دی‌اف هستند. برای مثال، مجرمان سایبری در یک کمپین اسپم کاربران را به رفتن به صفحه‌ی secure ترغیب می‌کنند؛ جایی که از آن‌ها خواسته می‌شود به اکانت آمریکن‌اکسپرس خود وارد شوند. دیگر این را نگوییم که بعدش بلافاصله اطلاعات محرمانه‌ی کاربران برای اسکمرها فوروارد می‌شود.

دیسک ایمیج‌[1]های ISO و IMG

در مقایسه با انواع قبلیِ پیوست‌ها، فایل‌های ISO و IMG اغلب مورد استفاده قرار نمی‌گیرند. با این حال، مجرمان سایبری اخیراً دارند توجه بسیاری به آن‌‌ها می‌کنند. چنین فایل‌هایی -دیسک‌ ایمیج‌ها- اساساً کپیِ مجازی CD، DVD و یا دیسک‌های دیگر هستند. مهاجمین برای تحویل یک بدافزار (نظیر تروجان Agent Tesla که کارش دزدیدن اطلاعات محرمانه است) به کامپیوتر قربانیان از دیسک ایمیج استفاده می‌کنند. داخل ایمیج، فایل مخرب قابل اجرایی است که به محض فرود، جاسوس‌افزار را روی دستگاه فعال و نصب می‌کند. تازه در برخی موارد، مجرمان سایبری از هر دو پیوست (ISO و DOC) استفاده می‌کنند تا احتمال شکست‌شان به صفر برسد.

چطور ایمن بمانیم؟

ایمیل‌های مشکوک را که آدرس‌های ناشناخته دارند باز نکنید. اگر نمی‌دانید چرا پیامی بخصوص با موضوعی بخصوص در اینباکس شما فرود آمده اکثر مواقع بدین‌معناست که احتیاجی بدان نخواهید داشت. پس با باز کردن آن خود را به دردسر نیاندازید.
اگر کارتان ایجاب می‌کند مدام با افراد غریبه در مکاتبه باشید، به دقت آدرس فرستنده و نام پیوست را بررسی کنید. اگر چیزی مشکوک به نظرتان آمد آن را باز نکنید.
نگذارید ماکروها در داکیومنت‌هایی که با ایمیل‌ها می‌رسند اجرا شود مگر آنکه مطمئن باشید باید چنین باشد.
با هر لینکی که داخل فایل است با احتیاط برخورد کنید. اگر نمی‌دانید چرا ازتان خواسته شده است لینکی را فالو کنید تنها راه‌حل این است که آن را نادیده بگیرید. اگر فکر می‌کنید باید آن لینک مورد نظر را فالو کنید پس توصیه می‌کنیم در مرورگر خود به طور دستی وارد آدرس وبسایت مربوطه شوید.
از راه‌حل امنیتیِ مطمئنی استفاده کنید که شما را از هر فایل خطرناک مطلع کرده و آن‌ها را برایتان بلاک می‌کند. حتی اگر بخواهید ناخواسته وارد سایتی مشکوک شوید نیز چنین راه‌حلی به شما اخطار می‌دهد. 

[1] disk image

منبع: کسپرسکی آنلاین

نشریه نشنال اینترست آمریکا نوشت توانمندی ایران در حوزه جنگ الکترونیک سبب نگرانی واشنگتن و اسرائیل شده است.

به گزارش باشگاه خبرنگاران جوان به نقل از شبکه تلویزیونی العالم، اعتراف به جایگاه پنجم ایران در حوزه فناوری اطلاعات در جهان، آمریکا و رژیم صهیونیستی را به شدت نگران کرده است.

نشریه نشنال اینترست آمریکا در گزارشی نوشت: ایران در حوزه رویارویی‌ها در دنیای مجازی (جنگ سایبری) توانایی‌های بازدارنده متعددی در اختیار دارد.

بر خلاف لشکرکشی‌های آمریکا به منطقه، توانمندی ایران در حوزه جنگ الکترونیک که چند سالی است در فضای مجازی جایگاهی پیدا کرده است سبب نگرانی واشنگتن شده است.

این نوع جنگ از زمانی جدی‌تر شد که خبر کنترل هواپیمای جاسوسی آر کی یو ۱۷۰ آمریکا در دسامبر سال ۲۰۱۱، که از جانب متخصصان ایرانی صورت گرفته بود در جهان منتشر شد. ایران توانسته بود این هواپیما را کاملا سالم در اختیار بگیرد.

آن زمان نهاد‌های اطلاعاتی آمریکا و اسرائیل به قدرت ایران در جنگ سایبری اعتراف کردند، توانمندی که موجب شد تا ایران در فهرست پنج کشور قدرتمند حوزه جنگ‌های الکترونیک جهان قرار بگیرد.

مرکز پژوهش‌های امنیت ملی در دانشگاه تل آویو متن پژوهشی را از جنگ الکترونیک میان آمریکا و ایران منتشر کرد که در آن آمده است، تهران برای حمایت از تاسیسات حیاتی خود در پی توسعه دادن برنامه‌های الکترونیکی است، این برنامه‌ها بسیار پیچیده اند و به این کشور قدرت می‌دهند تا بتواند تاسیسات غربی و صهیونیستی را به تعطیلی بکشاند، زیرا تهران با توجه به توانایی‌هایی که دارد قادر است در برنامه‌های الکترونیکی موسسات صهیونیستی و آمریکایی نفوذ کند.

یک افسر عالی رتبه در نهاد اطلاعات نظامی ارتش اسرائیل (امان) که نخواست نامش فاش شود اعتراف کرد ایران در توسعه الکترونیکی و فناوری، کشور قدرتمندی است و نهاد اطلاعاتی اسرائیل در این زمینه با کشور پیشرفته‌ای مواجه است.

در همین زمینه نشریه نشنال اینترست آمریکا روز پانزدهم مه امسال (۲۵ اردیبهشت) گزارشی را منتشر کرد که در آن آمده است، ایران در حوزه جنگ سایبری ابزار‌های متعددی را برای مقابله با دشمنان در اختیار دارد.

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ آیا در سرویس یوتیوب کانال دارید؟ وضعیتش چطور است؟ توانسته هزار تا عضو برای خود جمع کند یا نه؟ اگر بله پس باید منتظر چنین متنی باشید: «ما در حال ارزشگذاری درخواست شما جهت کسب درآمد از کانال یوتیوب‌تان هستیم». هیچ ایرادی به این پیام وارد نیست اما مشکل اینجاست که این متن به احتمال زیاد جعلی است. در پی کمپین‌های اخیر که اکانت‌های اینستاگرامی و توییتر را مورد هدف گرفته بود، سارقین سایبری اکنون چشمشان به دنبال صاحبان کانال‌های یوتیوبی است.

بیشتر از یک سال است که یوتیوب قوانین مربوطه به دریافت کانال در این سرویس را سفت و سخت گرفته است. بدین‌معنا که از یک و سال و اندی پیش دیگر افراد باید برای درآمدزایی از طریق کانال یوتیوب‌شان مراحل سخت‌تری را طی کنند. این روزها، کانال‌هایی که توسط آگهی‌ها حمایت می‌شوند باید از قوانین خاصی پیروی کنند از جمله اینکه باید دست کم 1000 عضو داشته باشند و در طول بازه‌ی زمانیِ 12 ماهه 4000 ساعت بازدید داشته باشند. برای همین هم هست که یوتیوبرها اصرار دارند کانال‌شان را حسابی بگردید.

حالا این اسکم جدید یوتیوب چه شکلی است؟

متن زیر لوگوی رسمی یوتیوب چنین می‌گوید: «تیم ما کانال شما را بررسی کرد... ما در پروسه‌ی بازنگری اکانت‌تان بیش از یک مورد تخلف را شناسایی کردیم». همچنین در این پیام هشدار داده می‌شود که همه‌ی کانال‌های یوتیوب به طور دستی مورد نظارت قرار می‌گیرند. بنابراین، از شما خواسته خواهد شد تا اطلاعات شخصی‌تان را در ایمیلی برگردانید.

اطلاعاتی که فیشرها ازتان می‌خواهند شامل یو‌آر‌ال کانال‌ و رمزعبورتان می‌شود. بر اساس گفته‌های یوتیوبرهای قربانی، این نوتیفیکیشن‌های قلابی در بخش ایمیل‌های پابلیک می‌آیند و آدرس‌شان نیز با آنی که به کانال‌هایشان وصل می‌شوند فرق دارد.

به محض اینکه فیشرها اطلاعات‌تان را می‌گیرند، سعی می‌کنند اکانت را از چنگتان درآورند. می‌پرسید برای چه؟ بسیارخوب، شاید با راه‌اندازی یک آگهیِ فیشینگ با نام شما فالوورهای شما را اسکم کرده باشند (محصولاتی را به عنوان هدیه تبلیغ کنند و برای مسابقات جوایزی نفیس در نظر بگیرند). هزار و یک دلیلی دیگر هم می‌تواند داشته باشد که به همه‌ی آن‌ها نمی‌توان پرداخت.

چطور از اکانت یوتیوب خود محافظت کنیم؟

توجه داشته باشید که یوتیوب هیچگاه در ایمیل از شما رمزعبور نمی‌خواهد.
همیشه پیش از واکنش به هر ایمیلی -خصوصاً اگر مطمئن نیستید فرستنده کیست- همه‌چیز را به دقت بررسی کنید.
برای اکانت خود احراز هویت دوعاملی فعال کنید. گوگل این گزینه را برای همه‌ی اپ‌ها و سرویس‌های خود لحاظ کرده است (یوتیوب هم از این قاعده مستثنی نیست).

 منبع: کسپرسکی آنلاین

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ نه تنها در جهان فیزیکی گرفتار بهم‌ریختگی و بی‌نظمی شده‌ایم؛ بلکه این آشفتگی را حتی در جهان دیجیتال‌مان هم تزریق کرده‌ایم. حال دیگر این بی‌نظمی را می‌توان در سطح منابع شبکه‌ای و کامپیوتری و حتی سرویس‌های ابری نیز مشاهده کرد. اخیراً آژانس نظرسنجی آنلاین OnePoll تحقیقی انجام داده است که طی آن، نظم و ترتیب داخل یخچال را با نظم و ترتیب منابع دیجیتال مورد مقایسه قرار داده است.

حتی در این پژوهش، میزان آشفتگی و بهم‌ریختگی میان این دو نیز قیاس شده است. دلیل اینکه یخچال را برای انجام چنین تحقیقی انتخاب کرده‌اند معلوم نیست- شاید به خاطر اینکه یخچال یک محفظه‌ی درپوشیده و بسته است؛ درست مانند محتویات داخل فضای دیجیتال. یک‌سوم پاسخ‌دهندگان در این تحقیق به اطلاعات محرمانه‌ی همکاران خود در اداره دسترسی داشته‌اند و یک‌سوم دیگر نیز قادر بودند به فایل‌های کارفرماهای اسبق خود دسترسی پیدا کنند. این کشفیات من را بر آن داشت تا یاد سه مورد از تجربه‌ها‌ی شخصی‌ام بیافتم. این سه مورد بخوبی می‌توانند خطرات بهم‌ریختگی دیجیتالی را نشان دهند:

ایستگاه کاریِ ریموت

چند سال پیش برای شرکت کوچکی کار می‌کردم که یکی از وظایفم نوشتن در مورد محصولات نرم‌افزاری‌ این شرکت پیش از عرضه‌شان بود. برای اینکه ایستگاه کاری‌ام را خلوت نگه دارم (جلوگیری از حجم وسیع و غیر ضروری از برنامه‌های تکراری و چرخه‌های حذف پیاپی) تقاضای ماشین مجازی (VM) کردم. ماشین مجازی خیلی راحت می‌تواند ریست شود تا سیستم مرتب باشد.

استفاده از ماشین مجازی اگر درست تنظیم بشود حتی می‌تواند یک اقدام خوب هم باشد. با درخواستم (تا حدی) موافقت شد. شرکت یک ماشین مجازی به من داد اما فقط برای من نبود؛ بلکه برای کل شرکت بود: همه می‌توانستند به طور تیمی از آن استفاده کنند؛ بدتر اینکه به شبکه‌ی اینترنتی شرکت نیز وصل بود. ما اغلب مجبور بودیم اسکرین‌شات‌ها را با هم به اشتراک بگذاریم اما مشکل اصلی چیز دیگری بود:

مشکل این است که اکنون پنج سالی می‌شود از آن شرکت بیرون آمدم اما آن ماشین مجازی هنوز هم سر پاست و دارد کار می‌کند. هنوز هم با همان آدرس در حال اجراست و هر کاربری که رمزعبور و لاگین قبلش را داشته باشد می‌پذیرد.

من هم که دغدغه‌ام امنیت است -خیلی بیشتر از برخی دپارتمان‌های آی‌تی- لاگین کردم. دیدم هنوز می‌توانم فایل‌هایی که کارمندان شرکت سابقم رویشان کار می‌کنند قابل‌رؤیت است. با دیدن این صحنه نتوانستم به شرکت زنگ نزنم و نگویم رمزعبور ماشین مجازی‌شان را عوض کند!. همچنین بهشان پیشنهاد دادم ماشین مجازی را از شبکه‌ی اینترنتی شرکت خود جدا کنند.

داکیومنت‌های یتیمِ گوگل

زمانی به عنوان نویسنده‌ی حق‌الزحمه‌ای با شرکتی کار می‌کردم که به شدت درگیر امنیت فیزیکی خود بود. برای ورود باید اسم یکی از کارمندان آن شرکت را می‌گفتم و بعد اطلاعات ورود را روی یک کاغذ نوشته و تحویلم می‌دادند.

یک بار دیگر هم بود که اطلاعات شخصی‌ام را برای ورود به شرکتی دیگر عوض کردم و به ادیتور شرکت گفتم آن را اصلاح کند؛ در نهایت این جواب را از او دریافت کردم: «من وقت ندارم خودت انجام بده». سپس لینکی بهم دادند که به داکیومنت گوگل هدایتم کرد و آنجا فهرستی دیدم از نویسندگان آن شرکت با اطلاعات کامل از تاریخ تولدشان و البته یک سری جزئیات شخصی.

سعی کردم این مشکل امنیتی را گوشزد کنم اما هیچوقت برای حوزه‌ی امنیتی وقت کافی نمی‌گذاشتند. مشکل این است که فایل هنوز هست؛ هنوز هم برای هر کس که لینک را دارد قابل‌دسترسی است. هیچکس نمی‌تواند هیچ اطلاعاتی را از آن پاک کند، بنابراین هر کسی می‌تواند تاریخچه‌ی ویرایش هر تغییرِ اِعمال‌شده روی فایل را ببیند.

هارد درایو قدیمی

من همیشه عادت دارم سخت‌افزار کامپیوترهای قدیمی را جمع می‌کنم. معمولاً آن‌ها را از بازار اجناس دست‌دوم به قیمت خیلی پایین می‌خرم. همین چند وقت پیش بود که بقایای کیسِ یک سیستم قدیمی را خریدم.

فروشنده گفت چیزِ بدرد نخوری بود و اگر کسی برش نمی‌داشت آن را بیرون می‌انداخت. صرفاً از روی کنجکاوی هارددیسک  را بوت کردم تا ببینم چه چیزهایی دارد. جدا از چیزهای شخصی متعلق به صاحب دستگاه، فولدری هم بود با عنوان work که داخلش یک سری قیمت و قرارداد وجود داشت و روی همه‌شان هم نشان «محرمانه» گذاشته شده بود.

آخرین آیتم هم مربوط می‌شد به آگست 2018. نمی‌دانم صاحب قبلی این پی‌سی قدیمی را مدام از خانه به سر کار می‌برده یا تنها آرشیوهایش را در آن ذخیره می‌کرده است اما به طور حتم هیچ حواسش به عواقب چنین سهل‌انگاری نبوده.

البته این را هم بگویم که هارددیسک را فرمت کردم. هیچوقت خیلی تمرکزم را روی یخچال چنین شرکت‌های نگذاشتم و البته تمایلی هم به سرک کشیدن داخل فریزر آن‌ها را هم نداشتم اما می‌توانم چشم‌بسته بگویم این‌ها همان‌هایی هستند که در یخچالشان می‌شود سوپ فاسد صد سال پیش و تکه گوشت‌های فسیل‌شده و گندیده را پیدا کرد.

منبع: کسپرسکی آنلاین

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ وسط جاده حین رانندگی به اپ نویگیشن نگاه می‌کنید و می‌بینید این اپ گمان کرده در فرودگاهید نه در حال رانندگی. حتماً اگر خیلی ناراحت نشوید باز کمی سردرگمی سراغتان می‌آید و معذب می‌شوید. این یک موقعیت ساختگی نیست؛ بلکه نمونه‌ای واقعی است از مشکلاتی که پیوسته برای GPS پیش می‌آید: تغییر مختصات GPS با استفاده از یک سیگنال جی‌پی‌اس جعلی (اما قوی‌تر) از زمین که سیگنال ماهواره‌ای را از مسیر به در می‌کند.

حال اینکه چه کسی پشت پرده است و برای چنین کاری چه دلیل و توجیهی دارد کمی مبهم است اما این حقه کاربردهای اجراییِ متعددی دارد- از سرقت پهپادها گرفته تا دخالت در روند سیستم‌های نویگیشن یات‌ها و تانکرها. تنها خبر خوب این است که جوانب محافظتی دارد رفته‌رفته شکل می‌گیرد (هر چند اگر این روند کند باشد).

در ادامه برای عجول‌ها، حقایقی را در خصوص جاسوسی‌های  GPS رو کرده‌ایم:

 یکی از روش‌های کلاهبرداری و جاسوسیِ جی‌پی‌اسی می‌تواند فریب گیرنده‌ی GPS توسط پخش سیگنال جعلی جی‌پی‌اس از زمین باشد. در چنین موقعیتی، تمامی نویگاتورهای محدوده مورد نظر موقعیت مکانی را اشتباه نشان می‌دهند.
راه دیگر سرقتِ پهپادها و خودروهاست... یا حتی گیج کردن رانندگان تاکسی، ملوان‌ها و هدایتگرهای پهپاد.
ابزار جاسوسی و کلاهبرداریِ جی‌پی‌اسی کاملاً مقرون به صرفه‌اند- با چند صد دلار به راحتی می‌شود بهترین دسیسه‌های مخرب جی‌پی‌اسی را چید.
فناوری‌هایی هم با هدف مبارزه با چنین حقه‌های جی‌پی‌اسی ارائه شده است اما آن‌ها بیشتر مخصوص سیستم‌های بزرگ مانند نویگیشن ناوبر دریایی می باشند.
راحت‌ترین راه برای محافظت از اسمارت‌فون یا تبلت‌تان در برابر چنین خطراتی این است که آن را روی حالت battery-saving location بگذارید که به موجب آن، تنها شبکه‌های وای‌فای و سلولی برای شناسایی موقعیت مکانی شما مورد استفاده قرار می‌گیرند. فراموش نکنید که در چنین شرایطی GPS غیرفعال می‌شود (این حالت روی برخی دستگاه‌ها تعبیه نشده است).

و حالا جزئیات بیشتر برای آن‌هایی که همیشه به دنبال لایه‌های عمیق‌تری از بحث می‌گردند:

نحوه‌ی عملکرد کلاهبرداری‌های GPS

برای اینکه متوجه شویم چرا جی‌پی‌اس اساساً می‌تواند نسخه جعلی نیز داشته باشد باید مروری داشته باشیم بر قوانین کلیِ نویگیشن ماهواره‌ای. ماجرا از این قرار است: آن بالا... بر فراز کره زمین درست در مدار زمین‌ثابت چندین سیستم ماهواره‌ای معلقند. نامشان سامانه موقعیت‌یاب جهانیِ آمریکایی[1]، گالیلئو (ناوبری ماهواره‌ای)[2]، گلوناسِ روسی[3] و سامانه ناوبری بیدو[4] است.

هر ماهواره یک سیگنال رادیوییِ دائمی حاوی کد ماهواره‌ و زمان دقیق انتقال سیگنال را ارسال می‌کند. دیگر گوشی‌تان یا هر نویگاتور دیگری هیچ‌چیز انتقال نخواهد داد و تنها سیگنال‌های رادیویی را از فضا دریافت خواهند کرد. با تحلیل زمان دقیق رسیدن هر سیگنال، این امکان وجود دارد که بتوان فاصله‌ی گیرنده جی‌پی‌اس را از هر ماهواره محاسبه نمود.

با کمی چاشنی ریاضیات و مقایسه‌ی چند سیگنال (دست‌کم سه تا اما خوب اگر تعداد بیشتر باشد بهتر است) گیرنده می‌تواند موقعیت مکانی دقیق مخصوص ماهواره‌ها را شناسایی کند. و چون مختصات ماهواره‌ها شناخته‌شده و ثابتند، با کمی محاسبه می‌توان موقعیت مکانی گیرنده را روی سطح کره‌ی زمین پیدا کرد. تنها مشکل این است که سیگنال‌های ماهواره‌ای به محض برخورد با زمینِ خشک ضعیف می‌شوند و آنتن‌ اکثر گیرنده‌ها خیلی هم حساس نیستند. بنابراین، تنها با گذاشتن یک انتقال‌دهنده‌ی رادیوییِ قوی در محدوده و همچنین پخش سیگنال صوتیِ جعلی -اما فنی- از آن خیلی راحت می‌توان در کار ماهواره‌ها دخالت کرد و باعث شد همه‌ی رسیورهای جی‌پی‌اس حاضر در محدوده مختصات اشتباه را محاسبه کنند.

در عین حال، گیرنده‌ها ابزار فنی کافی برای تشخیص مسیر سیگنال ندارند؛ بنابراین نمی‌دانند سیگنال دارد از منبعی کاملاً مختلف می‌آید. بدتر اینکه تجهیزات کلاهبرداری بوسیله‌ی جی‌پی‌اس بسیار ارزان است (حدود 300 دلار). به بیان دیگر هر کسی می‌تواند به این کار دست بزند.

چه کسی کلاهبرداریِ جی‌پی‌اسی به کارش می‌آید و چرا؟

برخی موارد شناخته‌شده از هک سیستم‌های جی‌پی‌اس به پروژه‌های تحقیقاتی (برای مثال، سرقت یات... نظرتان چیست؟) شکار غیرقانونی و از همه محتمل‌تر عملیات‌های نظامی مربوط می‌شود. این مسئله در خصوص سیستم‌های خودکار مانند پهپادها و سازه‌هایی که مستقل و بدون دخالت انسانی کار می‌کنند حتی نگران‌کننده‌تر نیز می‌شود. حتی خبرهایی هم شنیده شد مبنی بر سرقت هواپیماهای نظامی بدون سرنشین که نشان می‌دهد وضعیت پهپادهای غیرنظامی هم چندان بهتر از این نخواهد بود.

چطور ایمن بمانیم؟

گرچه این مشکل چند وقتی هست که وجود دارد اما چالش‌هایی نیز در خصوص ارائه‌ی یک سری راه‌حل برای آن وجود دارد- تجهیزات کلیدی در فضا مستقرند و نمی‌شود آناً جایگزینشان کرد. ماهواره‌های جی‌پی‌اس هرچه از آن‌ها انتشار می‌شود منتشر می‌کنند و کسی نمی‌تواند ابزارهای استاندارد حفاظتی همچون فناوری‌ رمزگذاری به سیگنال‌ها اضافه کند. اقدامات امنیتی تاکنون فی‌الذات آزمایشی بوده‌اند و در مقیاس‌های بزرگ و بطن واقعیت به کار برده نشده‌اند.

یکی از رویکردها (که علاوه بر مبارزه با این بزهکاری‌ها همچنین گیرنده سیگنال باثبات‌تری را نیز ارائه می‌دهد) استفاده از تنظیمات چند آنتنیِ گیرنده (2×2) است. این ترکیب نه تنها نویز و دخالت‌های اضافی را فیلتر می‌کند که همچنین می‌تواند برای شناسایی مسیری که سیگنال از آن ساطع می‌شود مورد استفاده قرار گیرد.

این تکنیک، تشخیص اینکه کدام سیگنال ماهواره‌ای واقعی است و کدام جعلی را راحت می‌کند. تاکنون، چنین رویه‌هایی تنها در نمونه‌های آزمایشی امتحان شده‌اند اما هر قدر جلوتر می‌رویم امید است بتوان این تجهیزات را عملاً اجرایی نمود. شاید آنطور که به نظر می‌رسد چندان هم هزینه‌بردار و دشوار نباشد؛ فناوری‌های مشابهی همین الانش هم دارند در شبکه‌های سلولی G4 و G5 به کار گرفته می‌شوند.

رویکرد دیگر، استفاده از راه‌حلی بازرگانی است که اکنون هم موجود است اما تنها برای گیرنده‌های بزرگ جی‌پی‌اس استفاده می‌شود (برای مثال دیوار آتشین جی‌پی‌اس). این دستگاه بین گرنده جی‌پی‌اس و انتن خارجی‌اش نصب می‌شود و دائماً سیگنال جی‌پی‌اس را بر اساس مجموعه قوانینی هماهنگ می‌سازد تا تمام سیگنال‌های کاذب قطع شوند. بدین‌ترتیب تنها سیگنال‌های واقعی می‌توانند به دست گیرنده برسند.

سازندگان تراشه‌های اسمارت‌فون روزی قادر خواهند بود تا چیز شبیه به دیوار آتشین جی‌پی‌اس را مستقیماً در گیرنده‌های نویگاتور ماهواره‌ای دستگاه‌ها جاسازی کنند. اما هنوز خیلی مانده است تا بدین فناوری‌ها دست پیدا کنیم. به هر روی اگر وقتی در ترافیک هستید، همچنان جی‌پی‌اس‌تان اصرار دارد که در فرودگاه هستید دستگاه را روی حالت battery-saving location بگذارید. در این حالت، دقت نویگیشن کمی پایین آید اما خوب بهتر از هیچ‌چیز است. متأسفانه چنین حالتی در سیستم‌عامل  iOS وجود ندارد اما کاربران اندرویدی می‌توانند این قابلیت را با رفتن به Settings → Security & Location → Location → Mode → Battery saving فعال کنند.

[1]  American GPS

[2] European Galileo

[3] Russian GLONASS

[4] Chinese BeiDou

منبع: کسپرسکی آنلاین

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ چند وقت پیش شاهد سرگردانیِ شرکتی برزیلی بودیم که عاجزانه برای بررسی حادثه‌ای، تقاضای کمک داشت. مشکل این بود که مجرمان سایبری با استفاده از آدرس‌های کارمندان شروع کرده بودند به توزیع اسپم. آن‌ها (طبق عرف معمول) خود را در مقام فرستندگانی قانونی قرار نمی‌دادند؛ بلکه آن‌ها پیام‌ها را مستقیماً به سرورِ میلِ این شرکت ارسال می‌کردند. بعد از بررسی‌های جامع توانستیم به خط‌مشی اصلی و دقیق این مهاجمین دست پیدا کنیم.

نقشه حمله

ابتدا، کلاهبرداران اینترنتی ایمیل‌های فیشینگ به کارمندان شرکت فرستادند و به دریافت‌کنندگان گفتند میل‌باکس آن‌ها به دلایلی در شسرف مسدود شدن است. سپس آن‌ها را دعوت کردند به کلیک کردن روی لینکی به آن‌ها مجبور به آپدیت اطلاعات اکانت‌شان می‌کرد. این لینک در اصل به فیشینگی می‌رسید که تقاضایش، اطلاعات محرمانه‌ی سیستم لاگین بود.

ترجمه: کاربر گرامی، میل‌باکس شما بزودی پاک خواهد شد زیرا خیلی از پیام‌هایتان همینطور بازنشده باقی مانده‌اند. برای جلوگیری از این رخداد اینجا کلیک کنید تا اکانت‌تان آپدیت شود. برای این مشکل از شما پوزش می‌خواهیم.

ادمین سیستم

قربانی‌ها بدین‌ترتیب فرم را تکمیل کردند و باعث شدند اسکمرها به اکانت ایمیل‌شان دسترسی کامل پیدا کنند. اسکمرها شروع به ارسال اسپم از اکانت‌های دستکاری‌شده کردند. دیگر حتی نیازی نبود سرخط‌های فنی پیام‌ها عوض شوند؛ زیرا از قبل قانونی بودنشان تأیید شده بود. این اسپم در نتیجه طوری نشان می‌داد که گویی دارد از سرورهای کاملاً سرشناس و قانونی می‌آید (از این رو هیچ شکی هم برنمی‌انگیخت).

بعد از به دست گرفتن کنترل میل‌باکس‌ها، مجرمان سایبری موج بعدی ایمیل زدن‌های خود را آغاز کردند. در این مورد، کلاهبرداران «پیام نیجریه‌ای» را به زبان‌های مختلف فرستادند (گرچه در تئوری این اسپم می‌توانست هر چیز دیگری باشد؛ از آفرهای داروهای بازار سیاه تا بدافزار).

این تحلیل نشان داد که شرکت برزیلی مذکور تنها قربانیِ موجود نبوده است. همین پیام (به مقادیری زیاد) همچنین از آدرس سازمان‌های دولتی و غیرانتفاعی نیز ارسال شده بود.

پیامدهای بزرگ  

اینکه از سرورها برای ارسال آفرهای تقلبی استفاده کنیم کار خوبی به نظر نمی‌آید. اگر مهاجمین به توزیع بدافزار سوئیچ کنند این به قیمت بدنامی شرکت شما تمام خواهد شد. اما پیامدها بدتر هم می‌شود. اینکه اطلاعات محرمانه‌ی لاگین میل‌باکس کارمندان همان رمزعبور و نام کاربری دامنه باشد چندان هم اتفاق عجیبی نیست؛ بدین‌معنا که اطلاعات دزدی می‌تواند برای دسترسی به سایر خدمات نیز مورد استفاده قرار گیرد.

همچنین با پیدا کردن دسترسی به میل‌باکس کارمند یک شرکتِ نامی، مجرمان سایبری می‌توانند تلاش کنند حمله‌ای هدف‌دار را بر علیه همکاران آن شرکت، شرکای سازمانی یا مقامات رسمی دولت مهندسی کنند. چنین حملاتی خیلی سخت موفق می‌شوند. این کار، نیازمند مهارت‌های دست اولِ مهندسی اجتماعیست تا بواسطه‌ی آن قربانی مجاب شود تمامی اقدامات مورد نیاز را انجام دهد اما اگر موفق شوند پیامدهایشان به طور غیرمنتظره‌ای تکان‌دهنده خواهد بود. این نوع کلاهبرداری جزو طبقه‌بندی BEC (دستکاری ایمیل شرکت) قرار می‌گیرد و می‌تواند باعث دردسر شرکت‌های آلوده گردد. در اصل، فرستنده‌ی جعلی تلاش می‌کند به اطلاعات اکانت، اسناد و مدارک مالی و سایر اطلاعات محرمانه‌ از طریق مکاتبات دسترسی پیدا کند. پیام‌های BEC را سخت می‌توان شناسایی کرد؛ آن‌ها هم از آدرس واقعی می‌آیند، هم سرخطشان مناسب است و هم محتایشان مرتبط.

چطور شرکت و کارمندان را ایمن نگه داریم؟

برای محافظت از نام و اعتبار شرکت‌تان و نیز جلوگیری از اسپم‌های آلوده توصیه می‌کنیم از راه‌حل محافظتیِ قابل‌اطمینانی استفاده کنید که قادر است اقدامات فیشیگ را هم در بخش میل‌سرور و هم ایستگاه‌های کار پرسنل ردیابی کند. دیگر گفتن ندارد که آپدیت کردن پایگاه‌های اطلاعاتی آنتی‌اسپم و آنتی‌فیشینگ نیز بسیار حائز اهمیت است.

منبع: کسپرسکی آنلاین

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ به لطف فناوری جدیدی که در محصولاتمان به کار برده‌ایم (که قادر است حملات زنجیره تأمین را شناسایی کند) متخصصین ما موفق به کشف بزرگ‌ترین حادثه‌ی زنجیره تأمین در کل تاریخ شده‌اند (CCleaner را یادتان است؟ از آن هم بزرگ‌تر). یک عامل تهدید Live Update Utility شرکت ایسوس را (که BIOS، UEFI و آپدیت‌های نرم‌افزاری به لپ‌تا‌پ‌ها و کامپیوترهای دسکتاپیِ ایسوس ارائه می‌دهد) دستکاری کرده، به یوتیلیتیِ آن بَک‌دُر اضافه نمودهو بعد آن را از طریق کانال‌های رسمی توزیع کرده است. این یوتیلیتی تروجان‌زده با گواهی قانونی مجوز ورودش صادر شد و بعد روی سرور رسمی ایسوس که مخصوص آپدیت‌هاست مورد میزبانی قرار گرفت. این کار باعث شد تا برای مدت زیادی این بدافزار همینطور مخفی و نامحسوس باقی بماند. مجرمین سایبری حتی مراقب بودند سایز فایل یوتیلیتیِ مخرب درست مانند نسخه‌ی اصل آن باشد.

بر اساس آماری که بدست آوریم، بیش از 57 هزار کاربرِ محصولات لابراتوار کسپرسکی این یوتیلیتیِ بک‌در را نصب کرده‌اند اما برآورد ما این است که این بدافزار به طور کلی بین 1 میلیون نفر توزیع شده است. با این حال مجرمین سایبریِ پشت این ماجرا به همه‌ی این کاربران علاقه یکسانی نشان ندادند؛ آن‌ها تنها 600 آدرس مک را مورد هدف خود قرار دادند. درست برای همین تعداد مک بود که هش‌هایی به نسخه‌های مختلف یوتیلیتی، هارکد شد. برای اینکه بدانید آدرس مک شما نیز در این فهرست قرار دارد یا نه روی اینجاکلیک کنید.

حین بررسی این حمله، به این مسئله پی بردیم که درست همین تکنیک‌ها روی سه فروشنده‌ی دیگر نیز پیاده شده است. راه‌حل‌های لابراتوار کسپرسکی اکنون آماده‌اند تا یوتیلیتی‌های تروجان‌زده را شناسایی و مسدود کنند اما همچنان توصیه می‌کنیم Live Update Utility ایسوس را آپدیت نمایید (البته اگر از آن استفاده می‌کنید).

شرح جزئیات

گرچه تحقیقات و بررسی‌های ما همچنان ادامه دارد اما در ادامه قرار است جزئیات بیشتری در خصوص این بدافزار خدمتتان ارائه دهیم:

مقیاس عملکرد

همینطور که قبلاً هم گفتیم ایسوس تنها شرکتی نیست که توسط مهاجمین مورد حمله قرار گرفته است. سه فروشنده‌ی دیگر هم بوده‌اند که درست تحت الگوریتم‌های مشابهی با ایسوس هدف قرار گرفتند:

Electronics Extreme: نویسندگان گیم‌ زامبی به نام Infestation: Survivor Stories.

Innovative Extremist: شرکت ارائه‌دهنده‌ی خدمات زیرساخت‌ وب و آی‌تی که همچنین در بخش توسعه گیم نیز فعالیت دارد.

Zepetto: شرکت کره جنوبی که بازی ویدیویی Point Blank را طراحی کرده است.

هدف نهایی

در مورد Electronics Extreme، Innovative Extremist و Zepetto، نرم‌افزار دستکاری‌شده، یک پی‌لود نسبتاً ساده به سیستم قربانی‌ها می‌دهد این نرم‌افزار دستکاری‌شده می‌توانست تمام اطلاعات مربوط به سیستم از جمله نام کاربری، ویژگی‌های کامپیوتر و نسخه‌های سیستم‌عامل را جمع کند. همچنین از آن برای دانلود پی‌لود مخرب از سرورهای C&C نیز استفاده می‌شود؛ بنابراین -برخلاف مورد ایسوس- فهرست قربانیان احتمالی تنها به فهرست آدرس‌های مک محدود نشده بود. همچنین فهرست 600 تایی آدرس‌های مک نیز تنها به همان 600 هدف محدود نمی‌شد؛ دست کم یکی از آن‌ها به آداپتور مجازی اترنت تعلق دارد و این یعنی همه کاربران آن دستگاه از یک آدرس مک استفاده می‌کرده‌اند.

چطور از این چرخه‌ی فاسد خود را بیرون بکشیم؟

رویه‌ی اصلی در تمامی موارد ذکر شده به این صورت است که مهاجمین با گواهی‌های معتبرشان، محیط‌های توسعه‌ی قربانیان خود را دستکاری می‌کنند. بنابراین، متخصصین ما به فروشندگان نرم‌افزاری توصیه می‌کند از فرآیند تولید نرم‌افزار دیگری استفاده کنند که حتی بعد از اینکه کد به صورت دیجیتالی وارد شد، نرم‌افزار را برای شناسایی بدافزار احتمالی برسی می‌کند. به منظور جلوگیری از حملاتی از این دست به شکارچیان سایبریِ متبحری نیاز دارید که البته مفتخریم که از این نوع نیروها کم نداریم. متخصصین ما با سرویس Targeted Attack Discovery به شما کمک می‌کنند تا فعالیت مجرمان سایبری و اقدامات مخرب‌شان را در شبکه‌ی خود شناسایی کرده و اهداف پس پرده‌شان را نیز برملا کنید. همچنین با استفاده از این سرویس می‌توانید منبع این حوادث را نیز پیدا کنید. علاوه بر این، Kaspersky Managed Protection را نیز به شما معرفی می‌کنیم که بیست و چهار ساعته اطلاعات تهدید سایبری را تحت نظارت دارد و پیوسته مورد تحلیل قرار می‌دهد.

منبع: کسپرسکی آنلاین

طبق قانونی جدید، به زودی تلویزیون های هوشمند و دستگاه های متصل به اینترنت اشیا در انگلیس مجهز به برچسب هایی می شوند که به مشتریان نشان می دهند دستگاه چقدر در برابر حملات سایبری ایمن هستند.

به گزارش خبرگزاری مهر به نقل از تک رادار، دولت انگلیس اعلام کرده تلویزیون‌های هوشمند و دستگاه‌های الکترونیکی دیگری که به اینترنت متصل می‌شوند باید برچسب‌هایی مخصوص داشته باشند. در این برچسب‌ها به کاربران اطلاع داده می‌شود دستگاه تا چه حد در برابر حملات سایبری ایمن است.

شرکت‌ها در مرحله اول به طور داوطلبانه و برای کمک به مشتریان این برچسب‌ها را روی محصولات شأن نصب می‌کنند تا آنها متوجه شوند کدام محصولات ایمن هستند. اما در مرحله بعد نصب برچسب‌ها الزامی خواهد بود.

این طرح بخشی از مشاوره‌های دولت انگلیس برای بهبود کلی وضعیت امنیت سایبری در این کشور است. طرح مذکور با ۳ شرط اصلی در آئین نامه‌ای برای تولید کنندگان ارائه شده است.

طبق این قانون برچسب‌ها باید به مشتریان گوشزد کنند از پسوردهای یکسان استفاده نکنند، باید به مشتریان اطلاع داده شود آپدیت های امنیتی جدید دستگاه چه زمان عرضه می‌شود و علاوه بر آن باید شرکت‌ها دپارتمانی ایجاد کنند تا کاربران بتوانند شکاف‌های امنیتی در دستگاه‌ها را گزارش کنند.

مارگوت جیمز وزیر دیجیتال انگلیس اعلام کرده تحت این برنامه خرده فروشان فقط می‌توانند محصولاتی را بفروشند که برچسب‌های مذکور را داشته باشند.

به گفته جیمز این اقدام آخرین گام در طرحی است که انگلیس را به یکی از ایمن ترین اماکن آنلاین در سراسر جهان تبدیل می‌کند.

او در این باره گفت: بسیاری از محصولات مصرفی که به اینترنت متصل می‌شوند، امنیت ندارند و درنتیجه حریم شخصی و امنیت مشتریان را به خطر می‌اندازند. آئین نامه مذکور نخستین گام به جهت ایمن کردن محصولات است.

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ دیگر بر هیچ‌کس پوشیده نیست که همه‌ی ما در فضای آنلاین تحت نظارتیم. تنها کافیست نحوه‌ی ساخت اتومبیل را گوگل کنید و یا عکس گربه‌ای را لایک نمایید و بعد خواهید دید که بزودی توسط کلی آگهی فروشگاه حیوانات خانگی و اطلاعات مربوط به خودرو (روی تقریباً هر سایتی که دیدن می‌کنید) بمباران خواهید شد. امیدوارم هنوز ماجرای رسوایی کمبریج آنالیتیکا یادتان نرفته باشد.

برای اینکه بدانیم کاربران در مورد حریم‌خصوصی آنلاین (و یا عدم آن) چه نظری دارند تقریباً از 12 هزار نفر در 21 کشور مختلف مصاحبه گرفتیم. کاشف به عمل آمد که بیش از نیمی از آن‌ها (56 درصد) فکر نمی‌کنند این امکان وجود داشته باشد که بتوانیم خودمان را تماماً در مقابل ردیابی‌های آنلاین محافظت کنیم. البته شاید هم تا حدی حق با آن‌ها باشد اما این احتمال هم وجود دارد که بتوان دسترسی طرف‌سوم به اطلاعات شخصی را تا حد زیادی محدود کرد.

در ادامه با ما همراه شوید تا توضیح دهیم چه ابزارهایی می‌توانند شما را در حفظ حریم‌خصوصی آنلاین خود کمک کنند.

فایل‌های موقتی مرورگر را پاک کنید

مرورگرها به طورپیش‌فرض تکه‌تکه از اینجا و آنجا اطلاعات جمع می‌کنند و آن‌ها را روی کامپیوتر شما ذخیره می‌کنند:

• حافظه نهان (Cache) شامل تصاویر و سایر داده‌های وبی می‌شود. وقتی داده‌ها ذخیره می‌شوند دیگر نیازی ندارند باری دیگر از سرور دانلود شوند.
• کوکی‌ها هم فایل‌های کوچکی‌اند که به وبسایت‌ها اجازه می‌دهند دستگاه‌تان را به یاد آورند و وقتی مرورگر بسته است نیز شما را از آن log out نمی‌کنند.
• تاریخچه‌ی وب گردی

بخش زیادی از این اطلاعات کاملاً در دسترس ردیاب‌های آنلاین قرار می‌گیرد. زمانی که ردیاب‌های آنلاین بخواهند بدانند از کدام وبسایت‌ها دیدن می‌کنید و یا اینکه به چه چیزهایی علاقه دارید از این اطلاعات استفاده می‌کنند. با پاک کردن این اطلاعات هر چند وقت یکبار، ردیابیِ فعالیت آنلاینِ شما توسط ردیاب‌های آنلاین سخت‌تر می‌شود. نیازی نیست این اطلاعات موقتی را به طوردستی پاک کنید. بیشترِ مرورگرها به شما اجازه می‌دهند تا در تنظیمات انتخاب کنید چطور کوکی‌ها به طور اتوماتیک پاک شوند. اما یادتان نرود پاک کردن اطلاعات موقتی شما را از مزایایی که دارند محروم می‌کند. برای مثال اینگونه مجبور خواهید شد هر بار که به وسایتی سر می‌زنید اطلاعات خود را برای لاگین وارد کنید که برای خیلی‌ها هم حوصله‌سر بر است و هم آزاردهنده. البته اگر بسته‌ی مدیریت کلمه عبور کسپرسکی را خریداری کنید دیگر چنین مشکلی نخواهید داشت.

اگر می‌خواهید وبسایت‌ها برخی جزئیات را در مورد شما به یاد داشته باشند (مثل نام‌تان وقتی دارید فرم‌های آنلاین پر می‌کنید) می‌توانید کاری کنید تا وبسایت‌ها نتوانند از کوکی‌های طرف‌سوم استفاده کنند؛ کوکی‌های طرف‌سوم به طور خاص مأمور ردیابی‌اند.

از «حالت ناشناس» استفاده کنید

اگر نمی‌خواهید خودتان را در دام مراحل تنظیمات بیاندازید و یا به غیر از چند وبسایت خاص، نیازی ندارید کل تاریخچه وبگردی‌تان را از چشمان نامحرم دور نگه دارید می‌توانید از «حالت ناشناس[1]» استفاده کنید. در چنین حالتی، مرورگر دیگر اطلاعات مربوط به صفحات بازدیدشده را ذخیره نمی‌کند. از سویی دیگر تب‌های ناشناس جلوی شما را برای استفاده از تب‌های نرمال نمی‌گیرند و تاریخچه‌ی مرورگر را نیز (که از قبل ذخیره شده است) پاک نمی‌کند. شما می‌توانید با باز کردن منوی تنظیمات (سه دکمه، سه نوار یا آیکون چرخ‌دنده) و انتخاب پنجره‌ی New incognito در کروم به حالت ناشناس سوئیچ کنید. با این حال گمان نکنید حالت ناشناس همه‌ی کوکی‌ها و اطلاعات مرورگر شما را پاک می‌کند و یا شما را به طور کل از چشمان ناپاک برخی وبسایت‌ها مصون می‌دارد. این حالت حتی آدرس آی‌پی شما را مخفی نمی‌کند؛ همچنین شما با استفاده از این حالت نمی‌توانید کاری کنید که هر کسی که به شبکه اینترنتی‌تان دسترسی داشته باشد شما را نبیند.

مرورگر خود را عاقلانه انتخاب کنید

هر مرورگر رویکرد مخصوص به خودش را در بخش حریم‌خصوصی دارد. از معروف‌ترین این رویکردها، می‌توان به گوگل کروم اشاره کرد که همه نوع اطلاعات در مورد شما ناخنک زده و آن‌ها را جمع‌آوری می‌کند (حتی چیزهایی که وارد نوار یوآرال می‌کنید). از اینها مهم‌تر، تنظیمات پیش‌فرضش اجازه می‌دهد تا کوکی‌ها و سایر ابزارهای مربوط به پروفایل کاربر مأموریت ردیابی خود را آغاز کنند. اما همه‌ی مرورگرهای اصلی هم چنین چشم‌اندازی به حریم‌خصوصی ندارند.

موزیلا فایرفاکس

برای مثال، شرکت موزیلا برایش ابتدا حریم خصوصی مهم است و بعد بقیه چیزها. مرورگر فایرفاکس به طور پیش‌فرض ردیاب‌های سرشناس را در پنجره‌های ناشناس می‌بندد و اجازه می‌دهد تا این آپشن طی جلساتی مرتباً فعالسازی شود. البته این کار چندان هم باعث جلوگیری از همه‌ی راه‌های ممکنه برای جمع‌آوری اطلاعات شما نمی‌شود اما به طور قابل‌ملاحظه‌ای میزان آن را کاهش داده و البته سرعت لود شدن پیج را نیز بالا می‌برده. بعلاوه موزیلا برای دستگاه‌های موبایل، مرورگر خصوصی جداگانه‌ای را ارائه می‌دهد: Firefox Focus. این مرورگر نه تنها جریان ردیاب‌ها را می‌بندد؛ بلکه همچنین به کاربران اجازه می‌دهد تا تنها با کلیک روی دکمه Erase همه‌ی اطلاعات جمع‌آوری‌شده روی سایت‌های بازدیدشده را پاک کنند.

سفری

از تابستان 2018، سفری جمع‌آوری اطلاعات دیجیتال را ممنوع کرده است: اطلاعات سیستم، مرورگرها و پلاگین‌های که استفاده می‌کنند، تایم زون‌ها، رمزگذاری‌ها و غیره. این اطلاعات تا حدی منحصر به فردند که می‌توانند برای ردیابی کاربر مورد استفاده قرار گیرند؛ حتی اگر مرتباً داده‌های موقتی را نیز پاک کنید. سفری به وبسایت‌ها اطلاعات ناشناخته‌ای از سیستم نشان می‌دهد و کاری می‌کند تا دستگاه‌تان شبیه به خیلی از دستگاه‌های دیگر جلوه کند. این مرورگر همچنین از مجموعه‌ای از ابزارهای جلوگیری از نظارت توسط ویجت‌های شبکه اجتماعی و همچنین سایر ردیاب‌ها برخوردار است.

تور و سایر مرورگرهای خصوصی

گفته می‌شود تور یکی از امن‌ترین مرورگرها در قابل ردیاب‌های آنلاین است. در حقیقت تور یک نوع ابزسازه بر پایه‌ی روش مسیریابی پیازی[2] است که آدرس  IP شما را پنهان نموده و نمی‌گذارد وبسایت‌ها هنگام بسته شدن تشخیص دهند از کجا بازشان می‌کنید. هر درخواستی که در آن می‌کنید دست کم از سه روتر عبور می‌کند و در این حالیست که اطلاعات تا آخرین روتر، رمزگذاری‌شده باقی خواهد ماند. و حالا عیبِ بزرگِ تور- این امکان وجود ندارد که بتوانید صاحب آخرین روتر را تشخیص دهید؛ کسی که می‌تواند یک به یک جزئیات درخواست شما را ببیند. شبکه‌ی پیازی معایب دیگری هم دارد- برای مثال به طور قابل‌ملاحظه‌ای وبگردی را کُند می‌کند؛ بنابراین این مرورگر را به کاربران معمولی توصیه نمی‌کنیم. مرورگرهای دیگری هم وجود دارند که تا حدی در مقابل ردیابی‌ها انلاین راهکارهای محافظتی ارائه می‌دهند مانند  Epic Privacy Browser، SRWare Iron Browser، Brave و  Dooble. با این حال حین استفاده از آن‌ها به یاد داشته باشید که هر قدر مرورگر کمتر شناخته‌شده باشد کمتر با وبسایت‌هایی که به کرات از آن‌ها دیدن می‌کنید سازگاری دارند (و البته پلاگین‌های کمتری هم دارند).

از موتور جست‌وجوی خصوصی استفاده کنید

حتی اگر از مرورگری مطمئن هم استفاده کنید، موتورهای جست‌وجو همچنان می‌توانند روی فعالیت‌هایشان نظارت داشته باشند. تمام سوالاتی که در گوگل، بینگ و یا یاهو پرسیده می‌شود در آرشیوهای این شرکت‌ها ذخیره خواهد شد. اما برخی موتورهای جست‌وجوی جایگزین پرس‌وجوهای شما را وارد نمی‌کنند. از همه معروف‌ترشان DuckDuckGo است که درخواست‌ها یا داده‌های دستگاه را ذخیره نمی‌کند. همچنین اطلاعات شما را برای آگهی دادن به شبکه‌ها انتقال نمی‌دهد. DuckDuckGo علاوه بر حفظ شاخص خود، نتایج جست‌وجو را -بدون اینکه اطلاع دهد چه کسی چه چیزی را سرچ کرده- از بیش از صد سیستم ارائه می‌دهد. موتور جست‌وجوی  StartPage از نتایج گوگل استفاده می‌کند. هنگامی که عبارتی را در Startpage جستجو می‌کنید، این موتور جستجو، نتایج حاصل از جستجوی عبارت در Google را به شما بر می‌گرداند؛ در نتیجه با استفاده از Startpage، مورد ردیابی قرار نمی‌گیرید. همچنین موتورهای جست‌وجوی خصوصی هم مانند Swisscows و Gibiru وجود دارند که تنها از الگوریتم‌های خود استفاده می‌کنند.

ردیاب‌های وبی را ببندید

راه دیگر برای جلوگیری از ردیابی‌های آنلاین، کمک گرفتن از افزونه‌ها و برنامه‌های خاص است. برای مثالاد بلاکرِ AdBlock Plus که همچنین جلوی ردیابی فعالیت‌های شما توسط شبکه‌های اجتماعی را نیز می‌گیرد (البته این ویژگی را باید در تنظیمات، فعالسازی کنید). همچنین فهرست ردیاب‌هایی که به طور پیش‌فرض بلاک شده‌اند نیز بسط داده خواهد شد. افزونه‌های Disconnect، uBlock origin، Ghostery و uMatrix به تنظیمات ویژه‌ای نیاز ندارند؛ آن‌ها ردیاب‌ها را فوراً بلاک کرده و نظارت را بر شبکه‌های اجتماعی می‌بندند. توسعه‌دهندگان DuckDuckGo نیز افزونه‌ی ضد ردیاب مخصوص خود را ساخته‌اند. آن‌ها همچنین مرورگر خصوصی مخصوص به خود را برای دستگاه‌های موبایل اندروید و آی‌اواس ارائه می‌دهند. کاربران فایرفاکس می‌توانند افزونه‌ی  Facebook Container را نصب کنند که توانایی فیسبوک را در جمع‌آوری داده‌های شما روی سایت‌ها کم می‌کند. این شبکه‌ی اجتماعی همچنان قادر خواهد بود پست‌ها و لایک‌هایتان را ردیابی کند اما دیگر همه‌جا مثل سایه دنبال شما نخواهد بود. توجه داشته باشید که پلاگین تنها برای فایرفاکس وجود دارد. محصولات ما نیز از حفاظت ضد ردیابِ قدرتمندی برخوردار است. اگر از هر یک از بسته‌های اینترنت سکیوریتی[3]، توتال سکیوریتی[4]یا کلود سکیوریتیِ کسپرسکی[5] استفاده می‌کنید می‌توانید Private Browsing را برای مقاومت در برابر وبسایت‌های سمج و کنجکاو به کار ببرید.

با وی‌پی‌ان جلوی جاسوس‌ها را بگیرید

راه دیگر برای جلوگیری از ردیاب‌های مزاحم استفاده از وی‌پی‌ان است. سرور وی‌پی‌ان آدرس‌های آی‌پی خود را جایگزین سرورهای دیگر کرده و با هر کانکشنی تغییر می‌کند. بدین‌ترتیب لوکیشن‌تان مورد ردیابی قرار نخواهد گرفت. علاوه بر این، وی‌پی‌ان‌ها داده‌ها را رمزگذاری کرده و نمی‌گذارند ISP شما روی فعالیت‌های آنلاین‌تان نظارت داشته باشد. با این حال این را در نظر داشته باشید که وی‌پی‌ان حفاظت کامل را ارائه نمی‌دهد؛ بنابراین ممکن است همچنان در معرض مزاحمت‌های شبکه‌های اجتماعی، موتورهای جست‌وجو و ردیاب‌های آنلاین قرار گیرید. پس در کنار وی‌پی‌ان باید ابزارهای محافظتی دیگری نیز استفاده شود.

باشد که همیشه حریم‌خصوصی‌تان در فضای آنلاین حفظ شود

بیایید کمی خوشبین باشیم؛ هنوز هم می‌شود با بکارگیری جوانب احتیاط حریم خصوصی خود را در فضای آنلاین حفظ کنیم.

[1]  incognito mode

[2] onion routers

[3] Kaspersky Internet Security

[4] Kaspersky Total Security

[5] Kaspersky Security Cloud

منبع: کسپرسکی آنلاین

پیگیری و بررسی اولیه ادعای نفوذ در درگاه‌ خدمات الکترونیک چند استان نشان می‌دهد که احتمالا برای ایجاد این درگاه‌ها از ساختار یا افزونه مشترکی استفاده شده که به روز رسانی امنیتی نشده است.

به گزارش فارس،‌ در هفته‌های گذشته موضوعات نفوذ و کشف آسیب پذیری در فضای مجازی در ایران داغ شده است؛ اخیرا تپ‌سی با موردی از نشت اطلاعات رانندگان مواجه شد و سپس دسترسی غیرمجاز به بخشی از اطلاعات کافه‌بازار روی داد.

امروز نیز در گزارش جدیدی از وقوع نفوذ در درگاه‌های خدمات الکترونیک استانی خبر رسیده است؛ در این ادعا که تنها توسط یک منبع مطرح شده به نفوذ به درگاه خدمات الکترونیک چند استان اشاره شده است. اما
هنوز بررسی دقیق و قابل اعتمادی روی این موضوع انجام نشده که درباره صحت و سقم این ادعا بتوان با قاطعیت اظهارنظر کرد.

نتیجه پیگیری اولیه خبرنگار فارس از کارشناسان امنیت شبکه نیز فعلا به این جا ختم شده که احتمال می‌رود برای ایجاد این درگاه‌ها از یک ساختار یا افزونه مشترک استفاده شده است و با این فرض اینکه بررسی‌های امنیتی مورد نیاز روی درگاه‌ها انجام شده پس احتمالا این ساختارها یا افزونه ها به روز رسانی امنیتی نشده اند.

از نظر استانداردهای امنیت اطلاعات، استفاده از ساختارها و معماری‌های مشترک تنها زمانی مجاز است که به روزرسانی امنیتی و رفع نقایص انجام شود.

علیرغم تایید وقوع دسترسی غیرمجاز به یکی از زیرسیستم‌های وب‌سایت کافه‌بازار، افشاکنندگان موضوع وعده داده‌اند ادعای این شرکت درباره دسترسی غیرمجاز در زیرسیستم، میزان لو رفتن اطلاعات و رفع آسیب پذیری را بررسی و منتشر کنند.

به گزارش  فارس، انتشار خبر دسترسی غیرمجاز به سورس و دیتابیس کاربران کافه بازار توسط گروهی از هکرها که بخش‌هایی از آن در اینترنت منتشر شد، با توجه به جامعه ۴۰ میلیون کاربری این برنامه، بازتاب نسبتا گسترده‌ای داشت.

برخی با انتشار سورس‌کدهایی در مقام افشای اطلاعات برآمدند و منتظر پاسخ‌گویی کافه بازار یا مسئولان مربوطه ماندند.

*کافه بازار در نخستین بررسی نشت اطلاعات را تایید نکرد

کافه بازار پس از چند ساعت با صدور اطلاعیه‌ای به این موضوع واکنش نشان داد؛ اما وقوع دسترسی غیرمجاز را تایید نکرد.

این شرکت اعلام کرد: «روز شنبه ۷ اردیبهشت گزارش‌هایی در خصوص وجود یک مشکل امنیتی در بازار در شبکه‌های اجتماعی منتشر شده است که همچون هشدارهای امنیتی مشابه در گذشته، تیم فنی بازار در حال بررسی همه‌جانبه‌ موضوع است. تاکنون شواهدی در زمینه نشت اطلاعات حساب‌های کاربری به دست نیامده است. چنان‌چه در ادامه‌ بررسی‌ها نتایج تازه‌ای به دست آید، به طور شفاف به اطلاع کاربران خواهد رسید.

علاوه بر اقدام‌های پیوسته‌ای که در راستای حفظ امنیت سیستم‌ها صورت می‌گیرد، استفاده از دانش کارشناسان امنیتی که به صورت مسئولانه و قانونی، موارد امنیتی را متذکر می شوند از سالها پیش در اولویت کافه‌بازار بوده است. تخصیص صفحه افشای مسئولانه و طرح اعطای پاداش در ازای کشف باگ‌های امنیتی (Bug Bounty Program) نیز با همین هدف انجام شده است و کافه‌بازار همواره از دریافت گزارش‌های مسئولانه‌ی امنیتی استقبال می‌کند. چرا که امنیت در دنیای دیجیتال مطلق نیست و همه شرکت‌های نرم‌افزاری، اعم از کوچک و بزرگ، ممکن است در معرض آسیب‌پذیری‌هایی در این حوزه باشند و کافه‌بازار نیز خود را از این قاعده مستثنی نمی‌داند.»

*تایید دسترسی غیرمجاز به برخی اطلاعات کافه‌بازار

با تایید نشدن این موضوع از سوی کافه بازار، ماجرا ادامه یافت و مدعیان افشای اطلاعات بخشی از سورس‌کدهای اصلی را برای بررسی کارشناسان منتشر کردند.

کافه بازار در دومین اطلاعیه خود بخشی از دسترسی غیرمجاز به اطلاعات را پذیرفت.

در این اطلاعیه اعلام شد: «طبق بررسی‌های تیم فنی کافه‌بازار مشخص شده است که  سورس‌کد یکی از زیرسیستم‌های وب‌سایت کافه‌بازار به دست افرادی خارج از مجموعه رسیده است؛‌ در عین حال، همچنان هیچ گونه شواهدی در زمینه نشت اطلاعات حساب‌های کاربری به دست نیامده است. تیم فنی این مسئله را از ساعات ابتدایی روز شنبه با جدیت پیگیری کرد و اشکال امنیتی را شناسایی و برطرف کرد.

در عین حال، برای اطمینان خاطر کاربران، ضروری است کافه‌بازار بر نکات زیر تاکید کند:

- این دسترسی تنها به بخشی از زیرسیستم وب‌سایت کافه‌بازار صورت گرفته که تاثیری در امنیت اپلیکیشن بازار و تلفن همراه کاربران ندارد.

- رمز عبور کاربران بازار یا یک‌بارمصرف (OTP) بوده و امکان ورود شخص ثالث به حساب‌های کاربری وجود ندارد، یا به صورت salted، با شیوه‌ی ایمن SHA256، رمزگذاری شده و قابل بازیابی نیست.»

*بررسی ادعای کافه‌بازار به زودی

علیرغم پذیرش بخش زیادی از موضوع دسترسی غیرمجاز توسط کافه بازار اما گویا این ماجرا هنوز تمام نشده است؛ افرادی که طرح موضوع کرده‌اند وعده داده‌اند ادعای کافه بازار مبنی بر دسترسی غیرمجاز در زیر سیستم، میزان لو رفتن اطلاعات و رفع آسیب پذیری را بررسی و منتشر کنند.

کافه بازار: هکرها نتوانستند وارد سرور شوند

یک مدیر کافه‌بازار با تشریح جزئیات آسیب‌پذیری امنیتی اخیر و اقدامات فنی مقابله با آن، اطمینان داد که این موضوع پایان یافته و نگرانی دیگری دراین باره وجود ندارد.

به گزارش فارس، تایید خبر دسترسی غیرمجاز به سورس‌کد یکی از زیرسیستم‌های وب‌سایت کافه بازار درست چند روز پس از نفوذ به بخشی از اطلاعات تاکسی اینترنتی تپ‌سی، بازتاب گسترده‌ای داشت.

اگرچه کافه بازار درباره ابعاد آسیب‌پذیری امنیتی کشف شده شفا‌ف‌سازی کرده اما برخی متخصصان علاقمند نیز وعده داده‌اند که ادعای کافه بازار را راستی آزمایی کنند. خبرنگار فارس درباره مسیر آسیب‌پذیری، میزان آسیب و مقابله با علی وحدانی مدیر محصول کافه‌بازار گفت‌وگو کرده‌ است.

*سورس‌کد یکی از زیرسیستم‌های وب‌سایت کافه‌بازار از مجموعه خارج شد

وحدانی در گفت‌وگو با خبرنگار فناوری اطلاعات خبرگزاری فارس در پاسخ به این سوال که کافه بازار وقوع دسترسی غیرمجاز به  سورس‌کد یکی از زیرسیستم‌های وب‌سایت را تایید و نشست اطلاعات از این سایت را رد کرده، چه توضیحی برای اینکه اطلاعات نشت نکرده وجود دارد؟ اظهارداشت: در اطلاعیه رسمی به صراحت نوشتیم که بخش‌هایی از سورس کد دست یکسری افراد افتاده و این را تأیید کرده‌ایم؛ اما افرادی بودند که ادعا می‌کردند نفوذ کرده و به اطلاعات کاربران دسترسی پیدا کرده‌اند؛ برای بررسی این ادعا مسیری که از طریق آن توانسته بودند به سورس کد دسترسی پیدا کنند را پیدا کردیم و بستیم؛ سپس بررسی کردیم که آیا از این طریق توانسته‌اند نفوذ دیگری انجام دهند یا خیر که در نتیجه بررسی مطمئن شدیم تمام ادعاهای دیگر کاملاً غلط است و آنها اگر یک رکورد دیتا داشتند تاکنون منتشر کرده بودند و مطمئن شدیم که دیتایی نداشته‌اند.

وی توضیح داد:‌ تمام ردپاهای آنها را جست‌وجو کردیم و مشخص شد آنچه به دست آورده‌اند دیتای کاربران نبوده؛ بلکه از روی وب‌سرور توانسته بودند یک آسیب‌پذیری پیدا کرده و سورس کد را دانلود کنند؛ آنها وارد سرور نشدند که بتوانند به دیتایی دسترسی داشته باشند؛ از این‌رو در بیانیه به صراحت اعلام کردیم که توانسته‌اند به سورس کدی دسترسی پیدا کنند اما هیچ دسترسی دیگری نداشتند و همه راه‌ها را بسته‌ و چک کرده‌ایم که مطمئن شویم هیچ دیتایی نشت نکرده است.

*چه بخشی از اخبار و مستندات نفوذ به دیتابیس اطلاعات کاربران صحت دارد؟

وحدانی در پاسخ به این سؤال که اخبار متعددی از ابعاد این آسیب‌پذیری امنیتی منتشر شده است، کدام یک از این اخبار صحت دارد؟ گفت: معتقد بودیم اگر آسیب‌پذیری وجود دارد به آن حساس هستیم، باید جلوی آن را بگیریم و درباره اینکه چه خطری وجود دارد اطلاع‌رسانی کنیم؛ اما مسئله این بود که آنها می‌خواستند از حداقل چیزی که به دست آورده‌اند خبرسازی کنند و اخبار جعلی تا جایی پیش رفت که در رسانه‌های غیررسمی و حتی کانال‌های برانداز از ردپاهایی غیرواقعی در سورس‌کدهای کافه بازار صحبت کردند. رسانه‌های بی‌نام و نشان که امروز زیاد شده‌اند علاقه دارند سروصدا به راه بیندازند و با برداشت شخصی خود، ولو دروغ خبر جنجالی بزنند؛ در این مسیر از رسانه‌ها انتظار داریم با انتشار اخبار صحیح ما را کمک کنند.

مدیر محصول کافه‌بازار ادامه داد: نفوذگران توانستند به سورس‌کد وب سایت دسترسی داشته باشند و به سورس کد اپلیکیشن و سرورها دسترسی نداشته‌اند؛ تنها یک عدد از سرور‌های غیراصلی وب سایت مورد دسترسی قرار گرفته که سورس کد وب سایت را نگه می‌دارد و حتی نتوانستند سورس کد سیستم‌های اصلی را بدزدند. بخش زیادی از سرورهای ما در حال سرویس‌دهی به ۴۰ میلیون کاربر کافه بازار هستند که به آنها دسترسی نیافته‌اند.

وی ادامه داد: این سورس کد چیزی نیست غیر از سایت کافه‌بازار که با وارد کردن آدرس سایت یک سری اپلیکیشن نمایش داده می‌شود. تمام آنچه که به عنوان مصداق نفوذ گذاشته شده بود کد و تنظیمات این سایت بود و هیچ چیزی دیگری نبود که دیتای کاربر یا دیتای اپلیکیشن باشد. با دنبال کردن رد پای جایی که توانسته سورس کد را از آنجا بگیرد، لاگ تمام فایل‌هایی که موفق شده بود دانلود کند را از سرور نگاه کردیم و اکنون دقیقاً می‌دانیم که چه چیزی به دست آورده و چه چیزی به دست نیاورده است؛ دیتایی که به دست آورده را تحلیل و تمام ادعاهای مطرح شده در توئیت‌ها و مطالب کانال‌ها را مانیتور کرده‌ایم و با قطعیت می‌گوییم که صحت نداشته اند. برای مثال یکی ادعا کرده بود که دیتا بیس از کافه بازار دارد و نمونه ارائه کرده بود که فایل ارایه شده خنده‌‌دار بود؛ همان سورس کدها را داخل یک فایل ریخته بود و گفته بود دیتابیس است. اصلاً چنین چیزی نبوده و هیچ دیتایی ندارند که بخواهند منتشر کنند که اگر یک رکورد داشتند منتشر می‌کردند.

*چرا جایزه کشف باگ‌های امنیتی به کار نیامد؟

وحدانی در واکنش به اینکه طبق اعلام کافه‌بازار، طرح اعطای پاداش در ازای کشف باگ‌های امنیتی (Bug Bounty Program) را دارد که این رویه در بسیاری از شرکت‌های بزرگ که به خود اطمینان دارند دیده می‌شود، اما این امکان کافه‌بازار برای نفوذگران جذاب نبود که کارآمد واقع شود، چرا؟ گفت: اگرچه تمام تلاش‌مان را می‌کنیم اما می‌دانیم مسیرهایی ممکن است باز باشد؛ تمام شرکت‌ها برای شناسایی باگ  و راه نفوذ مشوق می‌گذارند و هکرهایی در این شغل وجود دارند که باگ‌ها را به آنها گزارش می‌کنند؛ ما نیز این کار را کرده‌ایم و به هکری که ادعا کرده بود اعلام کردیم که جایزه گزارش باگ داریم، گزارش کن و جایزه بگیر. اولین برای که خبر منتشر شد در اطلاعیه اول به این موضوع اشاره کردیم که اگر آنها تاکنون نمی‌دانستند که چنین امکانی داریم مطلع شوند؛ اما مسئله آنها تنها ضربه‌ زدن بود. اگر قصد گزارش و جایزه گرفتن داشتند موافق بودیم. 

مدیر محصول کافه‌بازار اضافه کرد:‌ فارغ از مسئولیتم در کافه بازار حتی از شرکت‌های بزرگ در اندازه جهانی نیز انتظار نفوذ و حتی نشت اطلاعات می‌رود؛ در این زمینه نه تنها از استاندارد جهانی خیلی دور نیستیم بلکه شرایط خوبی در ایران داریم؛ در ایران اطلاعات ۲۰ میلیون مشترک یکی از اپراتورهای تلفن همراه نشت کرد چه اتفاقی افتاد؟ در نتیجه اصلا خود را با شرایط داخل مقایسه نمی‌کنیم اما در استاندارد جهانی نیز اتفاق اخیر یک حمله در حد نفوذ به سورس‌کد یکی از زیرسیستم‌ها بود که با سورس کد استخراجی نمی‌توانستند کاری کنند.

وی تاکید کرد: جزئیات فنی آسیب‌پذیری را در بلاگ فنی توضیح می‌دهیم و تلاش می‌کنیم در اختیار سایر شرکت‌ها بگذاریم تا در موارد مشابه تجربه داشته باشند.

* نگرانی از انتشار اخبار جدید از نفوذ در روزهای آینده وجود دارد؟

وحدانی در پاسخ به این سوال که علیرغم شفاف‌سازی کافه بازار درباره آسیب‌پذیری امنیتی، برخی برای راستی آزمایی ادعای کافه بازار و روشن شدن ابهامات درباره میزان نفوذ و رفع آسیب اعلام آمادگی کرده‌اند، نگرانی بابت اینکه در روزهای آینده اخبار جدیدی از این نفوذ منتشر شود وجود ندارد؟ گفت: تنها نگرانی از خروج این سورس کد که می‌توانست وجود داشته باشد و روی آن تمرکز کردیم این احتمال بود که آنها از طریق این سورس کد بتوانند دیتایی پیدا کنند و سپس از طریق آن بتوانند به سرورهای دیگر حمله کنند تا دیتای کاربران را بدزدند که در همان زمان دو کار را برای مقابله انجام دادیم؛ نخست اینکه تمام مسیرهای احتمالی نفوذ را بررسی کردیم و ردپاهایی که حدس زدیم شاید با این دیتا، دیتایی دیگری را بدست آورند را گشتیم؛ دوم اینکه تمام کلیدها و پسوردهای لازم و تنظیمات را از ابتدا انجام دادیم انگار که این تنظیمات لو رفته تا مطمئن شویم خطر امنیتی جدیدی ما را تهدید نمی‌کند.

وی تأکید کرد: بنابراین تنها کارکرد این سورس‌کد این احتمال بود که از این دیتا قصد حمله دیگری را داشته که جلوی آن را گرفته‌ایم. 

*افشاکنندگان جدی نبودند بیانیه دوم که تاییدگر نفوذ بود ارایه می‌شد؟

وی در پاسخ به سؤال فارس که بیانیه اول کافه‌بازار خیلی زود منتشر شد که البته حاوی اطلاعات مهمی نبود و در واقع گزارش آسیب را رد کرده بود، برخی تصور می‌کنند اگر ادعا با جدیت مطرح نمی‌شد شاید کافه‌بازار بیانیه دیگری ارایه نمی‌داد که بخواهد در آن آسیب‌پذیری را بپذیرد، پس از اطلاع از موضوع روند پیگیری توسط تیم امنیتی مجموعه که منجر به صدور بیانیه‌ها می‌شد، چه بود؟ گفت: همواره شبکه‌های اجتماعی را مانیتور می‌کنیم که به محض انتشار خبر در شبکه‌های اجتماعی بررسی موضوع شروع شد و چند ساعت بعد بیانیه اول منتشر شد؛ پس از انتشار بیانیه اول بررسی را ادامه دادیم و متوجه شدیم قضیه چه بوده و سورس‌کد از کجا به دست‌شان رسیده و مقداری طول کشید که بفهمیم آیا با سورس‌کدی که به دست‌ دارند کار دیگری می‌توانند انجام دهند. سپس بیانیه دوم را ارایه دادیم که مجموع اقدامات در حدود 18 ساعت طول کشید.

وحدانی اضافه کرد: در بیانیه اول هنوز با قطعیت نمی‌دانستیم که چه اتفاقی افتاده است؛ فقط اعلام کردیم که متوجه موضوع هستیم و موضوع در حال بررسی است و در آخر بیانیه اعلام کرده بودیم که اگر کسی دیتایی دارد و به دنبال جایزه است پول را پرداخت می‌کنیم و آسیب‌پذیری را اعلام کند؛ البته کار به اینجا نکشید و مشاور امنیتی گرفتیم و همکاران امنیتی مجموعه تحلیل کردند و متوجه شدیم. وقتی شخصی عکس از سورس‌کد می‌گذارد حتی ممکن است این عکس از صفحه برنامه‌نویسی در حال انجام گرفته باشد. در بیانیه اول مسائل از صفر (بهترین حالت) تا 100 (بدترین حالت) پیش رویمان بود؛ از اینکه فقط یک عکس است یا اینکه همه چیز لو رفته است؛ در نهایت تصور می‌کنم روال معقولی را طی کرده‌ایم. 

*چه نظارت بالادستی بر امنیت اطلاعات کاربران در کسب‌وکارها است؟

مدیر محصول کافه‌بازار در پاسخ به سؤال دیگر فارس درباره اینکه با رشد کسب‌وکارهایی که با اطلاعات کاربران سروکار دارند جذابیت این تجارت‌ها برای هکرها بیشتر شده، آیا از سوی حاکمیت دستورالعمل یا گواهی امنیتی برای مشخص کردن چارچوب و الزامات ملاحظات امنیتی در این شرکت‌ها وجود دارد؟ گفت: شرکت خصوصی به دلیل ذات تجارت و درآمد به هر آنچه که به کسب‌وکار لطمه وارد کند حساس‌ است، حتی حسا‌س‌تر از بخشی غیر خصوصی که ملاحظات امنیتی‌ بیشتری را پشت سر گذاشته‌اند. همچنان که در چند روز گذشته در نتیجه نفوذ به سایتی دولتی حداقل تا ۲۴ ساعت پس از انتشار خبر اطلاعات همه کاربران قابل دسترس بود.

وی در واکنش به اینکه شرکت‌های بزرگ شاید بتوانند از خود مطمئن باشند اما با رشد بازار کسب‌وکارهای سرویس‌ و کاربر محور، هر روز برنامه‌های جدیدی برای ارایه خدمات به مردم ارایه می‌شوند که در نتیجه نگه‌داشت اطلاعات کاربران در مجموعه‌های جدا بیشتر می‌شود، در این صورت تضمین امنیت اطلاعات کاربران در شرکت‌های کوچک‌تر یا در حال رشد که برای رفع تمامی نیازهای خود به بلوغ نرسیده‌اند چیست؟ گفت: البته شرکت‌های کوچکتر اطلاعات کمتری دارند و به همین میزان درصد ریسک در آنها در مقایسه با شرکت‌‌هایی با چند میلیون کاربر کمتر است؛ مرکز ماهر (در زیرمجموعه وزارت ارتباطات و فناوری اطلاعات) در برخی موضوعات مانند اپلیکیشن‌ها دستورالعمل‌های ابلاغ کرده که عمل کرده‌ایم اما در حالت کلی اگر دستورالعمل یا گواهی امنیتی برای این موضوع وجود دارد بحث حقوقی است و اطلاع ندارم. 

*به کمک مرکز ماهر نیاز پیدا نکردیم

وحدانی در پاسخ به این سوال که آیا در این رخداد به کمک مرکز ماهر نیاز پیدا کردید، گفت:‌ در این مورد و در موقع بحران نیاز به کمک نبود اما در حال مذاکراتی هستیم که بتوانیم از مشاوران امنیتی آنها کمک بگیریم.

مدیر محصول کافه‌بازار خاطر نشان کرد: البته در حال حاضر با برخی مراکز امنیتی زیرمجموعه ماهر از جمله مرکز آپا شریف همکاری داریم و با مرکز آپای امیرکبیر نیز به زودی همکاری خواهیم داشت.

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ این روزها، اخبار مربوط به Carbanak شده تیتر خبرهای داغ حوزه‌های امنیت سایبری. محققین امنیتی موفق شدند منبع کد این بدافزار بدنام را روی پورتالِ باز VirusTotal پیدا کنند. Carbanak در حقیقت موفق‌ترین تهدید امنیتی مالی تا به امروز بوده است، کرمِ مخربی که خسارات مالی‌اش بیش از 1 میلیارد دلار تخمین زده شده است.

نگاهی به تاریخ  Carbanak

متخصصین ما ابتدا در سال 2014 Carbanak را کشف نموده و آن را تحلیل کردند. ابتدا متوجه شدند وجوه نقدی از دستگاه‌های خودپرداز دزدیده می‌شوند اما بعداً پی بردند این حوادث تصادفی نبوده و به هم ربط دارند: کمپینِ بزرگ بین‌المللی با هدف سرقت مقایر زیادی پول از بانک‌های سراسر دنیا.

متخصصین ما داشتند تنها موارد اروپای شرقی را مورد بررسی قرار می‌دادند اما زمان زیادی طول نکشید که سر و کله‌ی قربانیان بیشتری پیدا شد- در آمریکا، آلمان و چین. درست مانند سایر حملات، این کمپین هم کارش را با فیشینگ شروع کرد. آن روزها خود را در قالب ایمیلی جا می‌زد که البته به طور پنهانی در خود پیوست‌هایی آلوده داشت که این پیوست‌ها بر اساس بدافزار Carberp بَک‌در نصب می‌کردند. بدین‌ترتیب مجرمان سایبری می‌توانستند به کل شبکه‌‌ی سازمان مورد نظر دسترسی پیدا کنند (در این مورد منظورمان شبکه‌های بانکی است). آن‌ها با دستکاری کردن کامپیوتر بانک‌ها می‌توانستند پول به جیب بزنند. البته مجرمین برای پول به جیب زدن راه‌های مختلفی بلدند. در برخی موارد آن‌ها از راه دور به دستگاه‌های خودپرداز فرمان می‌دادند تا به آن‌ها پول دهد. در برخی موارد دیگر نیز برای انتقال مستقیم پول به اکانت‌هایشان از شبکه‌ی SWIFT استفاده می‌کردند. این متودها در سال 2014 چندان هم به طورگسترده‌ای بکار گرفته نمی‌شدند؛ بنابراین مقیاس و فناوری‌هایی که  Carbanak به کار برد هم صنعت بانکداری و هم حوزه امنیت سایبری را شدیداً تحت‌الشعاع قرار داد.

آینده چه در چنته دارد؟

از زمانی که Carbanak کشف شد، متخصصین ما شاهد چنیدن حملاتی بوده‌اند (برای مثال Silence) که همه‌شان هم تاکتیک‌های مشابهی داشتند. سر نخ‌هایی که ازشان پیدا شد نیز نشان از همان گروه جرایم سایبری داشته است. این حملات هنوز هم فعالند اما از وقتی کد منبع Carbanak همگانی شده است دیگر این اقدامات نیز تعداد دفعات بیشتری رخ می‌دهند؛ به حدی که حتی مهاجمینی که مهارت کدگذاری هم ندارند می‌توانند چنین بدافزار پیچیده‌ای را برای خود بسازند. محقق لابراتوار کسپرسکی سرجری گولووانو که از همان اول پیگیری این مورد خاص را بر عهده داشت در این خصوص چنین می‌گوید:

«اینکه کد منبع بدافزار بدنام Carbanak روی وبسایت منبع باز موجود است نشانه‌ی خوبی نیست. به طور حتم بدافزار Carbanak خود ابتدا بر پایه‌ی کد منبع بدافزار  Carberp (بعد از اینکه به صورت آنلاین منتشر شد) ساخته شده بود. همه‌ی دلایل و شواهد ما را بر این باور مصمم می‌کند که این سناریو دوباره خودش را تکرار خواهد کرد و اینکه در آینده شاهد تغییرات خطرناکی در ساختار Carbanak خواهیم بود. خبر خوب اینکه از وقتی کد منبع Carberp لو رفته است، صنعت امنیت سایبری به طور چشمگیری پیشرفت کرده و اکنون می‌تواند براحتی کد دستکاری‌شده را شناسایی کند. ما از شرکت‌ها و افراد خواستاریم تا با داشتن راه‌حل امنیتیِ قوی‌ خود را در برابر تهدیدهای آتی محافظت کنند».

چطور ایمن بمانیم

توصیه‌ی ما به شما برای مصون ماندن از تهدیدهایی همچون Carbanak:

فیدهای هوش تهدیدی را در فناوری مدیریت امنیت اطلاعات و وقایع (SIEM) و نیز سایر هدایتگرهای امنیتی یکپارچه‌سازی کنید تا بتوانید به اطلاعات به روزترین و مرتبط‌ترین تهدیدها دسترسی داشته باشید؛ بدین‌ترتیب می‌توانید خود را در برابر حملات آینده آماده سازید. به منظور جلوگیری از چنین تهدیدهای پیشرفته‌ای می‌بایست آن‌ها را بشناسید (که البته این خیلی آرمان‌گرایانه است) و بدانید هدفشان چیست و به دنال چه می‌گردند. سرویس هوش تهدیدی می تواند با فیدهای خود چنین اطلاعات ضروری را به شما ارائه دهد.
راه‌حل‌های EDR همچون Kaspersky Endpoint Detection and Response را برای شناسایی در سطح اندپوینت، بررسی به موقع و رفع حوادث به کار ببندید. شناسایی نمونه‌ای از فعالیت شِبه  Carbanak در سطح اندپوینت نیازمند واکنشی سریع است و این درست همانجاییست که راه‌حل‌های EDR می‌توانند کمک کنند.
راه‌حل امنیتی در سطح سازمانی به کار ببندید که بتواند تهدیدهای پیشرفته‌ی سطح شبکه را در هر مرحله‌ای شناسایی کند. چیزی مانند Kaspersky Anti Targeted Attack Platform.

منبع: کسپرسکی آنلاین