حمله هکرها با فریب و استفاده از خودِ کاربر

آیا امکان این که توسط دنیای اطراف خود هک شوید وجود دارد؟ انسان ها ضعیف ترین حلقه امنیت سایبری هستند.
پنجشنبه، 10 تير 1400
تخمین زمان مطالعه:
پدیدآورنده: علی رضایی میر قائد
موارد بیشتر برای شما
حمله هکرها با فریب و  استفاده از خودِ کاربر
تصویر: آیا اسکن کردن یک کد QR می تواند دعوتی به بد افزار باشد؟  Zapp2Photo / Shutterstock.com
 
احتمالاً به شما گفته شده است که باز کردن فایل های پیوست غیرمنتظره در ایمیل تان خطرناک است - درست مثل این که نباید بسته های مشکوک را در صندوق پستی خود باز کنید. اما آیا در مورد اسکن کدهای QR ناشناخته یا فقط گرفتن عکس با تلفن به شما هشدار داده شده است؟ تحقیقات جدید نشان می دهد که مهاجمان سایبری می توانند از دوربین ها و حسگرها در تلفن ها و سایر دستگاه ها سوء استفاده کنند.
 
من به عنوان کسی که در مورد مدل سازی 3 بعدی تحقیق می کند، از جمله ارزیابی اشیاء چاپ 3 بعدی شده برای اطمینان از مطابقت با استانداردهای کیفیت، از آسیب پذیری در برابر روش های ذخیره سازی کد رایانه مخرب در دنیای فیزیکی آگاه هستم. کارهای گروه ما در آزمایشگاه است و هنوز با بدافزار مخفی در دستور العمل های چاپ 3 بعدی یا رمز گذاری شده در ساختار موردی که اسکن می شود، رو به رو نشده است. اما ما در حال آماده سازی این امکان هستیم.
 مردم ضعیف ترین حلقه های امنیت سایبری هستند. اما لازم نیست که چنین باشند.در حال حاضر، این برای ما خیلی محتمل نیست: یک مهاجم برای موفقیت در حمله به دانش سیستم، به اطلاعات بسیار تخصصی نیاز دارد. اما روزی فرا می رسد که نفوذ می تواند از طریق ارتباطات عادی یا سنجش توسط رایانه یا تلفن هوشمند انجام شود. طراحان و کاربران محصولات به طور یکسان باید از خطرات آن آگاه باشند.
 

انتقال عفونت

برای این که یک دستگاه آلوده شود یا به خطر بیفتد، طرف شیطانی باید راهی پیدا کند تا کامپیوتر بتواند بد افزار را ذخیره یا پردازش کند. انسان در صفحه کلید یک هدف مشترک بوده است. ممکن است یک مهاجم با ارسال نامه الکترونیکی به کاربر بگوید که در قرعه کشی برنده شده است یا به دلیل عدم پاسخ گویی به ناظر کار دچار مشکل خواهد شد. در موارد دیگر، ویروسی طوری طراحی شده است که ناخواسته توسط فعالیت های نرم افزاری معمول تحریک می شود.
 
محققان دانشگاه واشنگتن اخیراً احتمال دیگری را آزمایش کردند و ویروس رایانه ای را در DNA جا سازی کردند. خبر خوب این است که اکثر رایانه ها نمی توانند ویروس الکترونیکی را از یک نرم افزار بد - به نام بدافزار - که در یک ویروس بیولوژیکی تعبیه شده است، بگیرند. عفونت DNA یک تست مفهوم حمله به رایانه ای بود که مجهز به خواندن داده های دیجیتالی ذخیره شده در DNA است.
 وقتی استفاده از فناوری به جای یک عمل آگاهانه به یک عادت تبدیل می شود، افراد احتمالاً هنگام راه رفتن، صحبت یا بدتر از آن هنگام رانندگی پیام ها را بررسی و حتی به آنها پاسخ می دهند.به گونه ای مشابه، وقتی تیم ما یک شیء چاپ سه بعدی شده را اسکن می کند، ما داده های تصویری را که جمع آوری می کنیم هم ذخیره و هم پردازش می کنیم. اگر یک مهاجم نحوه انجام این کار را مورد تجزیه و تحلیل قرار دهد، شاید بتواند مرحله ای از روند ما را شناسایی کند که در برابر داده های آسیب دیده یا خراب آسیب پذیر باشد. سپس، او لازم است شیئی را برای اسکن ما طراحی کند که باعث شود ما این داده ها را دریافت کنیم.
 
حمله هکرها با فریب و  استفاده از خودِ کاربر
 
تصویر: یک دستگاه اسکن سه بعدی در آزمایشگاه ما. جرمی استراب ، CC BY-ND
 
در موردی آشناتر، هنگامی که یک کد QR را اسکن می کنید، رایانه یا تلفن شما داده های موجود در کد را پردازش می کند و اقدامی انجام می دهد – که شاید ارسال ایمیل یا رفتن به یک URL مشخص باشد. یک مهاجم می تواند اشکالی را در یک برنامه کد خوان پیدا کند که اجازه می دهد متن دقیقاً قالب بندی شده ای به جای این که فقط اسکن و پردازش شود، اجرا شود. یا ممکن است چیزی برای آسیب رساندن به تلفن شما در وب سایت مورد نظر طراحی شده در انتظار  شما باشد.
بسیاری از افراد چنان مکرراً از ایمیل، شبکه های اجتماعی و پیام کوتاه استفاده می کنند که سرانجام تا حد زیادی بدون فکر و احتیاط با آنها کار می کنند.

عدم دقت به عنوان محافظت

خبر خوب این است که اکثر سنسورها دقتی کمتر از دقت توالی های DNA دارند. به عنوان مثال، دو دوربین تلفن همراه که در یک موضوع هدف گیری شده اند، براساس نور، موقعیت دوربین و میزان بزرگنمایی آن، تا حدودی اطلاعات مختلفی را جمع آوری می کنند. حتی تغییرات کوچک می توانند بد افزار رمز گذاری شده را غیر فعال کنند، زیرا داده های حس شده همیشه آن قدر دقیق نیستند که به نرم افزار در حال کار ترجمه شوند. بنابراین بعید است فقط با گرفتن عکس از چیزی تلفن شخصی هک شود.
 
اما برخی از سیستم ها، مانند خوانندگان کدQR ، روش هایی برای اصلاح ناهنجاری ها در داده های سنجش شده دارند. و هنگامی که محیط سنجش بسیار کنترل می شود، مانند کارهای اخیر ما برای ارزیابی چاپ سه بعدی، برای یک مهاجم راحت تر است که روی قرائت های سنسور به گونه ای قابل پیش بینی تر اثر گذارد.
 
آن چه که شاید بیشترین مشکل را داشته باشد، توانایی سنجش برای ارائه درگاهی به سیستم هایی است که در غیر این صورت ایمن بوده و حمله به آنها دشوار است. به عنوان مثال، برای جلوگیری از آلوده شدن سیستم سنجش کیفیت چاپ سه بعدی توسط یک حمله متعارف، ما پیشنهاد دادیم که آن را روی رایانه دیگری قرار دهیم که بدون اتصال به اینترنت و سایر منابع احتمالی حملات سایبری باشد. اما سیستم هنوز باید جسم چاپ سه بعدی شده را اسکن کند. یک شیء که به گونه ای مخرب طراحی شده باشد می تواند راهی برای حمله به این سیستمِ بدون اتصال باشد.
 

غربالگری برای پیشگیری

بسیاری از توسعه دهندگان نرم افزار هنوز در مورد احتمال دستکاری هکرها در داده های حس شده یا سنجیده فکر نمی کنند. اما در سال 2011، هکرهای دولت ایران فقط به همین روش توانستند یک پهپاد جاسوسی ایالات متحده را شکار کنند. برنامه نویسان و سرپرستان رایانه باید اطمینان حاصل کنند که داده های سنجیده شده قبل از پردازش غربال شده و به طور ایمن اداره می شوند تا از هواپیما ربایی غیر منتظره جلوگیری کنند.
 آن چه این مشکل را پیچیده می کند اعتقادات مردم است مبنی بر این که اقدامات آنلاین ذاتاً بی خطر هستند. علاوه بر توسعه نرم افزار امن، نوع دیگری از سیستم می تواند به شما کمک کند: یک سیستم تشخیص نفوذ می تواند به دنبال حملات متداول، رفتارهای غیر معمول یا حتی مواردی باشد که کارهای پیش بینی شده اتفاق نمی افتند. البته آنها بی عیب و نقص نیستند، و گاهی اوقات قادر به تشخیص حملات نیستند و برخی از دیگر فعالیت های قانونی را به عنوان حملات اشتباه تشخیص می دهند.
 
دستگاه های رایانه ای که هم محیط را حس می کنند و هم اصلاح می کنند، رایج تر می شوند – از جمله در تولید روبات ها، هواپیماهای بدون سرنشین و اتومبیل های خودران. همان طور که عملاً اتفاق می افتد، احتمال این که حملات شامل هم عناصر فیزیکی و هم الکترونیکی باشد به طور قابل توجهی افزایش می یابد. ممکن است مهاجمان تعبیه نرم افزارهای مخرب را در دنیای فیزیکی بسیار جذاب بیابند، و فقط منتظر افراد بی خبر باشند که آن را با تلفن هوشمند یا دستگاه تخصصی تر خود اسکن کنند. این نرم افزار مخرب که از دید ساده پنهان شده است، به نوعی "عامل خواب" تبدیل می شود که می تواند تا رسیدن به هدف، از شناسایی شدن اجتناب کند - شاید در اعماق یک ساختمان امن دولتی، بانک یا بیمارستان.
یک مهاجم برای موفقیت در حمله به دانش سیستم، به اطلاعات بسیار تخصصی نیاز دارد.

ماهیگیری نیزه ای (spearphishing)

 حمله هکرها با فریب و  استفاده از خودِ کاربر
 
تصویر: خدای من! من چه کردم ؟!؟! تصویر دست و کامپیوتر از طریق  shutterstock.com
 
یک رشته مشترک وجود دارد که هک را به کنترل کننده های دریچه های آب بند سد Bowman Avenue در Rye ، نیویورک، و نقض 20 میلیون پرونده کارمندان فدرال در دفتر مدیریت پرسنل، و موج اخیر حملات "باج افزار" که طی سه ماه امسال بیش از 200 میلیون دلار برای ما هزینه داشته است را به هم متصل می کند: همه آنها به دلیل حملات موفقیت آمیز "ماهیگیری نیزه ای" (spearphishing) بود.
 آنها می خواهند قربانیان را ترغیب کنند تا روی یک پیوند یا پیوست کلیک کنندکه معمولاً نرم افزاری (به نام "بدافزار") را نصب می کند، و اجازه می دهد تا مهاجمان به رایانه کاربر یا حتی به یک شبکه شرکتی کامل دسترسی پیدا کنند.حملات فیشینگ عمومی - یا همان که که امروزه به عنوان "مدرسه قدیمی" در نظر گرفته می شود، معمولاً به شکل نامه های معروف بد نام "شاهزاده نیجریه" در می آیند، و سعی دارند گیرندگان را فریب دهند تا با برخی اطلاعات مالیِ شخصی، پاسخ دهند. حملات "Spearphishing" مشابه با آنها هستند اما بسیار شرورانه ترند. آنها می خواهند قربانیان را ترغیب کنند تا روی یک پیوند یا پیوست کلیک کنندکه معمولاً نرم افزاری (به نام "بدافزار") را نصب می کند، و اجازه می دهد تا مهاجمان به رایانه کاربر یا حتی به یک شبکه شرکتی کامل دسترسی پیدا کنند. بعضی اوقات حملاتی از این قبیل از طریق پیام های متنی، پیام های رسانه های اجتماعی یا درایوهای انگشت شست آلوده نیز رخ می دهد.
 
واقعیت هوشیارانه این است که برای جلوگیری از این نوع حملات کار زیادی نمی توانیم انجام دهیم. این امر تا حدی به این دلیل است که ماهیگیری نیزه ای شامل روشی به نام مهندسی اجتماعی است که در آن حملات کاملاً شخصی سازی می شوند، و به ویژه تشخیص فریب برای قربانیان دشوار است. دفاع فنی موجود، مانند نرم افزار آنتی ویروس و نظارت بر امنیت شبکه، تنها برای محافظت در برابر حملات خارج از رایانه یا شبکه طراحی شده است. در حالی که در این جا مهاجمین پس از ورود به سیستم با استفاده از نیزه، نقش خودی های مورد اعتماد را به عهده می گیرند، که کاربرانی قانونی هستند که استفاده از نرم افزار محافظتی در برابر آنها بی فایده است.
 
این وا می دارد که همه ما کاربران اینترنت تنها حافظ رایانه ها و شبکه های سازمانی خود باشیم - و ضعیف ترین پیوندها در امنیت فضای مجازی باشیم.
مهاجمان سایبری می توانند از دوربین ها و حسگرها در تلفن ها و سایر دستگاه ها سوء استفاده کنند.

هدف واقعی، انسان ها هستند

متوقف کردن ماهیگیری نیزه ای نیاز به ایجاد دفاع بهتر در اطراف افراد دارد. این، به نوبه خود، نیاز به درک این دارد که چرا مردم قربانی این نوع حملات می شوند. تحقیقات اخیر تیم ما در مورد روان شناسی افرادی که از رایانه استفاده می کنند راهی برای درک دقیق چگونگی سوء استفاده حملات نیزه ای از نقاط ضعف در رفتارهای آنلاین افراد ایجاد کرده است. به آن، مدلِ سوء ظن، شناخت، خودکار بودن (SCAM) (مخفف عبارت Suspicion, Cognition, Automaticity Model) گفته می شود.
 
ما SCAM را با استفاده از حملات شبیه سازی نیزه - پس از اطمینان از کسب مجوز از گروه های نظارت بر تحقیقات دانشگاه که آزمایشات روی افراد انسانی را تنظیم می کنند تا اطمینان حاصل کنند هیچ اتفاق نامناسبی وجود ندارد - انجام دادیم.
 
ما دو دلیل اصلی برای قربانی شدن افراد پیدا کردیم. به نظر می رسد یک عامل این است که مردم به طور طبیعی به دنبال آن چه "کارآیی شناختی" نامیده می شود – یعنی حداکثر اطلاعات برای حداقل تلاش مغز - هستند. در نتیجه، آنها از میانبرهایی ذهنی استفاده می کنند که توسط آرم ها، نام های تجاری یا حتی عبارات ساده ای مانند "ارسال شده از iPhone من" که فیشرها اغلب در پیام های خود قرار می دهند، ایجاد می شود. مردم این عوامل محرک را می بینند - مانند آرم بانک خود - و تصور می کنند که یک پیام قانونی است. در نتیجه، آنها به درستی آن عناصر درخواست فیشر که می تواند به آشکار سازی فریب کمک کند، مانند اشتباه تایپی در پیام، منظور آن، یا اطلاعات سرتیتر پیام، را بررسی نمی کنند.
 
آن چه این مشکل را پیچیده می کند اعتقادات مردم است مبنی بر این که اقدامات آنلاین ذاتاً بی خطر هستند. احساسِ (به اشتباه) در معرض خطر پایین بودن آنها باعث می شود که آنها نسبتاً کم تلاش کنند تا پیام را از ابتدا بررسی کنند.
 یک سیستم تشخیص نفوذ می تواند به دنبال حملات متداول، رفتارهای غیر معمول یا حتی مواردی باشد که کارهای پیش بینی شده اتفاق نمی افتند.تحقیقات ما نشان می دهد که پوشش خبری که بیشتر روی حملات بد افزار به رایانه متمرکز شده است باعث شده است که بسیاری از مردم به اشتباه باور داشته باشند که سیستم عامل های تلفن همراه به نوعی از امنیت بیشتری برخوردار هستند. بسیاری دیگر به اشتباه تصور می کنند که PDF Adobe نسبت به یک سند Microsoft Word ایمن تر است، زیرا تصور می کنند که عدم توانایی ویرایش PDF به معنای عدم آلوده شدن به بد افزار است. و همچنان در این راستا دیگران به اشتباه فکر می کنند Wi-Fi رایگان Google که در برخی کافی شاپ های معروف در دسترس است، ذاتاً ایمن تر از سایر سرویس های Wi-Fi رایگان است. این نوع سوء برداشت ها باعث می شود که کاربران در مورد باز کردن برخی از قالب های فایل، بیشتر بی پروا باشند و در هنگام استفاده از برخی از دستگاه ها یا شبکه ها بی احتیاط تر شوند - همه این موارد، خطر ابتلا به آنها را به طور قابل توجهی افزایش می دهد.
 

عادت‌ها امنیت را تضعیف می‌کنند

عامل دیگری که اغلب نادیده گرفته می شود شامل روش های عادی استفاده افراد از فناوری است. بسیاری از افراد چنان مکرراً از ایمیل، شبکه های اجتماعی و پیام کوتاه استفاده می کنند که سرانجام تا حد زیادی بدون فکر و احتیاط با آنها کار می کنند. از افرادی که هر روز یک مسیر را طی می کنند بپرسید که چند چراغ توقف در طول مسیر دیده یا متوقف شده اند و آنها اغلب نمی توانند فراخوانی کنند. به همین ترتیب، وقتی استفاده از رسانه به صورت روزمره در می آید، مردم کمتر آگاه می شوند که کدام ایمیل ها را باز کرده و روی چه پیوندها یا پیوستهایی کلیک کرده و در نهایت به آگاهی کافی رسیده اند. این ممکن است برای هر کسی، حتی مدیر FBI اتفاق بیفتد.
 
وقتی استفاده از فناوری به جای یک عمل آگاهانه به یک عادت تبدیل می شود، افراد احتمالاً هنگام راه رفتن، صحبت یا بدتر از آن هنگام رانندگی پیام ها را بررسی و حتی به آنها پاسخ می دهند. همان طور که این عدم تمرکز حواس منجر به حوادث می شود، همچنین منجر به باز شدن بدون فکر ایمیل های فیشینگ توسط افراد و کلیک روی پیوندها و پیوندهای مخرب می شود.
 بعید است فقط با گرفتن عکس از چیزی تلفن شخصی هک شود.در حال حاضر، تنها راه واقعی برای دفاع در مقابل ماهیگیری نیزه ای، آموزش کاربران است، که به طور معمول با شبیه سازی حملات فیشینگ و عبور از نتایج پس از آن، و برجسته کردن عناصر حمله ای که کاربر از دست داده است صورت می گیرد. برخی از سازمان ها کارکنانی را که به طور مکرر در این آزمون ها قبول نمی شوند مجازات می کنند، در حالی که این روش شبیه فرستادن رانندگان بد به داخل جاده پر از خطر است و خواستن از آنها که از موانع اجتناب کنند وگرنه جریمه می شوند. خیلی بهتر است که واقعاً بفهمیم مهارت آنها در چه زمینه ای کم است و نحوه رانندگی صحیح را به آنها آموزش دهیم.
 

شناسایی مشکلات

این همان جایی است که مدل ما وارد می شود. این، چارچوبی برای مشخص کردن دلیل قربانی شدن افراد در انواع مختلف حملات سایبری فراهم می کند. در ابتدایی ترین سطح، این مدل به شرکت ها امکان می دهد میزان حساسیت هر یک از کارکنان به حملات نیزه ای را اندازه گیری کرده و افراد و گروه های کاری را که بیشتر در معرض خطر هستند شناسایی کنند.
 
هنگامی که این مدل، همراه با آزمایش های حمله فیشینگ شبیه سازی شده استفاده می شود، مدل ما به سازمان ها اجازه می دهد نحوه کار کارکنان در معرض حمله سایبری را شناسایی کنند و نحوه کاهش خطرات خاص آن شخص را تعیین کنند. به عنوان مثال، اگر فردی در حال انجام کارهای دیگر بر روی ایمیل تمرکز نکند و آن را بررسی نکند، می توان به او آموخت که این عادت را تغییر داده و توجه بیشتری نشان دهد. اگر شخص دیگری به اشتباه اعتقاد داشت که او از طریق اینترنت ایمن است، می توان به او روش دیگری ارائه داد. اگر افراد دیگر از میانبرهای ذهنی ناشی از آرم استفاده می کنند، این شرکت می تواند به آنها کمک کند تا این رفتار را تغییر دهند.
 یک مهاجم می تواند اشکالی را در یک برنامه کد خوان پیدا کند که اجازه می دهد متن دقیقاً قالب بندی شده ای به جای این که فقط اسکن و پردازش شود، اجرا شود.سرانجام، روش ما می تواند به شرکت ها کمک کند تا "فوق آشکارسازها" را تشخیص دهند – یعنی افرادی که به طور مداوم فریب را در حملات شبیه سازی شده تشخیص می دهند. ما می توانیم جنبه های خاص تفکر یا رفتارهای آنها را که در کشف آنها به آنها کمک می کند شناسایی کنیم و دیگران را به اتخاذ چنین رویکردهایی ترغیب نماییم. به عنوان مثال، شاید ردیاب های خوب اطلاعاتی، تیتر پیام های ایمیل را بررسی می کنند، که می تواند هویت واقعی فرستنده را نشان دهد. دیگران زمان مشخصی از روز خود را برای پاسخ به ایمیل های مهم در نظر می گیرند و این به آنها فرصت بیشتری می دهد تا ایمیل ها را با جزئیات بررسی کنند. شناسایی این عادات و عادت های دیگر برای تقویت امنیت می تواند به ایجاد دستور العمل های بهترین عملکرد برای سایر کارمندان کمک کند.
 
بله، مردم ضعیف ترین حلقه های امنیت سایبری هستند. اما لازم نیست که چنین باشند. با آموزش های هوشمندانه و منحصر به فرد، می توانیم بسیاری از این پیوندهای ضعیف را به ردیاب های قوی تبدیل کنیم - و با این کار، امنیت سایبری را به طور قابل توجهی تقویت می کنیم.
 برای این که یک دستگاه آلوده شود یا به خطر بیفتد، طرف شیطانی باید راهی پیدا کند تا کامپیوتر بتواند بد افزار را ذخیره یا پردازش کند.
منبع: جرمی استراب، North Dakota State University، آرون ویشوانات نیویورک، University at Buffalo


مقالات مرتبط
ارسال نظر
با تشکر، نظر شما پس از بررسی و تایید در سایت قرار خواهد گرفت.
متاسفانه در برقراری ارتباط خطایی رخ داده. لطفاً دوباره تلاش کنید.
مقالات مرتبط
موارد بیشتر برای شما