اخبار فناوری اطلاعات
حمله امنیتی برنامههای TeamViewer و RMS به 400 کمپانی!
در حال حاضر و در این حمله، مجرمان سایبری کمپانیهای تولید کننده را مورد حمله قرار دادند. در اغلب موارد حمله به چنین شرکت هایی با هدف جاسوسی یا خرابکاری انجام می گیرد. اما هدف این حمله فیشینگ چیز دیگری بوده است و این بار مجرمان سایبری برای سرقت پولها دست به حمله زدهاند.
فیشینگهای مدل قدیمی
به گزارش ایتنا از کسپرسکی آنلاین، این حملات با استفاده از ابزارهای فانتزی انجام نمی شود و در عوض از تکنیکهای استاندارد فیشینگ استفاده می شود: نرمافزارهای مضر از طریق ایمیل ها با عنوان پیشنهادات تجاری و سایر اسناد مالی توزیع می شود.
یکی از مهمترین ویژگی های این نوع حملات سطح بالای تدارکات آنها است. مجرمان پشت حملههای فیشینگ قدیمی ایمیلی را با نام و نام خانوادگی به کارمندان یک مجموعه ارسال میکنند و میدانند که کارمندان آنها را مشروع تلقی کرده و مورد مشکوکی وجود نخواهد داشت.
در این حمله مجرمان پیوستهای مخرب را ارسال می کنند و در سایر موارد، لینکهای مخرب را در وب سایت ها گسترش میدهند. اما نقطه ی مشترک هر دو روش حمله در این است که قربانیان مجبور میشوند ابزارهایی که هکرها برای آن ها تدارک دیده اند را دانلود کنند.
به عنوان مثال در این حمله موردی دیده شده است که مجرمان یک فرمی را برای برنده شدن کارمندان یک شرکت در یک مسابقه در نظر می گیرند، کافی است که قربانی با اینتر کردن Seldon 1.7 را که یک اپلیکیشن مشروع است را نصب کند. بدین ترتیب توسط ضمیمه ایمیل ارسال شده برای کارمندان که یک فایل اجرایی نرم افزار بوده است بدافزار نیز دریافت می شود.
یکی دیگر از نمونهها، ایمیلی با موضوع فروش ویژه خودروها در قالب یک فایل PDF مخرب بوده است. این ایمیل کاملا دقیق و مشروع به نظر می رسید زیرا شناسه های مالیاتی و همچنین یک VIN با مدل مشخص شده ی ماشین مطابقت داشت.
نرمافزارهای قانونی
مجرمان سایبری در حمله اخیر از برنامه های مدیریت از راه دور قانونی یا TeamViewer یا حتی RMS برای حملات خود استفاده کردند. این برنامه ها برای دسترسی به دستگاه قربانی مورد استفاده قرار گرفتند و سپس اطلاعات مربوط به خریدهای فعلی کاربر همچنین نرمافزارهای مالی و حسابداری را اسکن کردند. سپس مجرمان از روش های مختلفی برای سرقت پول های همانند جایگزینی جزئیات بانکی استفاده کردند.
برای حفظ دسترسی به سیستم، هکرها از روش های مختلفی که باعث می شد تا قربانیان از وجود آن ها پی ببرند استفاده و خود را پنهان کنند.
راههای دیگر برای محکم کاری
در صورت لزوم مجرمان ابزارهای اضافی را به دستگاه آلوده ارسال میکردند. به عنوان مثال آنها برای راههایی برای دریافت مجوزهای سطح بالا و جمع آوری اطلاعات اضافی ترتیب می دیدند. این اپلیکیشنها میتوانند دادههای ذخیره شده روی دستگاه قربانی را به سرقت ببرند، عکسها را ببینند و آنها را ضبط کنند، ویدئوها را دریافت و هر صدایی که توسط میکروفن به گوش میرسد را شنود کنند و اطلاعاتی که دستگاه آنها را دریافت میکند را ثبت و ضبط کنند.
این بدان معنی است که مجرمان سایبری قادرند بیش از اطلاعات مربوط به منابع مالی یک مجموعه را به سرقت ببرند. آنها میتوانند اطلاعات محرمانه شرکتها، مشتریان و شرکای آنها را بدست آوردند: در مورد کاربران جاسوسی کنند؛ آنچیز که در اطراف سیستم آلوده میگذرد را ثبت و ضبط کنند یا حتی از سیستم آلوده برای حمله های پرخطر بعدی از جمله DDoSاستفاده کنند.
چه کسی در معرض خطر است؟
زمانی که این حمله صورت گرفته بود مجرمان حدود 800 کامپیوتر مربوط به 400 سازمان را در یک مجموعه گسترده صنایع را آلوده کرده بودند. این صنایع تولیدات نفت و گاز، متالوژی، مهندسی، انرژی، ساخت و ساز ومعادن و تدارکات را شامل می شد.
این حمله فیشینگی است که از اکتبر سال 2017 ادامه دارد.
چگونه میتوان از قربانی شدن چنین حملاتی جلوگیری کرد؟
با بررسی این کمپینهای فیشینگ متوجه خواهیم شد که حتی ابزارهای قانونی نیز می توانند خطرناک و یک تله محسوب شود. و البته راهکارهای محافظتی نیز هیچ برابری با شدت این حملات نمیکنند. حتی کارمندان با تجربه میتوانند درگیر این حملات شوند و حتی آنها را تشخیص هم ندهند. از همین رو برای محافظت از کسب و کار خود ما راه های زیر را توصیه می کنیم:
- کارمندان یک مجموعه بایستی با موضوعات امنیت اطلاعات آشنا باشند. آموزشهای لازم را به منظور افزایش آگاهی آنها در این زمینه بدهید.
از تکنولوژیهای مدرن حفاظت که رفتارهای مشکوک و نامشروع را از رفتارهای مشروع تشخیص میدهد استفاده کنید.
به عنوان مثال اندپوینت سکیوریتی کسپرسکی چنین ویژگی هایی را دارد.
منبع : ایتنا