اخبار فناوری اطلاعات
در دام مهاجمان
نویسنده: سیدمحمدرضا موسوی پور
سرقتبرخط روشی است که مهاجمان و سارقان به کمک آن اطلاعات شخصی و در واقع هویتی افراد را از راههای مختلفی همچون هرزنامه، یا صفحههای خودبازشو و یا سایر وسایل فریبکارانه به سرقت میبرند.
قبلا دلایلی که موجب موفقیت این حمله میگردد را بررسی کرده و از فقدان دانش کافی کاربران در مواجه با این حملات، زمینه سازی بروز خطا و فریب در مشاهدات کاربران، بیتوجهی به هشدارهای امنیتی و سهل انگاری در مواجه با مسایل و مشکلات، به عنوان عمدهترین دلایل اجرای یک حمله موفق برای سرقتبرخطِ هویت نام بردیم. در ادامه نیز فرایند رخداد حمله سرقتبرخط را در قالب سه مرحله ثبت یک دامنه جعلی مشابه با سایت رسمی و واقعی، ایجاد یک سایت جعلی با ظاهری مشابه سایت اصلی جهت گمراه نمودن کاربران، فرستادن نامههای الکترونیکی به تعداد زیادی از کاربران برای جذب آنها، به کمک روشهای مهندسی اجتماعی ارزیابی کردیم.
اکنون زمان آن رسیده است که در مقیاسی وسیعتر به بررسی روشهای مورد استفاده برای سرقتبرخط بپردازیم.
ایمیل و هرزنامه ارسال هرزنامهها به کمک آدرسهای پست الکترونیک یکی از شناخته شدهترین روشهای سرقتبرخط است. سارق، ایمیل مشابهی را به آدرس پستی میلیونها نفر ارسال میکند. محتوای این ایمیلها به گونهای است که کاربر متقاعد شود تا اطلاعات مهم را در اختیار سارقان قرار دهد و در نتیجه، ناخواسته دچار حمله سرقت هویت میگردد. این اطلاعات بعدها برای کارکردهای غیر قانونی توسط سارق اطلاعات مورد بهرهبرداری قرار میگیرند. بسیاری از این گونه پیامها دارای یادداشتی هشدار دهنده هستند که کاربر را ترغیب به وارد نمودن اطلاعاتی جهت بروز رسانی یا بازبینى و یا تغییر مشخصات حساب کاربری میکنند. مثلا ممکن است از کاربر خواسته شود تا مشخصاتی را که در یک پیوند قرار داده شده است را برای دسترسی به یک سرویس جدید پر نماید و یا ایمیلی را در نظر بگیرید که در آن کاربر برنده یک قرعهکشی معرفیشده و برای دریافت جایزه از او میخواهد که اطلاعات مربوط به حساب بانکی خود را در قسمتهای مورد نظر وارد نماید. در نهایت این ترفند و یا روشهای مشابه آن کاربر را وادار به ارائه اطلاعات به مهاجم مینماید، بیآنکه بداند این اطلاعات مهم را در اختیار فردی قرار داده است که قصد سوءاستفاده از آن را دارد. از اینرو این روش مرسوم را صیادی فریبآمیز نیز نام گذاردهاند.
علاوه بر روشهای مهندسی اجتماعی، سارقان میتوانند از حفرههای امنیتی موجود در پروتکلها نیز بهره ببرند. به طور مثال وجود نقص در پروتکل SMTP که جهت ارسال ایمیل از آن استفاده میشود، یکی از آن روشها است. بدین شکل که مهاجم میتواند آدرس ارسال را در سرایند بسته به صورت جعلی تغییر یا اضافه نماید و به این ترتیب عنوان جعلی خود را به جای شرکت یا سازمان قانونی و حقیقی معرفی کند. در این صورت با سرقت هویت بازرگانی، وجهای قانونی به خود بخشیده و در واقع از اعتماد کاربر به آن شرکت سوءاستفاده میکند. نتیجه این اعتماد کاربر، دریافت اطلاعات مهم از وی است. چرا که کاربر از امنیت اطلاعات دادهشده به آن هویت قانونی، اطمینان کامل دارد.
از طرف دیگر سارق قادر است تا با اندک تغییراتی در رشته URL بستههای ایمیل، نسخههای مشابهای از ایمیلهای قانونی را تهیه کرده و کاربر را به آدرس دلخواه خود هدایت نماید.
به هر صورت آنچه مشخص است، بستر اینترنت و ایمیلهای مجانی، مکانی بسیار مناسب برای جولان هرزنامهها و طمعهگذاری هکرها است که با غلبه بر قلمرو زمان و مکان سعی در سرقت اطلاعات ارزشمند کاربران دارند. به بطوریکه امروزه بسیاری از این گونه پیامها را میتوان در سبد پستی خود مشاهده نمود و تنها یکی از آنها کافیست تا آرامش زندگی ما را دگرگون نماید. البته از میان انبوه ایمیلهای ارسالی به کاربران، تنها عده بسیار کمی فریب سارقان را میخورند. اما به هر صورت همان عده اندک نیز برای مهاجم کافی و مقبول است. برخی نکات خاص پیرامون ایمیلهایی که منجر به حملات سرقتبرخط میشوند، وجود دارند که مفهوم مشخصی داشته و باید به این موارد توجه نماییم. – آیا ایمیل دریافتی یک مقدار بیش از حد، رسمی نیست؟ – آیا ایمیلها دارای اشکالات انشایی و املایی بوده و در کل دارای ضعف نگارشی هستند؟ ( البته امروزه کمتر چنین مشکلاتی دیده میشود. ) – آیا اشکالات و تغییرات هرچند جزیی در رشته آدرس موجود، نظر شما را متوجه خود کرده است؟ مثلا بجای آدرس حقیقی PayPal.com عبارت pay-pal.com دیده شود. – آیا کد HTML که برای نمایش رشته آدرس درون ایمیل قرار دارد، قدری عجیب و مبهم است؟ – آیا موارد مرسوم و استانداردی در نامه الکترونیکی وجود دارد که نشان دهنده افزایش دائمی موردی در آن باشد؟ مثلا لیستی از دریافت کنندگان و یا نشانههایی از اینکه ایمیل بهطور زنجیروار از شخصی به شخص دیگری ارسال شده است. – آیا عناوین و مشخصات جعلی و عجیب در مشخصات ایمیل و توضیحات آن، نظر شما را به خود جلب نموده است؟ – آیا از شما درخواست شده است تا اطلاعاتی که دارای ایمنی خاصی هستند را درون یک جدول یا یک پیوند ارسال شده، ثبت نمایید؟ اینها تنها بخشی از موارد شناخته شدهای هستند که سرنخهایی از دام سارقان بدست میدهند و ممکن است به تنهایی برای حفاظت شما کافی نباشند. چیزی که در حقیقت میتواند موجب نجات شما شود، نتیجه گیری کلی از برآیند این قبیل اطلاعات؛ توجه و نگهداری وسواسگونه پستهای الکترونیک دریافتی؛ پرهیز از زودباوری و سادهانگاری و در نهایت نخواندن هر ایمیلی که دریافت میشود که البته این مورد آخری برای بسیاری سخت و نشدنی است!
به هر صورت باید توجه داشت که پدیده پست الکترونیک به دلیل سادگی در بهکارگیری و فراگیر بودن آن امکان بسیار مناسبی را برای اجرای عملیات سرقتبرخط فراهم نموده است. تا آنجا که در حال حاضر بیشتر حملات سرقتبرخط از طریق ایمیل و ارسال هرزنامهها صورت میگیرند. به همین دلیل مهاجمان با جمعآوری و در اختیار داشتن نشانی ایمیل افراد، روزانه اقدام به ارسال میلیونها ایمیل به صورت هرزنامه میکنند.
حمله بر پایه وب یکی از پیچیدهترین روشهای سرقتبرخط براساس وب انجام میشود. در این روش مهاجم در میان مسیر وب سایت قانونی و کاربر مورد هجوم قرار گرفته و اقدام به ردیابی جزییات مبادله شده بین کاربر و وب سایت مینماید. این در شرایطی است که کاربر از وجود عنصر سوم اطلاع نمییابد. بههمین صورت قرار دادن محتوای پویای مخرب در یک وبسایت نیز یکی از روشهای مرسوم در حملات سرقتبرخط است. همچنین قرار دادن بنرهای تبلیغاتی جعلی در سایتهای معروف و پر بازدید نیز میتواند این امکان را در اختیار سارق قرار دهد که کاربران را با استفاده از پیوند موجود در آن، به صفحه سایت سرقتبرخط خود، هدایت کند. بنابراین استفاده از بنرهای تبلیغاتی جعلی وخطرناک نیز یکی دیگر از روشهای حمله بر پایه وب است. حمله بر پایه وب به مراتب خطرناکتر و حیلهگرانهتر از روش ارسال هرزنامه به کمک ایمیل است. چرا که هیچ نشانه ای جهت مشاهده توسط کاربر وجود ندارد. این نوع حمله سرقت برخط از مصادیق حمله مرد میانی است که در ادامه به آن اشاره خواهیم کرد. پیام رسان فوری پیامرسانی فوری شکلی از ارتباط مستقیم متنی، صوتی و یا تصویری بیدرنگ، بین دو یا چند کاربر بر روی شبکه میباشد. مهاجمان از این روش استفاده نموده و بر روی پیوند مستقیم ایجاد شده بین وب سایت جعلیِ طراحی شده مشابه با سایت اصلی و کاربر، اطلاعاتی را ارسال مینمایند. این دادههای ارسالی میتواند درخواست اطلاعات شخصی و یا هرگونه اطلاعات مورد نظر مهاجم باشد. همچنین استفاده از کلاینتهای IRC و پیامرسانهای فوری این اجازه را به سارق میدهد که محتوای پویای مخربِ خود را که در این گونه پیامها جاسازی نموده است، بر روی میزبان هدف به اجرا در بیاورد. از طرفی سارق میتواند به روشهای سادهتری نیز از این ابزارها استفاده نموده و تنها برای ارسال اطلاعات جعلی و پیوندهای هدایت کننده کاربر به سایتهای سرقتبرخط، در حجم گستردهای بهره برداری نماید. استفاده از نرم افزارهای مخرب در این روش سرقتبرخط، مهاجم از برنامههای آلوده به انواع بدافزارها جهت حمله به کاربران استفاده میکند. گسترش و موفقیت این نوع حمله وابسته به مهندسی اجتماعی افراد و نیز نقایص امنیتی است.
همانطور که در مقالات گذشته نیز بارها اشاره شد، در مهندسی اجتماعی کاربر متقاعد میشود تا عملی را انجام دهد که به نحوی خواسته مهاجم عملی گردد و یا ناخواسته مجبور به انجام آن گردد. در اینجا نیز کاربر یک فایل متصل به نامه الکترونیکی را باز نموده و با استفاده از ترفند پیش بینی شده توسط مهاجم، مجاب به دادن اطلاعات محرمانه و مهم خود میشود و یا سبب نصب بدافزارهای همراه نامه، بر روی رایانهاش میگردد. بهره بردن از نقایص امنیتی در سیستم عامل و یا پروتکلهای جهت وارد کردن کرمها، ویروسها و سایر بدافزارها به سیستم مورد استفاده کاربر نیز یکی دیگر از روشهای سرقتبرخط بر پایه بدافزار است.
این گونه حملات را میتوان به چهار گروه کلی زیر تقسیم بندی نمود: • حملات باز تنظیم سیستم
• آلودگی فایل میزبان
• تروجانهای تحت وب
• ثبت کننده کلیدها و صفحات نمایش
حمله باز تنظیم سیستم همان طور که از نام حمله باز تنظیم سیستم مشخص است، این حمله امکان تنظیم مجدد تنظیمات بر روی رایانه کاربر را برای مهاجم مقدور میسازد. این حمله، سرقتبرخط بر پایه DNS نیز نامیده میشود. اساس کار بدین صورت است که تنظیمات سیستمهای سرویس دهنده DNS توسط اطلاعات غلط DNS دستکاری میشوند، تا آلودگی میزبان فایل بهوجود بیاید. همینطور میتوان برای تغییر تنظیمات پروکسی سرویس دهنده به کاربر نیز از این حمله استفاده نمود. در این صورت میتوان ترافیک کاربر را به سایتهای دیگر منتقل کرده و اطلاعات موجود در آنرا بهرهبرداری کرد. بنابراین دیده میشود که با دستکاری حافظه کَش DNS و جایگزینی اطلاعات نادرست، کاربر به مکانهای دیگر هدایت میگردد. هنگامیکه کاربر یک کش DNS تنظیم نشده داشته باشد، مهاجم میتواند بهطور مستقیم از این روش استفاده نماید. همچنین اطلاعات DNS سرویس دهنده کاربر نیز میتواند توسط یک حمله از نوع باز تنظیم سیستم نیز تغییر کند. بدین شکل که کاربر قربانی، پیامی را از سارق دریافت نماید و در آن پیام از او درخواست پیکر بندی مجدد سیستم، خواسته شده باشد. این درخواست میتواند از یک آدرس وب ارسالی شبیه به یک منبع قابل اعتماد، ارسال شده باشد. آلودگی فایل میزبان سیستمهای عامل شامل فایل میزبان هستند که قبل از اجرای یک جستجوی DNS نام میزبان را بررسی و اسم میزبان ها را به آدرس های IP مورد نظر تبدیل میکنند. بنابراین به جریان آدرسدهی گره های شبکه در شبکههای رایانهای کمک میکنند. فایل میزبان حاوی خطوطی متنی است که در قسمت اول یک نشانی IPو پس از آن نام یک یا چند گره آورده شده است. با توجه به عملکرد فایل میزبان، این فایل ممکن است به منظور تعریف نام میزبان و یا نام دامنه در سیستم محلی مورد استفاده قرار بگیرد. این ممکن است به صورت یک اثر مفید یا مضر ظاهر شود. از این رو به دلیل نقش این فایل در بازشناسی نام محلی، فایل میزبان یک هدف مناسب برای حمله توسط نرمافزارهای مخرب است. مهاجم میتواند از طریق تغییر فایل میزبان، کاربر را به سمت سایت جعلی هدایت نماید. در این صورت کاربر اطلاعات مهم خود را ناخواسته در آن وارد میکند و این امکان برای هکرها بهوجود میآید که از طریق حمله آلوده کردن فایل میزبان، کاربران را به سمت دیگری هدایت کنند.
میزبانهای آلوده به تروجان تروجانها برنامههایی هستند که به صورت پنهان روی رایانه کاربر نصب و اجرا میشوند و میتوانند دسترسی کاملی از رایانه کاربر را در اختیار هکر قرار دهند. بهاین صورت که پس از اجرای آن، هکر میتواند هر زمان که بخواهد، رایانه قربانی را در اختیار خود بگیرد. سارق میتواند به شیوههای مختلف کاربر را وادار به نصب نرمافزار آلوده به تروجان کند. بهطور مثال با فرستادن ایمیلی که در آن پیوندی قرار گرفته باشد تا با کلیک کاربر بر روی آن تروجان بر روی رایانه او نصب شود. بنابراین کاربر ناخواسته این اجازه را به سارق میدهد که علاوه بر دسترسی کامل به رایانه او، از آن برای انتشار ایمیلهای هدایت کننده سایر کاربران به سایت سرقتبرخط مورد نظر خود استفاده کند. این برنامههای مخرب هنگامی که کاربر قصد وارد نمودن اطلاعات خود در صفحه ورود یک وبسایت را دارد، اطلاعات محلی وارد شده را همزمان از طریق آدرس قرار داده شده درون تروجان به سارق اطلاعات میرساند. واقعه نگاری برنامههای ثبت کننده کلیدها و صفحههای نمایش، برنامههایی هستند که خود را از طریق مرورگر یا به عنوان راهانداز دستگاه، در رایانه کاربر نصب میکنند، تا ورود اطلاعات را تحت نظر داشته و آنها را به آدرس مورد نظر سارق اطلاعات ارسال کنند.
روشهای مورد استفاده توسط این ابزارها را میتوان بصورت زیر بیان نمود: از ثبت کننده کلید جهت رصد و ذخیره کلیدهای فشرده شده توسط کاربر استفاده میشود. درایور دستگاه، ورودیهای کاربر که توسط صفحه کلید و ماوس وارد میشود را رصد میکند. ثبت کننده صفحه نمایش نیز مقادیر وارد شده توسط کاربر و کلا رفتار او را با ضبط تصویری از صفحه نمایش رصد میکند. نتیجهگیری در این مقاله برخی از روشهای مورد استفاده مهاجمان جهت سرقتبرخط بیان گردید. روشهایی همچون استفاده از پستهای الکترونیک و هرزنامهها، حملات بر پایه وب، سوءاستفاده از پیام رسانهای فوری و استفاده از بدافزارها بررسی و ارائه گردید. همانطور که پیش از این نیز اشاره شد، اینگونه کلاهبرداریها با هدف دستیابی به اطلاعات ارزشمند کاربران طراحی شدهاند و بدلیل سهل انگاری، عدم دانش کافی و یا نقایص امنیتی منجر به خسارت هایی برای کاربران میگردند. در شماره آینده برخی دیگر از این روشهای بکار رفته توسط هکرها برای سرقتبرخط، نظیر رخنهگری در نشست، تزریق محتوا، حمله اسکریپتهای جانبی سایت و یا دستکاری پیوند سایت را بررسی خواهیم نمود.
منبع: ماهنامه دنیای کامپیوتر و ارتباطات
منبع : ایتنا