IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

فیشینگ

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

11 روش برای تشخیص ایمیل های اصلی از تقلبی وجلوگیری از فیشینگ

امروزه Phishing به یکی از مهم‌ترین مسائل مربوط به پرسنل امنیتی داده تبدیل شده‌است. به طور کلی، یک حمله فیشینگ تلفنی نسبتا آسان است و برای حمله‌کننده بسیار ارزان است. حملات پیچیده spear-phishing (فیشینگ نیزه ای)و whaling attacks (حملات نهنگ : حملاتی که بر افراد خاص متمرکز می‌شوند) زمان بیشتری صرف آماده‌سازی و تحقیق می‌کنند، اما می‌توانند بسیار ارزان باشند.Takian.ir Phishing Attacks

زمانی که از ایمیل تان استفاده می‌کنید و قبل از آن که روی لینک های موجود در آن کلیک کنید، ابتدا برخی از قوانین را در نظر بگیرید :
۱. آیا ایمیل درخواست اطلاعات شخصی یا حساسی مانند تاریخ تولد، شماره امنیت اجتماعی، شماره حساب و یا مشخصات ورود به سیستم را دارد؟ اکثر کسب و کارهای قانونی چنین داده‌هایی را در یک ایمیل درخواست نمی‌کنند.
۲. آیا ایمیل از شما می‌خواهد که روی یک لینک کلیک کنید تا به وب سایت دسترسی داشته باشید؟ اگر اینطور است، این سایت ممکن است جعلی باشد.
۳. آیا ایمیل به جای نام شما یک جمله عمومی (مثلا سلام کاربر عزیز) دارد؟ مطمئن باشید که بانک یا سرویس دهنده سرویس شما می‌دانند که شما چه کسی هستید و به طور معمول با نام خود به شما ایمیل خواهد داد.
۴. آیا ایمیل دارای یک فایل الصاقیه یا همان Attachment است؟ اگر منتظر دریافت یک فایل الصاقی نیستید، اصلا بر روی ان کلیک نکنید و تایید اعتبار فایل را ابتدا با فرستنده تصدیق کنید.
۵. هنگامی که شما ماوس خود را بر روی ایمیل حرکت می‌دهید، تمام ایمیل یک هایپر لینک است؟ اگر چنین باشد، احتمالا حمله فیشینگ است.
۶. اگر متن ایمیل پیشنهاد خوب و وسوسه کننده ای به شما بدهد، مانند مبلغ زیادی پول، یک کارت هدیه پیش‌پرداخت یا یک قطعه گران ‌قیمت الکترونیکی، احتمالا حمله فیشینگ است.
۷. مراقب ایمیل‌های احساسی باشید. مانند ایمیل هایی که خود را یک فرد خیرخواه معرفی نموده و برای مثلا کمک به بیماران از شما درخواست پول میکند. با اینکه بسیاری از موسسات خیریه از چنین تاکتیک‌هایی استفاده می‌کنند، اما این روش یک روش معروف است که توسط نفوذگران بکار می‌رود. بهتر است قبل از هراقدامی ابتدا با سازمان خیریه مورد نظر هماهنگی لازم را داشته باشید.
۸. اگر ایمیل ادعا می‌کند که شما یک مشکل فوری دارید، مانند یک ویروس و یا اینکه فضای ذخیره‌سازی ایمیل یا هاست شما پر شده است، و باید اقدام فوری انجام دهید، مراقب باشید. این یک تاکتیک متداول برای فیشینگ است.
۹. اگر ایمیل حاوی یک تهدید مستقیم است و شما را تحریک میکند که با کلیک روی یک لینک برای پلیس، اداره اگاهی، پلیس فتا و یا مانند آن، اقدام فوری کنید، احتمالا جعلی است.
۱۰. یک ایمیل ممکن است به نظر برسد از یک دوست است که درخواست پول می‌کند. هرگز بدون تماس با دوست خود و گرفتن تاییدیه، برای او پول ارسال نکنید.
۱۱. حتما به آدرس فرستنده ایمیل توجه کنید. شاید فرستنده از یک ایمیل مشابه استفاده کرده باشد مثلا بجای mahdi[@]test.abc از mehdi[@]tast.abc استفاده کرده باشد.
هرچند که امروزه حتی با باز کردن ایمیل و بدون کلیک بر روی فایل ها و لینک های موجود در ایمیل نیز میتوان سیستم کاربر را آلوده نمود، اما رعایت مسایل بالا میتواند تا حد بسیار بالایی خیال شما را راحت کند. البته بهترین پیشنهاد این است که همیشه ایمل های مشکوک را بدون باز کردن و خواند، مستقیماً به پوسه Spam یا Trash انتقال دهید.

IQY پسوند فایل جذاب هکرها برای عبور از آنتی ویروس

براساس پست منتشر شده در وبلاگ یکی از متخصصان امنیتی با نام Barkly، چالش جدید پیام‌های اسپم(Spam) به جای سوءاستفاده از فایل‌های Word یا سایر فایل‌های معمول، از فایل‌های iqy. استفاده می‌نماید. این فایل‌هاى ساده متنی به صورت پیش فرض با نرم‌افزار اکسل باز شده و برای دریافت اطلاعات از اینترنت مورد استفاده قرار می‌گیرند.  Takian.ir iqy file attack

این رویکرد می‌تواند برای عبور از نرم‌افزارهای آنتی ویروس و نصب تروجان‌های دسترسی از راه دور موسوم به FlawedAmmyy  و ایجاد کد نفوذ برای دسترسی از راه دور نرم‌افزارAmmyy Admin مورد استفاده قرار گیرد.

محققان می‌گویند اولین بار این مسئله توسط کاربری به آیدی @dvk01uk با اولین موج پیام‌های Spam که از این شیوه استفاده می‌نمود، شناسایی شده است. این موج در 25 می امسال به وقوع پیوست و متعاقب آن موج کوچکتری در 5 جوئن شناسایی شد. موج سوم نیز در 7 جوئن کشف گردید.

ایمیل‌هایی که ارسال شده‌اند محتوای خاصی نداشته و اساسا محتوای آن‌ها از انواع متداولی است که انتظار داریم. ایمیل‌ها در موج اول حملات دارای عنوان "صورتحساب پرداخت نشده" بود که در ظاهر، شخصی از طرف یک سازمان آن را ارسال نموده است.

وقتی این فایل‌ها باز می‌شوند سعی می‌کنند از آدرس URL که در اختیار دارند، داده دریافت نمایند. سپس نرم افزار اکسل از این آدرس داده‌هایی را دریافت می‌کند که این داده‌ها اسکریپت‌های PoweShell می‌باشند.

خوشبختانه نرم‌افزار آفیس به صورت پیش فرض محتواهای خارجی را مسدود می‌نماید و به کاربران هشدار می‌دهد. اما همیشه این شانس وجود دارد که کاربر ماکروها را فعال نماید. به محض اینکه این قابلیت فعال شود فایل iqy می‌تواند بدون ‌محدودیت اسکریپت‌های PowerShell  را دانلود نماید. مجوز دیگری نیز از قربانی خواسته می‌شود که در صورت موافقت با مجموعه‌ای از دانلودها حمله ادامه یافته و بدون محدودیت به بدافزار FlawedAmmyy  متصل می‌شود.Takian.ir iqy file malware downloader

به گفته جیمز لین(James Lyne) مدیر تحقیقات و توسعه موسسه SANS، یک گام اساسی برای مقابله با گونه‌های جدید، امنیت لایه بندی شده با کنترل‌های چندگانه در زمان اجرا(Runtime) می‌باشد.

وی افزود: "میزان انتشار این بدافزار کمتر از حد متوسط است با این حال از فروشندگان محصولات می‌خواهیم سریعا سیاست‌ها و محصولات خود را به روزرسانی نمایند. سازمان‌ها نیز در صورتی که به این نوع از فایل‌ها(iqy) نیازی ندارند دسترسی به آن‌ها را مسدود نمایند."

نیل شفیلد (Niall Sheffield) کارشناس امنیتی می‌گوید: " این نوع حملات به نوع خاصی از متدها دلالت دارد که عوامل مخرب برای عبور از آنتی ویروس‌ها مورد استفاده قرار می‌دهند. استفاده از یک فایل‌فرمت فراموش شده که آنتی ویروس توانایی اسکن و تعامل با آن را ندارد، بهره برداری از آن و بارگذاری در حافظه و سپس حصول نتیجه مورد نظر".

پاول داکلین (Paul Ducklin) کارشناس ارشد تکنولوژی نیز در این باره گفت: "استفاده از فرمت IQY ممکن است در پیام‌هایSpam موضوع جدیدی باشد اما در حملات سایبری مسئله جدیدی نیست." وی ادامه داد: "بسیاری از آنتی ویروس‌ها از شما محافظت می‌کنند در حالی جزئیاتی از نحوه نفوذ مهاجمان و کلاهبرداران در اختیار قرار نمی‌دهند." – که آیا این تهدید از طریق لینک فیشینگ در یک ایمیل، از طریق فایل‌های پیوست با فرمت‌های مختلف، یک سایت آلوده و یا از طريق یک درایو USB رخ داده است.

احراز هویت دو مرحله ای، دیگر قابل اعتماد نیست

به گزارش سایت هک رید؛ تاکنون به کرات در اخبار، به واکاوی و بررسی وضعیت امنیت احراز هویت 2 مرحله ‌ای پرداخته شده و در برخی مواقع، غیرقابل نفوذ بودن این احراز هویت‌ها در بعضی سرویس‌ها مطرح شده است. البته در همه‌ی موارد، با فرض این مسئله که کاربران از دستگاه تلفن همراه خود، به خوبی مراقبت می‌کنند، امنیت احراز هویت 2 مرحله‌ای تأیید شده است.

Takian.ir hacker demonstrates how to bypass two factor authentication

بیشتر برنامه های رایانه ای، برای افزایش امنیت خود، از تأیید 2 مرحله ای را پیشنهاد می کنند و باور دارند که امکان دور زدن آن وجود ندارد. اما هم اکنون هکرها به روشی دست یافتند که به آسانی از این شیوه حفاظتی از طریق حملات فیشینگ عبور می کنند.

در این زمینه، هکرها به کمک حملات فیشینگ و جانمایی بدافزار «KnowBe4» می توانند اطلاعات مربوط به تأیید 2 مرحله ای را سرقت کرده، فرآیند تشخیص هویت را دور بزنند.

شرکت «Mitnick» -که در زمینه هک و نفوذ فعالیت می نماید- طی یادداشتی اعلام کرد: بدافزار «KnowBe4»، بیش از 17 هزار سازمان و نهاد را تحت تأثیر قرار داده است. این بدافزار، به یاری حملات فیشینگ، وارد دستگاه های رایانه ای می شود.

روش پیشین -که برای دور زدن تشخیص هویت 2 مرحله ای ارائه شد- به این ترتیب بود که اطلاعات با بهره گیری از روش ‌های مهندسی اجتماعی و سایر یورش های سنتی، علیه گذرواژه ‌ها انجام می گرفت و داشتنی های زیر، مورد نیاز بودند:

•    شناسه و گذرواژه‌ی حساب کاربری قربانی
•    شماره‌ تلفن همراه قربانی که سرویس احراز هویت 2 مرحله‌ای روی آن تعریف شده است
•    سرویس جعل شماره‌ی همراه
•    شماره‌ی رایانامه صوتی به منظور دسترسی از راه دور

اما در روشی نوین، هکرها با فرستادن رایانامه های فیشینگ، بدافزار بالا را به سامانه کاربران وارد می کنند و مقدمات سرقت اطلاعات مربوط به تأیید هویت 2 مرحله ای را فراهم می نمایند.

از ظاهر تا عمل؛ زیر سوال بودن عملکرد CISO ها در دنیا

 

پس از تحقیقات جدید آشکار شده است که بسیاری از پرچمداران امنیت سایبری جهان در فضای آنلاین رفتارهای پر ریسک انجام می دهند و ممکن است به آنچه که تبلیغ می کنند و نشان میدهند، عمل نکنند.

شرکت کانستلا اینتلیجنس، بیش از 100 شرکت جهانی پیشرو و بزرگ امنیت آی تی را در زمینه های مختلفی مورد نظرسنجی قرار داده اند تا آخرین گزارش خود را با عنوان "مخاطرات فضای سایبری در دنیای فرامتصل امروز" جمع آوری کند.

به نقل از اینفو سکیوریتی مگزین، این گزارش رویه گسترده امنیتی ضعیفی را نشان داده است: یک چهارم (24%) اعتراف کرده اند که از رمز عبور مشابه برای کار و فعالیت های آنلاین شخصی استفاده می کنند و تقریباً نیمی از آنها (45%) بدون استفاده از VPN به شبکه های وای فای عمومی متصل می شوند.

تصور می شود Wi-Fi عمومی آنقدر خطرناک است که دفتر تحقیقات فدرال ایالات متحده به طور منظم به مردم هشدار می دهد که در مواقع حضور خارج از خانه به این شبکه ها وصل نشوند.

تعداد مشابهی (48%) از پاسخ دهندگان CISO گفته اند که آنها از سیستم کاری خود برای ورود به سایت های شبکه های اجتماعی استفاده می کنند و 77% آنها درخواست دوستی افرادی را که نمی شناسند قبول می کنند، از جمله لینکدین که جامعه ای 63 درصدی را به خود اختصاص داده است.

طبق اطلاعات سازمان امنیت داخلی انگلستان، جاسوسان خارجی طی پنج سال گذشته با استفاده از پروفایل های جعلی با بیش از 10 هزار شهروند انگلیس از طریق شبکه اجتماعی لینکدین تماس گرفته و ارتباط برقرار کرده اند.

دولت طی یک اقدام کارآگاهی که به تازگی انجام شده، اعلام کرده است: "عواقب و نتیجه تعامل با این پروفایل ها می تواند به مشاغل فردی و همچنین منافع سازمان شما و منافع امنیت ملی و سعادت کشور آسیب برساند".

پیشگامان و بزرگان امنیتی حتی اگر حملاتی که آنها را هدف قرار می دهند نیز افزایش یابد، همچنان به رفتارهای پرخطر خود ادامه می دهند.

بیش از نیمی (57%) از افراد این جامعه آماری در زندگی شخصی خود تحت حملات تصاحب حساب (ATO) قرار گرفته اند که عمدتا از طریق ایمیل (52%)، لینکدین (31%) و فیسبوک (26%) این مجموعه را تشکیل داده اند. تقریباً سه چهارم (74%) گفته اند که در طی 90 روز گذشته مورد حمله فیشینگ یا ویشینگ قرار گرفته اند. بر اساس این گزارش، در یک سوم (34%) موارد، عوامل تهدید هویت مدیرعامل خود را جعل کرده اند.

مدیر عامل شرکت کانستلا اینتلیجنس، کایلاش آمبوانی میگوید: "در میان افزایش حملات سایبری به سازمان ها، که بسیاری از آنها از طریق جعل هویت C-suite انجام می شود، اکنون آگاهی و هوشیاری کارمندان در حوزه امنیت سایبری به اندازه زیرساخت های امنیتی یک سازمان مهم و پر اهمیت است".

"هرچه زمینه های شغلی و شخصی به طور فزاینده و به شکل دیجیتالی در یکدیگر آمیخته می شوند، هم مدیران و هم کارمندان باید به نقشی که هر یک از آنها در بهداشت جمعی امنیت سایبری ایفا می کنند، توجه نماید".

استفاده هکرها از افزونه های آلوده فایرفاکس برای فیشینگ اعتبارنامه های جیمیل

 

افزونه آلوده فایرفاکس به نام FriarFox توسط هکرهای چینی برای جاسوسی از فعالان تبتی مورد استفاده قرار میگیرد. برای سالها چین متهم به جاسوسی از اقلیت ها، فعالین و خبرنگاران شده است اما با توجه به تحقیقات انجام پذیرفته، تاکتیک های جاسوسی این کشور فقط پیچیده تر و پیگیرانه تر شده است. در جدیدترین تحقیق انجام شده، محققان یک گروه هک مورد حمایت دولت چین را با حملات جاسوسی و فیشینگ علیه اقلیت ها و فعالان تبتی مرتبط دانسته اند.

هکرهای مورد حمایت دولت چین، از فعالان تبتی جاسوسی میکنند:

محققان شرکت پروف پرینت کمپین جدیدی را کشف کرده اند که در آن، تهدیدات مداوم بسیار پیشرفته ای با حمایت حزب کمونیست چین، نهادها، سازمان ها و فعالان تبتی را از طریق یک افزونه مخرب فایرفاکس هدف قرار میدهد.

این گروه و کمپین که تحت نام TA413 ردیابی شده است که قبلا در حملات علیه جامعه تبت نقش داشته است. در آن زمان، گروه فوق الذکر از کمپین هایی با موضوع و محوریت بیماری کووید-19 برای نشر و گسترش بدافزار Sepulcher استفاده کرده است. با این حال حتی در آن زمان نیز هدف اصلی این کار، انجام نظارت و جاسوسی مخالفان مدنی بوده است.

کمپین فیشینگ از مارس 2020 ادامه دارد:

طبق گزارش شرکت امنیتی مستقر در سانی وِیل، کارزارهای فیشینگ سطح پایین علیه تبتی ها، ابتدا در مارس 2020 کشف گردید و از آن زمان تاکنون ادامه دارد. عوامل تهدید در حال حاضر اقدام به ارائه افزونه ای سفارشی برای مرورگر فایرفاکس جهت به سرقت بردن حساب های جیمیل کاربران میکنند.

محققان پروف پرینت در گزارش خود اشاره کرده اند که: "عوامل تهدید کننده، افزونه مخرب سفارشی مرورگر موزیلا فایرفاکس را مطابق با منافع دولتی حزب کمونیست چین ارائه کرده اند تا دسترسی دسترسی و کنترل حساب های جیمیل کاربران را تسهیل نمایند".

تازه ترین جملات نیز در ژانویه و فوریه سال 2021 کشف شده اند. این افزونه مخرب “FriarFox” نام دارد.

در این گزارش توضیح داده شده است که: "ما این فعالیت را به TA413 نسبت میدهیم که علاوه بر افزونه مرورگر با نام FriarFox، در اوایل سال 2021 نیز مشاهده شده است که هر دو بدافزار Scanbox و Sepulcher را وارد نهادها و سازمانهای تبتی کرده است".

پیوندها بدافزار Sepulcher در کمپین های بدافزار Lucky Cat و Exile Rat که سازمان های تبتی را هدف قرار داده بود، ردیابی و پیدا شده اند.

بدافزارها از طریق ایمیل های Spear-phishing به مقصد رسیده اند:

در ظاهر به نظر میرسد که ایمیل های فیشینگ توسط دفتر دالایی لاما در هند و انجمن زنان تبت ارسال میشود. این ایمیل ها دارای یک لینک مخرب است که گیرنده را به یک بروزرسانی جعلی فلش پلیر هدایت میکند که دستور جاوا اسکریپت را برای اسکن دستگاه آلوده شده اجرا کرده و تصمیم میگیرد که محتوای FriarFox را در سیستم تحویل دهد.

پس از اجرا، بد افزار اجازه دسترسی به حساب جیمیل قربانی را میدهد. پس از ورود به حساب جیمیل، بدافزار میتواند ایمیل ها را پیدا کرده، بایگانی کند، بخواند، حذف کند، به عنوان هرزنامه معرفی کرده و به مخاطبین ارسال نماید.

علاوه بر این، میتواند تنظیمات حریم خصوصی را تغییر داده و به داده های کاربر در وب سایت های دیگر دسترسی پیدا کند. همچنین مهاجمان ممکن است بدافزار Scanbox را که یک فریم ورک مبتنی بر جاوا اسکریپت است، بارگیری کند که میتواند کی لاگینگ را انجام داده و داده ها را برای استفاده در حملات بعدی سرقت کند.

محققان پروف پرینت به این نتیجه رسیده اند که: "بر خلاف بسیاری از گروه های ATP، افشای عمومی کمپین ها، ابزارها و زیرساخت ها، منتج به تغییرات عملیاتی قابل توجه TA413 نشده است. بر این اساس، ما پیشبینی میکنیم که در آینده همچنان از روش عملی مشابهی که اعضای گسترده جوامع تبت را هدف قرار میدهد، بهره گرفته شود".

برای اولین بار نیست:

این یک واقعیت است که چین به جاسوسی از فعالان، اقلیت ها و کشورهای همسایه متهم شده است. در سال 2013، فعالان ایغور و تبتی با استفاده از بدافزار اندروید هدف قرار داده شدند. چند سال بعد و در سال 2018، محققان بدافزار اندروید HenBox را شناسایی کردند که از دستگاه های برند ژیائومی و گروه های اقلیت در چین جاسوسی میکرد.

در سال 2019، یک محقق امنیتی هلندی فاش کرد که دولت چین از پایگاه داده های شناسایی چهره، برای نظارت از راه دور بر جمعیت ایغور در منطقه سین کیانگ استفاده میکند.

بدافزاری در پوشش باج افزار؛ مایکروسافت هشدار میدهد!

 

کمپانی مایکروسافت روز پنجشنبه در مورد یک کمپین گسترده ایمیل هشدار داد که یک بدافزار مبتنی بر جاوا با نام STRRAT، در حالی که خود را به عنوان یک باج افزار نشان میدهد، برای سرقت اطلاعات محرمانه از سیستم های آلوده مورد استفاده قرار میگیرد.

تیم اطلاعات امنیتی مایکروسافت در یک رشته توییت عنوان کرد: "این RAT به دلیل اینکه اقدام به افزودن پسوند نام .crimson به فایل ها کرده و  آنها را رمزگذاری نمیکند، به رفتار شبیه به باج افزار معروف است".

به گزارش هکر نیوز، موج جدیدی از حملاتی که این شرکت هفته گذشته مشاهده کرده است، با ایمیل های هرزنامه ارسال شده از حساب های ایمیل در معرض خطر با عنوان "Outgoing Payments" که در عنوان موضوع درج شده است آغاز شده و گیرندگان را به گشودن فایل PDF مخرب که ادعا می کنند یک حواله است، ترغیب می کند اما در اصل با این کار به دامنه اصلی برای بارگیری بدافزار STRRAT متصل میشود.

این بدافزار علاوه بر برقراری ارتباط با سرور command-and-control در حین اجرا، دارای طیف وسیعی از ویژگی ها است که به آن امکان می دهد رمزهای عبور مرورگر را جمع آوری کند، لاگ کلیدهای ورودی را گردآوری کند و دستورات از راه دور و اسکریپت های PowerShell را اجرا کند.

takian.ir malware that pretends to be ransomware 1

 

STRRAT برای اولین بار در ژوئن سال 2020 توسط تیم امنیت سایبری G Data به عنوان یک تهدید بدافزاری ویندوز (نسخه 1.2) در ایمیل های فیشینگ حاوی پیوست های مخرب Jar (یا Java Archive)، مشاهده شد.

کارستن هان، تحلیلگر بدافزار G Data، توضیح داد: "این RAT متمرکز بر سرقت اطلاعات مرورگرها و سرویس گیرنده های ایمیل و رمزهای عبور از طریق ورود به سیستم است. این بدافزار از مرورگرها و سرویس گیرنده های ایمیل شامل فایرفاکس، اینترنت اکسپلورر، کروم، فاکس میل، اوت‌لوک و تاندربرد پشتیبانی می کند."

قابلیت های باج افزار آن در ابتدایی ترین حالت ممکن قرار دارد، زیرا مرحله رمزگذاری فقط تغییر نام و افزودن پسوند ".crismon" بر روی فایل ها انجام میپذیرد. کان افزود: "در صورت حذف این پسوند، می توان به طور معمول به فایل ها دسترسی پیدا کرد".

takian.ir malware that pretends to be ransomware 2

 

مایکروسافت همچنین یادآوری کرده است که نسخه 1.5 نسبت به نسخه های قبلی گیج کننده تر و ماژولارتر است، که نشان می دهد مهاجمان این عملیات به طور فعال در حال بهبود مجموعه ابزارهای خود هستند. اما این واقعیت که رفتار جعلی رمزگذاری توسط این بدافزار همچنان بدون تغییر باقی مانده است، نشان دهنده این هدف است که این گروه قصد دارند با استفاده از اخاذی، به سرعت از طریق کاربران ناآگاه سوءاستفاده و کسب درآمد کنند.

جدیدترین حمله هکرها به کاربران لینکدین با بدافزار More_eggs

takian.ir hackers targeting professionals with more eggs alware via linkedIn job offers 1

به گفته محققان ، عوامل مهاجم از فایل های زیپ شده برای فریب کاربران لینکدین (LinkedIn) برای اجرای More_eggs Backdoor استفاده می کنند.

رسانه اجتماعی متعلق به مایکروسافت برای افراد متخصص با نام لینکدین، دارای بیش از 740 میلیون کاربر از 200 کشور در سراسر جهان می باشد. همین امر، آن را تبدیل به هدفی سودآور برای مجرمان و اخاذان اینترنتی می کند. در جدیدترین مورد، فعالان لینکدین توسط یک کمپین فیشینگ مورد هدف قرار می گیرند که اقدام به اجرای More_eggs Backdoor می نماید.

واحد واکنش تهدیدات سایبری (TRU) در ای سنتایر که یک شرکت امنیت سایبری مستقر در واترلو شهر انتاریو کانادا میباشد، یک کلاهبرداری غیرقانونی در حال انجام با استفاده از مشاغل جعلی را کشف کرده است که سیستم های رایانه ای کاربران لینکدین را با More_eggs Backdoor بسیار خطرناک و مخرب، آلوده می کند.

 

چگونهMore_eggs Backdoor پخش میشود؟

در ماه فوریه سال 2020، محققان چک پوینت چگونگی استفاده مهاجمان از More_eggs Backdoor برای هدف قرار دادن مسئولین مبارزه با پولشویی را گزارش دادند و اعلام کردند که آنها از خدمات پیام رسانی لینکدین برای ارائه فرصت های شغلی جعلی برای گسترش بدافزار مدنظرشان سوءاستفاده می کنند.

در آن بازه زمانی، مهاجمان به عنوان شرکت های نیازمند کارمند، به عنوان محلی برای ارسال پیوندهای وب سایت در معرض خطر و مخرب به افراد جویای کار ظاهر می شدند و بعداً از طریق ایمیل آنها، پیگیری می کردند. در هر دو مورد، هدف آلوده کردن دستگاه قربانیان با استفاده Backdoor با نام More_eggs برای سرقت اطلاعات بوده است.

با این حال، این بار طبق پست وبلاگ ای سنتایر، عوامل مهاجم از فایل های زیپ شده برای هدف قرار دادن قربانیان بر اساس توضیحات وظایف و جایگاه شغلی موجود در پروفایل لینکدین کاربر، استفاده می کنند.

ای سنتایر توضیح داد که اگر به عنوان مثال شغل کاربر عضو لینکدین به عنوان "مدیر ارشد حسابداری – پوزیشین بین المللی" ذکر شده باشد ، فایل زیپ مخرب با عنوان "مدیر ارشد حسابداری – پوزیشین بین المللی" نامگذاری می شود.

پس از باز شدن فایل زیپ، دستگاه قربانی با بکدور More_eggs که در حال حاضر دستگاه های ویندوز را هدف قرار می دهد، آلوده می شود.

پس از آلوده شدن، بدافزار کنترل کامل دستگاه هدف را در اختیار می گیرد که به طبع آن، به هکرها اجازه می دهد از راه دور از دستگاه برای اهداف مخرب خود از جمله ارسال، دریافت، حذف و اجرای فایل ها استفاده کنند.

takian.ir hackers targeting professionals with more eggs alware via linkedIn job offers 2

 

خطر آلودگی به باج افزار

علاوه بر این، هکرها می توانند بدافزارهای جدیدی را نیز روی سیستم بارگذاری کنند که می تواند باعث آلودگی دستگاه به باج افزار شود و در نتیجه فایل های قربانی را قفل کرده و برای رمزگشایی آن، درخواست باج نماید. محققان هشدار می دهند که بکدور More_eggs همچنین می تواند داده ها را از دید دستگاه پنهان کرده و حساب های رسانه های اجتماعی، ایمیل ها، تاریخچه مرورگر و حتی کیف پول های رمزنگاری شده شما را در معرض خطر سرقت قرار دهد.

راب مک لئود ، مدیر ارشد واحد واکنش تهدیدات سایبری شرکت ای سنتایر در گزارشی اعلام کرده است که: "آنچه که به طور ویژه در مورد فعالیت More_eggs نگران کننده است، این سه عنصر است که آن را به تهدیدی جدی برای مشاغل و افراد فعال در زمینه تجارت تبدیل می کند".

این سه عنصر شامل موارد زیر میباشند:

  1. این بدافزار از فرایندهای عادی ویندوز برای اجرا استفاده می کند؛ بنابراین معمولاً توسط برنامه های امنیتی آنتی ویروس و مسدود کننده های خودکار به عنوان عامل مشکوک یا خطرساز شناخته نمی شود، بنابراین کاملاً پنهانی عمل میکند.
  2. گنجاندن موقعیت شغلی هدف از طریق پروفایل لینکدین در این پیشنهاد کاری مخرب، احتمال آلوده شدن کاربر به بدافزار را افزایش می دهد.
  3. از زمان شیوع بیماری کرونا و آغاز پاندمی، نرخ بیکاری به طرز چشمگیری افزایش یافته است و طبیعتا زمان مناسبی برای سوءاستفاده از افراد جویای کاری است که از یافتن شغل ناامید هستند. بنابراین جذابیت بک شغل ایده آل کاربر، بخصوص در این مقطع حساس و پرتنش، جذابیتی دو چندان پیدا میکند.

 

چرا کاربران لینکدین؟

لینکدین تقریباً از هر حرفه شناخته شده ای شامل 740 میلیون کاربر از جمله افراد مهم و دارای جایگاه های شغلی حساس مانند دانشمندان، نظامیان، مجریان قانون، فعالین صنایع دفاعی، پرسنل خطوط هوایی، پرسنل سیستم بانکداری و امور مالی و افراد سیاسی و غیره را در خود جای داده است. برای مجرمان سایبری و هکرهای مورد حمایت دولت ها، دسترسی به سیستم رایانه ای مورد استفاده توسط هر یک از این متخصصان، مانند یک معدن طلا است که میتوانند از آن برای سریعتر رسیدن به پول نقد از طریق فروش دسترسی سیستم های آنها به سایر مجرمان یا استفاده از آن برای نظارت و بررسی یا سرقت اسرار یا اطلاعات و داده های حساس، بهره برداری و سوءاستفاده کنند.

 

کاربران لینکدین چه کاری باید انجام دهند؟

شرکت توسعه امن کیان (تاکیان) به عنوان اولین و مهمترین نکته توصیه میکند که از کلیک کردن روی لینک های ارسال شده توسط افراد در شبکه های اجتماعی، خصوصاً کاربران ناشناس و مجهول، خودداری کنید. اگر مجبور و ملزم شده اید که بر روی فایل زیپ شده یا اجرایی کلیک کنید، باید به هر قیمتی از آن اجتناب کنید. اما اگر از قبل فایلی را دریافت کرده اید، حتماً آن را با یک ضد بدافزار مطمئن اسکن نمایید.

مضاف بر این، همچنین می توانید لینک ها و فایل های مخرب را در ویروس توتال اسکن کنید. در هر صورت امنیت شما در دستان خودتان است. تاکیان اکیداً توصیه می کند درباره امنیت سایبری و تهدیداتی که در پس اتصال به فضای اینترنت ممکن است شما را تهدید کند، کسب اطلاعات کرده و حساسیت بخرج دهید.

چگونگی محافظت از SOC در مقابل حملات مهندسی اجتماعی

تعداد حملات سایبری از نظر کمی و میزان پیچیدگی، در چند سال اخیر به سرعت افزایش یافته است. پاندمی و گسترش ویروس کرونا فضای کاری را به شکل به محسوسی به سمت کار از خانه سوق داده است که منتج به افزایش قابل توجه حملات سایبری شده است. در کنار راه حل های امنیتی که برای نهادها و سازمانها در نظر گرفته شده است، تقریبا تمامی نهادها در هر ابعاد و هر زمینه کاری که فعال هستند، قربانی این دست حملات شده اند. این نوع تهدید، نهادها را مجبور به سرمایه گذاری در زمینه دفاع سایبری کرده است و داشتن قابلیت SOC به عنوان یک ضرورت مهم برای پاسخ به تهدیدات جاری و پیش رو مطرح شده است.

یک مرکز عملیاتی امنیتی (SOC)، تیمی است که مسئول نظارت مداوم و ارزیابی ساختار دفاعی یک سازمان یا نهاد و افزون بر آن، مقابله با نشت و درز اطلاعات و ارائه راهکار و پیشنهاد برای اقدام متقابل جهت کاهش تهدیدهای فعلی و آینده میباشد. یک SOC میتواند درون سازمانی بوده یا خارج از مجموعه و توسط یک مجموعه تامین کننده امنیت (MSSP) فراهم شود.

در ادامه به چگونگی محافظت از تیم SOC در برابر حملات مهندسی اجتماعی اشاره شده است. مانند گروه های ATP، مجرمان اینترنتی خبره، قبل از اجرای حمله اصلی، اقدام به گردآوری اطلاعات نسبت به هدف خود مینمایند. فرض کنیم که مهاجمین موفق شده اند با ترفندهای مهندسی اجتماعی، اطلاعات را از طریق یکی از اعضای اصلی SOC بدست بیاورند. این حالت میتواند باعث ایجاد یک حفره امنیتی در سیستم دفاعی سازمان و نهاد آن شخص هدف ایجاد نماید که منتج به بروز مشکلات امنیتی برای آن نهاد و نشت و درز اطلاعات گردد.

استراتژی های لازم برای جلوگیری از حملات مهندسی اجتماعی:

حملات مهندسی اجتماعی (SE) بخصوص ایمیل های فیشینگ در بالاترین رده تهدیدات پیش روی نهادها قرار میگیرند. به گزارش وب سایت سکیوریتی بولوارد، 95% از کل حملات، که شبکه سازمان ها را هدف قرار میدهند، توسط حملات فیشینگ به وقوع میپیوندند و 30% ایمیل های فیشینگ ارسالی توسط کاربری که هدف حمله واقع شده باز میشوند؛ در حالی که 12% این کاربران بر روی یک آدرس اینترنتی آلوده که در داخل ایمیل درج شده کلیک میکنند.

در ادامه یکسری از نکات ضروری امنیت سایبری که با اجرای آنها میتوان از وقوع حملات مهندسی اجتماعی جلوگیری کرد، ارائه شده است:

  1. از انتشار آنلاین اطلاعات حساسی که میتواند بر علیه اعضای SOC استفاده شود، بپرهیزید. به طور مثال، OSINT میتواند به نوعی تجهیز شود که محتوای حساس نشر یافته آنلاین در مورد هر ماهیتی را پیدا کند. بعد از پیدا کردن این اطلاعات حساس، یک سازمان میتواند آنها را پیش از آنکه عوامل تهدید کننده از آن بهره برداری کنند، حذف نمایند.
  2. افرادی که برای امنیت سایبری آموزش دیده اند، بهترین لایه دفاعی در مقابل این دست حملات هستند. افراد، ضعیفترین پیوند در این زنجیره دیجیتال فرض میشوند و بهره برداری از تمایل آنها به جلب اعتماد، همچنان موثرترین روش استفاده شده توسط مجرمان سایبری برای ورود به شبکه سازمانی هدف است. برای نمونه، با وجود استفاده از راه حل های امنیتی همچون ضد نرم افزارها و نرم افزار تشخیص و جلوگیری از نفوذ، اگر یک فرد ناآگاه بر روی یک لینک آلوده در محتوای یک ایمیل کلیک نماید، این عمل میتواند کلیه فضای شبکه آی تی آن مجموعه را به خطر بی اندازد.
  3. نفرات باید با دقت نسبت به بررسی آدرس ایمیل ارسال کننده اقدام نمایند تا هرگونه تلاش پنهانی موجود را کشف نمایند. به طور مثال فیشرها ممکن است از دامنه (@gooogle.com) به جای (Google.com) در زمان ارسال ایمیل استفاده نمایند تا با وانمود کردن به اصالت مشابه با Google، مخاطب را در راستای جلب اعتماد به ارسال کننده ایمیل ترغیب نمایند.
  4. برای ارسال یا دریافت ایمیل ها از رمزگذاری ایمیل استفاده کنید تا از هرگونه اطلاعات حساس مانند اطلاعات شخصی، اطلاعات فنی درباره سیستم دفاعی امنیتی سازمان و مکاتبات داخلی محافظت نمایید. رمزگذاری همچنین این اطمینان را میدهد که داده های رد و بدل شده از طریق ایمیل، در فرایند جابجایی، دستخوش تغییر نمیشوند.
  5. مضاف بر کلیه نرم افزارهای نصب شده، سیستم های عملیاتی تجهیزات رایانه ای همه اعضای تیم SOC و همچنین موارد امنیتی نصب شده برای آنها (مانند آنتی ویروس و غیره) باید به روز باشند.
  6. از یک DNS امن برای جلوگیری از هرگونه بدافزار و حملات آلوده اینترنتی استفاده نمایید. به مثال، یک سرویس DNS امن در صورت مشاهده سایت فیشینگ توسط کاربر، میتواند ارتباط را قطع نماید. از موارد سرویسهای DNS امن میتوان به Comodo Secure DNS و Dyn Internet Guide اشاره نمود.
  7. از SPF یا Sender Policy Framework استفاده نمایید. SPF یک تکنیک شناسایی ایمیل است که جلوی هر عامل آلوده ای که با نام دامنه شما اقدام به ارسال پیام کند، ممانعت به عمل می آورد. از پروتکل های مشابه میتوان به DMARC و DKIM اشاره نمود.
  8. از راهکارهای ضد هرزنامه بهره ببرید. راهکارهای ضد هرزنامه به آن سازمان و نهاد کمک میکنند که محل ذخیره ایمیل اعضای مجموعه را از هرگونه اسپم و سایر ایمیل های آلوده دور نگاه دارد. از معروفترین نرم افزارهای ضد هرزنامه میتوان به مواردی همچون SolarWinds MSP Mail Assure، SpamTitan و Mailwasher اشاره کرد.
  9. از فناوری های مختلف دفاع سایبری همچون فایروال ها، آنتی ویروس، مدیریت patch و پروتکل های مدیریت دسترسی بهره ببرید.
  10. فایل هایی را که نمیشناسید، دانلود نکنید. اگر ایمیل دارای پیوستی به دستتان رسید، قبل از دانلود فایل پیوست و ذخیره آن در سیستم خود، آدرس ایمیل فرستنده را به دقت بررسی نمایید.
  11. اطلاعات محرمانه را از طریق ایمیل و یا پیامرسان های فضای مجازی ارسال ننمایید. اگر لازم است که فایل یا اطلاعات حساسی را از طریق ایمیل ارسال کنید، حتما نسبت به رمزنگاری آن با نرم افزارهای ویژه رمزنگاری اقدام نمایید.

در مجموع حملات مهندسی اجتماعی، بخصوص در زمان پاندمی بیماری کرونا افزایش یافته اند. به همین علت ضروری است که کلیه اعضای تیم SOC موارد ایمنی و ملاحظات ذکر شده در این مقاله را جهت حفظ ایمنی نهاد و مجموعه متبوع، به کار ببندند.

حمله فیشینگ به موسسات مالی ترکیه توسط کره شمالی

به گزارش سایت scmagazineuk.com، طبق تحقیقات صورت گرفته گروه هکری ای به نام کبری مخفی « Hidden Cobra» اقدام به هک و نفوذ به مؤسسات مالی ترکیه کرده است. کارشناسان مدعی شده اند، این گروه هکری وابسته به دولت کره شمالی است.Takian.ir hiddencobra

شرکت امنیت سایبری مک آفی «McAfee» طی گزارشی خبر از این حمله فیشینگ داد که توسط گروه مذکور انجام گرفته است. این شرکت امنیت سایبری اعلام نموده گروه «Hidden Cobra» همان گروه لازاروس «Lazarus Group» است که پیش از این هم اقدام به حملات سایبری گسترده ای نموده است.

گفتنی است بدافزاری که بانک ها و مؤسسات مالی ترکیه را هدف قرار داد «Bankshot» نام دارد.

طبق گزارش های موجود آخرین و بزرگ ترین حمله سایبری گروه لازاروس هک بزرگترین سیستم مالی جهان، سوئیفت (SWIFT) بوده است. در این حملات نیز همانند موضوع کنونی از روش فیشینگ استفاده شده  و شیوه کار این‌گونه بوده است که ایمیل های فیشینگ برای افراد مهم و مؤثر در بانک ها ارسال می شده و در پیوست آنها یک فایل ورد قرار داشته که به محض دانلود، فایل پیوست با بهره گیری از ادوبی فلش پلیر سیستم کاربر را آلوده می کرده است.

کد آسیب پذیری موجود در فلش پلیر «CVE-2018-4878» بوده که به تازگی توسط این شرکت وصله شده است.

طی گزارشی دیگر از شرکت امنیت سایبری مک آفی، آمده است که سه سرور بسیار بزرگ ترکیه نیز مورد حمله سایبری قرار گرفته است که این دفعه با انگیزه استخراج ارز های دیجیتالی این نفوذ صورت گرفته، گفتنی است برای استخراج بیت کوین نیازمند پردازش های سنگین و حل مسائل پیچیده ریاضی هستیم که از این رو هکر ها با در اختیار گرفتن کنترل سرور های بزرگ برای استخراج ارز های دیجیتالی تلاش می کنند.

سرقت ارز دیجیتالی اتریوم به روش فیشینگ

بعد از بزرگ ترین سرقت ارز دیجیتالی که در هفته گذشته صورت گرفت، این بار شاهد سرقت دوباره ارز های دیجیتالی هستیم.بعد از بزرگ ترین سرقت ارز دیجیتالی که در هفته گذشته صورت گرفت، این بار شاهد سرقت دوباره ارز های دیجیتالی هستیم.به نقل از سایت hackread، در تازه ترین رخداد های صورت گرفته در زمینه سرقت بیت کوین شاهد هستیم که هکر ها با طراحی حمله فیشینگ موفق شدند 150.000 دلار ارز دیجیتالی اتریوم (Ethereum) سرقت کنند. Takian.ir - ethereum
در بازه زمانی 26 الی 27 ژانویه بسیار از افراد ایمیلی دریافت کردند که در آن آمده بود در صورت نیاز به دریافت رویداد های کیف پول الکترونیکی خود از طریق لینک زیر نسبت به ثبت درخواست خود اقدام نمایید. حال کاربران مطلع نیستند که این ایمیل که با ساختاری موجه برای آنها ارسال شده است یک حمله فیشینگ بوده و قصد سرقت اطلاعات کیف پول الکترونیکی افراد را داشته است.
حاصل این حمله فیشینگ این‌گونه رقم خورد که تنها با وارد شدن اطلاعات مربوط به 71 کاربر هکر ها توانستند 150.000 دلار اتریوم سرقت کنند.

سهل انگاری یک گروه هکری ایرانی و افشای چهل گیگابایت ویدئوهای آموزش هکینگ

به گزارش سایت هکرنیوز، طی یک اشتباه امنیت عملیاتی (OPSEC) توسط یک عامل تهدید ایران، روش‌های پشت‌پرده عملکرد داخلی این گروه هکری آشکار  شده است.

takian.ir hacking videos training

خدمات اطلاعاتی واکنش  IBM X-Force با نام IRIS، نزدیک به پنج ساعت ضبط ویدئویی گروه حامی مالی که آن را ITG18 (یا بچه گربه جذاب، یا فسفر و یا APT35)می‌نامد، را در اختیار دارد که برای آموزش اپراتورها از آن استفاده می‌کند.

طبق اطلاعات ارائه شده توسط این ویدئو، اطلاعات برخی از قربانیان شامل حساب‌های شخصی پرسنل نیروی دریایی آمریکایی و یونانی و همچنین تلاش‌های ناموفق فیشینگ در برابر مقامات وزارت امور خارجه ایالات‌متحده و یک فرد نیکوکار ایرانی - آمریکایی بوده است.

محققان گفتند: " برخی از این ویدیوها نشان‌دهنده مدیریت اکانت های ایجاد شده توسط اپراتور بودند در حالی که سایر ویدئوها دسترسی اپراتور برای تست داده‌های موجود از حساب‌های ثبت‌شده قبلی را نشان میدهند."

محققان آی بی ام گفتند که این ویدیوها را بر روی یک سرور مجازی خصوصی پیدا کرده‌اند که در معرض خطر تنظیمات امنیتی قرار گرفته‌است. این سرور در اوایل امسال میزبان چندین دامین مرتبط با ITG18 نیز بوده است که بیش از ۴۰ گیگابایت اطلاعات را نگهداری میکند.

فایل‌های ویدئویی کشف‌شده نشان می‌دهند که ITG18 با استفاده از آدرس‌های ایمیل و نام کاربری و رمزعبور رسانه‌های اجتماعی که از طریق فیشینگ (phishing) به دست آمده است برای ورود به حساب‌ قربانیان استفاده نموده و اقدام به حذف اطلاعات مهم انها شامل تماس های تلفنی، عکس ها، اسناد گوگل درایو و... غیره نموده است.

محققین خاطرنشان کردند: "اپراتورهای این گروه، به سرویس Google Takeout قربانیان دسترسی پیدا کرده و اطلاعات مهمی همچون تاریخچه مکان‌یابی، اطلاعات مرورگر کروم، و دستگاه‌های آندروید مرتبط و... را بازیابی نموده اند."

takian.ir hacking videos training2

علاوه بر این، ویدیوهای ضبط‌ شده با استفاده از ابزار ضبط صفحه نمایش Bandicam نشان می‌دهند که بازیگران پشت این عملیات حساب اینترنتی قربانیان را به نرم‌افزار ایمیل Zimbra متصل کرده و قصد دارند حساب‌های پست الکترونیکی را کنترل و مدیریت کنند.

takian.ir hacking videos training3

جدا از دسترسی به حساب‌های Email، محققان گفته‌اند که مهاجمان در حال استفاده از یک فهرست طولانی از نام کاربری و رمزهای عبور برای لاگین کرده به حداقل ۷۵ وب سایت مختلف از بانک‌ها گرفته تا ویدیو و پخش موسیقی و حتی سفارش پیتزا و محصولات مرتبطز با نوزادان هستند.

سایر کلیپ های ویدئویی نشان میدهد که در حساب های کاربری ساختگی یاهو، از شماره تلفن های ایرانی با کد (+98) برای ارسال اطلاعات فیشینگ استفاده کرده اند که حاکی از این است که ایمیل ها قطعا به صندوق پستی قربانی نرسیده است.

محققان گفتند: "در طی ویدئوهایی که در آن اپراتور اعتبار قربانی را تایید می‌کند، اگر اپراتور با موفقیت بتواند به سایت هایی دسترسی یابد که از MFA یا احراز هویت چند عاملی استفاده کرده اند، اقدام به متوقف نمودن MFA و تغییر روش های احراز هویت نموده است تادر مراحل بعدی براحتی بتواند مجدداً به این حساب ها دسترسی داشته باشد."

گروه ITG18 سابقه‌ای طولانی در مورد هدف قرار دادن ارتش آمریکایی مستقر در خاورمیانه، دیپلماتیک و دولت برای جمع‌آوری اطلاعات و جاسوسی برای خدمت به منافع ژئوپلتیک ایران دارد.

خدمات اطلاعاتی واکنش IBM X-Force به این نتیجه رسیدند: " مصالحه و سازش پرونده‌های شخصی اعضای نیروی دریایی یونان و ایالات‌متحده می‌تواند در حمایت از عملیات جاسوسی مربوط به اقدامات متعدد در خلیج عمان و خلیج‌فارس باشد و این گروه علی‌رغم افشا شدن اطلاعات عمومی خود و گزارش گسترده فعالیت آنها، مقاومت نشان داده‌است و باز هم در حال ایجاد سازگاری با زیرساخت جدید است.

 

سوءاستفاده هکرها از آسیب پذیری بزرگ در Fortinet VPN

 

طبق گزارش سازمان تحقیقات فدرال (FBI) و آژانس امنیت سایبری و زیرساخت (CISA)، عاملین تهدیدات مداوم پیشرفته ضد دولتی، به طور فعال و فزاینده ای از نقاط ضعف امنیتی شناخته شده در Fortinet FortiOS سوءاستفاده می کنند و محصولات SSL VPN این شرکت را تحت تأثیر قرار داده و به خطر می اندازند.

اداره تحقیقات فدرال و آژانس امنیت سایبری و زیرساخت، یک بیانیه و راهنمایی مشترک برای هشدار به سازمان ها و کاربران در مورد نحوه استفاده هکرها از آسیب پذیری های مهم در Fortinet FortiOS VPN صادر کرده اند.

takian.ir hackers exploiting critical vulnerabilities in fortinet VPN

هدف آنها استقرار یک ساختار ضد دفاعی برای نقض امنیت مشاغل متوسط ​​و بزرگ در آینده است.

بر اساس هشداری که در روز جمعه صادر شده است، عاملین تهدیدات مداوم پیشرفته ضد دولتی، از نقاط ضعف شناخته شده در سیستم عامل امنیتی سایت FortiOS سوءاستفاده کرده و محصولات SSL VPN Fortinet را هدف قرار می دهند. با این حال، آژانس ها جزئیات بیشتری در مورد تهدیدات مدوام پیشرفته به اشتراک نگذاشته اند.

FortiOS SSL VPN در فایروال های مرزی استفاده می شود که مسئول ممانعت از برقراری ارتباط شبکه های حساس داخلی با دیگر اتصالات اینترنتی عمومی هستند.

 

سوءاستفاده چگونه انجام میپذیرد؟

FBI و CISA گزارش دادند كه عاملین تهدیدات مداوم پیشرفته، دستگاه ها را روی پورت های 4443 ، 8443 و 10443 اسكن می كنند تا پیاده سازی های امنیتی Fortinet را كه انجام نشده اند، پیدا كنند. به ویژه موارد مورد توجه در زمینه نقاط آسیب پذیری طبق CVE-2018-13379 ،CVE-2019-5591 و CVE-2020-12812 طبقه بندی شده است.

بسیار مرسوم است که چنین گروه هایی برای انجام حملات DDoS، حملات باج افزاری، کمپین های فیشینگ، حملات نفوذ زبان جستجوی ساختاری، کمپین های اطلاعات نادرست یا دیس اینفورمیشن، تخریب وب سایت و سایر انواع حملات، از نقایص مهم سوءاستفاده می کنند.

 

چند نکته درباره این خطا

CVE-2018-13379 یک خطای عبور از مسیر Fortinet FortiOS است که در آن، پورتال SSL VPN به یک مهاجم غیرمجاز اجازه می دهد تا فایل های سیستم را از طریق درخواست منابع طراحی شده ویژه HTTP، بارگیری کند.

نقص CCVE-2019-5591 یک آسیب پذیری پیکربندی پیش فرض است که به یک مهاجم غیرمجاز در همان ساختار زیرمجموعه شبکه اجازه می دهد اطلاعات حساس را به سادگی و با تقلید از سرور LDAP ضبط و ذخیره کند.

CVE-2020-12812 یک نقص تأیید اعتبار نامناسب در FortiOS SSL VPN است که به کاربر اجازه می دهد حتی در صورت تغییر نام کاربری، بدون اینکه از وی درخواست FortiToken (تایید اعتبار دو مرحله ای) انجام پذیرد، با موفقیت وارد سیستم شود.

 

چه کسانی در معرض خطر است؟

محققان آژانس های امنیتی خاطرنشان کردند که عاملین این تهدیدات گسترده و پیشرفته، می توانند از این آسیب پذیری ها برای دستیابی به رئوس نهادهای دولتی، فناوری و نهادهای تجاری استفاده کنند.

"به دست آوردن دسترسی اولیه، شرایط را برای عاملین این تهدیدات گسترده و پیشرفته جهت انجام حملات در آینده آماده میکند". پس از بهره برداری، مهاجمان به صورت جانبی حرکت کرده و اهداف خود را زیر نظر می گیرند.

"عاملین این تهدیدات مداوم پیشرفته ممکن است از هر کدام یا همه این CVE ها برای دسترسی به شبکه های چندین بخش مهم زیرساختی و متعاقبا دسترسی به شبکه های اصلی به عنوان دسترسی مقدماتی و بنیادی برای دنبال کردن و پیگیری اطلاعات یا حملات رمزگذاری داده ها استفاده کنند. عاملین این تهدیدات مداوم و پیشرفته، ممکن است از CVE های دیگر یا تکنیک های متداول بهره برداری (مانند فیشینگ) برای دستیابی به شبکه های زیرساختی حیاتی برای تعیین موقعیت و جایگاه اولیه برای حملات بعدی استفاده کنند".

ارائه بروزرسانی برای رفع اشکالات به تغییراتی در ساختار اصلی نیاز دارد و شبکه سازمان ها باید بیش از یک دستگاه VPN داشته باشند. ممکن است سیستم برای زمانی غیرفعال شود و ممکن است کار کسانی که به VPN شبانه روزی احتیاج دارند، دچار اختلال شدیدی شود. با این حال، خطر فعالیت های جاسوسی یا باج افزار به مراتب بسیار بیشتر از این دست موارد است.

کدام پیام‌های فیشینگ دارای نرخ کلیک 100٪ هستند؟

به گزارش سایت هلپ نت سکیوریتی، در صورتی که سازمانی می‌خواهد شاهد کاهش نرخ کلیک باشد ، کارکنان آن می‌توانند تنها یک‌بار در سال آموزش لازم برای تشخیص ایمیل‌ها ، پیام‌ها و تماس‌های تلفنی فیشینگ را ببینند. پس کارمندان می‌آیند و می‌روند ( و نقش‌ها را تغییر می‌دهند ). دوم اینکه، تهدیدات در طول زمان تغییر می‌کنند. سوم اینکه دانش و عملکردهایی که به طور منظم تقویت نمی‌شوند، از دست خواهند رفت و در نهایت، آگاهی یک‌سان نیست." تنها دانستن یک تهدید وجود دارد، این همان چیزی است که دانستن اینکه چگونه به رسمیت شناختن و شناسایی و تهدید به آن پاسخ می‌دهد. به گفته محققان امنیتی، آموزش عمیق در مورد جلوگیری از فیشینگ برای ایجاد تغییر رفتاری پایدار مورد نیاز است.آماری که در آخرین گزارش سالانه این شرکت ثبت‌ شده، تفاوت ایجاد شده توسط هر دو ابزار مورد استفاده برای آموزش کاربران نهایی جهت تشخیص و اجتناب از حملات فیشینگ و نحوه استفاده از آن‌ها را نشان می‌دهد.در ایالات‌متحده، اغلب سازمان‌ها از آموزش آنلاین مبتنی بر کامپیوتر استفاده می‌کنند و حملات فیشینگ تلفنی را برای آموزش کارکنان شبیه‌سازی می‌کنند، در حالی که سازمان‌های بریتانیایی به طور کلی بیشتر آموزش منفعل را انتخاب می‌کنند. Takian.ir phishingtraining

روش‌های زیادی را برای تمرین در دست داشته باشید :1- همچنین ۴۶ درصد از سازمان‌های آمریکایی از این ابزارها یک هفته‌ای یا ماهانه استفاده می‌کنند، در حالی که سازمان‌های بریتانیایی تنها ۲۱ درصد موارد را انجام می‌دهند.2- در نتیجه، ۶۱ درصد از سازمان‌های آمریکایی نتایج قابل شمارش را از این تلاش‌ها می‌بینند، در حالی که ۲۸ درصد از ارگان‌ها ، بریتانیایی هستند.3- محققان خاطرنشان کردند که شما همچنین ممکن است وسوسه خود را با برنامه آموزش آگاهی امنیتی " آن را تنظیم کرده و آن را فراموش کنید"، اما این ایده‌آل نیست. 4- "وقتی برنامه‌های تست فیشینگ را برنامه ریزی و زمانبندی می‌کنید، ماه ها (یا حتی سال ها) پیش از آن، توانایی پاسخ دادن به تهدیدات در حال ظهور و تطبیق فعالیت‌ها بر اساس نتایج خود را از دست می‌دهید." 

سایر یافته‌های جالب این شرکت براساس اطلاعات ده‌ها میلیون نفر از حملات فیشینگ تلفنی گزارش داد و آن‌ها دریافتند که :  1-  تست‌های فیشینگ شخصی (آدرس ایمیل شخصی، نام و نام خانوادگی) هیچ کارآمدی نسبت به موارد غیر شخصی ندارند و به احتمال زیاد کاربران نهایی در اواسط هفته ، ایمیل‌های مشکوک را گزارش می‌کنند.2- موضوعات و آیتم‌هایی که برای کاربران نهایی بسیار وسوسه‌انگیز هستند :" به روز رسانی‌های امنیت خرید آنلاین "، " پیام صوتی شرکت از یک تماس‌گیرنده ناشناس " و " بهبود ایمیل شرکت‌ها " هستند.3- دو الگوی فیشینگ ( شبیه‌سازی شده ) در حدود ۱۰۰ درصد روی نرخ کلیک داشتند: یکی که به عنوان یک گذرواژه پایگاه اطلاعاتی راه‌اندازی شده بود، و دیگری که ادعا می‌کرد یک برنامه تخلیه ساختمان به روز را در بر می‌گیرد.  4- سازمان‌ها در ارتباطات مخابراتی، خرده فروشی، کالاهای مصرفی، دولت و صنعت گردشگری به طور متوسط بدترین میزان کلیک ( 15 تا 13 درصد) را دارند ، در حالی که صنایع پایه صنعتی، انرژی، مالی، حمل و نقل و دفاعی دارای بهترین نرخ ( 8٪ تا 3٪) را دارند.5- متوسط نرخ کلیک در هر چهار دسته ( شرکتی، تجاری، ابری و مصرف‌کننده ) در سال جاری در مقایسه با سال ۲۰۱۶ افت کرده ‌است. 6- محققان به ویژه شاهد بهبود قابل‌توجهی در نرخ‌های کلیک بر روی الگوهای مبتنی بر ابر ( پیام‌های مرتبط تجاری ) هستند که شامل پیغام‌ها در مورد دانلود اسناد از خدمات ذخیره‌سازی ابری، یا رفتن به یک سرویس به اشتراک گذاری آنلاین برای ایجاد یا ویرایش یک سند می‌باشند.

نظارت متخصصان infosec و کاربران نهایی نیز نشان داد که :Takian.ir click rates 4 categories
1- به طور متوسط ۵۳ درصد از افراد حرفه‌ای در سال ۲۰۱۷ فیشینگ را تجربه کردند.2- 95 درصد از سازمانها به کاربران نهایی درباره چگونگی شناسایی و جلوگیری از حملات فیشینگ آموزش می‌دهند.3- 45 درصد از سازمان‌ها گفته‌اند که در صورتی که کاربران آن‌ها همچنان بر روی حملات فیشینگ تلفنی ادامه دهند ، عواقب وجود دارد.4- نتيجه شامل مشاوره از يک مدير يا بخش فناوري اطلاعات، آموزش بيشتر و حذف دسترسی به سيستم، بلکه ختم (11 درصد از جرم) و مجازات پولي (5 درصد از جرم) است.5- بسیاری از کاربران نهایی می‌دانند که فیشینگ چیست، اما تنها ۱۶ درصد از آن‌ها می‌دانند که smishing چیست ". محققان اظهار داشتند: "از آنجایی که کارکنان بیشتر و بیشتر از گوشی‌های هوشمند برای اتصال به سیستم‌های سازمانی و داده‌ها استفاده می‌کنند، کارایی بالقوه نیروی کار بی‌تحصیل نیز نباید نادیده گرفته شود."

نسل جدید سارقین: مجرمان سایبری

 

اگر کسی به سارقین فکر کند، ممکن است به یاد فیلم های هالیوودی، در پوشش ماسک همراه با لباس های متفاوت و سلاح هایی عجیب که در مکان هایی خلوت اقدام به برگزاری جلسات هماهنگی خود میکنند، بیافتد. به طور سنتی این منطق وجود دارد که مکان هایی مانند بانک ها و فروشگاه ها که در آن پول وجود دارد، مورد سرقت قرار میگیرند.

امروزه چنین شرایطی برقرار نیست و دزدان سایبری میتوانند با تنها چند بیت کُد، اقدام به سرقت پول های کلانی نمایند. این اقدامات تبدیل به یک صنعت چندین میلیارد دلاری در سال شده است که بر مبنای دزدی سایبری شامل اخاذی سایبری، دزدی سازمان یافته، فیشینگ و امثال آن شکل گرفته است. این حجم بالای گردش مالی، بسیاری از مجرمان سازمان یافته و عاملین شبه دولتی را به خود جلب کرده است. گزارش شده است که هکرهای مرتبط با دولت کره شمالی بیش از 100 میلیون دلار را از بانک مرکزی بنگلادش در سال 2016 سرقت کرده اند.

گزارش جدیدی از سیستم های سوئیفت و BAE تلاش های جدیدی را نشان میدهند که به آنها “ATM cash-out” گفته میشود. این اقدامات که با هک کردن دستگاه های خودپرداز مرتبط هستند، حجم زیادی از تراکنش های مالی را به صورت جعلی نشان میدهند که متعاقبا توسط جابجا کنندگاه پول برداشت میشوند. 

گزارش ها میگویند که این اقدامات توسط گروهی با عنوان بیگل بویز که به شکل گسترده ای با سازمان جاسوسی کره شمالی مرتبط هستند به وقوع پیوسته است. گزارش ها اذعان مینمایند که آنها عامل اقدام برای به سرقت رفتن حدود 2 میلیارد دلار در چند سال اخیر هستند.

مشخصا هر دستگاه خودپرداز مقدار مشخصی از پول را در خود جای میدهند؛ به همین خاطر چنین حملاتی در مقیاس بزرگی طراحی میشوند؛ اهدافی جاه طلبانه با هدف قرار دادن دستگاه هایی در بیش از 30 کشور دنیا. در گزارش ها آمده است که یکی از حملات در طی بیش از دو ساعت با گستره ای شامل 28 کشور که شامل دوازده هزار تبادل مالی میشود، انجام پذیرفته است. سپس جابجا کننده های پول، اقدام به پولشویی و پاکسازی پول ها کرده و آنها را به سیستم باز میگردانند تا قانونی جلوه داده شوند.

بررسی:

گزارش دیگری که توسط موسسه تکنولوژی آکامای منتشر شده است، نشان میدهد که شغل های خُرد و کوچک نیز به اندازه بخش بانکی در معرض خطر هستند. در این مقاله حملاتی که طی چند سال گذشته بخش های خرده فروشی، صنعت گردشگری و مراقب و پرستاری را هدف قرار داده است، بررسی کرده است که نشان میدهد با فعالیت حوزه دارک وب که در زمینه آسیب پذیری ها گسترش داشته، مهاجمان میتوانند از این داده ها سو استفاده و بهره برداری نمایند.

به طور مثال ترس عمومی و عدم اطمینان ناشی از قرنطینه که در راستای کاهش گسترش بیماری کووید-19 در نیمه اول سال 2020 اعمال شده است، باعث افزایش تعداد لیست های ترکیبی شامل رمز عبور شناسه ها در فضای دارک وب شده است. این لیست ها صنایع بخصوصی را هدف قرار میدهند. آنها عمدتا با لیست های قدیمی که در این سیستم ها پخش شده اند، مقایسه میشوند تا شناسه های آسیب پذیر جدید شناسایی شوند. این امر منجر به افزایش فعالیت مجرمانه به ویژه در زمینه های مربوط که برنامه های ثابت کاربری شده است.

این گزارش نشان میدهد که در بازه ماه جولای 2018 تا ژوئن 2020، حدود 100 میلیارد حملات ثبت اطلاعات مشاهده شده است که بیش از 60 میلیارد عدد از آنها به تنهایی در حیطه خرده فروشی، گردشگری و مراقبت و پرستاری انجام شده است.

به طور قطع ثبت اطلاعات تنها راهی نیست که مجرمین به این اقدامات دست میزنند؛ در حالی که معمولا به حملاتی با استفاده از SQL Injection یا SQLi و Local File Inclusion دست میزنند. در همین بازه زمانی، آکامای تقریبا 4 میلیارد و پانصد میلیون حمله به این بخش را با استفاده از این روش ها را مشاهده کرده است که در این بین حملات مبتنی بر SQLi از محبوبیت خاصی برخوردار بوده اند.

فصل پر ریسک:

ما به سرعت در حال ورود به اوج فصل خرده فروشی هستیم؛ به احتمال زیاد خریداران زمستانه و بهاره مقدار زیادی از خریدهای  خود را به دلیل محدودیت های مربوط به کووید-19، به صورت آنلاین انجام دهند که به طور قطع منتج به صفوف عظیم خریداران در فروشگاه های آنلاین برای انجام معاملات و خریدها میشود؛ که به طبع امتیازات و مزایا و تخفیفاتی که بدست آورده اند را برای خریدهای خود مورد استفاده قرار دهند.

این دست اقدامات نه تنها برای خرده فروشان بسیار ارزشمند است، بلکه برای مجرمان سایبری نیز یک نقطه عطف محسوب میشود که میتوانند با استفاده از حجم گسترده ای از داده های ذخیره شده در دیتابیس ها وجود دارد، طی یک عمل مجرمانه بسیار خلاقانه، دست به سرقت حساب تا جعل هویت بزنند. گر چه این داده های ذخیره شده مربوط به هر مشتری ممکن است به معنای واقعی کلمه مانند اطلاعات فروش در یکسری از سایت های فروش نباشد، اما برای یک مجرم اینترنتی، این تفاوت با توجه به امکان درآمد زایی، بسیار حائز اهمیت است.

گزارش موسسه آکامای میگوید که "تمامی شغل ها میبایست ارتباطات بیرونی خود را هماهنگ نمایند، حتی اگر موانع بیرونی یک بیماری پاندمیک، یک رقیب و یا یک مهاجم فعال هوشمند باشد". همچنین اذعان شده است که برخی از برنامه های اصلی مطرح، چیزی بیش از یک شماره تلفن همراه و یک رمز با کاراکترهای عددی از کاربر مطالبه نمینمایند، در حالی که دیگر برنامه ها به وسیله اطلاعاتی که به راحتی بدست می آیند به عنوان عاملی برای احراز هویت و تایید اعتبار بسنده میکنند. برای جلوگیری از حملات علیه APIها و سرورها، نیاز به کنترل هویت و اقدامات متقابل جدی بهتر وجود دارد.

در حالی که بانک ها، خرده فروشان یا حتی رستوران ها ممکن است مانند نسل قبلی بانکداران و خرده فروشان ، در معرض مخاطرات فیزیکی نباشند؛ اما خطرات مجرمان سایبری برای انجام کارهای مشابه که از درون خانه خود حملات را پیش میبرند، همواره محسوس و در حال اجرا است. امید است که به مرور زمان حوزه سایبر باید توجه ویژه تری به این نوع تهدیدها و سرمایه گذاری برای حل این معضلات در نظر داشته باشد.