احمد باطبی
در دنیای حقیقی، نداشتن هراس و بیتوجهی به «کرونا» باعث جهانگیر شدن این ویروس شده است اما برعکس، ترس و دستپاچگی مردم در قبال کرونا، عامل گسترش نسخههای مجازی آن در فضای اینترنت.
ترس قدرت تمرکز را از انسان میگیرد و او را بیدقت و تا حدی سادلوح میکند. این یعنی فرصتی طلایی برای هکرها تا با استفاده از ترس و دستپاچگی جهانی در قبال کرونا، حملات خود را به کاربران فضای مجازی طراحی و اجرا کنند.
گزارشهای امنیتی نشان میدهند که دامنه حملههای سایبری زیر نام کرونا، از کمپینهای فیشینگ گرفته تا استفاده از بدافزارها را شامل میشوند. هکرها به اسم اطلاعرسانی درباره این ویروس و یا دادن هشدار در باره آن، هزاران ایمیل آلوده را به زبانهای انگلیسی، فرانسوی، ایتالیایی، ژاپنی و ترکی ارسال کرده و بسیاری از کاربران را در سراسر جهان هدف حملههای خود قرار دادهاند.
اولین مورد استفاده از نام کرونا و ترس ناشی از آن برای حملات نوع فیشینگ، در ماه فوریه توسط محققان شرکت امنیتی «Proofpoint» کشف و گزارش شد. محققان این شرکت در ابتدا ایمیلی مشکوک را کشف کردند که از سوی پزشکی مرموز به یکی از مشتریها ارسال شده و ادعا کرده بود که با حمایت بریتانیا و چین، واکسنی برای ویروس کرونا کشف شده است.
کلیک بر روی لینک موجود در این ایمیل، قربانی را به وبسایتی جعلی هدایت میکرد که قادر بود با استفاده از امکانت قربانی، تا ۲۰۰هزار ایمیل دیگر به شکل همزمان برای باقی کاربران ارسال کند؛ ایمیلهایی که به گفته محققان این شرکت، روزانه سه تا چهار بار از سوی هکرها تغییر یافته و بهروز رسانی میشدند.
تصویر از شرکت امنیتی «Proofpoint»
شرکت امنیتی «Mimecast» چند روز پس از فراگیر شدن ویروس کرونا، با نمونه دیگری از این دست ایمیلها مواجه شدند که به موضوع بازپرداخت مالیات ویروس کرونا پرداخته و به شکلی گسترده برای کاربران ارسال شده بود. در بخشی از این ایمیل جعلی، قسمتی بود به نام «دسترسی فوری به داراییهای شما» که کلیک روی آن، کاربر را به صفحهای جعلی منتقل میکرد تا اطلاعات محرمانه آنها را دریافت کند.
تصویر از شرکت امنیتی «Mimecast»
کمپین فیشینگ «2019-nCOV»، یکی از برجستهترین حملات هفته گذشته بود که ابتدا کاربران امریکایی و بریتانیایی، سپس کاربران نقاط دیگری از جهان را هدف قرار داد؛ ایمیلی به ظاهر ارسال شده از مرکز کنترل و پیشگیری بیماریها در امریکا، حاوی این جمله که اطلاعات موجود در فایل ضمیمه ممکن است جان شما را در مقابل ویروس کرونا نجات دهد.
ترس مردم از کرونا و اعتماد ناشی از دیدن نام این مرکز بهداشتی مهم در متن باعث جلب اعتماد و گشودن ایمیل میشد تا بدافزار « AgentTesla Keylogger» روی سیستم کاربر بارگذاری و عملیات نفوذ و سرقت اطلاعات آغاز شود.
تصویر از شرکت امنیتی «Proofpoint»
انتشار ویروس کرونا در هوا، موضوع ایمیل جعلی دیگری بود که به ظاهر از سوی مرکز کنترل و تشخیص بیماریهای ایالات متحده فرستاده شده بود. این ایمیل توسط آدرسی مشابه آدرس واقعی این مرکز ارسال میشد و پس از انتقال قربانی به یک صفحه جعلی ماکروسافت و گرفتن نام کاربری و رمزعبور، آنها را به وبسایت واقعی این مرکز میفرستاد تا کسی به اتفاق روی داده مشکوک نشود.
شرکت امنیتی «Cofense» که این تله سایبری هکرها را کشف کرده، شیوه عملکرد هکرها را در این حمله، «جعلی قوی» توصیف کرده است.
عکس از شرکت امنیتی «Cofense»
مورد دیگری نیز منتسب به مرکز کنترل و تشخیص بیماریهای ایالات متحده ثبت شده است که از کاربران خواسته بود برای مبارزه با ویروس کرونا، از طریق پول اینترنتی «بیت کوین»، به این مرکز کمک مالی کنند. شرکت امنیتی «Kaspersky» که این ایمیل جعلی را کشف کرده، میگوید تا کنون بیش از ۵۱۳ مورد مشابه با موضوع کرونا یافته است و انتظار دارد که این تعداد باز هم افزایش پیدا کند.
علاوه براین، بدافزار «Emotet» نیز وارد میدان شده است. هکرها ایمیلهایی را با موضوع اخبار گسترش ویروس کرونا در بخشهایی از ژاپن تهیه کرده و به صورت هرزنامه، برای کاربران ارسال کردند. ایمیلها حاوی پیلودهای این بدافزار بودند که حریم خصوصی کاربران را هدف قرار میدادند.
تیم تحقیق شرکت «yoroi» که موضوع بدافزار Emotet را مورد بررسی قرار داده است، میگوید بهرهبرداری تازه هکرها از این بدافزار چیز تازهای نیست اما این بار آنها با قدری تغییر در نسخههای قبلی Emotet، آن را برای بهرهبرداری، زیر نام کرونا آماده کردهاند. به گفته این محققان، در خلال بررسیها، موردی به نام «CoronaVirusSafetyMeasures_pdf» آنها را به تحقیقات عمیقتر درباره عملکرد بدافزار Emotet تشویق کرده است؛ فایلی که توسط این تروجان، به قربانی ارسال میشد و ادعا میکرد که اطلاعات مهمی در باره ویروس کرونا را در خود جای داده است. شرکت yoroi تصویر زیر را برای تشریح عملکرد بدافزار Emotet ارایه کرده است.
عکس از وبسایت شرکت «yoroi»
Proofpoint یک شرکت امنیتی دیگری است که بدافزار Emotet را تعقیب میکند. این شرکت اعلام کرد که حملات گروه هکری «TA542»، پشت این حملهها قرار داشته و قربانیان متعددی را از کشورهای مختلف، از جمله استرالیا، اتریش، باربادوس، آلمان، هنگکنگ، ژاپن، مالزی، سنگاپور، اسپانیا، سوییس، امارات متحده عربی و ایالات متحده گرفته است.
این گروه هکری توصیههای معقول پزشکی را برای فریب کاربر ارایه و مانند اغلب حملات انجام شده توسط بدافزار Emotet، یک فایل ضمیمه با فرمت «Word» یا «PDFz» ارسال میکند تا کدهای مخرب ماکرو در آن راه خود را در کامپیوتر قربانی باز و دسترسی هکرها به اطلاعات موجود در آن را باز کنند؛ مشابه حملاتی که در سال ۲۰۱۹ زیر عنوان «تیشرت»، «لیوان» و دیگر اجناس مجانی برای کاربران ارسال شده بود.
گروه هکری «TA542»، یکی از تواناترین گروههای هکری است که در سال ۲۰۱۴، همزمان با کشف بدافزار Emotet، شناسایی و گزارش شد. در آن زمان بانکهای اتریشی و آلمانی در ابتدای لیست حملات این گروه قرار داشتند. سالهای بعد TA542 حملات خود را از بانکها به حسابهای بانکی افراد منتقل و روی ارسال هرزنامههای آلوده تمرکز کرد. نحوه عملکرد گروه هکری TA542 و روند تکامل بدافزار Emotet در تصویر زیر نمایش داده شده است.
عکس از وبسایت شرکت امنیتی «Proofpoint»
«جان اولووت»، سخنگوی شورای امنیت ملی امریکا در بیانیهای گفته است: «ما از یک حادثه سایبری مربوط به شبکههای رایانهای بهداشت و خدمات انسانی آگاه هستیم و دولت فدرال در حال بررسی کامل این واقعه است.»
اما این حملههای خرابکارانه، محدود به سوء استفاده از نکات بهداشتی و آموزشی در خصوص ویروس کرونا نبودند؛ به عنوان نمونه، حملونقل جهانی از جمله اصنافی بود که مورد حملههای سایبری قرار گرفت. در این حملهها، از بدافزار « AZORult» استفاده شد که پیشتر، در سال ۲۰۱۶ شناسایی شده بود و تاریخچه، کوکیها و اطلاعات محرمانه نظیر نام کاربری و رمز عبور را از مرورگر به سرقت میبرد.
بدافزار AZORult از ضعف امنیتی (CVE-2017-11882) در نرمافزار ماکروسافت بهره میبرد که بیش از دو سال پیش کشف و گزارش شده بود. هرچند که نام بدافزار AZORult به گروه هکری «APT» پیوند خورده است اما در ابتدا گمان میشد که هکرها در جایی مانند روسیه و اروپای شرقی مستقر باشند. ولی بررسیهای تیم امنیتی «RedDrip» نشان داد که احتمالا گروه هکری APT که به نامهای «APT36»، «Transparent Tribe»، «ProjectM»، «Mythic Leopard» و «TEMP.Lapis» نیز شناخته میشود، احتملا نقشی کلیدی در این حملهها دارد. APT36، گروهی است زیر حمایت دولت پاکستان که ابتدا در سال ۲۰۱۶ در حملاتی به دولت هند شناسایی شد. به گفته تیم RedDrip، این گروه هکری با استفاده از ضعف امنیتی (CVE-2017-0199) در نرمافزار «ماکروسافت وردپد»، به دو شکل، یکی فایلهای «اکسل» حاوی ماکروهای مخرب و دیگری اسناد «آر تی اف»، حملات خود را به روش فیشینگ سازمان داده بودند. آنها نیز مانند موارد پیشین، توصیههای پزشکی در خصوص بیماری کرونا را دستآویز قرار داده بودند تا دولتمردان هند را هدف قرار دهند. گشودن فایلهای مخرب باعث میشد که یک نسخه ۳۲ بیتی یا ۶۴ بیتی پیلود «Crimson RAT» در کامپیوتر قربانی اجرا شود و زمینه را برای سرقت اطلاعات فراهم کند.
گروه هکری APT36 تنها گروه هکری تحت حمایت حکومتها نیست که از ترس مردم از کرونا برای اهداف خرابکارانه خود بهره برده است. گروههای هکری «Chinese APTs (Mustang Panda and Vicious Panda)»، «North Korean APTs (Kimsuky)»، «Russian APTs (Hades and TA542)» و چند گروه دیگر که وابستگی آنها به دولتها به طور صددرصد ثابت نشده است نیز از این جملهاند.
در این میان، برخی خرابکاران اینترنتی، نظیر مدیران باجافزارهای «Maze»، «DoppelPaymer»، «Ryuk»، «Sodinokibi/REvil»، «PwndLocker» و «Ako» شیوهای اخلاقی را در پیش گرفته و گفتهاند که در خلال درگیری جهان با ویروس خطرناک کرونا، مراکز بهداشت و سلامت و خدمات درمانی را مورد حمله قرار نخواهند داد.
باجافزار DoppelPaymer در بیانه خود با اشاره به صرف باجهای اخذ شده در امور خیریه، نظیر ساخت مسکن و حمایت از حیوانات، گفت که هیچگاه بیمارستانها و مراکز نگهداری سالمندان را مورد حمله قرار نداده است و اگر هم به اشتباه این کار را کرده باشد، بلافاصله آن را رمزگشایی کرده و باجگیری متوقف شده است. باجافزار Maze نیز گفته است تا اتمام بحران کرونا، حمله به مراکز پزشکی را متوقف خواهد کرد. با این وجود، هستند مراکز بهداشت و سلامت و حتی بیمارستانهایی که در این روزهای حساس مورد حملههای سایبری و یا باجافزارها قرار گرفتهاند.
بیمارستانی در جمهوری چک که به طور مستقیم با بیماران کرونایی و آزمایشهای مربوط به آنها درگیر است، یکباره با اخلال در کارکرد کامپیوترها مواجه شد. بررسیهای تیم امنیتی «domaintools» مشخص کرد که اشکال از یک برنامه اندرویدی ناشی میشد که باجافزار «CovidLock» درخود جای داده بود. بررسیهای این تیم نشان دادهاند که این باجافزار از کشور مراکش هدایت شده و مبلغ ۱۰۰ دلار بیتکوین برای گشودن قفل تقاضا کرده بود. اما تیم امنیتی domaintools با مهندسی معکوس، کلید رمز این باجافزار را یافته و در اختیار عموم قربانیان قرار داده است.
در مقابل آلودگیهای مجازی ویروس کرونا چه باید کرد؟
به اعتقاد بسیاری از محققان، محتملترین حالت ممکن برای موفقیت یک حمله فیشینگ، اجرای آن از طریق ایمیل است. بنابراین آشنایی با مقوله امنیت ایمیل و دانش عمومی درباره شیوههای فریب و مهندسی اجتماعی، کلید عبور از این بحران است.
- بهترین راه برای اجتناب از آلودگی مجازی به ویروس کرونا و پرهیز از گرفتار شدن در دام هکرها، این است که هیچ پیوند و یا فایل ضمیمهای را با موضوع کرونا باز نکنید و اطلاعات مربوط به این ویروس را تنها با مراجعه مستقیم به وبسایتها و منابع رسمی مربوط به این موضوع پیگیری کنید.
- هیچ چیز در این عالم مفت نیست و هیچکس دلش به حال ما نسوخته است که خدمت یا محصولی را به صورت مجانی به ما ارایه کند. اگر در حال حاضر سرویس و یا نرمافزاری را به صورت مجانی استفاده میکنید، خود را یک کالای فروخته شده بدانید. اطلاعات شما به شیوههای مختلف در دسترس ارایه کنندگان این خدمات قرار داشته و آنها طبق توافقنامهای که پیش از نصب نرمافزار و یا دریافت خدمات قبول کردهاید، اجازه دارند به هر مشتری که تمایل به خرید آن داشته باشد، بفروشند. بنابراین، اگر ایمیلی و یا پیام آنلاینی دریافت کردهاید که ارایه کننده محصول و یا امکانی مجانی است، باید به صورت پیشفرض، به آن به عنوان یک عملیات مهندسی اجتماعی برای اجرای حمله فیشینگ نگاه کنید و تا حد امکان از پذیرش آن بپرهیزید.
- توسعهدهندگان در سراسر جهان، افزونههای متعددی را با موضوع شناسایی صفحات جعلی اینترنتی و حملات فیشینگ ساخته و برای مرورگرهای مختلف آماده کردهاند. با جستوجویی ساده و مطالعه توضیحات این افزونهها، سازگارترین آن را با فعالیتهای روزانه خود انتخاب و روی مرورگرتان نصب کنید. این افزونهها قادرند اصالت بسیاری از صفحات را بررسی کنند و در صورت وجود مشکل، به شما پیام هشدار بدهند.
- افزونه «HTTPS Everywhere» که قابلیت نصب بر روی تمامی مرورگرهای شناخته شده را دارد را نصب کنید. در بسیاری از موارد، صفحات جعلی از پروتکل امنیتی «HTTPS» پشتیبانی نمیکنند. این افزونه هرگونه نقص در عملکرد و یا رفتار «SSL» (امنیت لایه انتقال) را شناسایی و شما را از خطرات موجود مطلع میکند.
- ایمیل فرستنده را بررسی کنید. پیش از گشودن ایمیل، آدرس آن را کپی و دومین آن را (از کارکتر @ به بعد) در مرورگری دیگر باز و یا از طریق وبسایتهای آنلاین بررسی مشخصات دومین، واقعی بودن آن را بررسی کنید. همچنین میتوانید خود ایمیل را در میان دو علامت «“”» قرار داده و در گوگل جستوجو کنید تا ببینید چه سابقهای از این ایمیل در فضای مجازی وجود دارد.
- گاهی هکرها برای واقعی نشان دادن صفحات جعلی، از سرویسهای مجانی وبسایتهایی نظیر گوگل استفاده میکنند تا هم از دامنه و آیپی سایت اصلی استفاده کنند و هم شما را فریب بدهند. اما با کمی دقت در آدرس خواهید دید که آدرس آن با آدرسهای معمولی قدری متفاوت است. اگر با موردی اینچنینی برخوردید، از ادامه کار پرهیز کنید.
- بهترین راه جلوگیری از هک شدن ایمیل، استفاده از کلید سخت افزاری است. اگر از سرویسی استفاده میکنید که چنین امکانی را ارایه میکند و شما نیز امکان تهیه آن را دارید، بدون درنگ آن را تهیه کنید. در غیر این صورت، ویژگی « 2-Step Verification» یا تایید دو مرحلهای رمز عبور را فعال و آن را روی اپلیکیشن قابل نصب روی تلفنهای همراه تنظیم کنید. بنا به دلایل مختلف، تنظیم این ویژگی روی اپلیکیشن بسیار امنتر از تنظیم با شماره تلفن همراه و دریافت پیامک است.
- درنهایت، در صورت امکان، از سرویسهای ایمیلی استفاده کنید که خدمات «Login Protect» و « Web Application Firewall (WAF)» را به کاربران خود ارایه میکنند.
از همین بلاگ بخوانید
احتمال جاسوسی حکومت ایران از کاربران و حذف برنامه شناسایی کرونا از فروشگاه گوگل
در مقابل حمله نوع «روز صفر» به اینترنت اکسپلورر در ویندوز چه باید کرد؟
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر