ايتنا - در دام مهاجمان

نویسنده: سیدمحمدرضا موسوی پور
سرقت‌برخط روشی است که مهاجمان و سارقان به کمک آن اطلاعات شخصی و در واقع هویتی افراد را از راه‌های مختلفی همچون هرزنامه، یا صفحه‌های خودبازشو و یا سایر وسایل فریبکارانه به سرقت می‌برند.
قبلا دلایلی که موجب موفقیت این حمله می‌گردد را بررسی کرده و از فقدان دانش کافی کاربران در مواجه با این حملات، زمینه سازی بروز خطا و فریب در مشاهدات کاربران، بی‌توجهی به هشدارهای امنیتی و سهل انگاری در مواجه با مسایل و مشکلات، به عنوان عمده‌ترین دلایل اجرای یک حمله موفق برای سرقت‌برخطِ هویت نام بردیم. در ادامه نیز فرایند رخداد حمله سرقت‌برخط را در قالب سه مرحله ثبت یک دامنه جعلی مشابه با سایت رسمی و واقعی، ایجاد یک سایت جعلی با ظاهری مشابه سایت اصلی جهت گمراه نمودن کاربران، فرستادن نامه‌های الکترونیکی به تعداد زیادی از کاربران برای جذب آنها، به کمک روش‌های مهندسی اجتماعی ارزیابی کردیم.
اکنون زمان آن رسیده است که در مقیاسی وسیع‌تر به بررسی روش‌های مورد استفاده برای سرقت‌برخط بپردازیم.

ایمیل و هرزنامه ارسال هرزنامه‌ها به کمک آدرس‌های پست الکترونیک یکی از شناخته شدهترین روش‌های سرقت‌برخط است. سارق، ایمیل مشابهی را به آدرس پستی میلیون‌ها نفر ارسال می‌کند. محتوای این ایمیل‌ها به گونه‌ای است که کاربر متقاعد شود تا اطلاعات مهم را در اختیار سارقان قرار دهد و در نتیجه، ناخواسته دچار حمله سرقت هویت می‌گردد. این اطلاعات بعد‌ها برای کارکرد‌های غیر قانونی توسط سارق اطلاعات مورد بهره‌برداری قرار می‌گیرند. بسیاری از این گونه پیام‌ها دارای یادداشتی هشدار دهنده هستند که کاربر را ترغیب به وارد نمودن اطلاعاتی جهت بروز رسانی یا بازبينى‌ و یا تغییر مشخصات حساب کاربری می‌کنند. مثلا ممکن است از کاربر خواسته شود تا مشخصاتی را که در یک پیوند قرار داده شده است را برای دسترسی به یک سرویس جدید پر نماید و یا ایمیلی را در نظر بگیرید که در آن کاربر برنده یک قرعه‌کشی معرفی‌شده و برای دریافت جایزه از او می‌خواهد که اطلاعات مربوط به حساب بانکی خود را در قسمت‌های مورد نظر وارد نماید. در نهایت این ترفند و یا روش‌های مشابه آن کاربر را وادار به ارائه اطلاعات به مهاجم می‌نماید، بی‌آنکه بداند این اطلاعات مهم را در اختیار فردی قرار داده است که قصد سوء‌استفاده از آن را دارد. از این‌رو این روش مرسوم را صیادی فریب‌آمیز نیز نام گذارده‌اند.

علاوه بر روش‌های مهندسی اجتماعی، سارقان می‌توانند از حفره‌های امنیتی موجود در پروتکل‌ها نیز بهره ببرند. به طور مثال وجود نقص در پروتکل SMTP که جهت ارسال ایمیل از آن استفاده می‌شود، یکی از آن روش‌ها است. بدین شکل که مهاجم می‌تواند آدرس ارسال را در سرایند بسته به صورت جعلی تغییر یا اضافه نماید و به این ترتیب عنوان جعلی خود را به جای شرکت یا سازمان قانونی و حقیقی معرفی کند. در این صورت با سرقت هویت بازرگانی، وجه‌ای قانونی به خود بخشیده و در واقع از اعتماد کاربر به آن شرکت‌ سوءاستفاده می‌کند. نتیجه این اعتماد کاربر، دریافت اطلاعات مهم از وی است. چرا که کاربر از امنیت اطلاعات داده‌شده به آن هویت قانونی، اطمینان کامل دارد.
از طرف دیگر سارق قادر است تا با اندک تغییراتی در رشته URL بسته‌های ایمیل، نسخه‌های مشابه‌ای از ایمیل‌های قانونی را تهیه کرده و کاربر را به آدرس دلخواه خود هدایت نماید.

به هر صورت آنچه مشخص است، بستر اینترنت و ایمیل‌های مجانی، مکانی بسیار مناسب برای جولان هرزنامه‌ها و طمعه‌گذاری هکرها است که با غلبه بر قلمرو زمان و مکان سعی در سرقت اطلاعات ارزشمند کاربران دارند. به بطوریکه امروزه بسیاری از این گونه پیام‌ها را می‌توان در سبد پستی خود مشاهده نمود و تنها یکی از آنها کافیست تا آرامش زندگی ما را دگرگون نماید. البته از میان انبوه ایمیل‌های ارسالی به کاربران، تنها عده بسیار کمی فریب سارقان را می‌خورند. اما به هر صورت همان عده اندک نیز برای مهاجم کافی و مقبول است. برخی نکات خاص پیرامون ایمیل‌هایی که منجر به حملات سرقت‌برخط می‌شوند، وجود دارند که مفهوم مشخصی داشته و باید به این موارد توجه نماییم. - آیا ایمیل دریافتی یک مقدار بیش از حد، رسمی نیست؟ - آیا ایمیل‌ها دارای اشکالات انشایی و املایی بوده و در کل دارای ضعف نگارشی هستند؟ ( البته امروزه کمتر چنین مشکلاتی دیده می‌شود. ) - آیا اشکالات و تغییرات هرچند جزیی در رشته آدرس موجود، نظر شما را متوجه خود کرده است؟ مثلا بجای آدرس حقیقی PayPal.com عبارت pay-pal.com دیده شود. - آیا کد HTML که برای نمایش رشته آدرس درون ایمیل قرار دارد، قدری عجیب و مبهم است؟ - آیا موارد مرسوم و استانداردی در نامه الکترونیکی وجود دارد که نشان دهنده افزایش دائمی موردی در آن باشد؟ مثلا لیستی از دریافت کنندگان و یا نشانه‌هایی از اینکه ایمیل به‌طور زنجیروار از شخصی به شخص دیگری ارسال شده است. - آیا عناوین و مشخصات جعلی و عجیب در مشخصات ایمیل و توضیحات آن، نظر شما را به خود جلب نموده است؟ - آیا از شما درخواست شده است تا اطلاعاتی که دارای ایمنی خاصی هستند را درون یک جدول یا یک پیوند ارسال شده، ثبت نمایید؟ این‌ها تنها بخشی از موارد شناخته شده‌ای هستند که سرنخ‌هایی از دام سارقان بدست می‌دهند و ممکن است به تنهایی برای حفاظت شما کافی نباشند. چیزی که در حقیقت می‌تواند موجب نجات شما شود، نتیجه گیری کلی از برآیند این قبیل اطلاعات؛ توجه و نگهداری وسواس‌گونه پست‌های الکترونیک دریافتی؛ پرهیز از زودباوری و ساده‌انگاری و در نهایت نخواندن هر ایمیلی که دریافت می‌شود که البته این مورد آخری برای بسیاری سخت و نشدنی است!
به هر صورت باید توجه داشت که پدیده پست الکترونیک به دلیل سادگی در به‌کارگیری و فراگیر بودن آن امکان بسیار مناسبی را برای اجرای عملیات سرقت‌برخط فراهم نموده است. تا آنجا که در حال حاضر بیشتر حملات سرقت‌برخط از طریق ایمیل و ارسال هرزنامه‌ها صورت می‌گیرند. به همین دلیل مهاجمان با جمع‌آوری و در اختیار داشتن نشانی ایمیل افراد، روزانه اقدام به ارسال میلیون‌ها ایمیل به صورت هرزنامه می‌کنند.

حمله بر پایه وب یکی از پیچیده‌ترین روش‌های سرقت‌برخط براساس وب انجام می‌شود. در این روش مهاجم در میان مسیر وب سایت قانونی و کاربر مورد هجوم قرار گرفته و اقدام به ردیابی جزییات مبادله شده بین کاربر و وب سایت می‌نماید. این در شرایطی است که کاربر از وجود عنصر سوم اطلاع نمی‌یابد. به‌همین صورت قرار دادن محتوای پویای مخرب در یک وب‌سایت نیز یکی از روش‌های مرسوم در حملات سرقت‌برخط است. همچنین قرار دادن بنرهای تبلیغاتی جعلی در سایت‌های معروف و پر بازدید نیز می‌تواند این امکان را در اختیار سارق قرار دهد که کاربران را با استفاده از پیوند موجود در آن، به صفحه سایت سرقت‌برخط خود، هدایت کند. بنابراین استفاده از بنرهای تبلیغاتی جعلی وخطرناک نیز یکی دیگر از روش‌های حمله بر پایه وب است. حمله بر پایه وب به مراتب خطرناک‌تر و حیله‌گرانه‌تر از روش ارسال هرزنامه به کمک ایمیل است. چرا که هیچ نشانه ای جهت مشاهده توسط کاربر وجود ندارد. این نوع حمله سرقت برخط از مصادیق حمله مرد میانی است که در ادامه به آن اشاره خواهیم کرد. پیام ‌رسان فوری پیام‌رسانی فوری شکلی از ارتباط مستقیم متنی، صوتی و یا تصویری بی‌درنگ، بین دو یا چند کاربر بر روی شبکه می‌باشد. مهاجمان از این روش استفاده نموده و بر روی پیوند مستقیم ایجاد شده بین وب سایت جعلیِ طراحی شده مشابه با سایت اصلی و کاربر، اطلاعاتی را ارسال می‌نمایند. این داده‌های ارسالی می‌تواند درخواست اطلاعات شخصی و یا هرگونه اطلاعات مورد نظر مهاجم باشد. همچنین استفاده از کلاینت‌های IRC و پیام‌رسان‌های فوری این اجازه را به سارق می‌دهد که محتوای پویای مخربِ خود را که در این گونه پیام‌ها جاسازی نموده است، بر روی میزبان هدف به اجرا در بیاورد. از طرفی سارق می‌تواند به روش‌های ساده‌تری نیز از این ابزارها استفاده نموده و تنها برای ارسال اطلاعات جعلی و پیوند‌های هدایت کننده کاربر به سایت‌های سرقت‌برخط، در حجم گسترده‌ای بهره برداری نماید. استفاده از نرم افزارهای مخرب در این روش سرقت‌برخط، مهاجم از برنامه‌های آلوده به انواع بدافزارها جهت حمله به کاربران استفاده می‌کند. گسترش و موفقیت این نوع حمله‌ وابسته به مهندسی اجتماعی افراد و نیز نقایص امنیتی است.

همان‌طور که در مقالات گذشته نیز بارها اشاره شد، در مهندسی اجتماعی کاربر متقاعد می‌شود تا عملی را انجام دهد که به نحوی خواسته مهاجم عملی گردد و یا ناخواسته مجبور به انجام آن گردد. در اینجا نیز کاربر یک فایل متصل به نامه الکترونیکی را باز نموده و با استفاده از ترفند پیش بینی شده توسط مهاجم، مجاب به دادن اطلاعات محرمانه و مهم‌ خود می‌شود و یا سبب نصب بدافزارهای همراه نامه، بر روی رایانه‌اش می‌گردد. بهره بردن از نقایص امنیتی در سیستم عامل و یا پروتکل‌های جهت وارد کردن کرم‌ها، ویروس‌ها و سایر بدافزارها به سیستم مورد استفاده کاربر نیز یکی دیگر از روش‌های سرقت‌برخط بر پایه‌ بدافزار است.
این گونه حملات را می‌توان به چهار گروه کلی زیر تقسیم بندی نمود: • حملات باز تنظیم سیستم
• آلودگی فایل میزبان‌
• تروجان‌های تحت وب
• ثبت کننده کلیدها و صفحات نمایش

حمله باز تنظیم سیستم همان طور که از نام حمله‌ باز تنظیم سیستم مشخص است، این حمله امکان تنظیم مجدد تنظیمات بر روی رایانه کاربر را برای مهاجم مقدور می‌سازد. این حمله، سرقت‌برخط بر پایه DNS نیز نامیده می‌شود. اساس کار بدین صورت است که تنظیمات سیستم‌های سرویس دهنده DNS توسط اطلاعات غلط DNS دست‌کاری می‌شوند، تا آلودگی میزبان فایل به‌وجود بیاید. همین‌طور می‌توان برای تغییر تنظیمات پروکسی سرویس دهنده به کاربر نیز از این حمله استفاده نمود. در این صورت می‌توان ترافیک کاربر را به سایت‌های دیگر منتقل کرده و اطلاعات موجود در آن‌را بهره‌برداری کرد. بنابراین دیده می‌شود که با دست‌کاری حافظه کَش DNS و جایگزینی اطلاعات نادرست، کاربر به مکان‌های دیگر هدایت می‌گردد. هنگامی‌که کاربر یک کش DNS تنظیم نشده داشته باشد، مهاجم می‌تواند به‌طور مستقیم از این روش استفاده نماید. همچنین اطلاعات DNS سرویس دهنده کاربر نیز می‌تواند توسط یک حمله‌ از نوع باز تنظیم سیستم نیز تغییر کند. بدین شکل که کاربر قربانی، پیامی را از سارق دریافت نماید و در آن پیام از او درخواست پیکر بندی مجدد سیستم، خواسته شده باشد. این درخواست می‌تواند از یک آدرس وب ارسالی شبیه به یک منبع قابل اعتماد، ارسال شده باشد. آلودگی فایل میزبان‌ سیستم‌های عامل شامل فایل میزبان‌ هستند که قبل از اجرای یک جستجوی DNS نام میزبان‌ را بررسی و اسم میزبان ها را به آدرس های IP مورد نظر تبدیل می‌کنند. بنابراین به جریان آدرس‌دهی گره های شبکه در شبکه‌های رایانه‌ای کمک می‌کنند. فایل میزبان حاوی خطوطی متنی است که در قسمت اول یک نشانی IPو پس از آن نام یک یا چند گره آورده شده است. با توجه به عملکرد فایل میزبان، این فایل ممکن است به منظور تعریف نام میزبان و یا نام دامنه در سیستم محلی مورد استفاده قرار بگیرد. این ممکن است به صورت یک اثر مفید یا مضر ظاهر شود. از این رو به دلیل نقش این فایل در بازشناسی نام محلی، فایل میزبان یک هدف مناسب برای حمله توسط نرم‌افزارهای مخرب است. مهاجم می‌تواند از طریق تغییر فایل میزبان، کاربر را به سمت سایت جعلی هدایت نماید. در این صورت کاربر اطلاعات مهم خود را ناخواسته در آن وارد می‌کند و این امکان برای هکرها به‌وجود می‌آید که از طریق حمله‌ آلوده کردن فایل میزبان‌، کاربران را به سمت دیگری هدایت کنند.
میزبان‌های آلوده به تروجان تروجان‌ها برنامه‌هایی هستند که به صورت پنهان روی رایانه کاربر نصب و اجرا می‌شوند و می‌توانند دسترسی کاملی از رایانه کاربر را در اختیار هکر قرار دهند. به‌این صورت که پس از اجرای آن، هکر می‌تواند هر زمان که بخواهد، رایانه قربانی را در اختیار خود بگیرد. سارق می‌تواند به شیوه‌های مختلف کاربر را وادار به نصب نرم‌افزار آلوده به تروجان کند. به‌طور مثال با فرستادن ایمیلی که در آن پیوندی قرار گرفته باشد تا با کلیک کاربر بر روی آن تروجان بر روی رایانه او نصب ‌شود. بنابراین کاربر ناخواسته این اجازه را به سارق می‌دهد که علاوه بر دسترسی کامل به رایانه او، از آن برای انتشار ایمیل‌های هدایت کننده سایر کاربران به سایت سرقت‌برخط مورد نظر خود استفاده کند. این برنامه‌های مخرب هنگامی که کاربر قصد وارد نمودن اطلاعات خود در صفحه ورود یک وب‌سایت را دارد، اطلاعات محلی وارد شده را همزمان از طریق آدرس قرار داده شده درون تروجان به سارق اطلاعات می‌رساند. واقعه نگاری برنامه‌های ثبت کننده کلید‌ها و صفحه‌های نمایش، برنامه‌هایی هستند که خود را از طریق مرورگر یا به عنوان راه‌انداز دستگاه، در رایانه کاربر نصب می‌کنند، تا ورود اطلاعات را تحت نظر داشته و آن‌ها را به آدرس مورد نظر سارق اطلاعات ارسال کنند.

روش‌های مورد استفاده توسط این ابزارها را می‌توان بصورت زیر بیان نمود: از ثبت کننده کلید جهت رصد و ذخیره کلیدهای فشرده شده توسط کاربر استفاده می‌شود. درایور دستگاه، ورودی‌های کاربر که توسط صفحه کلید و ماوس وارد می‌شود را رصد می‌کند. ثبت کننده صفحه نمایش نیز مقادیر وارد شده توسط کاربر و کلا رفتار او را با ضبط تصویری از صفحه نمایش رصد می‌کند. نتیجه‌گیری در این مقاله برخی از روش‌های مورد استفاده مهاجمان جهت سرقت‌برخط بیان گردید. روش‌هایی همچون استفاده از پست‌های الکترونیک و هرزنامه‌ها، حملات بر پایه وب، سوءاستفاده از پیام رسان‌های فوری و استفاده از بدافزار‌ها بررسی و ارائه گردید. همان‌طور که پیش از این نیز اشاره شد، این‌گونه کلاه‌برداری‌ها با هدف دستیابی به اطلاعات ارزشمند کاربران طراحی شده‌اند و بدلیل سهل انگاری، عدم دانش کافی و یا نقایص امنیتی منجر به خسارت هایی برای کاربران می‌گردند. در شماره آینده برخی دیگر از این روش‌های بکار رفته توسط هکرها برای سرقت‌برخط، نظیر رخنه‌گری در نشست، تزریق محتوا، حمله‌ اسکریپت‌های جانبی سایت و یا دست‌کاری پیوند سایت را بررسی خواهیم نمود.
منبع: ماهنامه دنیای کامپیوتر و ارتباطات