چگونه از دستگاه‌ها، تراکنش‌ها و حساب‌های آنلاین محافظت کنیم

به گزارش پایگاه خبری بانکداری الکترونیک

جنگ امنیت سایبری امروزه به مرزهای جدیدی از جمله کامپیوترهای حفاظت نشده مشتریان، پیمانکاران، شرکای تجاری و اپلیکیشن‌های تحت وب که از طریق آنها به نقل‌وانتقال پول، اتصال به شبکه، استفاده یا اشتراک‌گذاری اطلاعات می‌پردازند، وارد شده است.

در چنین جنگی در شرایطی که سایت‌های فیشینگ، دستگاه‌های محافظت نشده مشتری، شبکه‌های اجتماعی و کارت‌های اعتباری بستر ورود به شبکه را فراهم می‌کنند، نیازی به نفوذپذیری شبکه‌ها نیست. تقسیم ساختگی دارایی‌ها و اطلاعات سازمان از اطلاعاتی که به کارکنان و مشتریان متعلق است (استفاده از firewallها) برای تامین‌کنندگان امنیت سازمان راحت است اما در برابر دشمن مجهز، یکپارچه و مصون از مجازات توان ایستادگی ندارد.

موضوع این است که امنیت و جعل، دو روی یک سکه جرایم سایبری هستند. اقدامات پیشگیرانه موثر جرایم سایبری نیازمند یک رویکرد لایه‌بندی شده و یکپارچه برای امنیت دستگاه‌ها و تراکنش‌ها در کل چرخه عمر مشتری هستند. برای دستیابی به این هدف، سازمان نیازمند دو قابلیت زیر است:

1- شناسایی دستگاه: توانایی تشخیص سریع مشتریان ارزشمند و کارکنان از مجرمان سایبری که از اعتبار و هویت‌های مسروقه استفاده می‌کنند.

2- حفاظت از بدافزارها: بعد از تایید تعلق دستگاه به کارکنان یا مشتریان با ارزش سازمان، سازمان بایستی توانایی تامین امنیت دستگاه را داشته و یکپارچگی تراکنش‌ها را تضمین کند.

آدرس‌های IP قابل اعتماد نیستند

شناسایی دستگاه‌های نسل اول که مبتنی بر کوکی‌ها و آدرس‌های IP است در برابر جرایم سایبری مدرن بی‌تاثیر است. آدرس‌های IP قابل اعتماد نیستند زیرا معمولی‌ترین مجرمان سایبری نیز می‌دانند که ساده‌ترین شیوه تایید هویت، ثبت‌نام است. روش ارجح سارقان برای افتتاح حساب بانکی با تایید هویت دزدی، استفاده از یک کامپیوتر واسطه یا به اصلاح پروکسی برای پنهان کردن موقعیت و منشا اصلی دستگاه است. نسل جدید جرایم اینترنتی، هرزنامه‌ها و کلاهبرداری‌های کلیک از طریق وب سرورهایی انجام می‌شود که ترافیک ورودی را بر روی یک آدرس IP جدید ایجاد می‌کنند.

استفاده از آدرس IP برای شناسایی و تایید هویت مشتری برای شبکه‌های سازمانی و شبه ISPها مشکل ساز است زیرا ممکن است تعداد زیادی دستگاه از یک آدرس IP خارجی استفاده کنند.

کپی کوکی‌ها و سرقت سشن‌ها¹

به همان اندازه که حذف یک کوکی برای یک مجرم سایبری ساده است، سرقت امتیازات مشتری از طریق سرقت سشن‌ها و کوکی‌های تایید هویت مشکل ساز است. شبکه‌های Wi-Fi این امر را برای کلاهبرداران ساده‌تر کرده‌اند به‌گونه‌ای که به استراق سمع ترافیک پرداخته و حملات  ARP² را جهت شناسایی ترافیک دستگاه هدف و پیاده‌سازی حمله اجرا می‌کنند. حملات ARP مجرمان سایبری دستگاه هدف را به خطر نمی‌اندازد و تنها حایلی میان ترافیک دستگاه و درگاه ایجاد می‌کند. هرچه حملات سایبری پیچیده‌تر باشد به ابزارهای پیشگیری از تجاوز پیشرفته‌تری مانند  Metasploit، BurpSuite، BurgTrack برای پیاده‌سازی تکنیک‌های ضد سرقت سشن نیاز است.

از سال 2006 TreatMetrix اعتبار میلیاردها کامپیوتر در معرض خطر را بررسی کرده و همیشه حدود 10 تا 15 میلیون کامپیوتر در معرض خطر در سراسر دنیا فعال بوده‌اند که به عنوان پلت‌فرم انجام تعداد زیادی از فعالیت‌های غیرقانونی مورد استفاده قرار گرفته‌اند. استفاده از کامپیوترهای در معرض خطر به طور عمده برای ارسال هرزنامه و ایمیل‌های فیشینگ،کلاهبرداری از طریق کلیک، کلاهبرداری کارت اعتباری و اخیرا به منظور کلاهبرداری بانکی مرسوم شده است. کلاهبرداری بانکی پاسخی به توسعه تکنولوژی‌های «تایید هویت شخص» و «شناسایی دستگاه مشتری» در بانک‌های آنلاین بود. تایید هویت شخص با استفاده از رمزعبور یک بار مصرف -از طریق ارسال پیامک یا توکن- انجام می‌شود و تایید هویت دستگاه مشتری، اجازه استفاده مجدد از گواهینامه فاقد اعتبار را نمی‌دهد.

در ادامه به بررسی شیوه‌های حمله به دستگاه می‌پردازیم که سیستم دفاعی چند وجهی در مقابل آن بی‌اثر بوده است.

Man-IN–The-Browser

حملاتی که در اصطلاح  Man-IN–The-Browse (MitB) نامیده می‌شوند، پلاگین مرورگرها را گسترش داده و بدین ترتیب قبل یا حین اتصال کاربر معتبر به شبکه، با نفوذ مستقیم به جاوا اسکریپت به درون صفحه بانکداری آنلاین وارد می‌شوند. کنترل از طریق فایل‌های پیکربندی شده نشان می‌دهد تروجان‌های MitB می‌توانند به‌طورکامل نقشه‌های تایید هویت چند وجهی را از طریق تکنیک‌های خاصی از کار بی‌ندازند. برخی از مهمترین موارد عبارتند از:

نفوذ از طریق افزودن فیلد به فرم: MitB  فیلدهایی به فرم درون صفحات login اضافه می‌کند. این فرم‌ها از کاربر می‌خواهد تا اطلاعات تاییدهویت اضافی مانند شماره امنیت اجتماعی یا ³OTPهای دریافت شده از طریق پیامک یا توکن را ثبت کند. این اطلاعات شخصی به‌طور معمول برای پاسخ دادن به سوالات چالش برانگیز حین حملات هکرها برای ثبت یک دستگاه جدید یا پاسخ به سوالات اجتماعی در حین تماس از طریق تلفن به کاربران قربانی مورد استفاده قرار می‌گیرند.

دزدی اطلاعات: MitB گواهینامه‌های سرقتی و اطلاعاتی مانند موجودی نقدی را در یک سایت «منطقه نامشخص⁴» برای استفاده یا فروش بارگذاری می‌کند.

جاسازی محتوا: در صورت قطع OTP،MitB  یک پیغام مبنی بر از کار افتادن یا تاخیر سرویس را به کاربر نشان می‌دهد تا هکر بتواند اطلاعات مسروقه را برای سرقت پول استفاده کند.

ارسال‌های خودکار: MitB  با استفاده از جاوا اسکریپت در مرورگر کاربر، پیام‌های متنی مربوط به تراکنش را به‌صورت خودکار ارسال می‌کند.

رونویسی فیلد فرم‌ها: در این حمله، MitB  با استفاده از piggybacks ⁵ در انتقال وجه حساب، گیرنده وجه را تغییر داده، مبلغ را در هنگام فشردن دکمه تایید به حساب مورد نظر خود ارسال می‌کند. تروجان نیز تاییدیه را به‌گونه‌ای رونویسی می‌کند که کاربر متوجه تغییر در تراکنش نمی‌شود.

 Man-In–The-Mobile

در سال 2011 Zeus و SpyEye هر دو به طور مستقیم حمله به گوشی‌های هوشمند را آغاز کردند. بردارهای حمله در هر دو مورد یکسان بود؛ یک کامپیوتر آلوده با فریب دادن کاربر، URL  مورد نظر خود را در مرورگر گوشی هوشمند وارد می‌کند تا در صورت دانلود، پسوردهای یکبار مصرف را برای هکرها فوروارد کند. انتظار می‌رود در آینده‌ای نه چندان دور هکرها با استفاده از آسیب‌پذیری مرورگر موبایل در هنگام مشاهده وب سایت‌های در معرض خطر، دانلودهای خودکار را توسعه دهند.

Rootkits

Rootkitها درعمق سیستم عامل نصب شده و به  تروجان‌ها امکان دسترسی کامل به سیستم عامل را می‌دهند. این دسترسی به صورت کامل بوده و تنها شامل مرورگرها نیست بلکه توانایی ردیابی جزئیات بانکی و پسوردها، دریافت نما گرفت⁶ از کیبوردهای مجازی، از کار انداختن آنتی ویروس‌ها و فایروال‌ها، از کار انداختن به‌روز رسانی‌های ویندوز، ردیابی پکت‌ها⁷ برای دستیابی به نقاط آسیب‌پذیر و آلوده کردن سایر دستگاه‌ها برای سرقت را نیز دارد. Rootkitها بسیار قوی و تاثیرگذارند و ردیابی و ازکار انداختن آنها تنها از طریق نصب مجدد سیستم‌عامل امکان‌پذیر است.

در شماره بعد به بررسی شیوه‌های نوین امنیت تراکنش، یکپارچه‌سازی دستگاه‌ها و معرفی الگوی جدید Threat Metrix در جلوگیری از جرایم سایبری می‌پردازیم.