چگونه از دستگاهها، تراکنشها و حسابهای آنلاین محافظت کنیم
اصول مبارزه با جرایم سایبری
افشای اطلاعات مربوط به کارتها یکی از عواملی است که موجب شد بحث امنیت شبکه کارتخوان کشور به یکی از مباحث روز محافل خبری و کارشناسی و فعالان بانکداری الکترونیک تبدیل شود. آمار افشای اطلاعات محرمانه دارندگان کارت از ژانویه 2005 تا 2008 در دنیا نیز بیش از 234 میلیون رکورد بوده است. وقوع چنین رویدادهایی موجب شد تا جرایم سایبری در حوزه پردازش تراکنشهای کارتی بررسی و «TreatMetrix» به عنوان یک الگوی موفق در زمینه پیشگیری معرفی شود.
به گزارش پایگاه خبری بانکداری الکترونیک
جنگ امنیت سایبری امروزه به مرزهای جدیدی از جمله کامپیوترهای حفاظت نشده مشتریان، پیمانکاران، شرکای تجاری و اپلیکیشنهای تحت وب که از طریق آنها به نقلوانتقال پول، اتصال به شبکه، استفاده یا اشتراکگذاری اطلاعات میپردازند، وارد شده است.
در چنین جنگی در شرایطی که سایتهای فیشینگ، دستگاههای محافظت نشده مشتری، شبکههای اجتماعی و کارتهای اعتباری بستر ورود به شبکه را فراهم میکنند، نیازی به نفوذپذیری شبکهها نیست. تقسیم ساختگی داراییها و اطلاعات سازمان از اطلاعاتی که به کارکنان و مشتریان متعلق است (استفاده از firewallها) برای تامینکنندگان امنیت سازمان راحت است اما در برابر دشمن مجهز، یکپارچه و مصون از مجازات توان ایستادگی ندارد.
موضوع این است که امنیت و جعل، دو روی یک سکه جرایم سایبری هستند. اقدامات پیشگیرانه موثر جرایم سایبری نیازمند یک رویکرد لایهبندی شده و یکپارچه برای امنیت دستگاهها و تراکنشها در کل چرخه عمر مشتری هستند. برای دستیابی به این هدف، سازمان نیازمند دو قابلیت زیر است:
1- شناسایی دستگاه: توانایی تشخیص سریع مشتریان ارزشمند و کارکنان از مجرمان سایبری که از اعتبار و هویتهای مسروقه استفاده میکنند.
2- حفاظت از بدافزارها: بعد از تایید تعلق دستگاه به کارکنان یا مشتریان با ارزش سازمان، سازمان بایستی توانایی تامین امنیت دستگاه را داشته و یکپارچگی تراکنشها را تضمین کند.
آدرسهای IP قابل اعتماد نیستند
شناسایی دستگاههای نسل اول که مبتنی بر کوکیها و آدرسهای IP است در برابر جرایم سایبری مدرن بیتاثیر است. آدرسهای IP قابل اعتماد نیستند زیرا معمولیترین مجرمان سایبری نیز میدانند که سادهترین شیوه تایید هویت، ثبتنام است. روش ارجح سارقان برای افتتاح حساب بانکی با تایید هویت دزدی، استفاده از یک کامپیوتر واسطه یا به اصلاح پروکسی برای پنهان کردن موقعیت و منشا اصلی دستگاه است. نسل جدید جرایم اینترنتی، هرزنامهها و کلاهبرداریهای کلیک از طریق وب سرورهایی انجام میشود که ترافیک ورودی را بر روی یک آدرس IP جدید ایجاد میکنند.
استفاده از آدرس IP برای شناسایی و تایید هویت مشتری برای شبکههای سازمانی و شبه ISPها مشکل ساز است زیرا ممکن است تعداد زیادی دستگاه از یک آدرس IP خارجی استفاده کنند.
کپی کوکیها و سرقت سشنها1
به همان اندازه که حذف یک کوکی برای یک مجرم سایبری ساده است، سرقت امتیازات مشتری از طریق سرقت سشنها و کوکیهای تایید هویت مشکل ساز است. شبکههای Wi-Fi این امر را برای کلاهبرداران سادهتر کردهاند بهگونهای که به استراق سمع ترافیک پرداخته و حملات ARP2 را جهت شناسایی ترافیک دستگاه هدف و پیادهسازی حمله اجرا میکنند. حملات ARP مجرمان سایبری دستگاه هدف را به خطر نمیاندازد و تنها حایلی میان ترافیک دستگاه و درگاه ایجاد میکند. هرچه حملات سایبری پیچیدهتر باشد به ابزارهای پیشگیری از تجاوز پیشرفتهتری مانند Metasploit، BurpSuite، BurgTrack برای پیادهسازی تکنیکهای ضد سرقت سشن نیاز است.
از سال 2006 TreatMetrix اعتبار میلیاردها کامپیوتر در معرض خطر را بررسی کرده و همیشه حدود 10 تا 15 میلیون کامپیوتر در معرض خطر در سراسر دنیا فعال بودهاند که به عنوان پلتفرم انجام تعداد زیادی از فعالیتهای غیرقانونی مورد استفاده قرار گرفتهاند. استفاده از کامپیوترهای در معرض خطر به طور عمده برای ارسال هرزنامه و ایمیلهای فیشینگ،کلاهبرداری از طریق کلیک، کلاهبرداری کارت اعتباری و اخیرا به منظور کلاهبرداری بانکی مرسوم شده است. کلاهبرداری بانکی پاسخی به توسعه تکنولوژیهای «تایید هویت شخص» و «شناسایی دستگاه مشتری» در بانکهای آنلاین بود. تایید هویت شخص با استفاده از رمزعبور یک بار مصرف -از طریق ارسال پیامک یا توکن- انجام میشود و تایید هویت دستگاه مشتری، اجازه استفاده مجدد از گواهینامه فاقد اعتبار را نمیدهد.
در ادامه به بررسی شیوههای حمله به دستگاه میپردازیم که سیستم دفاعی چند وجهی در مقابل آن بیاثر بوده است.
Man-IN–The-Browser
حملاتی که در اصطلاح Man-IN–The-Browse (MitB) نامیده میشوند، پلاگین مرورگرها را گسترش داده و بدین ترتیب قبل یا حین اتصال کاربر معتبر به شبکه، با نفوذ مستقیم به جاوا اسکریپت به درون صفحه بانکداری آنلاین وارد میشوند. کنترل از طریق فایلهای پیکربندی شده نشان میدهد تروجانهای MitB میتوانند بهطورکامل نقشههای تایید هویت چند وجهی را از طریق تکنیکهای خاصی از کار بیندازند. برخی از مهمترین موارد عبارتند از:
نفوذ از طریق افزودن فیلد به فرم: MitB فیلدهایی به فرم درون صفحات login اضافه میکند. این فرمها از کاربر میخواهد تا اطلاعات تاییدهویت اضافی مانند شماره امنیت اجتماعی یا 3OTPهای دریافت شده از طریق پیامک یا توکن را ثبت کند. این اطلاعات شخصی بهطور معمول برای پاسخ دادن به سوالات چالش برانگیز حین حملات هکرها برای ثبت یک دستگاه جدید یا پاسخ به سوالات اجتماعی در حین تماس از طریق تلفن به کاربران قربانی مورد استفاده قرار میگیرند.
دزدی اطلاعات: MitB گواهینامههای سرقتی و اطلاعاتی مانند موجودی نقدی را در یک سایت «منطقه نامشخص4» برای استفاده یا فروش بارگذاری میکند.
جاسازی محتوا: در صورت قطع OTP،MitB یک پیغام مبنی بر از کار افتادن یا تاخیر سرویس را به کاربر نشان میدهد تا هکر بتواند اطلاعات مسروقه را برای سرقت پول استفاده کند.
ارسالهای خودکار: MitB با استفاده از جاوا اسکریپت در مرورگر کاربر، پیامهای متنی مربوط به تراکنش را بهصورت خودکار ارسال میکند.
رونویسی فیلد فرمها: در این حمله، MitB با استفاده از piggybacks 5 در انتقال وجه حساب، گیرنده وجه را تغییر داده، مبلغ را در هنگام فشردن دکمه تایید به حساب مورد نظر خود ارسال میکند. تروجان نیز تاییدیه را بهگونهای رونویسی میکند که کاربر متوجه تغییر در تراکنش نمیشود.
Man-In–The-Mobile
در سال 2011 Zeus و SpyEye هر دو به طور مستقیم حمله به گوشیهای هوشمند را آغاز کردند. بردارهای حمله در هر دو مورد یکسان بود؛ یک کامپیوتر آلوده با فریب دادن کاربر، URL مورد نظر خود را در مرورگر گوشی هوشمند وارد میکند تا در صورت دانلود، پسوردهای یکبار مصرف را برای هکرها فوروارد کند. انتظار میرود در آیندهای نه چندان دور هکرها با استفاده از آسیبپذیری مرورگر موبایل در هنگام مشاهده وب سایتهای در معرض خطر، دانلودهای خودکار را توسعه دهند.
Rootkits
Rootkitها درعمق سیستم عامل نصب شده و به تروجانها امکان دسترسی کامل به سیستم عامل را میدهند. این دسترسی به صورت کامل بوده و تنها شامل مرورگرها نیست بلکه توانایی ردیابی جزئیات بانکی و پسوردها، دریافت نما گرفت6 از کیبوردهای مجازی، از کار انداختن آنتی ویروسها و فایروالها، از کار انداختن بهروز رسانیهای ویندوز، ردیابی پکتها7 برای دستیابی به نقاط آسیبپذیر و آلوده کردن سایر دستگاهها برای سرقت را نیز دارد. Rootkitها بسیار قوی و تاثیرگذارند و ردیابی و ازکار انداختن آنها تنها از طریق نصب مجدد سیستمعامل امکانپذیر است.
در شماره بعد به بررسی شیوههای نوین امنیت تراکنش، یکپارچهسازی دستگاهها و معرفی الگوی جدید Threat Metrix در جلوگیری از جرایم سایبری میپردازیم.