خلاصه: اگر اندکی با امنیت آشنا باشید احتمالا تیتر این مقاله را دوست نخواهید داشت! در واقع این مقاله در مورد بدافزارها است و قصد داریم به بررسی هفت دسته از بدافزارها و خطراتی که میتواند سیستم و اطلاعات شما را تهدید کند، بپردازیم.
زمانیکه با عبارت بدافزار روبه رو میشوید، ناخودآگاه به یاد ویروس و نصب آنتیویروس روی سیستم خود میافتید؛ اما بدافزار مفهوم وسیعتری نسبت به ویروس دارد و در برگیرنده تمام برنامههایی است که ماهیت خرابکارانه دارند و منجر به آلوده شدن سیستم و حتی به سرقت بردن اطلاعات مهم شما میشود. ویروس نوع خاصی از بدافزار است و برنامههای روی سیستم میزبان را آلوده میکند. ویروسها به خودی خود گسترش مییابند و ممکن است منجر به آلوده شدن صدها یا هزاران پرونده شود. در ادامه به معرفی چند نوع شایع از بدافزارها میپردازیم.
۱.ضبط کننده کلید
ضبطکنندههای کلید یا Keyloggerها یک برنامه برای ضبط عبارتی است که توسط صفحه کلید تایپ میشود. این برنامه بسیار ساده است، اما میتواند تمام جزئیات و مسیر فشار دادن کلیدهای صفحه کلید را تشخیص دهد. حتی کلیدهایی که هیچ خروجی قابل مشاهدهای ندارند. به عنوان مثال زمانیکه میخواهید حرف “F” را تایپ کنید ابتدا کلید “shift” را نگه می دارید و سپس کلید “f” را فشار میدهید و بعد از آن کلید “shift” را رها میکنید. برنامه ضبطکننده کلید به صورت کامل این روند را مشاهده و ضبط میکند.
شاید تصور کنید ضبطکنندههای کلید حتما باید در سطح سیستم عامل پیاده شوند، اما اینچنین نیست و با ورود یک کد جاوا اسکریپت به صفحه ورود به حساب کاربری در مرورگر شما نامکاربری و رمز عبور شما مشاهده و دزدیده میشود.
در نوعی از بدافزارها با نام تروجان بانکی، معمولا از یک ماژول ضبطکننده کلید استفاده میشود تا کلاهبرداران بتوانند رمز عبور را در زمان ورود به حساب بانکی به سرقت ببرند.
ضبطکنندههای کلید به صورت سختافزاری نیز وجود دارند و بین یک صفحه کلید خارجی و پورت کامپیوتر قرار میگیرند. البته نرمافزارها قادر به تشخیص ضبطکنندههای کلید سختافزاری نیستند چون آنها خود را به عنوان یک صفحه کلید معمولی به کامپیوتر معرفی میکنند. اما با بازرسی بصری قابل مشاهده هستند.
۲.سارق اطلاعات
یک سارق اطلاعات یا datastealer بدافزاری است که در هارد دیسک شما به دنبال اطلاعات با ارزش مثل رمز عبور بانکی میگردد. این برنامه حتی میتواند در کل شبکه به دنبال اطلاعاتی باشد که کلاهبرداران بتوانند از آنها سوء استفاده کنند.
در گذشته ویروسها شامل ابزارهای انطباق داده (data-matching) بودند؛ یعنی در فایلهای کامپیوتری در جستجوی رشتههای متنی مطابق یک الگوی خاص بودند. به عنوان مثال الگوی [spaces][alphanumerics]AT[alphanumerics]DOT[alphanumerics] معرف آدرس ایمیل است و برنامه سارق اطلاعات تمامی آدرسهای ایمیل ذخیره شده در کامپیوتر را شناسایی میکند و به سرقت میبرد. شاید در نظر شما ربودن آدرس ایمیل چندان با ارزش نباشد، اما کلاهبرداران با این کار قربانیهای جدید خود را پیدا میکردند.
امروزه آدرس ایمیل برای کلاهبرداران ارزش چندانی ندارد. آنها به دنبال اطلاعاتی هستند که با استفاده از آن بتوانند کسب درآمد کنند. مثل جزئیات حساب بانکی، شماره شناسه، اطلاعات گذرنامه، کارتهای اعتباری و رمز عبور حسابها.
بدافزار سارق اطلاعات حتی می تواند با شناسایی فایلهای خاص از طریق نام یا ساختارداخلی آنها اطلاعاتی که نیاز دارد را به دست آورد. فایلهای خاص مانند password vault که یک برنامه نرمافزاری است و تعدادی رمز عبور را در یک مکان دیجیتالی امن نگه میدارد؛ یا پایگاه داده مرورگر که ممکن است شامل دادههایی از قبیل سابقه مرور و رمزهای اعتباری باشد.
بسیاری از بدافزارها به ویژه ربات ها و تروجانهای بانکی که در ادامه توضیح داده میشوند از ماژولهای سارق اطلاعات استفاده میکنند.
۳.رمربا!
بدافزارها همیشه قادر به پیدا کردن اطلاعات مورد نظرشان در کامپیوتر شما نیستند، حتی اگر بتوانند از تمامی امکانات سیستم عامل استفاده کنند، یعنی دسترسی ریشه یا مدیر سیستم را داشته باشند؛ زیرا بعضی از دادهها به صورت موقت در حافظه موقت یا رم ذخیره میشوند و امکان ذخیره شدن در هارد دیسک را ندارند. یکی از دلایل اینکه بعضی از دادهها نباید در هارد دیسک ذخیره شوند پیروی از مقررات امنیتی داده مثل PCI-DSS و GDPR است. این مقررات اشاره به مجاز نبودن ذخیره برخی دادهها دارد. در واقع این دادهها باید بلافاصله بعد از اتمام کار با آن ها حذف شوند.
یک مثال آشکار در مورد این دادهها عدد CVV در پشت کارت اعتباری است. این کد مجوزی برای یک تراکنش است و طبق مقررات نباید روی هارد دیسک ذخیره شود. این موضوع شاید باعث خوشحالی شما و ناراحتی کلاهبرداران شود، چون آنها نمیتوانند کدهای CVV تراکنشهای قبلی را پیدا کنند. اما با وجود بدافزارهای رمربا یا ram scraper کلاهبرداران میتوانند هنگامی که داده به صورت موقت در حافظه ذخیره میشود را شناسایی و مستقیما از حافظه رم خارج کنند.
دادههایی که در حافظه رم قرار دارند و ممکن است توسط بدافزار رمربا به سرقت روند عبارتند از کلیدهای رمزگشایی، کلمات عبور و رمزهای اعتباری وبسایت ها.
۴.ربات
یک ربات (مخفف robot program) یا بات بدافزاری است که یک درب پشتی به کامپیوتر شما باز میکند. درب پشتی یا Backdoor همانطور که از نام آن مشخص است راهی برای دسترسی بدون مجوز به قسمتهای مشخصی از کامپیوتر باز میکند. با استفاده از درب پشتی مجرمان میتوانند دستورات خود را از راه دور ارسال کنند و کنترل کامپیوتر شما را به دست بگیرند. زمانیکه درب پشتی روی کامپیوتر شما اجرا میشود مهاجم مثل شما به همه منابع کامپیوتر دسترسی دارد و میتواند فایلهای شما را بخواند یا بنویسد. یک ربات حتی قادر به ارسال ایمیل از کامپیوتر شما است.
مشکلاتی که اغلب رباتها ممکن است برای شما ایجاد کنند عبارتند از: ارسال هرزنامه درحد گسترده، جستجوی محلی فایلها، تخریب رمزهای عبور، حمله به وبسایتهای دیگران و کلیک مخفیانه روی تبلیغات آنلاین.
رباتها با نام زامبی نیز شناخته میشوند زیرا مثل ماموران مخفی ممکن است مدت زمانی در کامپیوتر شما حضور داشته باشند اما شما متوجه نشوید؛ اما در زمان مشخص و در صورت نیاز علیه شما عمل میکنند.
یک شبکه بات یا باتنت (مخفف robot network) مجموعهای از کامپیوترهای آلوده به باتها است. این کامپیوترها مخفیانه توسط کلاهبرداران برای انجام فعالیتهای مخرب تحت کنترل گرفته میشوند.
نکته مهمی که ممکن است در مورد باتها نگران کننده باشد، این است که تقریباً هر بات منتشر شده فرمانپذیر است. این امکان به کلاهبرداران اجازه ارتقاء یا حتی جایگزین کردن بات را میدهد. این نکته به این معنی است که پیشبینی آسیبی که کلاهبرداران ممکن است به کامپیوتر شما وارد کنند، سخت میشود.
۵.تروجان بانکی
تروجان بانکی یا banking Trojan یک اصطلاح عمومی برای بدافزارهایی است که به دنبال اطلاعات اینترنتی بانک شما هستند. کلاهبرداران با استفاده از این اطلاعات میتوانند کنترل امور بانکی شما را در دست بگیرند و به وسیله آن کسب درآمد کنند. تروجانهای بانکی اغلب دارای یک قسمت ضبطکننده کلید هستند تا رمز عبور شما را هنگامی که مشغول تایپ آن در مرورگر هستید، ضبط کنند. همچنین برای پیدا کردن رمزعبورها یا جزئیات حساب بانکی که ممکن است در کامپیوتر ذخیره کرده باشید، به یک ماژول سارق اطلاعات نیاز دارند.
ترفند دیگری که به صورت گسترده توسط تروجانهای بانکی مورد استفاده قرار میگیرد با عنوان تزریق فرم وب (web form injection) شناخته میشود. در این ترفند بدافزار به صورت پنهانی قسمتهایی را به فرمی که در مرورگر شما نمایش داده میشود اضافه میکند؛ این قسمتها از شما اطلاعات اضافی مثل شماره کارت اعتباری یا تاریخ تولد را میخواهند و با این کار شما را تشویق می کنند که این اطلاعات اضافی را وارد کنید و در صورت موفق شدن از آنها سوءاستفاده میکنند.
احتمالا معروفترین تروجان بانکی Gozi است. این خانواده بزرگ از تروجانهای بانکی، اولین بار یک دهه پیش ظاهر شدند.
۶.RAT
یکی از ابزارهای جاسوسی در فضای مجازی، بدافزار تروجان با دسترسی از راه دور یا RAT (مخفف Remote Access Trojan) است. RAT با گرفتن تصاویر پنهانی از صفحه کامپیوتر شما یا روشن کردن وبکم به صورت مخفیانه از شما جاسوسی میکند. معروفترین این بدافزار blackshades است. شاید این سوال برای شما پیش بیاید که آیا این بدافزار می تواند وبکم را بدون اینکه چراغ آن روشن شود، فعال کند. در پاسخ به این سوال باید گفت این توانایی بستگی به وبکم دارد. برخی از وبکمها LED متصل به خود دارند به طوریکه LED همزمان با وبکم روشن میشود؛ برخی دیگر تنظیمات LED دارند و میتوانند مستقل از وبکم برنامهریزی شوند؛ در این مدل مجرمان سایبری میتوانند وبکم را بدون هیچ علامتی روشن کرده و شروع به ضبط کنند. اگر نمیدانید وبکم سیستم شما چه نوعی است، از یک پوشش برای وبکم خود استفاده کنید تا از این بدافزار درامان باشید.
۷.باجافزار
باجافزار یا ransomware ترسناکترین نوع بدافزار در دهه گذشته است و همانطور که از نام آن مشخص است با ایجاد مشکلاتی در سیستم از شما باجگیری میکند. اما اینکه این بدافزار چگونه شما را مجبور به دادن باج میکند، در ادامه توضیح داده میشود.
باجافزار همه یا برخی از فایلهای کامپیوتر را قفل میکند و شما دیگر دسترسی به فایلهای رمز شده نداربد. متاسفانه تنها یک کلید قفل فایلهای شما را باز میکند و آن هم نزد کلاهبرداران است. کلاهبرداران مبلغی درخواست میکنند تا در مقابل آن کلید فایلهای قفل شده را به شما بدهند. شاید شما در این فکر باشید که با گرفتن نسخه پشتیبان از دادههای خود، اجازه باجگیری به کلاهبرداران نمیدهید؛ اما همه چیز به این راحتی نیست. کلاهبرداران باجافزار قدرت نفوذشان علیه شما را افزایش دادهاند. در ادامه چند روش مختلف برای نفوذ کلاهبرداران توضیح داده میشود.
- کلاهبرداران ابتدا راهی برای ورود به شبکه شما پیدا میکنند؛ بنابراین میتوانند صدها یا حتی هزاران کامپیوتر را مسدود کنند. حتی اگر شما از همه کامپیوترها نسخه پشتیبان تهیه کرده باشید، برای استفاده مجدد و بازیابی هزاران کامپیوتر هزینهای بیش تر از پرداخت به باجافزار متحمل میشوید.
- اگر از پشتبانهای آنلاین استفاده میکنید نگران حمله باجافرارها باشید. کلاهبرداران به دنبال پشتیبانهای آنلاین هستند و در حمله باجافزاری پیشرفته آنها را از بین میبرند. پس برای پیشگیری از این حمله به صورت منظم و مطمئن از دادههای خود پشتیبان آفلاین تهیه کنید.
- حتی اگر روی سیستم خود برنامههای امنیتی نصب کردهاید باز هم باید نگران حمله باجافزارها باشید زیرا هکرها با تحقیق در مورد تنظیمات امنیت سایبری میتوانند قسمتهایی را که ممکن است باجافزار را محدود یا متوقف کند شناسایی و خاموش کنند.
حملات باجافزاری از سال ۲۰۱۳ به طرز چشمگیری افزایش پیدا کرد. حملات باج افزارهای مدرن مثل Bitpaymer، SamSam و Ryuk قادر هستند که همه سیستمهای متصل به یک شبکهها را رمز نموده و از ۵۰ هزار تا ۵ میلیون دلار برای رمزگشایی فایلها تقاضا میکنند.
۸. برای مقابله با بدافزارها چه کنیم؟
- بسیاری از حملات به دلیل وجود یک حفره امنیتی در یک نرمافزار و سوء استفاده هکرها از آن است. بنابراین حتی اگر از بهروزرسانیهای خودکار استفاده مینمایید، مرتباً وضعیت نصب وصلههای مهم را بررسی کنید. لازم به ذکر است سامانه مدیریت وصله این امکان را فراهم میکند که همه سیستمهای سازمان به صورت خودکار و بدون دخالت کاربر بهروزرسانیها و وصلههای مهم را دریافت نموده و سیستمها را از خطر وجود حفرههای امنیتی پاک نمایند.
- بسیاری از حملات بدافزارها برای مدتی ادامه دارند یا گامهای جدید حملات قبلی هستند که باعث ایجاد علائم مهمی در تاریخچهها و logهای شما میشود. این علائم را مورد بررسی قرار دهید.
- به دنبال آنتی ویروسی باشید که علاوه بر امکان اسکن کردن فایلها قابلیت فیلتر کردن وب و شناسایی رفتاری بدافزارها را داشته باشد. بیشتر حملات بدافزارهای مدرن روندی از گامهای کوچک است و کلاهبرداران باید برای حمله خود همه مراحل را با موفقیت انجام دهند؛ بنابراین گاهی با مسدود کردن حتی یک گام از حمله، حمله را متوقف کنید.
