حملات سایبری

انواع حملات سایبری

حمله سایبری چیست؟

حمله سایبری به هرگونه اقدام مخربی گفته می‌شود که با هدف دسترسی غیرمجاز، تغییر، تخریب یا سرقت اطلاعات از سیستم‌های رایانه‌ای و شبکه‌ها انجام می‌گیرد. این نوع حملات می‌توانند زیرساخت‌های دیجیتال، داده‌های سازمانی یا شخصی و حتی عملکرد کلی شبکه‌ها را مورد هدف قرار دهند. مهاجمان سایبری معمولاً با بهره‌گیری از ضعف‌های امنیتی در نرم‌افزارها یا رفتار کاربران، تلاش می‌کنند تا به منابع ارزشمند دست پیدا کنند یا عملکرد سیستم‌ها را مختل نمایند. با گسترش استفاده از فناوری‌های دیجیتال در کسب‌وکارها و زندگی روزمره، تهدیدات سایبری نیز رو به افزایش است. امروزه حملات سایبری تنها به ویروس‌ها یا بدافزارهای ساده محدود نمی‌شوند، بلکه به شکل‌های پیشرفته‌تری گسترش یافته‌اند. این حملات اغلب با روش‌های پیچیده و هدفمند انجام می‌شوند و می‌توانند خسارات سنگینی برای افراد، سازمان‌ها و حتی زیرساخت‌های حیاتی یک کشور به‌ همراه داشته باشند. به همین دلیل، آگاهی از انواع این تهدیدات و اتخاذ تدابیر امنیتی مناسب، نقشی کلیدی در حفاظت از اطلاعات و منابع دیجیتال ایفا می‌کند. در ادامه، به بررسی و معرفی رایج‌ترین انواع حملات سایبری خواهیم پرداخت.

انواع حملات سایبری

حملات Denial-of-Service (DoS) و Distributed Denial-of-Service (DDoS) از رایج‌ترین و در عین حال مخرب‌ترین انواع حملات سایبری محسوب می‌شوند که هدف اصلی آن‌ها ایجاد اختلال در عملکرد طبیعی وبسایت‌ها یا سرویس‌های آنلاین است. در این نوع حملات، مهاجمان با ارسال حجم بسیار بالایی از درخواست‌های جعلی و غیرواقعی، منابع سرور یا شبکه هدف را به شدت اشغال می‌کنند تا سرویس مورد نظر، دیگر قادر به پاسخگویی به درخواست‌های کاربران نباشد. در حمله DoS، این فشار از جانب یک منبع یا دستگاه واحد به سرور وارد می‌شود، اما در حملات DDoS، هزاران یا حتی میلیون‌ها دستگاه آلوده که به‌ وسیله مهاجم کنترل می‌شوند، به طور هم ‌زمان این حجم از ترافیک مخرب را ایجاد می‌کنند که موجب افزایش قدرت تخریبی و دشواری مقابله با حمله می‌شود. این دستگاه‌ها که معمولاً به عنوان بات ‌نت شناخته می‌شوند، می‌توانند از کامپیوترهای خانگی، سرورها و دستگاه‌های اینترنت اشیا تشکیل شده باشند. برخلاف حملاتی که هدف آن‌ها نفوذ به سیستم‌ها و دسترسی به داده‌های حساس است، حملات DoS و DDoS معمولاً فقط قصد دارند سرویس را مختل کنند و باعث ایجاد اختلال در دسترسی کاربران به سرویس یا وبسایت شوند. این حملات گاهی به صورت سازمان‌یافته و به سفارش رقبا یا افراد سودجو انجام می‌گیرند تا از طریق ایجاد اختلال در عملکرد سرویس رقیب، به منافع مالی یا رقابتی دست یابند. همچنین حملات DoS و DDoS می‌توانند به عنوان دروازه‌ای برای سایر حملات سایبری عمل کنند؛ چرا که در زمان بروز این اختلالات، سیستم‌ها در حالت آسیب‌پذیری بیشتری قرار می‌گیرند و ممکن است مهاجمان دیگر از این فرصت برای نفوذ یا انجام حملات پیشرفته‌تر استفاده کنند.

  • بدافزار (Malware)

بدافزار یا Malware نوعی نرم‌افزار مخرب است که با نیت آسیب ‌رساندن به سیستم‌های رایانه‌ای و یا شبکه‌ها طراحی می‌شود. این نرم‌افزارها معمولاً توسط عوامل مخرب برای دستیابی به اهدافی مانند سرقت اطلاعات، کنترل سیستم‌ها، ایجاد اختلال در عملکرد شبکه یا حتی اخاذی مورد استفاده قرار می‌گیرند. روش‌های انتشار بدافزار متنوع‌اند؛ از طریق فایل‌های آلوده، لینک‌های فیشینگ، نرم‌افزارهای تقلبی یا سوءاستفاده از ضعف‌های امنیتی در سیستم. پس از ورود به سیستم، بدافزار می‌تواند عملکردهای مختلفی داشته باشد، از جمله:

  1. مسدود کردن دسترسی کاربران به بخش‌های مهم سیستم
  2. نصب نرم‌افزارهای مخرب دیگر برای گسترش آسیب
  3. سرقت اطلاعات محرمانه از طریق جاسوسی و ارسال داده‌ها به خارج از سیستم
  4. ایجاد اختلال در عملکرد سیستم و از کار انداختن بخش‌هایی از آن

در جدول زیر، رایج‌ترین انواع بدافزارها همراه با توضیحی کوتاه درباره هر یک ارائه شده است.

توضیح نوع
باج‌افزار نوعی بدافزار است که با رمزگذاری فایل‌ها یا مسدود کردن دسترسی به سیستم، مانع استفاده کاربران یا سازمان‌ها از داده‌هایشان می‌شود. در این حمله، مهاجمان سایبری در ازای پرداخت مبلغی به‌ عنوان باج، کلید رمزگشایی را به قربانی ارائه می‌کنند. Ransomware
Fileless malware نوعی بدافزار است که بدون نیاز به نصب یا ذخیره فایل، با استفاده از ابزارهای داخلی سیستم‌عامل، فعالیت مخرب انجام می‌دهد. Fileless Malware
Spyware نرم‌افزاری است که به‌طور پنهانی اطلاعات شخصی کاربر را جمع‌آوری می‌کند. Spyware
Adware با ردیابی فعالیت کاربر، تبلیغات هدفمند نمایش می‌دهد و گاه موجب مزاحمت و کاهش سرعت سیستم می‌شود. Adware
تروجان نرم‌افزاری مخرب است که در قالب برنامه‌ای بی‌ضرر پنهان شده و پس از نصب، دسترسی غیرمجاز برای مهاجم فراهم می‌کند. Trojan
کرم‌ها بدافزارهایی هستند که بدون دخالت کاربر خود را تکثیر و منتشر می‌کنند و ممکن است باعث حذف یا تخریب فایل‌ها شوند. Worms
Rootkit برای مخفی کردن فعالیت‌های غیرمجاز و ایجاد دسترسی پنهانی در سیستم طراحی شده است. Rootkits
Mobile malware مخصوص حمله به گوشی‌های هوشمند و تبلت‌هاست و از طریق آسیب‌پذیری‌ها یا شبکه‌های ناامن گسترش می‌یابد. Mobile Malware
Exploit کدی است که از آسیب‌پذیری‌های نرم‌افزار یا سیستم‌عامل سوءاستفاده می‌کند تا دسترسی غیرمجاز یا حمله انجام دهد. Exploits
Scareware با نمایش هشدارهای جعلی، کاربر را به نصب نرم‌افزار تقلبی یا پرداخت هزینه برای مشکلی غیرواقعی وادار می‌کند. Scareware
Keylogger تمامی کلیدهای فشرده‌شده روی صفحه‌کلید را ثبت کرده و اطلاعاتی مانند رمز عبور و شماره کارت را سرقت می‌کند. Keylogger
Botnet شبکه‌ای از دستگاه‌های آلوده است که به صورت هماهنگ توسط مهاجم کنترل می‌شوند و برای حملات گسترده استفاده می‌شوند. Botnet
MALSPAM به ایمیل‌هایی گفته می‌شود که حاوی فایل یا لینک آلوده به بدافزار هستند و برای آلوده کردن سیستم ارسال می‌شوند. Malspam
Wiper Attack حمله‌ای برای حذف دائمی داده‌ها است، به‌گونه‌ای که بازیابی آن‌ها تقریباً غیرممکن باشد. Wiper Attack

مهندسی اجتماعی یکی از روش‌های متداول در حملات سایبری است که در آن مهاجم با تکیه بر تکنیک‌های فریب، نفوذ روانی و سوءاستفاده از اعتماد یا ناآگاهی افراد، سعی می‌کند اطلاعات حساس یا دسترسی‌های مهم به سیستم آنها به دست آورد. در این نوع حمله، به ‌جای بهره‌گیری از ضعف‌های فنی سیستم، ضعف‌های انسانی مورد هدف قرار می‌گیرند. مهاجم ممکن است خود را به ‌جای یک شخص معتبر مانند کارمند بانک، همکار بخش فناوری اطلاعات یا حتی یک دوست معرفی کند و قربانی را متقاعد ‌کند که اطلاعاتی مانند رمز عبور، کد تأیید یا سایر داده‌های مهم را در اختیار او قرار دهد.
در ادامه، با مهم‌ترین انواع حملات مهندسی اجتماعی و روش‌های اجرای آن‌ها آشنا می‌شویم.
Phishing: فیشینگ یکی از رایج‌ترین انواع حملات سایبری است که در آن هکرها با ارسال ایمیل‌ها یا پیام‌هایی که ظاهراً از منابع معتبر و قابل اعتماد می‌آیند، تلاش می‌کنند افراد را فریب دهند تا اطلاعات حساس خود مانند رمز عبور یا شماره حساب را در اختیار آن‌ها قرار دهند. این حملات با استفاده از ترفندهای مهندسی اجتماعی انجام می‌شوند و هدف آن‌ها دسترسی غیرمجاز به داده‌ها یا سیستم‌های قربانی است. فیشینگ معمولاً با ارسال لینک‌های جعلی همراه است که کاربر را به سایت‌های فریبنده هدایت می‌کند یا باعث دانلود نرم‌افزارهای مخرب می‌شود.
Whaling: Whaling نوع خاص و پیشرفته‌ای از حملات فیشینگ است که هدف آن افراد بسیار مهم و با سطح دسترسی بالا در سازمان‌ها، مثل مدیران ارشد یا اعضای هیئت مدیره است. در این حمله، مهاجم به جای ارسال پیام‌های عمومی و انبوه، با دقت و تحقیق زیاد، پیام‌های شخصی ‌سازی شده و بسیار دقیق آماده می‌کند تا اعتماد این افراد را جلب کند. در حملات Whaling، مهاجم ابتدا تحقیقات عمیقی درباره هدف خود انجام می‌دهد؛ مثلاً اطلاعاتی مثل نقش سازمانی، فعالیت‌های عمومی، شبکه‌های اجتماعی و سبک ارتباطی او را بررسی می‌کند. سپس پیام‌هایی طراحی می‌کند که به ‌نظر کاملاً قانونی و معتبر می‌آیند و معمولاً درباره مسائل حساس مالی یا اداری هستند، مانند درخواست انتقال وجه یا تایید قرارداد مهم.
Baiting: Baiting نوعی حمله مهندسی اجتماعی است که در آن، مهاجم با استفاده از وعده‌ها و پیشنهادات جذاب و دروغین، افراد را به دام می‌اندازد. معمولاً این وعده‌ها شامل مواردی مانند دانلود رایگان بازی، فیلم، موسیقی یا ارتقای گوشی می‌شود که کاربران را ترغیب می‌کند اطلاعات شخصی خود را در اختیار مهاجم قرار دهند یا بدافزاری را به صورت ناخواسته روی سیستم خود نصب کنند. علاوه بر روش‌های آنلاین، baiting گاهی به شکل فیزیکی نیز انجام می‌شود. مثلاً مهاجم یک فلش ‌درایو آلوده را در مکانی عمومی یا محل کار رها می‌کند، به این امید که فرد کنجکاوی آن را به کامپیوتر خود متصل کند.
Smishing / SMS-phishing: Smishing نوعی حمله مهندسی اجتماعی است که از طریق پیامک (SMS) انجام می‌شود. در این روش، مهاجم پیامکی حاوی لینک مخرب یا درخواست فریبنده برای کاربر ارسال می‌کند تا او را ترغیب کند روی لینک کلیک کند یا اطلاعات شخصی خود را افشا کند. در کل، smishing همان فیشینگ است که به جای ایمیل یا شبکه‌های اجتماعی، از طریق پیامک انجام می‌شود.

حمله Man-in-the-middle (MITM) نوعی حمله سایبری است که در آن مهاجم به‌ صورت مخفیانه وارد مسیر تبادل اطلاعات بین دو سیستم یا کاربر می‌شود و داده‌های رد و بدل شده را شنود، رهگیری یا حتی تغییر می‌دهد، بدون اینکه طرفین متوجه حضور او شوند. این حمله معمولاً زمانی رخ می‌دهد که اطلاعات حساس مانند رمز عبور، اطلاعات بانکی یا پیام‌های خصوصی در حال انتقال باشند و مهاجم با استفاده از روش‌هایی مانند جعل گواهی‌های امنیتی HTTPS یا تغییر آدرس‌های DNS، کنترل مسیر ارتباطی را به دست می‌گیرد. نتیجه این حمله می‌تواند سرقت اطلاعات، نفوذ به حساب‌های کاربری و دستکاری داده‌ها باشد که پیامدهای جدی برای کاربران دارد.
در ادامه با رایج‌ترین انواع حملات MitM آشنا می‌شویم:

  1. Email hijacking: در این نوع حمله، مجرمان سایبری کنترل حساب‌های ایمیل بانک‌ها، مؤسسات مالی یا شرکت‌های معتبر را به ‌دست می‌گیرند. آن‌ها می‌توانند تراکنش‌ها و ارتباطات میان بانک و مشتریان را زیر نظر بگیرند. در سناریوهای مخرب‌تر، مهاجم با جعل آدرس ایمیل بانک، پیام‌هایی برای مشتریان ارسال می‌کند و از آن‌ها می‌خواهد اطلاعات ورود خود یا حتی پولی را به حسابی که در اختیار مهاجم است، ارسال کنند.
  2. Wi-Fi eavesdropping: در این روش، مجرمان سایبری قربانی را به اتصال به یک شبکه بی‌سیم جعلی با نامی قابل اعتماد ترغیب می‌کنند. این شبکه ممکن است شبیه به شبکه یک کسب‌وکار نزدیک یا با نامی عمومی مانند Free Public Wi-Fi Network باشد. پس از اتصال قربانی، مهاجم می‌تواند فعالیت‌های آنلاین او را رصد کرده و اطلاعات حساس او را سرقت کند.
  3. Session hijacking: در حمله Session Hijacking ، مهاجم تلاش می‌کند کنترل یک نشست فعال بین کاربر و یک سرویس (مثلاً وبسایت یا اپلیکیشن) را به‌ دست بگیرد. این حمله معمولاً زمانی رخ می‌دهد که کاربر به یک سرویس (مثل ایمیل یا حساب بانکی) وارد شده و نشست کاربر با استفاده از یک session ID یا cookie مدیریت شود. در این نوع حمله، مهاجم با سرقت session ID، بدون نیاز به وارد کردن نام کاربری و گذرواژه، به حساب کاربر دسترسی پیدا می‌کند.
  4. SSL hijacking: در این نوع حمله، مهاجم داده‌های در حال تبادل بین کاربر و سرور را رهگیری می‌کند، حتی اگر ارتباط به ظاهر امن و مبتنی بر HTTPS باشد. این حمله به دلیل آسیب‌پذیری‌های موجود در نسخه‌های قدیمی پروتکل SSL امکان‌پذیر است.
  5. ARP cache poisoning: در این حمله، مهاجم رایانه قربانی را فریب می‌دهد تا آن را به‌ عنوان Gateway شبکه بشناسد. به این ترتیب، تمام ترافیک شبکه قربانی به جای مسیر اصلی به سمت مهاجم هدایت می‌شود و مهاجم می‌تواند داده‌های حساس قربانی را استخراج کند.
  • Spoofing

Spoofing نوعی حمله سایبری است که در آن مهاجم با جعل هویت افراد یا شرکت‌های معتبر، تلاش می‌کند کاربران را فریب داده و اطلاعات شخصی یا حساس آن‌ها را به دست آورد. هدف اصلی این حملات، گمراه کردن کاربران برای فاش کردن اطلاعات مهم یا ورود به سیستم‌های حساس است. در ادامه به بررسی انواع رایج حملات Spoofing می‌پردازیم.

  1. IP Spoofing: در این نوع حمله، مهاجم با تغییر بخش header بسته‌های IP، ترافیک را طوری جعل می‌کند که انگار از یک میزبان یا آدرس IP معتبر ارسال شده است. این کار باعث می‌شود تا مهاجم بتواند از سد ابزارهای امنیتی شبکه عبور کند و به سیستم دسترسی پیدا کند. در برخی حملات پیشرفته‌تر، مهاجم با تقسیم‌بندی بسته‌هایIP (Fragmentation) تلاش می‌کند سیستم‌های تشخیص نفوذ را فریب دهد.
  2. Email Spoofing: در این حمله، مهاجمان با استفاده از آدرس‌های ایمیل جعلی یا دستکاری داده‌های سرور، آدرس فرستنده را طوری جعل می‌کنند که شبیه به آدرس‌های معتبر و آشنا به نظر برسد.
    Caller ID Spoofing: در این روش، مهاجم شماره تماس(Caller ID) را طوری جعل می‌کند تا به نظر برسد تماس از یک شماره آشنا یا محلی برقرار شده است. این ترفند باعث می‌شود افراد به تماس اعتماد کنند و دستورات مهاجم را بدون تردید اجرا کنند. این نوع حمله معمولاً با ایجاد فشار زمانی و فوریت در تماس صوتی همراه است.
  3. Website Spoofing: در این نوع حمله، مهاجم طراحی و ساختار یک وبسایت معتبر را کاملاً تقلید می‌کند یا دامنه‌ای بسیار شبیه به دامنه اصلی، با تفاوت‌های کوچک در نوشتار یا پسوند، ثبت می‌کند. کاربران با ورود به این سایت‌های جعلی، لوگوی برند واقعی را مشاهده کرده و بدون شک اطلاعات ورود خود را وارد می‌کنند که این اطلاعات به سرقت می‌رود. استفاده از گواهینامه‌های SSL تقلبی یا ارزان ‌قیمت، باعث افزایش اعتبار ظاهری این سایت‌ها می‌شود.
  4. GPS Spoofing: GPS Spoofing یک نوع حمله سایبری است که در آن مهاجم با ارسال سیگنال‌های جعلی به دستگاه‌های گیرنده GPS، موقعیت مکانی واقعی آن‌ها را دستکاری می‌کند. به عبارت دیگر، دستگاه فکر می‌کند که در مکان دیگری قرار دارد، در حالی که در واقع موقعیت واقعی تغییر نکرده است. این نوع حمله می‌تواند روی خودروها، پهپادها، کشتی‌ها و غیره تأثیر بگذارد و باعث ایجاد خطاهای جدی در تعیین موقعیت مکانی شود.
  5. DNS Spoofing: در این نوع حمله، مهاجم با دستکاری رکوردهای DNS یا مسموم‌ سازی کش DNS (DNS Cache Poisoning)، درخواست‌های تفکیک نام دامنه را به سمت یک آدرس IP ساختگی هدایت می‌کند. بدین ترتیب، قربانی همچنان نام دامنه معتبر را مشاهده می‌کند اما به جای وبسایت اصلی، به سایتی جعلی منتقل می‌شود که هدف آن سرقت اطلاعات حساس است.
  1. SQL Injection

حملات SQL Injection یکی از رایج‌ترین و خطرناک‌ترین روش‌های نفوذ به سیستم‌هایی هستند که برای عملکرد خود به پایگاه‌ داده متکی‌اند. این حملات با سوء‌استفاده از زبان SQL انجام می‌شوند و معمولاً زمانی رخ می‌دهند که مهاجم بتواند دستورات SQL را به‌ صورت غیرمجاز در ورودی‌های برنامه وارد کند. در یک حمله SQL Injection، مهاجم از طریق ارسال یک کوئری جعلی به پایگاه داده، دستوراتی را جایگزین ورودی‌های رایج و مجاز مانند نام کاربری یا رمز عبور می‌کند. اگر سیستم به ‌درستی اعتبارسنجی ورودی‌ها را انجام نداده باشد، دستور مخرب به ‌وسیله پایگاه داده اجرا می‌شود و امکان دسترسی به اطلاعات حساس، تغییر یا حذف داده‌ها و حتی اجرای عملیات مدیریتی نظیر خاموش‌ کردن سرور را فراهم می‌سازد.
از مهم‌ترین پیامدهای موفقیت ‌آمیز بودن حمله SQL Injection می‌توان به موارد زیر اشاره کرد:

  1. افشای اطلاعات حساس کاربران
  2. تغییر یا حذف داده‌های کلیدی
  3. کسب دسترسی مدیریتی به پایگاه داده و ایجاد کنترل کامل
  4. توقف یا اختلال در سرویس‌ دهی سیستم

Cross-site scripting (XSS) نوعی حمله سایبری است که در آن مهاجم کدی مخرب را به محتوای یک وبسایت معتبر تزریق می‌کند. سپس، این کد در صفحاتی که به صورت داینامیک برای کاربران ساخته شده‌اند ، اجرا می‌شود. به کمک این روش، مهاجم می‌تواند اسکریپت‌هایی به زبان‌هایی مانند JavaScript، Java و HTML را در مرورگر کاربران اجرا کند. مهاجمان با استفاده از XSS قادرند کوکی‌های session کاربران را سرقت کنند و هویت آن‌ها را جعل کنند. همچنین می‌توانند بدافزار منتشر کنند، ظاهر سایت را تغییر دهند، اطلاعات حساس کاربران را بدزدند یا اقدامات مخرب دیگری انجام دهند.
در ادامه به معرفی دو نوع اصلی XSS، خواهیم پرداخت.

  1. Reflected Cross-site Scripting: Reflected Cross-site Scripting یک نوع حمله سایبری است که در آن کد مخرب به‌ صورت موقت و مستقیم در پاسخ یک سرور به درخواست کاربر تزریق می‌شود. در این حمله، مهاجم کد جاوااسکریپت یا اسکریپت‌های دیگر را در URL یا داده‌های ورودی مثل فرم‌ها می‌گنجاند و وقتی کاربر روی لینک آلوده کلیک می‌کند، این کد در مرورگر کاربر اجرا می‌شود. ویژگی اصلی Reflected XSS این است که کد مخرب به صورت دائم روی سرور ذخیره نمی‌شود و تنها در همان درخواست و پاسخ خاص اجرا می‌شود.
  2. Persistent Cross-site Scripting: Persistent Cross-site Scripting یا Stored XSS نوعی از حملات XSS است که در آن کد مخرب به‌ طور دائمی روی سرور قربانی ذخیره می‌شود و هر بار که کاربران به محتوای آلوده دسترسی پیدا می‌کنند، این کد در مرورگر آن‌ها اجرا می‌شود. در این روش، مهاجم اسکریپت مخرب خود را از طریق ورودی‌های کاربر (مانند فرم‌های ارسال نظر، پیام‌ها و یا پروفایل‌های کاربری) به سایت تزریق می‌کند. چون سایت داده‌ها را بدون اعتبارسنجی و پاکسازی مناسب ذخیره می‌کند، اسکریپت مهاجم در محتوای صفحه باقی می‌ماند و به تمام کاربرانی که آن صفحه را مشاهده می‌کنند تحویل داده می‌شود. وقتی کاربری صفحه‌ای که حاوی داده‌های آلوده است (مثلاً پروفایل، نظر یا پست) را باز می‌کند، مرورگر او اسکریپت مخرب را به‌ عنوان بخشی از محتوای صفحه پردازش و اجرا می‌کند. این کد می‌تواند برای سرقت کوکی‌ها، تزریق بدافزار، یا تغییر ظاهر و عملکرد سایت استفاده شود. برخلاف Reflected XSS که کد مخرب تنها در پاسخ به یک درخواست خاص وجود دارد، در Persistent XSS کد در پایگاه داده یا محتوای سایت ذخیره می‌شود و بارها و بارها برای کاربران مختلف اجرا می‌شود.

حملات zero-day زمانی رخ می‌دهند که هکرها از یک ضعف امنیتی در نرم‌افزار استفاده می‌کنند که هنوز توسط توسعه‌ دهنده یا سازنده نرم‌افزار کشف یا رفع نشده است. این آسیب‌پذیری‌ها معمولاً بلافاصله پس از عرضه نرم‌افزار یا در زمان کوتاهی پس از آن شناسایی می‌شوند و توسعه‌ دهنده فرصت کافی برای اصلاح و ارائه به ‌روزرسانی امنیتی برای آن ندارد. در این وضعیت، مهاجم با بهره‌برداری از این ضعف، می‌تواند به سیستم نفوذ کند و کنترل آن را در دست بگیرد. برای محافظت در برابر این نوع حملات، لازم است نرم‌افزارها را همواره به ‌روزرسانی کرده و آخرین پچ‌های امنیتی را نصب کنید. همچنین، استفاده از نرم‌افزارهای امنیتی مانند آنتی‌ویروس و فایروال در شناسایی و مسدودسازی رفتارهای مشکوک نقش مهمی دارد. این نوع حملات می‌تواند پیامدهای بسیار خطرناکی برای سازمان‌ها و کاربران به همراه داشته باشد. مهاجمان با سوءاستفاده از این آسیب‌پذیری‌ها قادرند به سیستم‌ها نفوذ کرده و کنترل کامل آن‌ها را در اختیار بگیرند. در چنین شرایطی، اطلاعات حساس از جمله داده‌های مالی، اطلاعات کاربران یا اسرار تجاری در معرض سرقت قرار می‌گیرد. علاوه بر این، مهاجمان می‌توانند بدافزارها، باج‌افزارها یا ابزارهای نظارتی را روی سیستم‌های قربانی نصب کنند تا به اهداف خرابکارانه یا جاسوسی خود دست یابند. از دیگر پیامدهای این حملات می‌توان به ایجاد اختلال در عملکرد سیستم‌ها و شبکه‌ها اشاره کرد که ممکن است فعالیت‌های عادی سازمان را مختل کرده و خسارات جبران‌ناپذیری به بار آورد.

  • DNS Tunnelling

DNS Tunneling یکی از پیچیده‌ترین و خطرناک‌ترین روش‌های مورد استفاده مهاجمان سایبری برای نفوذ به شبکه‌ها و استخراج داده‌های حساس است. در این روش، مهاجم داده‌ها یا دستورات مخرب خود را درون درخواست‌های استاندارد DNS جاسازی می‌کند تا بتواند از مکانیزم‌های امنیتی عبور کند و ارتباطات غیرمجاز خود را به صورت پنهانی برقرار سازد. از آنجایی که ترافیک DNS جزو ترافیک‌های حیاتی و مجاز هر شبکه‌ای محسوب می‌شود و معمولاً توسط فایروال‌ها، سیستم‌های تشخیص نفوذ و سایر ابزارهای امنیتی مسدود یا محدود نمی‌شود، مهاجمان می‌توانند با استفاده از DNS Tunneling بدون جلب توجه، داده‌های مهم و حساس سازمان را به بیرون منتقل کنند یا دستورات مخرب خود را به سیستم‌های آلوده ارسال نمایند. این تکنیک به مهاجم اجازه می‌دهد تا حتی در شرایطی که سایر کانال‌های ارتباطی تحت نظارت شدید هستند، یک تونل مخفی ایجاد کند و از طریق آن به اهداف خود برسد. DNS Tunneling می‌تواند برای سرقت اطلاعات محرمانه، برقراری ارتباط فرمان و کنترل (C2)، انتقال بدافزارهای پیشرفته و حتی انجام عملیات جاسوسی سایبری مورد استفاده قرار گیرد. همین موضوع باعث می‌شود این روش به یکی از چالش‌های جدی امنیت سایبری برای سازمان‌ها تبدیل شود.

حملات supply chain نوعی حمله سایبری پیچیده هستند که به جای هدف‌ گیری مستقیم سازمان، زیرساخت‌ها و شبکه‌های تامین‌کنندگان نرم‌افزار یا سایر شرکای تجاری آن سازمان را هدف قرار می‌دهند. از آنجا که این تامین ‌کنندگان اغلب به شبکه مشتریان خود متصل هستند، نفوذ به سیستم‌های آنها می‌تواند دروازه‌ای برای دسترسی به چندین سازمان و داده‌های حساس‌ آنها باشد. یک نمونه بارز این حملات، نفوذ به شرکت SolarWinds در سال ۲۰۲۰ بود که مهاجمان با آلوده کردن به‌روزرسانی نرم‌افزاری، بدافزاری را به شبکه مشتریان این شرکت منتقل کردند. این بدافزار به هکرها اجازه داد تا به اطلاعات حساس و محرمانه نهادهای مهم دولتی آمریکا مانند وزارت خزانه‌ داری، دادگستری و امور خارجه دسترسی پیدا کنند و خسارات گسترده‌ای وارد سازند.
در ادامه به بررسی انواع مختلف حملات Supply Chain می‌پردازیم. شناخت دقیق این انواع حملات به سازمان‌ها کمک می‌کند تا راهکارهای موثرتری برای پیشگیری و مقابله با آن‌ها اتخاذ نمایند.

  1. Stolen Certificates: اگر مهاجمان گواهی دیجیتال(Digital Certificate) یک شرکت را سرقت کنند، می‌توانند کدهای مخرب خود را با استفاده از این گواهی معتبر منتشر کنند. این کار باعث می‌شود بدافزار با ظاهری قانونی توزیع شود و شناسایی آن دشوارتر گردد.
  2. Compromised Software Development Tools or Infrastructure: در این نوع حمله، مهاجمان ابزارها یا زیرساخت‌های توسعه نرم‌افزار را آلوده می‌کنند تا از همان ابتدای فرآیند تولید نرم‌افزار، آسیب‌پذیری‌هایی ایجاد شود که بعدها در محصولات نهایی باقی می‌ماند.
  3. Malware Preinstalled on Devices: مهاجمان بدافزار را به‌ صورت پنهانی روی دستگاه‌هایی مانند گوشی‌های هوشمند، حافظه‌های USB، دوربین‌ها و سایر تجهیزات قابل‌ حمل نصب می‌کنند. پس از اتصال این دستگاه‌ها به شبکه یا سیستم هدف، کدهای مخرب فعال می‌شود.
  4. Code Included in the Firmware of Components: مهاجمان می‌توانند کد مخرب را در firmware قطعات سخت‌افزاری قرار دهند. از آنجا که firmware نقش حیاتی در عملکرد سخت‌افزار دارد، این کد می‌تواند به مهاجمان امکان دسترسی به سیستم یا شبکه هدف را بدهد.
  • URL Interpretation

URL Interpretation که گاهی با عنوان URL Poisoning نیز شناخته می‌شود، یکی از روش‌های رایج و خطرناک در حملات مبتنی بر وب است که در آن مهاجم با تحلیل دقیق ساختار و الگوی URLهای یک وبسایت، سعی می‌کند به بخش‌هایی دسترسی پیدا کند که معمولاً برای کاربران عادی و عمومی قابل مشاهده یا در دسترس نیستند. در این حمله، مهاجم با بررسی نحوه طراحی و سازماندهی مسیرهای آدرس‌ دهی سایت (URL paths) و بهره‌گیری از روش‌های آزمون و خطا، به تدریج نقاط ضعف و مسیرهای مخفی را کشف می‌کند تا بتواند به اطلاعات یا بخش‌های حساس سایت دسترسی یابد. در واقع، این تکنیک مبتنی بر سوءاستفاده از ضعف‌های مدیریت دسترسی و عدم اعتبارسنجی مناسب در سمت سرور است که اجازه می‌دهد مهاجم با تغییر پارامترهای URL یا حدس زدن آدرس‌های محافظت‌نشده، کنترل بیشتری روی منابع وبسایت به دست آورد.

اهداف رایج و متداول در حملات URL Interpretation عبارتند از:

  1. دسترسی غیرمجاز به پنل مدیریت یا بخش‌های تنظیمات سایت: مهاجم تلاش می‌کند تا وارد بخش‌های مدیریتی شود که معمولا رمزگذاری شده یا محدود به کاربران خاص است.
    سرقت، تغییر یا دستکاری اطلاعات کاربران: از طریق دسترسی به پایگاه داده یا صفحات مدیریت، مهاجم می‌تواند اطلاعات حساس کاربران را بدزدد یا تغییر دهد.
  2. تزریق کدهای مخرب یا بارگذاری فایل‌های آلوده: مهاجم با دسترسی به فرم‌ها یا بخش‌های آپلود، کدهای مخرب خود را وارد سیستم می‌کند تا کنترل سایت را به دست گیرد یا سیستم‌های کاربران را آلوده کند.
    ایجاد Backdoor برای نفوذ در آینده: با ایجاد backdoor مخفی در سیستم، مهاجم می‌تواند در مراحل بعدی بدون شناسایی وارد شبکه یا سایت شود.
  3. حذف داده‌ها یا ایجاد اختلال در عملکرد سامانه: به منظور اخلال در سرویس‌دهی یا آسیب رساندن به اعتبار سایت، مهاجم ممکن است داده‌ها را حذف یا سیستم را از کار بیندازد.

حمله Brute Force یکی از روش‌های رایج نفوذ به حساب‌های کاربری است که در آن مهاجم با آزمون و خطا، سعی می‌کند رمز عبور یا اطلاعات ورود یک کاربر را حدس بزند. در این روش، مهاجم تمام ترکیب‌های ممکن از رمز عبور را یکی ‌یکی امتحان می‌کند تا بالاخره به رمز صحیح برسد و به سیستم یا حساب مورد نظر دسترسی پیدا کند. این نوع حمله اگرچه در ظاهر ابتدایی و زمان‌بر به نظر می‌رسد، اما در عمل با کمک ربات‌ها و ابزارهای خودکاری انجام می‌شود که قادر هستند در زمان بسیار کوتاهی هزاران یا حتی میلیون‌ها ترکیب رمز عبور را آزمایش کنند. مهاجم فقط کافی است لیستی از رمزهای عبور محتمل تهیه کند، سپس ربات به‌ صورت خودکار آن‌ها را روی حساب هدف آزمایش می‌کند. به‌ محض اینکه رمز درست وارد شود، مهاجم به سیستم نفوذ می‌کند.
در ادامه به مهم‌ترین و رایج‌ترین انواع این حملات اشاره می‌کنیم:

  1. حملات Simple Brute Force: در این نوع حمله، هکر بدون استفاده از نرم‌افزارهای خاص و به شکل دستی تلاش می‌کند تا رمز عبور یک کاربر را حدس بزند. معمولاً این حدس‌ها بر اساس ترکیب‌های ساده و رایج انجام می‌شود، چرا که بسیاری از کاربران هنوز از رمزهای عبور ضعیف مانند password123 یا ۱۲۳۴ استفاده می‌کنند یا یک رمز را برای چند حساب مختلف به کار می‌برند.
  2. حملات Dictionary: حمله Dictionary نوعی حمله ابتدایی از انواع حملات Brute Force است که در آن، مهاجم با انتخاب هدف، مجموعه‌ای از کلمات (مانند کلمات موجود در دیکشنری) را به‌ عنوان رمز عبور تست می‌کند. نام این حمله از آنجا آمده که هکرها معمولاً از دیکشنری‌های کلمات استفاده می‌کنند و آن‌ها را با اعداد و کاراکترهای خاص ترکیب می‌کنند. این نوع حمله زمان‌بر است و نسبت به روش‌های جدیدتر شانس موفقیت کمتری دارد.
  3. حملات Hybrid Brute Force: این نوع حمله ترکیبی از حملات Dictionary و Simple است. در این روش، هکر ابتدا نام کاربری هدف را می‌داند و با استفاده از کلمات رایج (Dictionary)، تلاش می‌کند رمز عبور را پیدا کند. سپس با بهره‌گیری از روش Simple Brute Force، ترکیب‌های متنوعی از حروف، اعداد و نمادها را امتحان می‌کند تا رمز عبور دقیق را کشف نماید. معمولاً این حمله با فهرستی از کلمات پرکاربرد آغاز شده و با اضافه کردن کاراکترهای تصادفی مانند سال‌ها یا نمادها ادامه می‌یابد.
  4. حملات Reverse Brute Force: در حمله Reverse Brute Force، مهاجم ابتدا یک یا چند رمز عبور شناخته شده (مثلاً رمزهایی که قبلاً از شبکه‌ای نفوذ کرده‌اند) را انتخاب می‌کند و سپس آن‌ها را روی میلیون‌ها نام کاربری امتحان می‌کند تا ببیند کدام حساب‌ها از آن رمز استفاده می‌کنند. این نوع حمله معمولاً با رمزهای عبور ضعیف و رایج مانند Password123 انجام می‌شود و می‌تواند تعداد زیادی حساب آسیب‌پذیر را شناسایی کند.
  5. Credential Stuffing :Credential Stuffing حمله‌ای است که از عادات ضعیف کاربران در انتخاب رمز عبور سوءاستفاده می‌کند. در این روش، مهاجم ترکیب‌های نام کاربری و رمز عبوری را که قبلاً به دست آورده است جمع‌آوری می‌کند و آن‌ها را در سایت‌ها و سرویس‌های مختلف امتحان می‌کند تا ببیند آیا کاربران از همان ترکیب برای حساب‌های متعدد خود استفاده کرده‌اند یا خیر. موفقیت این حمله زمانی بیشتر است که افراد رمز عبور و نام کاربری مشابهی را در چندین سایت یا شبکه اجتماعی به کار ببرند.
  • حملات Drive-by

در حملات Drive-by، هکرها کدهای مخرب را در وبسایت‌های ناامن جاسازی می‌کنند، به گونه‌ای که وقتی کاربر بدون انجام هیچ اقدامی تنها وارد آن سایت می‌شود، این کد به طور خودکار اجرا شده و دستگاه او آلوده می‌گردد. نام این حمله از این موضوع نشأت می‌گیرد که کاربر فقط با عبور یا بازدید از سایت، بدون نیاز به کلیک کردن یا وارد کردن اطلاعات، مورد حمله قرار می‌گیرد. برای محافظت در برابر این نوع حملات، ضروری است نرم‌افزارهای سیستم و برنامه‌های کاربردی مانند Adobe Acrobat و Flash همواره به آخرین نسخه به ‌روزرسانی شوند، زیرا نسخه‌های قدیمی‌تر آسیب‌پذیر هستند. علاوه بر این، استفاده از ابزارهای فیلتر وب می‌تواند پیش از ورود به سایت، خطرناک بودن آن را شناسایی و از دسترسی به آن جلوگیری کند.
حملات Drive-by معمولاً به چند نوع مختلف تقسیم می‌شوند که هر کدام شیوه‌ای متفاوت برای نفوذ و آلوده‌سازی دستگاه‌ها دارند. در ادامه مهم‌ترین انواع این حملات را معرفی می‌کنیم:

  1. Drive-by Download: در این نوع حمله، بدافزارها یا کدهای مخرب به صورت خودکار و بدون اطلاع کاربر، هنگام بازدید از یک وبسایت آلوده دانلود و روی سیستم نصب می‌شوند.
  2. Drive-by Exploit: در این حالت، مهاجم از آسیب‌پذیری‌های مرورگر یا افزونه‌های نصب شده مانند Flash، Java یا Silverlight سوء استفاده می‌کند تا کد مخرب را به صورت خودکار اجرا کند و کنترل دستگاه قربانی را به دست بگیرد.
  3. Malvertising: در این نوع حمله، تبلیغات آلوده در سایت‌های معتبر یا حتی سایت‌های معمولی قرار می‌گیرند. زمانی که کاربر این تبلیغات را مشاهده یا روی آن‌ها کلیک کند، به صورت خودکار بدافزار روی سیستم او اجرا می‌شود.
  4. Drive-by Pharming: در این نوع حمله، کاربر با بازدید از سایت مخرب به طور غیرمستقیم به سایتی دیگر که توسط مهاجم کنترل می‌شود هدایت می‌شود و این فرایند بدون اطلاع او انجام می‌گیرد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *