حملات سایبری

مقدمه – مهمترین رویدادهای امنیت سایبری سال ۲۰۱۷

سال ۲۰۱۷ سالی پر از تغییرات بزرگ در دنیای تهدیدات سایبری در مقابله با سازمان های مالی بود. ابتدا، در سال ۲۰۱۷ شاهد ادامه هدفگیری حملات سایبری به سیستمهای مالی که از SWIFT استفاده میکنند بودیم. این در حالی است که سیستم سوئیفت بخش اساسی اکوسیستم مالی جهان محسوب میشود.
مهاجمین توانستند از نرم افزارهای مخرب در موسسات مالی استفاده کنند تا برنامه های کاربردی معاملات فرا مرزی را دستکاری کنند، و امکان برداشت پول از هر سازمان مالی در جهان را امکانپذیر کنند. دلیل این امر این است که نرم افزار SWIFT تقریبا در تمام سازمانهای مالی اصلی در بازارهای جهانی به صورت یکپارچه مورد استفاده قرار می گیرد. قربانیان این حملات شامل چند بانک در بیش از ۱۰ کشور در سراسر دنیا بودند.

رویداد دوم در سال ۲۰۱۷، گسترش قابل ملاحظه تلاشهای مجرمان سایبری برای نفوذ به سازمانهای مالی بود. گروه های مختلف مجرمان سایبری به زیرساختهای بانکی ، سیستم های پول الکترونیکی ، مبادلات ارز های رمزنگاری شده ، صندوقهای مدیریت سرمایه، و حتی کازینوها نفوذ کردند. هدف اصلی آنها نیز برداشت مبالغ زیاد پول از این مراکز و سازمانها بود.
مهاجمان برای تکمیل فعالیتهای مجرمانه سایبری خود، به طرح های اثبات شده کسب درآمد از طریق دسترسی به شبکه اتکا کردند. علاوه بر حملات به سیستم های SWIFT، مجرمان اینترنتی فعالانه از آلوده کردن ATMها، بخصوص آنهایی که متعلق به شبکه خود سازمانهای مالی است نیز استفاده می کنند. همچنین حمله به سیستم های RB (بانکداری از راه دور)، ترمینالهای PoS و همچنین ایجاد تغییرات در بانک اطلاعاتی بانک ها برای ایجاد تغییرات در موجودی کارتها نیز از این دست حملات بود.
حمله به دستگاههای خودپرداز ارزش این را دارد که بصورت جداگانه مورد بررسی قرار بگیرد. این نوع سرقت در سال ۲۰۱۷ خیلی محبوب شده است. مجرمان سایبری حتی در انجمن های مخفیانه خود همه برنامه های مخرب و دستورالعمل ها و ویدیوهای آموزشی مورد نیاز برای دسترسی به دستگاه های خودپرداز را ارائه دادند. کسانی که یک اشتراک خریداری میکردند فقط نیاز به انتخاب یک دستگاه خودپرداز و انجام ادامه مراحل بعدی طبق دستورالعمل ها داشتند، و سپس مبلغی را برای فعال کردن برنامه مخرب در ATM به سازمان دهندگان این خدمات پرداخت کرده، و پس از آن فرآیند برداشت پول آغاز میشد. طرح هایی مثل این تعداد جرمهای سایبری را به میزان قابل توجهی افزایش داد ، و حتی جرایم سایبری را برای افراد غیر حرفه ای نیز قابل دستیابی کرد.

همچنین شاهد رهگیری عملیاتهای مشتریان بانکها در بانکداری اینترنتی از طریق ربودن اطلاعات از درگاههای اینترنتی بانکها بودیم. به این صورت که مشتریان در واقع به بانک های واقعی خود دسترسی پیدا نکرده بودند، بلکه به یک درگاه جعلی ایجاد شده توسط مجرمان وارد شده بودند. بنابراین مجرمان چندین ساعت فرصت این را داشتند که به انجام حملات فیشینگ بپردازند، کد مخرب را نصب کرده و از آن جهت اداره کردن عملیات و ربودن اطلاعات مشتریانی که از خدمات بانکی آنلاین در آن زمان استفاده میکردند بپردازند.

همچنین این نکته را باید گفت که در بعضی کشورها، ظاهرا بانک ها امنیت فیزیکی که به نظر آنها اصلن “مهم نیست” را فراموش کرده‌اند. این موضوع حتی انجام حملات به دارایی های بانکها را هم امکان پذیر کرده است. در بعضی موارد این سرقتها به علت دسترسی آسان به خطوط کابل است، که دستگاههای کوچک Raspberry Pi به آنها متصل میشوند. این دستگاهها برای چند ماه اطلاعات را در مورد شبکه های بانکی جمع آوری کرده و سپس از طریق اتصالات LTE به سرورهای مجرمان ارسال میکنند.

پیش بینهای سال ۲۰۱۸

حمله به زیرساختهای فن آوری های بلاک چین (Blockchain) سیستم های مالی

تقریبا تمام سازمان های مالی بزرگ دنیا به طور فعال در حال سرمایه گذاری بر روی سیستم های مبتنی بر تکنولوژی بلاک چین هستند. هر تکنولوژی جدید با اینکه دارای مزایایی است، اما شامل خطرات جدیدی هم میشود. سیستم های مالی مبتنی بر بلاک چین به صورت مستقل وجود ندارند، و به همین دلیل است که آسیب پذیری ها و اشتباه در پیاده سازی بلاک چین می تواند مهاجمان را قادر به سرقت و ایجاد اختلال در کار یک موسسه مالی بکند. برای مثال، در سال ۲۰۱۶-۲۰۱۷، وجود برخی از آسیب پذیری ها و خطاها در قراردادهای هوشمند کشف شد که در آنها تعدادی از خدمات موسسه مالی ساخته شده بود.

حملات زنجیره تامین (supply chain attacks) بیشتر در حوزه مالی

سازمان های مالی بزرگ مقادیر قابل توجهی برای امنیت سایبری خود سرمایه گذاری میکنند، در نتیجه نفوذ در زیرساخت آنها کار ساده ای نیست. با این حال، یکی از تهدیداتی که احتمالا به طور فعال توسط مجرمان سایبری در سال آینده از آن استفاده می شود حمله به فروشندگان نرم افزار تامین کننده برای سازمان های مالی است. اغلب این فروشندگان نرم افزار، دارای سطح ضعیفی از حفاظت در مقایسه با خود سازمان های مالی هستند. سال گذشته شاهد نمونه هایی از این حملات علیه: NetSarang، CCleaner و MeDoc بودیم. همانطور که می بینیم، مهاجمان جایگزینها یا آپدیتهایی برای انواع بسیار متفاوت نرم افزار در نظر گرفته اند. در سال آینده می توان انتظار داشت مجرمان سایبری حملات خود را متوجه نرم افزارهایی کنند که به طور خاص برای امور مالی سازمان ها طراحی شده است ، از جمله نرم افزار دستگاه های خودپرداز و پایانه های PoS. چند ماه پیش اولین تلاش برای این نوع حملات ثبت شد: زمانی که مهاجمان یک برنامه مخرب را در فایل نصبی یک سیستم عامل جاسازی کردند و آن را در وب سایت رسمی یکی از فروشندگان نرم افزار ATM آمریکایی قرار دادند.

هک رسانه های جمعی (به طور کلی، شامل حساب توییتر، صفحات فیس بوک، تلگرام، و غیره) و دستکاری آنها در قبال گرفتن سود مالی از طریق سهام یا مبادله ارز رمزنگاری شده

۲۰۱۷ به عنوان سال ‘اخبار جعلی’ به خاطر خواهد ماند. این عبارت علاوه بر منحرف کردن افکار عمومی می تواند به استفاده از روشهای نادرست برای به دست آوردن پول هم تعبیر شود. در حالی که معاملات بورس اوراق بهادار اغلب توسط روبات ها ، که برای انجام معاملات خاص مورد استفاده قرار می گیرد، انجام می شود؛ در عین حال میتواند منجر به تغییرات زیادی در قیمتهای اجناس و کالاها، اسناد مالی و ارزهای رمزنگاری شود. در واقع، فقط یک توییت از یک شرکت یا فرد تأثیرگذار یا موج پیامهایی که در یک شبکه اجتماعی با کمک حساب های جعلی ایجاد میشود ، می تواند بازارها را مدیریت کند. این روش قطعا توسط مجرمان استفاده خواهد شد. با این روش، پیدا کردن اینکه دقیقا کدامیک از ذینفعان هدف این حمله هستند تقریبا غیر ممکن است.

برنامه مخرب اتوماسیون ATM

اولین برنامه مخرب برای دستگاه های خودپرداز در سال ۲۰۰۹ ظاهر شد ، و از آن زمان این دستگاه ها مورد توجه بسیاری از حملات سایبری قرار گرفته است. در عین حال این نوع حملات همواره در حال تکامل بوده اند. سال گذشته شاهد ظهور برنامه های مخرب ATM به صورت یک سرویس بودیم و مرحله بعدی انجام اتوماسیون کامل توسط این حملات خواهد بود – یک مینی کامپیوتر به طور خودکار به ATM متصل شده و به نصب نرم افزارهای مخرب و جکپات کردن و یا جمع آوری اطلاعات کارتها خواهد پرداخت. این موضوع به طور قابل توجهی زمان مورد نیاز مجرمان را برای انجام سرقتشان کوتاه خواهد کرد.

حملات بیشتر به بسترهای مبادلات ارز رمزنگاری شده

سال گذشته، ارزهای رمزنگاری شده تعداد زیادی از سرمایه گذاران را جذب خود کرد، که به نوبه خود منجر به رونق خدمات جدید برای ارزها و توکنهای دیجیتالی شد. بازیگران سنتی در بازارهای مالی، حتی با شدیدترین سیستمهای حفاظت امنیتی سایبری ، برای ورود به این عرصه عجله ای به خرج ندادند. این وضعیت یک فرصت ایده آل برای مهاجمین برای مورد حمله قرار دادن مبادلات ارزهای رمزنگاری شده فراهم می کند. از یک طرف شرکت های جدید هنوز نتوانسته اند سیستم های امنیتی خود را به درستی آزمایش کنند. از سوی دیگر ، کل کسب و کار مبادله ارزهای رمز نگاری شده، به لحاظ فنی، بر روی اصول و فنون شناخته شده ساخته شده است. بنابراین، مهاجمان هم دانش کافی و هم ابزار لازم را برای نفوذ به زیربنای سایت ها و خدمات جدید که با اینگونه ارزها کار میکنند را در اختیار دارند.

افزایش سرقت سنتی از کارتها، که از شکافهای گسترده اطلاعات ناشی میشود

اتفاقات بزرگ اخیر در زمینه لو رفتن اطلاعات شخصی – از جمله مورد اخیر درباره Equifax ، که منجر به انتشار اطلاعات شخصی بیش از ۱۴۰ میلیون نفر از ساکنان ایالات متحده برای مجرمان سایبری شد و همچنین مورد Uber ، که اطلاعات ۵۷ میلیون نفر از مشتریان آن لو رفت – وضعیت امنیتی ایجاد کرده است که نشان میدهد تامین امنیت داده ها به صورت سنتی می تواند به طور جدی شکست بخورد، زیرا بر اساس تجزیه و تحلیل داده ها در مورد مشتریان جاری یا بالقوه میباشد.
به عنوان مثال، دسترسی کامل به اطلاعات شخصی یکی از قربانیان می تواند به مهاجمان اجازه دهد خودشان را به عنوان یک مشتری بانکی جا زده و پول فرد یا اطلاعات امنیتی فرد قربانی را به سرقت برده، و این در حالی است که بانک مربوطه درخواستها و تراکنشها را کاملا قانونی تصور خواهد کرد. بنابراین، سال آینده ممکن است با افزایش کلاهبرداریهای سنتی، از طریق دسترسی به داده های بزرگ جمع آوری شده (اما به درستی محافظت نشده) مشتریان سازمان های بزرگ که در طی سال ها جمع آوری شده است همراه باشد.

افزایش حمایتهای دولتی از گروههای مهاجم سایبری

گروه بدنام Lazarus که احتمالا مورد حمایت دولت کره شمالی است تعدادی از بانک های مختلف را در چند سال گذشته در بخش هایی از جهان مورد حمله قرار داده است. این بانک ها در کشورهایی از آمریکای لاتین، اروپا، آسیا و اقیانوسیه قرار داشتند و هدف اصلی آنها برداشت مبالغ هنگفت پول به میزان صدها میلیون دلار بود. علاوه بر این، اطلاعات منتشر شده توسط Shadow Brokers نشان می دهد که گروه های باتجربه APT حمایت شده از سوی دولت، اغلب موسسات مالی را برای کسب اطلاعات بیشتر در مورد جریان های پولی هدف قرار می دهند. این احتمال بسیار زیاد است که سال آینده دیگر گروه های APT از کشورهایی که به تازگی به جریان جاسوسی- سایبری پیوسته اند این رویکرد را ادامه خواهند داد و هدف آنها کسب پول و بدست آوردن اطلاعات مربوط به مشتریان، نحوه گردش وجوه و رویه های داخلی سازمان های مالی خواهد بود.

استفاده از Fintech و کاربران تلفنهای همراه: کاهش استفاده از تروجان های بانکداری اینترنتی سنتی و هدف قرار دادن کاربران تازه کار موبایل بانک

بانک های دیجیتال به روند انقلابی خود در بخش مالی در مقیاس جهانی، به ویژه در بازارهای نوظهور، ادامه خواهند داد. به عنوان مثال، در برزیل و مکزیک، این بانک ها فعالیت قابل توجهی از خود نشان داده اند، که البته همین امر توجه مجرمان سایبری را به خود جلب کرده است. شکی نیست که جهان شاهد افزایش اینگونه حملات و جرایم اینترنتی به سمت بانک ها و مشتریان آنها خواهد بود. ویژگی اصلی آنها فقدان کامل شعب و خدمات سنتی برای مشتریان است. تمام ارتباط بین بانک و مشتریان آن در واقع فقط از یک اپ تلفن همراه برقرار میشود. این موضوع می تواند شامل عواقبی باشد.
اولين مورد كاهش تعداد تروجان های ویندوز ، با هدف سرقت پول از طریق بانکداری اینترنتی سنتی است. مورد دوم این است که با توجه به افزایش تعداد روزافزون موسسات مالی دیجیتال منجر به افزایش تعداد کاربران آنها خواهد شد که اهداف ساده ای برای مجرمان اینترنتی خواهند بود: افرادی بدون هرگونه تجربه بانکداری تلفن همراه، اما با برنامه های بانکی که بر روی دستگاه های تلفن همراه آنها نصب شده است. این افراد هدف اصلی برای هر دوی حملات برنامه های مخرب، مانند Svpeng، و طرحهایی که کاملا براساس مهندسی اجتماعی ساخته شده خواهند بود. متقاعد کردن یک مشتری برای انتقال پول از طریق یک نرم افزار تلفن همراه بسیار ساده تر از مجبور کردن او به رفتن به شعبه بانک و واریز پول خواهد بود.

نتیجه گیری

در طول چند سال گذشته، تعداد و کیفیت حملات هدفمند در بخش مالی سازمان ها به طور مداوم رشد داشته است. این ها حملات زیرساخت های یک سازمان و کارمندان آن را هدف میگیرد، نه مشتریان آنها را.
موسسات مالی که تا به حال در مورد امنیت سایبری خود چاره اندیشی نکرده اند به زودی با عواقب حملات هکرها مواجه خواهند شد. این عواقب برای ادامه کسب و کار آنها بسیار جدی خواهد بود که حتی منجر به شکست کامل و یا ضررهای مالی هنگفت آنها خواهد شد.
برای جلوگیری از بروز چنین شرایطی ، لازم است به طور مداوم سیستم های امنیتی خود را برای مواجهه با تهدیدات جدید تطبیق دهیم. این موضوع بدون تجزیه و تحلیل داده ها و اطلاعات در مورد مهمترین حملات سایبری که موسسات مالی را هدف قرار میدهد غیر ممکن است.

یک رویکرد موثر در مبارزه با حملات سایبری برای بانک ها انتخاب راه حل های امنیتی مناسب خواهد بود ، و البته باید از گزارش های امنیتی تخصصی این حملات استفاده نمود تا بلافاصله در سیستم های کلی حفاظت پیاده سازی شوند. به عنوان مثال، استفاده از قوانین-YARA و IOCs (شاخص های تهدیدات) برای امور مالی سازمان ها در ماه های آینده حیاتی خواهد بود.