• پنج راهکار کاربردی ضدويروس Eset برای مقابله با باج افزارهای ایمیل


    حجم، پیچیدگی و نوع تهدیدات اینترنتی روز به روز در حال افزایش است. طبق تحقیقات متخصصان ESET ، در بین این تهدیدات باج افزارها در چند ماه اخیر روند رو به رشدی داشته اند.
    هدف این نوع بد افزارها دسترسی به اطلاعات کاربران، رمز گذاری فایل ها و درخواست مبلغ مشخصی از آنان می باشد، که روز به روز نوع این حملات و پیچیدگی های آن افزایش می یابد. برای مثال مجرمان سایبری با رمز نگاری نامتقارن الگوریتم ها ، که بازیابی اطلاعات را از طریق مهندسی معکوس غیر ممکن می سازد، به چنین اقدامی مبادرت می ورزند.
    با وجود این پیچیدگی ها زمانی که برای اولین بار سیستمی آلوده می شود، روش انتشار باج افزارها(مثل کاربرد مهندسی اجتماعی از طریق ارسال ایمیل) بسیار ساده میشود. بنابراین پیروی از قوانین حیاتی و در عین حال ساده ی زیر می تواند کاربران را از ابتلا به چنین تهدیداتی در امان نگه دارد.


       • تهدیدات جدید با روش های انتشار همیشگی


    در ماه های اخیر آزمایشگاه ESET ، اطلاعاتی در خصوص گسترش بد افزارهای مختلف بر اساس ایمیل های انبوه همراه با فایل پیوست را منتشر کرده است.
    تعدادی از بدافزاهایی که اغلب مورد استفاده قرار می گیرند عبارتند از CryptoLocker، TorrentLocker و اخیرا هم CTB-Locker که از میان دیگر روش ها از طریق فایل پیوست ایمیل گسترش می یابند.
    به محض نصب بر روی کامپیوتر کاربر ، رمز Filecoder اطلاعات کاربر را رمز نگاری کرده و درخواست مبلغی مشخص به عنوان باج جهت ارائه ی کلمه عبور اطلاعات سرقت شده به منظور رمز گشایی می کند.اگر کاربر وجه را پرداخت کند ، رمز ارائه شده فقط برای همین کامپیوتر قابل استفاده خواهد بود و نه دیگر سیستم های آلوده.
    در اینجا بهتر است به سراغ راه کارهایی ساده و کاربردی جهت جلوگیری از ابتلا و یا به حداقل رساندن حملات این نوع تهدیدات برویم.


            1- اجتناب از ارائه ی آدرس ایمیل


    اغلب مجرمان در وب سایت هایعمومی( مثل web forums) با جستجو در میان آدرس ایمیل ها به آدرس ایمیل های زیادی دسترسی پیدا می کنند. هدف از این اقدام به دست آوردن تعداد زیادی آدرس ایمیل برای گسترش بد افزارها، هرزنامه ها، حملات فیشینگ و باج افزارها می باشد.

    زمانی که فردی مبادرت به ارسال ایمیل های گروهی بدون پر کردن قسمت bcc ورزد، این پیام ها به مجرمان سایبری اجازه می دهد که به سادگی به این اطلاعات دسترسی پیدا کنند. ارسال مجدد ایمیل ها کار را برای مجرمان آسان تر خواهد کرد.


    2- بررسی متن پیام های دریافتی و ارسالی


    بررسی محتوای پیام های دریافتی بسیار ضروری است.علاوه بر محتوای پیام ها، فایل های پیوست آنها نیز امروزه راهکار مورد استفاده ی مجرمان برای انتشار بدافزارهای باجگیر می باشد.
    به همین خاطر کنترل فرستنده ی ایمیل، هشیار بودن نسبت به ایمیل های وسوسه انگیزی که مقاومت در برابر آنها سخت می باشد و کلیک نکردن بر روی لینک های ارسالی که کاربر را به وب سایت های آلوده ارتباط می دهد برای مقابله با بدافزارها و حفاظت از ایمیل حائز اهمیت می باشد.
    علاوه بر کنترل پیام های دریافتی کاربر بایستی نسبت به اطلاعاتی که ارسال می کند، گیرنده ی پیام و فایل های پیوست نیز دقت کافی داشته باشد. اطلاعات حیاتی ممکن است بر اثر بی دقتی به فردی ناشناس ارسال شود . حتی امکان ارسال بدافزارها هم به صورت ناخواسته وجود دارد.


    3- استفاده از نرم افزارهای امنیتی معتبر


    نصب و اجرای یک نرم افزار امنیتی جهت حفاظت از اطلاعات و همچنین تجهیزات کامپیوتری برای مقابله با نفوذ و گسترش بد افزارها بسیار حیاتی می باشد.
    اگر به اشتباه و یا از روی نا آگاهی فایلی آلوده نصب شده و یا بر روی لینکی مخرب کلیک شود نرم افزار امنیتی اجازه ی اجرا و آلوده سازی سیستم را نخواهد داد. البته باید توجه داشت که آنتی ویروس ها بایستی به روز بوده باشد و تنظیماتشان نیز به درستی انجام شده باشد.
    علاوه بر این و با توجه به اینکه بدافزارها برای نصب و آلوده سازی سیستم های اندروید( مثل تروجان Simplocker که برای اولین بار رمزگذاری سیستم های اندروید را انجام داد) نیز به روز شده اند ، نصب آنتی ویروس بر روی تبلت ها و تلفن های هوشمند نیز بسیار ضروری به نظر می رسد.


    4- به روز رسانی آنتی ویروس ها، برنامه های کاربردی و نرم افزارها


    به روز رسانی نرم افزارهای کامپیوتری و آنتی ویروس ها برای مقابله با تهدیدات جدید بسیار مهم می باشد.
    همچنین اطمینان از اعتبار نرم افزارهای دانلود و نصب شده بر روی سیستم مهم می باشد. اگرچه مجرمان سایبری معمولا از طریق ارسال ایمیل نسبت به انتشار این بدافزارها اقدام می کنند اما گاهی با قرار دادن لینک ها و برنامه های آلوده نیز به این کار مبادرت می ورزند.


    5- پشتیبان گیری از داده ها و اطلاعات بر روی درایورهای خارجی


    در مورد کاربرانی که قربانی این حملات شده اند آخرین راهکار می تواند تهیه ی نسخه ی پشتیبان از اطلاعات و داده ها باشد. متخصصان ESET علاوه بر عنوان فواید تهیه نسخه ی پشتیبان روش صحیح پشتیبان گیری را نیز آموزش داده اند.
    بی توجهی به ایمیل های دریافتی از سوی افراد ناشناس و عدم دانلود فایل های پیوست مهم ترین اقدامی است که در اولین مرحله بایستی انجام داد. اما بهترین اقدامی که در صورت ابتلا به این تهدیدات پیش روی شما قرار دارد تهیه ی نسخه ی پشتیبان از فایل ها و داده ها بر روی درایور های خارجی است.


    • ترکیبی از شیوه های مناسب، ابزارهای امنیتی و آگاهی


    همانطور که در ابتدای این پست هم آمد، حجم، پیچیدگی و نوع حملات به خصوص در ارتباط با باج افزارها ما را به این نتیجه می رساند که انجام اقدامات امنیتی مناسب به منظور پیشگیری بسیار ساده تر از انجام اقداماتی مبنی بر رفع این تهدیدات می باشد.
    واقعیت این که تا زمانی که این تهدیدات وجود دارند تاکید بر استفاده از راهکارهای امنیتی مناسب و آموزش افراد به منظور ارتقا سطح آگاهی آنها، بسیار ضروری می باشد از این طریق است که قربانیان این اقدامات کاهش یافته و یا حداقل عواقب ناشی از ابتلا به بدافزارها به حداقل خواهد رسید.
    در نتیجه بی توجه به پیچیدگی و حجم تهدیدات جدید، میتوان با ترکیب دانش روز و استفاده از نرم افزارهای امنیتی مناسب و آگاهی از جدیدترین تهدیدات دنیای سایبری خطر ابتلا به بدافزارها را به حداقل رساند.

  • 7 مرحله آسان برای اینکه خودتان را در مقابل باج افزار WannaCry محافظت کنید


    از روز جمعه هزاران کامپیوتر در سرتا سر جهان مورد حمله باج افزار جدیدی به نام WannaCry قرار گرفته شد است. ده ها کشور از جمله انگلستان ، اسپانیا ، پرتقال ، ایتالیا ،روسیه و.... از حملات سایبری باج افزار WannaCry خبر دادند.


    باج افزار Wannacry هزاران کامپیوتر در سرتاسر جهان را آلوده کرده است سازمان بهداشت انگلیس ، چندین بیمارستان ، شرکت مخابراتی تلفونبکا در اسپانیا از قربانیان این حمله سایبری هستند.

    این باج افزار به سرعت در حال گسترش است و به سرعت خود را از سیستم ای به سیستم دیگر منتقل می کند.


    کوین بومونت متخصص امنیت سایبری می گوید: "این یک حمله سایبری عظیم بوده که موسسات مختلف را در سراسر اروپا در ابعادی هدف قرار داده. من تا به حال چنین چیزی ندیده بودم."


    این باج افزار با رمزگذاری فایل های سیستم اجازه کار به کاربر را نمی دهد و مبلغی را به عنوان باج از کاربر درخواست می کند. مبلغ به صورت بیت کویین در خواست می شود.


    هکرها از حفره «EternalBlue» که در ویندوز وجود داشته استفاده کرده اند .حفره ای که گفته می شود سازمان NSA پیشتر از آن برای دور زدن امنیت ویندوز بهره گرفته بود حفره ای که مایکروسافت دو ماه پیش آن را در یکی از به روز رسانی های ویندوز رفع کرده های قدیمی تر ویندوز اما طبق معمول، همه به سرعت سیستم ها را آپدیت نمی کنندو این خود باعث آلودگی سیستم ها می شود.


    با آپدیت کردن ویندوز به آخرین پچ های امنیتی به راحتی می توان در مقابل این باج افزار محافظت شد.
    هنوز راهکاری برای بر طرف کردن آلودگی سیستم های آلوده پیدا نشده ولی کاربران با چند مرحله ساده اقدام به ایمن سازی سیستم ها در مقابل این باج افزار کنند.


    در زیر مراحلی برای پیشگیری و محافظت در مقابل این باج افزار ذکر شده است.

    1. سیستم خود را به روز نگه دارید.

     

    اولین کار این است که سیستم عامل خودتان را آپدیت کنید و از آخرین نسخه ویندوز استفاده کنید.

     

    2. از سیستم عامل پشتیبانی نمی شوند استفاده نکنید.

     

    اگر از سیستم عامل های منسوخ شده ای مثل ویندوز Xp استفاده می کنید از سایت ماکروسافت پچ اضطراری امروز را دانلود کنید.

     

    3.فایروال تان را فعال کنید :


    فایروال را فعال کنید اگر هم فعال است در تنظیمات آن از دسترسی به پورت SMB چه در شبکه و چه از اینترنت جلوگیری کنید. این پروتکل روی TCP پورت های 137 ، 139 و 445 و بر روی UDP پورت های 137 و 138 می باشد.

     

    4. SMB را غیر فعال کنید :

     

    مراحل شرح داده شده توسط ماکروسافت را برای غیر فعال کردن سرور مسدود کردن پیام را دانبال کنید (SMB)

     

    5. آنتی ویروس خود را اپدیت کنید:

     

    برای حفاظت در مقابل آخرین تهدیدات همیشه به روز بمانید.

     

    6. پشتیبانی گیری منظم :


    برای حفظ اسناد و فایل های خود همیشه نسخه پشتیبانی با یک روال پشتیبانی گیری مرتب و در سیستم خارجی امن ومناسب استفاده کنید.

     

    7. مراقب فیشینگ باشید :


    اسناد و فایل ها و اطلاعات را از منابع ناشناس و بدون منبع معتبر دریافت نکنید. ایمیل های ناشناس با فایل های ضمیمه به احتمال زیاد ممکن است ویروسی باشند.

     


  • افزایش حمله باج افزارها به سرورهای ویندوزی از طریق سرویس Remote Desktop


    در این حملات مهاجم با سوء استفاده از نسخه‌های آسیب‌پذیر سرویس Remote Desktop‌ و یا رمز عبور ضعیف وارد سرور می‌گردد.
    طبق گزارشات به اطلاع می‌رساند در هفته‌های اخیر، گزارشات متعددی از حمله باج افزارها به سرورهای ویندوزی در کشور واصل شده است. بررسی‌های فنی نشان داده که در این حملات مهاجمین با سوء استفاده از دسترسی‌های حفاطت نشده به سرویس Remote Desktop ‌ ویندوز (پروتکل RDP)، وارد شده و با انتقال فایل باج افزار اقدام به رمزگزاری فایل‌های سرور می‌نماید.بمنظور جلوگیری از وقوع این حملات لازم است ضمن مسدود نمودن سرویس ‌های غیر ضروری remote desktop بر روی شبکه اینترنت، نسبت به انتخاب رمزهای عبور مناسب و بروز رسانی سیستم‌های عامل اقدام گردد.

  • باج‌افزاری که هم‌زمان حدود 99 کشور را درگیر کرد

    WannaCry امنیت سایبری دنیا را برهم زد

    در یک رویداد بی‌سابقه حدود 99 کشور به‌طور هم‌زمان هدف حملات سایبری خطرناکی قرار گرفتنددر رخدادی بی‌سابقه حدود 99 کشور هم‌زمان هدف حملات سایبری خطرناکی قرار گرفتند که طراحان بدافزار مذکور با نام WannaCry برای باز کردن قفل رایانه‌ها حداقل ۳۰۰دلار درخواست کرده‌اند. کارشناسان اعلام کرده‌اند که آمریکا، انگلیس، روسیه، چین، ایتالیا، اسپانیا، اکراین و هند از‌جمله کشورهایی بوده‌اند که هدف این حملات قرار گرفته‌اندشرکت امنیتی کسپرسکی روسیه نیز اعلام کرد روسیه بیش از هر کشور دیگری هدف این موج حملات قرار گرفته‌استاین حمله سایبری شامل یک باج‌افزار است. طبق اظهارنظر کارشناسان امنیتی، این بدافزار از فاکتور آسیب‌پذیری کشف و توسعه داده‌شده توسط آژانس اطلاعات ملی (NSA) بهره گرفته‌استبه گزارش روزنامه نیویورک تایمز، در این حمله سایبری گسترده به رایانه‌ها در سراسر اروپا و آسیا، سیستم خدمات بهداشت ملی انگلیس (NHS) نیز مورد حمله یک بدافزار قرار‌گرفت؛ به‌طوری‌که با مسدود کردن امکان دسترسی پزشکان به پرونده بیماران، بخش فوریت‌های پزشکی در بیمارستان‌ها و مراکز درمانی به ناچار از پذیرش بیماران سر باز زدندترزا می، نخست وزیر انگلیس، با انتشار بیانیه‌ای اعلام کرد که هدف از این حمله سایبری، صرفا شبکه بهداشت و درمان انگلیس نبود بلکه حمله‌ای بین‌المللی به چند کشور و چندین سازمان بین‌المللی بوده‌استدر میان بسیاری از نهادها و مؤسساتی که مورد این حمله سایبری قرار‌گرفته‌اند، بیمارستان‌ها و شرکت‌های ارتباطات مخابراتی در سراسر اروپا، روسیه و آسیا به چشم می‌خورنددو شرکت «تلفونیکا» اسپانیا و «مگافون» روسیه نیز در میان قربانیان این حمله سایبری قرار دارندبه گزارش العالم، این حملات سایبری در انگلیس و یازده کشور دیگر ازجمله ترکیه، ویتنام، فیلیپین، ژاپن و با حجمی گسترده‌تر در روسیه روی داده‌است. به نظر می‌رسد که تمامی رایانه‌ها با باج‌افزاری مشابه مورد حمله قرار گرفته‌اند و پیام‌های باج‌گیری مشابهی مبنی‌بر پرداخت ۳۰۰ دلار جهت گشودن قفل از داده‌ها به کاربران قربانی ارسال شده‌استمایکروسافت برای رفع حفره های امنیتی افشا شده توسط هکرها وصله هایی را عرضه کرده، اما کاربرانی که این وصله ها را نصب نکرده اند، به طور جدی در معرض خطر هستند

  •  

    نسخه نهایی باج‌افزار سایبری واناکرای از روش رمزنگاری قوی بهره می‌گیرد.

    مرکز ماهر اعلام کردباج‌افزار سایبری واناکرای در نسخه نهایی خود از روش رمزنگاری قوی استفاده‌می‌کند که تاکنون هیچ روشی برای رمزگشایی فایل‌های آسیب‌دیده از سمت این بدافزار یافت نشده‌است

    مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای در اطلاعیه جدید خود در‌خصوص انتشار سریع آسیب‌پذیری بدافزار رایانه‌ای واناکرای گفت: «با توجه به حمله گسترده باج‌افزارWannaCry در سطح جهان و شیوع سریع آن و نیز آلودگی کاربران ایرانی به این بدافزار به کاربران توصیه اکید می‌شود که منحصرا از روش‌ها و راهکارهای معرفی‌شده توسط مراجع شناخته‌شده، از‌جمله مرکز ماهر برای رفع آلودگی به این بدافزار استفاده‌کنند». 

    این مرکز با تاکید براینکه نسخه نهایی این باج‌افزار از روش رمزنگاری قوی استفاده می‌کند، هشدار داد:«نرم‌افزارها و وب‌سایت‌های ناشناخته‌ای که گاهی در جست‌وجوهای اینترنتی ظاهر می‌شوند، خود می‌توانند منتشر کننده بدافزارهای دیگریباشند که با شناسایی سیستم‌های آسیب‌دیده و آسیب‌پذیر به آنها از همان طریق ورود این بدافزار نفوذمی‌کنند و سبب ایجاد آسیب‌های بیشتر می‌شوند». 

    برخی از این وب‌سایت‌های ناشناخته مانند شکل زیر در جست وجوهای اینترنتی ظاهر می‌شود و کاربران باید توجه داشته‌باشند که وب‌سایت‌های ناشناخته را باز نکنند:

     

    طبق اعلام مرکز ماهر، با اینکه در بسیاری از موارد، این باج‌افزار موفق به رمزگذاری تمام فایل‌ها در سیستم‌های قربانی نشده‌است، اما با این وجود درخصوص موارد رمزگذاری موفق تاکنون هیچ روش موثری برای رمزگشایی فایل‌های آسیب‌دیده در هیچ‌‌یک از کشورهای مورد حمله یافت نشده‌است

    این مرکز با تاکید براینکه در صورت پیدا شدن راه‌حل مناسب، به‌سرعت و به شکل مطمئن، موضوع از طریق مرکز ماهر اطلاع‌رسانی می شود، یادآور شد: کاربران در صورت ابتلا به آسیب‌های ناشی از این باج‌افزار بایدتا پس از حذف آن، نسبت به حذف دیگر بدافزارهایی که به همراه آن نصب شده‌اند نیز اقدام کنند.


  • شرکت ها و سازمان ها به منظور برقراری و رعایت نکات امنیتی و جلوگیری از آلودگی در شبکه خود اقدام به نصب آنتی ویروس بر روی سیستم های خود می کنند. اغلب این سازمان ها از یک سرور مرکزی (سرور آپدیت) برای به روز رسانی آن استفاده می کنند به این صورت که سرور آپدیت که معمولا متصل به اینترنت است آخرین نسخه های آپدیت را دریافت کرده و سیستم¬های دیگر، از طریق این سرور، به روزرسانی می شوند.

    از آنجایی که این سرور (به صورت موقت یا دائمی) به اینترنت متصل می شود، درگاهی برای نفوذ هکرها به حساب می آید و در بسیاری از موارد مشاهده شده است که سازمان هایی که به زعم خود شبکه داخلی خود را ایزوله و امن کرده اند و از لحاظ نکات امنیتی آن را در جایگاه قابل قبولی تصور می کنند، از این نقطه مورد حمله قرار گرفته و آسیب می بینند. حتی در خوش بینانه ترین حالت که نفوذی از سمت هکر صورت نگیرد، به علت رد و بدل شدن اطلاعات بین سرور آپدیت و سرور آنتی ویروس مربوطه، امکان جاسوسی نیز وجود دارد.



    لذا پیشنهاد می گردد در وحله اول آنتی ویروس اوريجينال استفاده گردد و اگر به هر دلیلی این کار میسر نبود مراحل زیر دنبال گردد:
    1) در هنگام دریافت آپدیت، ترافیک ارسالی از سمت سرور آپدیت به سمت سرور آنتی ویروس فیلتر گردد.
    2) سرور آپدیت فقط در ساعت هایی مشخص (به عنوان نمونه ساعت 12 ظهر روزهای چهارشنبه و یا...) اقدام به دریافت فایل آپدیت نموده و در بقیه موارد (مخصوصا روزهای تعطیل) اتصال آن از اینترنت به صورت فیزیکی قطع گردد و لاگ سرور آپدیت به صورت دوره ای (مثلا دو یا سه روزه) بررسی گردد.
    3) اتصال سرور آپدیت پس از دریافت فایل آپدیت از اینترنت قطع گردد.
    4) فایل آپدیت از لحاظ اینکه ممکن است کد مخربی در آن وجود دارد بررسی و تحلیل گرد.
    5) فایل آپدیت به صورت تست بر روی یک سیستم قرنطینه نصب و ترافیک کارت شبکه توسط ابزارهای ضبط ترافیک به منظور احتمال ارسال اطلاعات بررسی گردد.
    6) از طریق سرور آپدیت، سایر سیستم های شبکه آپدیت گردد و پس از انجام عملیات آپدیت، اتصال شبکه داخلی از سرور آپدیت قطع گردد.

    یادآوری: به کارگیری پیشنهادات امنیتی باعث بالارفتن امنیت شبکه داخلی شما خواهد. به یاد داشته باشید امنیت امری نسبی است و نه مطلق و هیچ زمان نمی توان ادعا کرد که امنیت به صورت صد در صد تامین شده است.

  • ارسال 5 میلیون ایمیل آلوده در هر ساعت توسط باج افزار جدیدJaff

    image003

    یک نمونه ی جدید از خانواده ی بدافزارها با نام Jaff توسط محققان امنیتی شناسایی شده است که بر پایه بات‌نت Necursدر حال پخش کردن یک باج افزار جدید با سرعت 5 میلیون ایمیل در هر ساعت است و توانسته کامپیوترهای بسیاری را در سراسر جهان آلوده سازد.

    باج افزار Jaff نوعی جدید از باج افزارهای رمزنگار است که شباهت بسیار زیادی با باج افزار Locky دارد و فرق اصلی آن ها در مبلغ پولی است که Jaff دریافت می کند و این مبلغ برابر با ۱٫۷۹ بیت کوین (تقریباً 33000 دلار) است که این مبلغ بسیار بالاتر از مبلغ درخواستی Locky برای فایل های رمزنگاری شده خود بود.

    طبق گزارش محققان امنیتی Forcepoint Security Lab، باج افزار Jaff به زبان C نوشته شده است و به کمک بات‌نت Necurs در حال گسترده شدن است که این بات‌نت در حال حاضر به ۶ میلیون کامپیوتر آلوده شده در سراسر جهان کنترل و نظارت دارد.

    بات‌نت Necurs به میلیون‌ها کاربر ایمیل حاوی یک فایل ضمیمه شده از نوع PDFارسال می‌کند که اگر کاربران بر روی آن کلیک کنند یک فایل word باز می شود که دارای یک اسکریپیت ماکروی مخرب است که برای دانلود کردن و اجرای باج افزار Jaff مورد استفاده قرار می گیرد.

    image001 2

    ماجرای این باج افزار از چه قرار است؟

    این کمپین ایمیل های مخرب در روز 5 شنبه (11 می ماه) از ساعت 9 صبح شروع شده است و در ساعت 1 بعد از ظهر به اوج حمله ی خود رسیده است. در این زمان کوتاه، این سیستم 13 میلیون ایمیل ارسال شده را ثبت کرده است که واضح است نرخ آن بسیار بالا بوده است.

    زمانی که قربانی فایل پی دی اف را باز می کرد، مجرمان با یک پیام تبریک بر روی پی دی اف از قربانی استقبال می کردند. محققان امنیتی می گویند، این باج افزار بیش از 423 پسوند فایل را مورد هدف قرار داده است. نکته جالبی که در این باج افزار قابل روئیت بود حالت آفلاین آن بود، Jaff قادر بود در حالت آفلاین و بدون اینکه به یک سرور command and control متصل باشد عملیات رمزنگاری را انجام دهد. طبق روند همه ی باج افزارهای دیگر، پس از رمزنگاری تمامی فایل ها پسوند .jaff می گیرند.

    پس از رمزنگاری فایل های قربانی، باج افزار پیغامی را بر روی هر فولدر آلوده شده قرار می دهد، این در حالی است که تصویر دسکتاپ نیز تغییر کرده است.

    اما محتویات این پیغام ازجانب باج افزار چه چیزی است؟ این پیغام به قربانیان می گوید که تمامی فایل های شما رمزنگاری شده است اما از آن ها تقاضای باج نمی کند و به جای آن اصرار می‌کند تا یک پورتال پرداخت را در یک وب‌سایت که در Tor قرار دارد مشاهده کنند که از طریق مرورگر Tor قابل‌دسترسی است و در آن نحوه رمزگشایی فایل‌های آن‌ها آمده استدر واقع به گونه ای برخورد می کند که قربانیان تصور می کنند آن ها دایه ی دلسوز تر از مادر هستند و به فکر رمزگشایی فایل های آن ها هستند.

    هنگامی که قربانی مرورگر Tor را نصب می کند، سایت برای آن ها باز می شود، در آن جا است که درخواست مبلغ بیت کوین یا تقریباً 3300 دلار دلار باج را مشاهده می کنند.

    image002

    محققان امنیتی این احتمال را می دهند که در پشت باج افزار Jaff، مجرمان Locky،  Dridex وBart قرار دارند. سازمان هایی که قربانی این باج افزار موذی شدند در درجه اول در کشورهای انگلستان، آمریکا، ایرلند، بلژیک، ایتالیا، آلمان، هلند، فرانسه، مکزیک و استرالیا بودند.

    چگونه در برابر باج افزارJaff در امان بمانیم؟

    1.      محافظت در برابر این باج افزار نیاز به انجام کار خاصی ندارد. شما باید همیشه به پیوست های ایمیل خود مشکوک باشید و هیچ گاه با خیال آسوده آن ها را باز نکنید. هیچ‌گاه بر روی لینک‌های قرار داده شده در ایمیل هایی که آن ها را نمی شناسید، کلیک نکنید مگر آنکه از منبع آن مطمئن باشید.

     

    2.      توجه داشته باشید که گزینه ی Macro در نرم افزار مایکروسافت آفیس غیر فعال باشد و در صورتیکه اینگونه نبود می توانید آن را غیر فعال سازیددر سازمان‌های بزرگ، مدیر سیستم می‌تواند تنظیمات پیش‌فرضی را برای macroهای تمامی سیستم‌ها در نظر و قرار بدهد.

     

    3.      بک آپ گیری را فراموش نکنید. یکی از مزیت های بک آپ گیری این است که حتی اگر خشن ترین باج افزارها هم به سیستم شما حمله کنند و به رمزنگاری فایل های شما مشغول شود شما هیچ نگرانی نخواهید داشت و در نهایت با ابزار ضدباج افزار برای کسب و کارهایا ابزار های مختلف برای حذف ویروسآن ها را از بین خواهید برد. در صورتیکه عمل بک آپ گیری را به طور منظم فراموش می کنید؛ می توانید وظیفه این کار را به عهده ی توتال سکیوریتی کسپرسکیبسپارید.

     

    4.      از یک آنتی ویروس خوب و قویبرای محافظت از سیستم خود در برابر باج افزارهای مختلف و جدید استفاده کنید و همیشه دانش امنیتی خود را با خواندن مقالات امنیتی خور را به روز کنید.

  •  

    چرا ایزوله کردن سیستم عامل ویندوز، راهکار مناسبی است

     

    کارشناسان امنیت سایبری پیشنهاد می‌کنند که برای در امان ماندن از باج‌افزارها، ویندوز را بر روی ماشین مجازی اجرا کنید.


    شاید اجرای سیستم‌عامل ویندوز به‌عنوان یک ماشین مجازی بر روی سیستم لینوکس کاری غیرضروری به نظر برسد تا زمانی‌که از ترس باج‌افزاری مانندواناکرای مجبور به انجام این کار شوید. دستگاه‌هایی که تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند از نسخه‌های قدیمی ویندوز استفاده‌ می‌کردند و علاوه‌ بر اینکه وصله‌های شرکت مایکروسافت را اعمال نکرده بودند، راه‌حل‌های امنیتی مناسبی نیز بر روی آنها وجود نداشت.

    در این بخش به‌جای اینکه شما را به مهاجرت به سمت ویندوز۱۰دعوت کنیم، پیشنهاد می‌کنیم به لینوکس مهاجرت کنید. سیستم‌های لینوکس به‌رغم دردسرهایی که ممکن است برای شما به‌وجود بیاورند، کمتر از سایر سیستم‌ها هدف حملات باج‌افزار و بدافزار قرار می‌گیرند. در این شرایط اگر هم نیاز داشتید برنامه‌ای را در سیستم‌عامل ویندوز اجرا کنید، می‌توانید از یک ماشین مجازی بر روی لینوکس استفاده کنید که بر روی آن سیستم‌عامل ویندوز سوار شده‌است.

    از دیدگاه امنیتی اینکه بخواهیم ویندوز را بر روی یک ماشین مجازی اجرا کنیم، بسیار امن‌تر از حالتی خواهد‌بود که ویندوز مستقیماً بر روی یک دیسک و پارتیشن اجرا می‌شود. با مجازی‌سازی، شما سیستم‌عامل را از سخت‌افزار جدا می‌کنید و مانعی بین آنها به‌وجود می‌آورید که مدیریت این سخت‌افزار توسط سیستم‌عامل اصلی شما انجام خواهدشد. این سناریو مشابه حالتی است که شما ویندوز را در یکسندباکس با اسباب‌بازی‌های خود آزاد گذاشته‌اید تا هر کاری خواست انجام بدهد بدون اینکه به دیگر اجزا آسیبی برساند.

    در یک ماشین مجازی از پرونده‌های مجازی برای ذخیره‌سازی استفاده می‌شود و سیستم‌عاملی که بر روی ماشین مجازی اجرا می‌شود، این دیسک مجازی را مانند حالت عادی مشاهده می‌کندنکته‌ جالبی که در مورد مجازی‌سازی وجود دارد این است که همه‌ برنامه‌های کاربردی ویندوز و تمامی کارها در داخل یک پرونده قرار گرفته‌اند. این پرونده به‌راحتی قابل پشتیبان‌گیری، رونویسی و حذف کردن است. برنامه‌ مدیریت ماشین مجازی می‌تواند تصویری از دیسک مربوط به ماشین مجازی تهیه کرده و شما را از پشتیبان‌گیری بی‌نیاز کند. 

    یکی از ساده‌ترین راه‌ها برای اجرای سیستم‌عامل ویندوز بر روی ماشین مجازی، استفاده از ویرچوال‌باکس است. در بسیاری از اسناد مربوط به این برنامه، همواره فرض شده که سیستم‌عامل ویندوز به‌عنوان میزبان عمل کرده و دیگر سیستم‌عامل‌ها به‌عنوان ماشین مجازی نصب می‌شوند، ولی به‌هرحال روال نصب ویندوز بر روی ماشین مجازی، مشابه روش نصب لینوکس است. 

    از دیدگاه امنیتی، اجرای سیستم‌عامل بر روی یک ماشین مجازی ایده‌ بسیار مناسبی برای حفظ امنیت محسوب می‌شود. اگر شما مجبور هستید برنامه‌ای را اجرا کنید، ولی از امنیت و جامعیت آن اطمینان ندارید، بهتر است آن را بر روی ماشین مجازی اجرا کنیدبه این ترتیب هر فعالیت مخربی که ممکن است از برنامه رخ بدهد، تنها در داخل ماشین مجازی باقی مانده و سایر بخش‌های دستگاه را تحت تأثیر قرار نمی‌دهد.

  •  image001

    کلیک نکنید

    اگر پیام ویدئویی در فیس‌بوک به شما ارسال شد، حتی از طرف دوستان‌تان، روی آن کلیک نکنید. 

    محققان امنیتی در آزمایشگاه کسپرسکی یک پویش چند‌بستری را در پیام‌رسان فیس‌بوک پیدا کرده‌اند، جایی که کاربران یک پیوند ویدئویی دریافت می‌کنند که از طرف یک وب‌سایت جعلی فرستاده شده و آنها را برای نصب نرم‌افزارهای مخرب ترغیب می‌کند.

    اگرچه هنوز مشخص نیست که بدافزار چگونه گسترش می‌یابد، محققان معتقدند ارسال‌کننده هرزنامه‌ها از حساب‌های آسیب‌‌دیده استفاده می‌کنند، مرورگرها را می‌ربایند و یا روش‌های کلیک‌ربایی را برای گسترش پیوند مخرب استفاده‌می‌کنند. مهاجمان از مهندسی اجتماعی استفاده می‌کنند تا کاربران را به کلیک کردن روی پیوند ویدئویی که ادعا می‌شود از طرف یکی از دوستان فیس‌بوک‌شان است، ترغیب کنند. با پیامی حاوی این مطلب که دوست شما این ویدئو را دنبال می‌کند.

    این URL قربانیان را به گوگل‌داک هدایت می‌کند که تصویر کوچک ویدئویی تولیدشده را به‌صورت پویا نمایش می‌دهد، مانند یک فیلم قابل پخش بر اساس تصاویر فرستنده که در صورت کلیک روی آن، بسته به مرورگر و سیستم‌عامل آنها، کاربران را به یک صفحه سفارشی دیگر متصل می‌کند. به عنوان مثال، کاربران موزیلا فایرفاکس در ویندوز به یک وب‌سایت هدایت می‌شوند که یک اعلان به‌روزرسانی جعلی فلش‌پلیر است و سپس یک پرونده‌ قابل اجرای ویندوز پیشنهاد می‌دهند که به عنوان یک نرم‌افزار تبلیغاتی شناخته شده‌است.

    کاربران گوگل کروم به یک وب‌سایت هدایت می‌شوند که به‌عنوان یوتیوب با نماد مشابه یوتیوب ظاهر می‌شود و یک پیام خطا جعلی را نشان می‌دهد که قربانیان را فریب می‌دهد تا یک افزونه کروم مخرب را از فروشگاه وب گوگل بارگیری کنند. این افزونه در واقع یک ابزار بارگیری است که به انتخاب مهاجم یک پرونده را در رایانه قربانی بارگیری می‌کند. 

    دیوید یعقوبی، یکی از محققان امنیتی آزمایشگاه کسپرسکی در وبلاگش نوشته‌است: «در زمان نوشتن، پرونده‌ای که باید بارگیری شود در دسترس نبود.»

    یکی از یافته‌های جالب این است که افزونه کروم پرونده‌ گزارشی را از توسعه‌دهندگان دارد که نام‌های کاربری‌ را نشان می‌دهد. مشخص نیست که این مربوط به مبارزات انتخاباتی باشد، اما هنوز بخش متحیرکننده‌ای از اطلاعات است. کاربران سافاری در سیستم‌های مک اپل شبیه به زمانی که فایرفاکس استفاده‌می‌کنند به یک صفحه وب پایان می‌دهند، اما آن برای کاربران MacOS با یک به‌روزرسانی جعلی برای فلش‌مدیاپلیر سفارشی‌سازی شده که در صورت کلیک، یک پرونده .dmg اجرایی OSX بارگیری می‌شود که یک نرم‌افزار تبلیغاتی مزاحم است.

    همین‌طور در مورد لینوکس، کاربر را به یک صفحه دیگر که برای کاربران لینوکس طراحی شده هدایت می‌کند. مهاجمان در پشت این حمله‌ها در واقع کاربران را از تمام بسترها با هر تروجان بانکی و یا کیت‌های بهره‌برداری آلوده نمی‌کنند، بلکه با ابزار تبلیغاتی می‌توانند درآمد زیادی را از طریق تبلیغ به‌دست آورند. 

    مبارزه‌های هرزنامه در فیس‌بوک بسیار معمول است. چند سال پیش محققان، مجرمان اینترنتی را شناسایی کردند که از پرونده‌های تصویری JPG استفاده می‌کردند تا بدافزار خود را پشت آن پنهان کنند و کاربران فیس‌بوک را به باج‌افزاری آلوده کنند که تا زمان پرداخت باج، پرونده‌ها را رمزنگاری و قفل می‌کند. 

    برای حفظ امنیت خود، توصیه می‌شود که نسبت به تصاویر یا پیوندهای ویدیویی ارسال‌شده توسط هر شخصی، حتی دوست خود، بدون تایید خود آنها، کنجکاو نباشید و همیشه نرم‌افزار ضدبدافزار خود را به‌روز نگه دارید.

    کلیک نکنید

    اگر پیام ویدئویی در فیس‌بوک به شما ارسال شد، حتی از طرف دوستان‌تان، روی آن کلیک نکنید

    محققان امنیتی در آزمایشگاه کسپرسکی یک پویش چند‌بستری را در پیام‌رسان فیس‌بوک پیدا کرده‌اند، جایی که کاربران یک پیوند ویدئویی دریافت می‌کنند که از طرف یک وب‌سایت جعلی فرستاده شده و آنها را برای نصب نرم‌افزارهای مخرب ترغیب می‌کند.

    اگرچه هنوز مشخص نیست که بدافزار چگونه گسترش می‌یابد، محققان معتقدند ارسال‌کننده هرزنامه‌ها از حساب‌های آسیب‌‌دیده استفاده می‌کنند، مرورگرها را می‌ربایند و یا روش‌های کلیک‌ربایی را برای گسترش پیوند مخرب استفاده‌می‌کنند. مهاجمان از مهندسی اجتماعی استفاده می‌کنند تا کاربران را به کلیک کردن روی پیوند ویدئویی که ادعا می‌شود از طرف یکی از دوستان فیس‌بوک‌شان است، ترغیب کنند. با پیامی حاوی این مطلب که دوست شما این ویدئو را دنبال می‌کند.

    این URL قربانیان را به گوگل‌داک هدایت می‌کند که تصویر کوچک ویدئویی تولیدشده را به‌صورت پویا نمایش می‌دهد، مانند یک فیلم قابل پخش بر اساس تصاویر فرستنده که در صورت کلیک روی آن، بسته به مرورگر و سیستم‌عامل آنها، کاربران را به یک صفحه سفارشی دیگر متصل می‌کند. به عنوان مثال، کاربران موزیلا فایرفاکس در ویندوز به یک وب‌سایت هدایت می‌شوند که یک اعلان به‌روزرسانی جعلی فلش‌پلیر است و سپس یک پرونده‌ قابل اجرای ویندوز پیشنهاد می‌دهند که به عنوان یک نرم‌افزار تبلیغاتی شناخته شده‌است.

    کاربران گوگل کروم به یک وب‌سایت هدایت می‌شوند که به‌عنوان یوتیوب با نماد مشابه یوتیوب ظاهر می‌شود و یک پیام خطا جعلی را نشان می‌دهد که قربانیان را فریب می‌دهد تا یک افزونه کروم مخرب را از فروشگاه وب گوگل بارگیری کنند. این افزونه در واقع یک ابزار بارگیری است که به انتخاب مهاجم یک پرونده را در رایانه قربانی بارگیری می‌کند

    دیوید یعقوبی، یکی از محققان امنیتی آزمایشگاه کسپرسکی در وبلاگش نوشته‌است: «در زمان نوشتن، پرونده‌ای که باید بارگیری شود در دسترس نبود

    یکی از یافته‌های جالب این است که افزونه کروم پرونده‌ گزارشی را از توسعه‌دهندگان دارد که نام‌های کاربری‌ را نشان می‌دهد. مشخص نیست که این مربوط به مبارزات انتخاباتی باشد، اما هنوز بخش متحیرکننده‌ای از اطلاعات است. کاربران سافاری در سیستم‌های مک اپل شبیه به زمانی که فایرفاکس استفاده‌می‌کنند به یک صفحه وب پایان می‌دهند، اما آن برای کاربران MacOS با یک به‌روزرسانی جعلی برای فلش‌مدیاپلیر سفارشی‌سازی شده که در صورت کلیک، یک پرونده .dmg اجرایی OSX بارگیری می‌شود که یک نرم‌افزار تبلیغاتی مزاحم است.

    همین‌طور در مورد لینوکس، کاربر را به یک صفحه دیگر که برای کاربران لینوکس طراحی شده هدایت می‌کند. مهاجمان در پشت این حمله‌ها در واقع کاربران را از تمام بسترها با هر تروجان بانکی و یا کیت‌های بهره‌برداری آلوده نمی‌کنند، بلکه با ابزار تبلیغاتی می‌توانند درآمد زیادی را از طریق تبلیغ به‌دست آورند

    مبارزه‌های هرزنامه در فیس‌بوک بسیار معمول است. چند سال پیش محققان، مجرمان اینترنتی را شناسایی کردند که از پرونده‌های تصویری JPG استفاده می‌کردند تا بدافزار خود را پشت آن پنهان کنند و کاربران فیس‌بوک را به باج‌افزاری آلوده کنند که تا زمان پرداخت باج، پرونده‌ها را رمزنگاری و قفل می‌کند

    برای حفظ امنیت خود، توصیه می‌شود که نسبت به تصاویر یا پیوندهای ویدیویی ارسال‌شده توسط هر شخصی، حتی دوست خود، بدون تایید خود آنها، کنجکاو نباشید و همیشه نرم‌افزار ضدبدافزار خود را به‌روز نگه دارید.
  • image001 1

    به احتمال زیاد شما که خواننده ی این وبلاگ هستید فریب های تلفن را به خوبی می شناسید و شاید تا به حال چندین تماس مشکوک را دریافت کرده اید. اما واضح است که شما پیشنهادات را از سوی افراد غریبه نمی پذیرید و اطلاعات شخصی خود را هنگام صحبت با آن ها پنهان می کنید. اینطور نیست؟

    به نظر می رسد که پاسخ همه منفی است و این اشتباه از سوی کاربران سر می زند. چندی پیش، کمیسیون ارتباطات فدرال در مورد یک کلاهبرداری غیر مجاز تلفن همراه گزارش داد. داستان فریب از آنجایی شروع می شد که کلاهبرداران با قربانیان تماس می گرفتند و از آن ها یک سوال به ظاهر بی تقصیر می پرسیدند. آیا صدای من را می شنوید؟ آن ها تنها به پاسخ "بله" نیاز دارند. تنها با این پاسخ به آن ها این اجازه داده می شود که قربانیان را برای خدمات پرداخت به میان کشند.

    این نوع از کلاهبرداری خدمات اضافه ای است که بدون رضایت کاربر (برای طالع بینی یا پیام های روزانه) انجام می شود.

    چندین هشدار را در مورد این کلاهبرداری در نظر بگیرید. چطور می توان از آن استفاده کرد؟ چرا مقامات سایبری نمی توانند مقابل آن بایستند؟ آیا به راستی امکان استفاده از یک ضبط صوتی برای اشتراک با یک نفر یا سرویس های اضافی وجود دارد؟

    از لحاظ فنی بله امکان پذیر است زیرا کمپانی های تلفن، سرویس های شخص ثالث را در صورتحساب های مشترکین خود می پذیرند.

    این فریب جدیدی نیست: 800Notes.com، یک وبسایت است که شماره تلفن های مشکوک را نشان می دهد و اطلاع رسانی های لازم را در سال 2008 انجام داده بود. پس از آن این فریب برای اعمال خدمات در سازمان ها مورد استفاده قرار گفت. طبق گفته ی قربانیان، ضبط های صوتی به طبیعی ترین حالت ممکن به نظر می رسید و از این رو قربانیان با سرویس های پرداخت موافقت می کردند.

    متخصصان در حال تلاش برای مقابله با این مشکل هستند: علت این مقابله نیز صدمه های مالی بود که کاربران را تحت تاثیر قرار داد. به عنوان مثال در سال 2015 غول های مخابراتی Verizon و Sprint مجبور به پرداخت 158 میلیون دلار برای مشکلاتی شدند که کاربران خدمات آن ها را متوقف ساخته بودند. با این حال تکنیک های فریب مانند این نمونه می تواند رشد کند و ضعف های خود را برطرف سازد.

    صوت بانکی

    با افزایش محبوبیت احراز هویت در آینده ی نه چندان دور چیزی شبیه فریب صوتی در بانک ها مشکل ساز خواهد شد. به عنوان مثال یکی از بزرگترین بانک های انگلستان، بارکلیز برای تمامی مشتریان خود در سال 2016، احراز هویت صوتی را معرفی کرد.

    شرکت مالی HSBC به مشتریان خود این اجازه را میدهد که به جای استفاده از پسورد از احراز هویت صوتی استفاده کنند. در این روش مشتریان می بایستی بانک را فراخوانی کنند، با استفاده از یک کد آن را تایید و سپس با صدای بلند بگویند "رمز ورود من این است".

    HBSC مدعی می شود که سیستم احراز هویت آن در برابر تلاش برای دور زدن و فریب های سایبری برای ضبط صدای مشتریان محافظت می شود. ظاهرا فناوری بیومتریک برای صوت، صدایی را ایجاد می کند که ظاهر فیزیکی و رفتاری شخصی که در حال صحبت است را به رسمیت می شناسد.

    علاوه بر این مجرمان تلفن همراه می بایستی راهی را برای پیدا کردن یک مشتری که در حال گفتن کل عبارت به بانک است را پیدا کنند. بله این کار کاملا سخت است اما مجرمان اغلب این کار را در زمانی که کاربران تماس می گیرند انجام میدهند.

    به احتمال زیاد شما که خواننده ی این وبلاگ هستید فریب های تلفن را به خوبی می شناسید و شاید تا به حال چندین تماس مشکوک را دریافت کرده اید. اما واضح است که شما پیشنهادات را از سوی افراد غریبه نمی پذیرید و اطلاعات شخصی خود را هنگام صحبت با آن ها پنهان می کنید. اینطور نیست؟

    به نظر می رسد که پاسخ همه منفی است و این اشتباه از سوی کاربران سر می زند. چندی پیش، کمیسیون ارتباطات فدرال در مورد یک کلاهبرداری غیر مجاز تلفن همراه گزارش داد. داستان فریب از آنجایی شروع می شد که کلاهبرداران با قربانیان تماس می گرفتند و از آن ها یک سوال به ظاهر بی تقصیر می پرسیدند. آیا صدای من را می شنوید؟ آن ها تنها به پاسخ "بله" نیاز دارند. تنها با این پاسخ به آن ها این اجازه داده می شود که قربانیان را برای خدمات پرداخت به میان کشند.

    این نوع از کلاهبرداری خدمات اضافه ای است که بدون رضایت کاربر (برای طالع بینی یا پیام های روزانه) انجام می شود.

    چندین هشدار را در مورد این کلاهبرداری در نظر بگیرید. چطور می توان از آن استفاده کرد؟ چرا مقامات سایبری نمی توانند مقابل آن بایستند؟ آیا به راستی امکان استفاده از یک ضبط صوتی برای اشتراک با یک نفر یا سرویس های اضافی وجود دارد؟

    از لحاظ فنی بله امکان پذیر است زیرا کمپانی های تلفن، سرویس های شخص ثالث را در صورتحساب های مشترکین خود می پذیرند.

    این فریب جدیدی نیست: 800Notes.com، یک وبسایت است که شماره تلفن های مشکوک را نشان می دهد و اطلاع رسانی های لازم را در سال 2008 انجام داده بود. پس از آن این فریب برای اعمال خدمات در سازمان ها مورد استفاده قرار گفت. طبق گفته ی قربانیان، ضبط های صوتی به طبیعی ترین حالت ممکن به نظر می رسید و از این رو قربانیان با سرویس های پرداخت موافقت می کردند.

    متخصصان در حال تلاش برای مقابله با این مشکل هستند: علت این مقابله نیز صدمه های مالی بود که کاربران را تحت تاثیر قرار داد. به عنوان مثال در سال 2015 غول های مخابراتی Verizon و Sprint مجبور به پرداخت 158 میلیون دلار برای مشکلاتی شدند که کاربران خدمات آن ها را متوقف ساخته بودند. با این حال تکنیک های فریب مانند این نمونه می تواند رشد کند و ضعف های خود را برطرف سازد.

    صوت بانکی

    با افزایش محبوبیت احراز هویت در آینده ی نه چندان دور چیزی شبیه فریب صوتی در بانک ها مشکل ساز خواهد شد. به عنوان مثال یکی از بزرگترین بانک های انگلستان، بارکلیز برای تمامی مشتریان خود در سال 2016، احراز هویت صوتی را معرفی کرد.

    شرکت مالی HSBC به مشتریان خود این اجازه را میدهد که به جای استفاده از پسورد از احراز هویت صوتی استفاده کنند. در این روش مشتریان می بایستی بانک را فراخوانی کنند، با استفاده از یک کد آن را تایید و سپس با صدای بلند بگویند "رمز ورود من این است".

    HBSC مدعی می شود که سیستم احراز هویت آن در برابر تلاش برای دور زدن و فریب های سایبری برای ضبط صدای مشتریان محافظت می شود. ظاهرا فناوری بیومتریک برای صوت، صدایی را ایجاد می کند که ظاهر فیزیکی و رفتاری شخصی که در حال صحبت است را به رسمیت می شناسد.

    علاوه بر این مجرمان تلفن همراه می بایستی راهی را برای پیدا کردن یک مشتری که در حال گفتن کل عبارت به بانک است را پیدا کنند. بله این کار کاملا سخت است اما مجرمان اغلب این کار را در زمانی که کاربران تماس می گیرند انجام میدهند.

    این یک قانون است که هرگاه شخصی به دنبال فریب و خرابکاری است شخصی دیگر مقابل آن به دنبال درست کردن و از بین بردن این جنایت است. به عنوان مثال Pindrop تکنولوژی را ایجاد کرده است که هنگام ارزیابی صحت یک فرد از راه دور، عوامل مختلفی را از جمله موقعیت مکانی در نظر می گیرد. و با هر تماس اشتباه سیستم هشدار لازم را می دهد. بانک ها از این تکنولوژی برای مقاصد ضدتروریستی استفاده می کنند.

    طبق آمار بدست آمده از Pindrop، کلاهبرداران در 53% موارد از VoIP استفاده می کنند، این در حالی است که مشتریان واقعی کمی متفاوت رفتار می کنند و آن ها تنها در 7% موارد از VoIP برای تماس با بانک های خود استفاده می کنند. به همین دلیل است که سیستم به طور خودکار تماس های VoIP را یادداشت می کند.

    به طور کاملا طبیعی مجرمان اقدامات متقابل را انجام میدهند. به عنوان مثال آن ها یک اتصال با کیفیت پایین را شبیه سازی می کنند که از لحاظ تئوری شناسایی شخص گیرنده به مراتب سختتر باشد. این کاملا بدیهی است که مجرمان با پیشرفت تکنولوژی در این رابطه نیز پیشرفت و رشد کنند.

    چگونه با حملات نسبتا مدرن مجرمان مقابله کنیم؟

    حملاتی که مجرمان در آن ها به پاسخ مثبت "بله" نیاز دارند، تنها یک راهکار رادیکال برای آن ها وجود دارد. FCC توصیه می کند که شماره هایی که از اشخاص ناشناس تماس گرفته می شوند را پاسخ ندهید. اگر شخصی با شما کاری فوری داشته باشد مسلما بعد از تماس بی پاسخ برای شما مسیج ارسال می کند.
    اطلاعات شخصی خود را به هیچ وجه در تماس های صوتی نگویید.
    همیشه تمام چیزها را بررسی کنید و در رابطه با ارتباطات خود بی گدار به آب نزنید.

    طبق آمار بدست آمده از Pindrop، کلاهبرداران در 53% موارد از VoIP استفاده می کنند، این در حالی است که مشتریان واقعی کمی متفاوت رفتار می کنند و آن ها تنها در 7% موارد از VoIP برای تماس با بانک های خود استفاده می کنند. به همین دلیل است که سیستم به طور خودکار تماس های VoIP را یادداشت می کند.

    به طور کاملا طبیعی مجرمان اقدامات متقابل را انجام میدهند. به عنوان مثال آن ها یک اتصال با کیفیت پایین را شبیه سازی می کنند که از لحاظ تئوری شناسایی شخص گیرنده به مراتب سختتر باشد. این کاملا بدیهی است که مجرمان با پیشرفت تکنولوژی در این رابطه نیز پیشرفت و رشد کنند.

    چگونه با حملات نسبتا مدرن مجرمان مقابله کنیم؟

    • حملاتی که مجرمان در آن ها به پاسخ مثبت "بله" نیاز دارند، تنها یک راهکار رادیکال برای آن ها وجود دارد. FCC توصیه می کند که شماره هایی که از اشخاص ناشناس تماس گرفته می شوند را پاسخ ندهید. اگر شخصی با شما کاری فوری داشته باشد مسلما بعد از تماس بی پاسخ برای شما مسیج ارسال می کند.
    • اطلاعات شخصی خود را به هیچ وجه در تماس های صوتی نگویید.
    • همیشه تمام چیزها را بررسی کنید و در رابطه با ارتباطات خود بی گدار به آب نزنید.
  • image001 2

    مهاجمان می‌توانند با ویرایش ایمیل‌های دریافتی شما، آن را به محتوای مخرب تبدیل کنند.

    محققان امنیتی هشدار دادند که یک روش ساده توسط مهاجمان سایبری مورد استفاده قرار می‌گیرد که آنها با این روش می‌توانند پس از اینکه یک ایمیل سالم، وارد صندوق ورودی ایمیل شما شد آن را به ایمیل مخرب و حاوی بدافزار تبدیل کنند.

    این روش که Ropemaker نامیده‌می‌شود توسط فرانسیسکو ریبایرو، متخصص امینت ایمیل و بستر ابر، کشف شد. بهره‌برداری موفق از حمله‌ Ropemaker به یک مهاجم امکان می‌دهد، محتوای ایمیل را که برای قربانی ارسال کرده تغییر دهد. به‌طور مثال مهاجم خواهد توانست پیوندی که در ایمیل وجود دارد را با یک نمونه‌ مخرب جابه‌جا کند.

    حمله‌ Ropemaker از CSS و HTML که بخش‌های اصلی از نمایش اطلاعات در اینترنت هستند، بهره‌برداری می‌کند. هرچند استفاده از این فناوری‌ها، فارغ از متن‌های نوشتاری پیام، به ظاهر ایمیل جذابیت خاصی بخشیده‌است، ولی در عین‌ حال در این حمله به‌عنوان یک بردار حمله محسوب می‌شود.

    به دلیل اینکه CSS از راه دور ذخیره می‌شود، مهاجم می‌تواند سبک ایمیل قربانی را با تزریق دستورات از راه دور تغییر داده و این تغییرات به قربانی نیز نمایش داده‌شود بدون اینکه گیرنده‌ ایمیل از این مسئله مطلع شود. محققان می‌گویند بهره‌برداری و استفاده از روش Ropemaker به خلاقیت خود مهاجم بستگی دارد.

    به‌طور مثال مهاجم می‌تواند پیوندی که در ایمیل وجود دارد و کاربر را به سمت یک وب‌سایت قانونی هدایت می‌کند، تغییر داده و آن را با یک پیوند مخرب جایگزین کند. این پیوند کاربر را به سمت وب‌سایت مخربی هدایت می‌کند که در آن بدافزار بر روی سامانه‌ او نصب شده و یا اطلاعات حساس او مانند شماره حساب‌های بانکی را به سرقت می‌برد.

    یکی از سناریوهای حمله‌ دیگر که توسط محققان شناسایی شده، Matrix Exploit نام داشته و شناسایی و جلوگیری از آن به مراتب سخت‌تر از روش اول است. در این حمله، مهاجم ماتریسی از متون را در یک ایمیل نوشته و در ادامه از راه دور و با استفاده از CSS کنترل می‌کند که چه متنی در ایمیل نمایش داده‌شود. این روش مهاجم را قادر می‌سازد تا بتواند محتوای مخرب را در متن ایمیل جای دهد.

    شناسایی این نوع از حمله بسیار سخت است، چرا که در نسخه‌ اصلی و اولیه‌ ایمیل، هیچ آدرس URL وجود ندارد و هیچ‌یک از سامانه‌های دفاعی و امنیتی، هشداری صادر نخواهندکرد. هرچند محققان نمونه‌ای از حمله‌ Ropemaker را مشاهده نکردند، ولی این بدین معنی نیست که در دنیای واقعی این حمله رخ نداده‌است. محققان می‌گویند این روش از حمله می‌تواند بسیاری از سامانه‌های امنیتی را دور بزند.

    محققان امنیتی می‌گویند برای اینکه از سامانه‌ خود در برابر چنین حملاتی محافظت کنید، توصیه می‌شود تا از کارخواه ایمیل مبتنی بر وب مانند جی‌میل، iCloud و اوت‌لوک استفاده کنید که تحت‌تأثیر چنین حملاتی مبتنی بر دست‌کاری CSS قرار نمی‌گیرند. همچنین کارخواه‌هایی مانند نسخه‌ رومیزی و تلفن همراه «ایمیل اپل»، اوت‌لوک مایکروسافت و Thunderbird موزیلا در برابر حمله‌ Ropemaker آسیب‌پذیر هستند.

  • image001 1

    بنابر بررسی دانشمندان امنیتی، حملات بات‌نت Mirai گسترده‌تر از آن چیزی بود که تاکنون درباره آن سخن به میان آمد.

    بات‌نت Mirai در سال ۲۰۱۶ میلادی توانست بخش‌های وسیعی از اینترنت را با انجام حمله‌ منع سرویس توزیع‌شده از کار بیندازد. ازجمله‌ این حملات می‌توان به هدف قرار دادن وب‌سایت پژوهشگر معروف برایان کربس، ارائه‌دهنده‌ سرویس DNS با نام Dyn و دیگر حملات اشاره کرد. پژوهشگران گزارش کردند که این بات‌نت شبکه‌ بازی‌های مجازی را نیز هدف قرار داده‌بود.

    هرچند شاهد بودیم که نویسندگان این بات‌نت، اهداف اصلی را مورد حمله قرار دادند و توانستند آنها را در مرحله‌ اول آلودگی از کار بیندازند، ولی افراد دیگری نیز نمونه‌های خود را از این بدافزار توسعه دادند و توانستند دست‌کم ۱۰۰ سامانه را آلوده کنند. این نتیجه‌گیری‌ها هفته‌ گذشته در کنفرانس امنیتی یوزنیکس کانادا در قالب مقاله‌ای با نام «درک بات‌نت Mirai» ارائه شد.

    در حوزه‌های مختلف محققان با بررسی‌های مختلف مشاهده کردند که در کارگزارهای مختلف از گذرواژه‌های بسیار ساده استفاده شده‌است. به‌طور مثال گذرواژه یک چاپگر پاناسونیک ۰۰۰۰۰۰۰ و گذرواژه‌ یک دوربین سامسونگ ۱۱۱۱۱۱ بود. پژوهشگران همچنین متوجه شدند که برخی از بخش‌ها هدف Mirai قرار گرفت، ولی آنها از این مسئله بی‌خبر بوده‌اند. محققان متوجه شدند یکی از اهداف حمله، شبکه‌ پلی‌استیشن بود، فلش‌پوینت سال قبل مورد حمله قرار گرفت و XBOX Live نیز یکی از مواردی بود که هدف قرار گرفت. از سایر بخش‌های مهمی که هدف حمله‌ Mirai قرار گرفته‌اند می‌توان شبکه‌ بازی‌های Steam ،Minecraft و Runescape را نام برد.

  • image001 3

    بررسی برنامه‌های بانکی تلفن همراه در پانزده موسسه بانکی نشان می‌دهد که تمام این برنامه‌ها حداقل دارای یک مسئله امنیتی هستند.

    شرکت‌های Accenture و NowSecure، آسیب‌پذیری برنامه‌های بانکی تلفن همراه را در ۱۵ موسسه بانکی بررسی کرده‌اند. آنها نسخه‌های iOS و Android برنامه‌های بانکی این موسسات را آزمایش کردند و دریافتند تمامی برنامه‌های مورد آزمایش قرار گرفته حداقل دارای یک مسئله امنیتی هستند.

    امکان دسترسی برنامه‌ها به فایل‌های نوشتاری، آسیب‌پذیری‌های برنامه‌های اضافی مانند کدهای راه‌اندازی از راه دور ازجمله خطرات امنیتی شناسایی شده هستند.

    چک نکردن SSL در ارتباطات رمزگذاری نشده نیز یکی از این موارد بود، به عنوان مثال برنامه‌های IOS که مورد آزمایش قرار گرفتند مشکلی نداشتند. عدم تطبیق منابع برنامه که اجازه می‌دهد به مهندسی معکوس در برنامه‌های اندروید دسترسی داشته‌باشیم، مشکل دیگری بود که محققان پیدا کردند.

    داده‌های حساس با ترافیک TLS که در ۸۰ درصد از برنامه‌های بانکی IOS از طریق پروتکل SSL تست شده‌است، نبود امنیت در ۶۰‌ درصد از برنامه‌های بانکی IOS که ATS را غیرفعال کرده و اجازه می‌دهد بدون در نظر گرفتن پیکربندی HTTP و HTTPS اتصال به سرور برقرار شود از دیگر خطرات شناسایی شده‌بودند.

    همچنین این محققان دریافتند که موسسات بانکی زمانی که اقدام به بازنگری در مسائل مهم امنیتی خود کرده‌اند در مورد خطرات Heartbleed, MITM اقدامات کمی را انجام داده‌اند. از طرفی بسیاری از موسسات گامی مناسب برای تایید اعتبار خود در نظر گرفته‌اند، اما در یک انتخاب نامناسب از تکنولوژی پیام کوتاه برای احراز هویت استفاده کرده‌اند.

    محققان، ارتباطات ناامن را به عنوان بزرگ‌ترین خطر در نظر گرفته‌اند و اشاره کرده‌اند که امنیت در انتقال داده‌ها از طریق کانال‌های ارتباطی، یک چالش برای توسعه‌دهندگان است. تیم‌های توسعه باید تلاش کنند امنیت درون SDLC تلفن همراه با در اختیار داشتن امنیت و نظارت امنیتی مناسب با آموزش و آگاهی و تست توسعه‌دهندگان درگیر کنند.

    سازمان‌ها همچنین باید یک استراتژی برای انجام آسیب‌پذیری‌های منظم داشته‌باشند که بتوانند درک جامعی از محیط امنیتی تلفن همراه را توسط تست نفوذ، فاز برنامه و بررسی کد منبع در اختیار داشته‌باشند.

  • 2

    باج‌افزار Mamba و لاکی با انواع تخریب جدید و بیشتری نسبت به قبل بازگشته‌اند.

    باج‌افزارها در حدود چند سال همین اطراف بوده‌اند، اما اکنون برای همه تبدیل به یک کابوس شده‌اند. از کسب‌وکارهای بزرگ و موسسات مالی تا بیمارستان‌ها و افراد سراسر جهان قربانی این تهدیدات می‌شوند و از طریق آنها، مجرمان سایبری میلیون‌ها دلار به‌دست آورده‌اند.

    در چندماه گذشته، شاهد حملات باج‌افزاری ازجمله باج‌افزارهای واناکرای، پتیا و LeakerLocker بوده‌ایم که با تعطیل کردن بیمارستان‌ها، تولید وسایل نقلیه، ارتباطات مخابراتی، بانک‌ها و بسیاری از کسب‌وکارها، باعث ایجاد آشفتگی در سراسر جهان شده‌است. قبل از باج‌افزارهای واناکرای و پتیا، سال گذشته باج‌افزار Mamba با رمزنگاری کامل صفحه و باج‌افزار لاکی در سراسر جهان هرج‌ومرج ایجاد کرده‌بودند و خبر بد این است که آنها با انواع تخریب جدید و بیشتری نسبت به قبل بازگشته‌اند.

    باج‌افزار Diablo6، نسخه‌ جدید باج‌افزار لاکی
    باج‌افزار لاکی که برای اولین‌بار در اواخر سال ۲۰۱۶ میلادی ظاهر شد، یکی از بزرگ‌ترین آلودگی‌های باج‌افزاری توزیع‌شده بود که سازمان‌هایی را در سراسر جهان آلوده کرده‌است. باج‌افزار لاکی با فریب دادن قربانیان برای کلیک کردن بر روی پیوست‌های مخرب، تقریبا تمامی فرمت‌های پرونده را بر روی رایانه و شبکه‌ قربانی رمزنگاری کرده و آنها را زمانی‌که باج در قالب بیت‌کوین به مهاجمان پرداخت شود، باز می‌کند.

    این باج‌افزار از طریق بات‌نت‌های Necurs و Dridex، انواع مختلفی از خود را توزیع کرده‌است. این‌بار محققان امنیتی یک پویش بدافزاری هرزنامه‌ جدید را کشف کرده‌اند که نوع جدیدی از بدافزار لاکی را با نام Diablo6 توزیع می‌کند و رایانه‌های سراسر جهان را هدف قرار داده‌است، آمریکا بیشتر مورد هدف بوده‌است و پس از آن اتریش قرار دارد.

    یک محقق امنیتی مستقل با استفاده از نام مستعار برخط Racco42 برای نخستین‌بار نوع جدیدی از لاکی را مشاهده کرد که پرونده‌ها را بر روی رایانه‌های آلوده رمزنگاری کرده و پرونده‌ای را با پسوند .diablo۶ اضافه می‌کند. به‌طور معمول، انواع بدافزارها در یک ایمیل حاوی یک پرونده‌ ورد مایکروسافت به‌عنوان یک پیوست می‌آیند که هنگام باز کردن آن یک اسکریپت بارگیری‌کننده‌ VBS اجرا می‌شود که پس از آن تلاش می‌کند تا از یک کارگزار پرونده‌ از راه دور، Diablo6 لاکی را بارگیری کند.

    سپس باج‌افزار، قبل از نمایش پیامی که قربانیان را برای بارگیری و نصب مرورگر Tor ترغیب کرده و از آنها می‌خواهد که برای دریافت دستورالعمل‌ها و پرداخت‌های بیشتر از وب‌سایت مهاجم بازدید کنند، پرونده‌ها را با استفاده از کلید RSA-۲۰۴۸ بر روی رایانه‌ آلوده رمزنگاری می‌کند. این نوع از Diablo6 لاکی از قربانیان برای بازگرداندن پرونده‌های خوددر مجموع ۰.۴۹ بیت‌کوین (بیش از ۲،۹۷۹ دلار) درخواست می‌کند. متاسفانه، در این زمان بازگرداندن پرونده‌های رمزنگاری‌شده توسط .diablo۶ غیرممکن است، بنابراین کاربران باید هنگام باز کردن پیوست‌ ایمیل‌ها احتیاط کنند.

    بازگشت صفحه‌های رمزنگاری‌شده توسط باج‌افزار Mamba
    Mamba یکی دیگر از قدرتمندترین و خطرناک‌ترین باج‌افزارها است که به‌جای پرونده‌ها، کل هارددیسک را بر روی ایمیل آسیب‌دیده رمزنگاری کرده و سامانه را به‌طور کامل غیرقابل استفاده می‌کند، مگر اینکه باج پرداخت شود. روش‌های مشابهی از حملات سایر باج‌افزارها مانند باج‌افزارهای واناکرای و پتیا را مورد استفاده قرار می‌دهد، اما باج‌افزار Mamba به‌جای اخاذی از بیت‌کوین‌ها برای تخریب شرکت‌ها و دیگر سازمان‌های بزرگ طراحی شده‌است.

    در اواخر سال گذشته، Mamba طی تعطیلات روز شکرگزاری، شبکه‌ سامانه‌ آژانس حمل‌ونقل شهری سان‌فرانسیسکو (MUNI) را آلوده کرد و باعث تاخیر قطار اصلی و مجبور شدن مقامات برای تعطیلی دستگاه‌های بلیت و دروازه‌های کرایه در برخی از ایستگاه‌ها شد. در‌حال‌حاضر، محققان امنیتی در آزمایشگاه کسپرسکی پویش جدیدی از توزیع باج‌افزار Mamba را مشاهده کرده‌اند که شبکه‌های شرکت‌های بزرگ در کشورها به‌ویژه در برزیل و عربستان سعودی، هدف قرار داده‌است.

    Mamba با استفاده از ابزار رمزنگاری دیسک ویندوز متن‌باز به نام DiskCryptor به‌طور کامل هارددیسک‌های رایانه‌های سازمان‌های هدف را رمز می‌کند، بنابراین هیچ راهی برای رمزگشایی داده‌ها وجود ندارد، چراکه الگوریتم‌های رمزنگاری استفاده شده توسط DiskCryptor بسیار قوی هستند. اگرچه مشخص نیست که در ابتدا این باج‌افزار چگونه راه خود را به شبکه‌های شرکت‌ها پیدا می‌کند، محققان بر این باورند که مانند بیشتر انواع باج‌افزارها، Mamba ممکن است از یک کیت بهره‌برداری در معرض خطر یا وب‌سایت‌ها یا ضمیمه‌های مخرب ارسال شده از طریق ایمیل‌ها استفاده کند. یادداشت باج بلافاصله پول درخواست نمی‌کند، بلکه بر روی صفحه‌ آلوده شده تنها یک پیام نشان می‌دهد که ادعا می‌کند هارددیسک قربانی رمزنگاری شده‌است و دو آدرس ایمیل و یک شماره‌ شناسه‌ منحصربه‌فرد برای بازیابی کلید ارائه می‌دهد.

    محافظت از رایانه‌ها در برابر حملات باج‌افزاری


    با توجه به چندین شیوع گسترده‌ باج‌افزاری که در چند ماه گذشته اتفاق افتاده‌است، باج‌افزارها به یکی از بزرگ‌ترین تهدیدات برای افراد و شرکت‌ها تبدیل شده‌اند. درحال‌حاضر، برای رمزگشایی داده‌های قفل شده توسط Mamba و لاکی هیچ رمزگشایی موجود نیست، بنابراین به کاربران به‌شدت توصیه می‌شود که به دنبال اقدامات پیشگیرانه برای محافظت از خود باشند.

    مراقب ایمیل‌های فیشینگ باشید؛ همیشه به اسناد ناخواسته‌ ارسال شده توسط ایمیل‌ها، مشکوک بوده و هرگز بر روی پیوندهای درون آن اسناد کلیک نکنید، مگر اینکه منبع را تأیید کنید.

    پشتیبان‌گیری منظم؛ همیشه برای تمامی پرونده‌ها و اسناد مهم خود یک نسخه‌ پشتیبان خوب در محلی که آنها را در یک دستگاه ذخیره‌سازی خارجی رونوشت می‌کند و همیشه به رایانه‌ شما متصل نیست، داشته‌باشید.

    ضد بدافزار و به‌روزرسانی سامانه‌ها؛ همیشه ضدبدافزار و سامانه‌ خود را به‌روز نگه دارید تا در برابر آخرین تهدیدات مصون بمانید.