طبق گزارشات متعدد از شرکتهای امنیتی، تعداد حملات سرقت اطلاعات کشف شده در سال جاری افزایش چشمگیری داشته است. در حال حاضر نه تنها در بازی ها، فایل های کرک و ابزارهای تقبلی بلکه در ابزارهای AI نیز ممکن است این Stealerها با هدف سرقت اطلاعات کاربران قرار بگیرند و تنها محدود به پلتفرم های ویندوزی نیستند و سایر پلتفرم ها را نیز در بر میگیرند.
با نگاهی به نمودار شناسایی infostealerها در یک دوره دو ساله از آگست سال 2022 تا زمان مشابه در سال 2024 مشخص می شود که فعالیت آنها در این دوره ادامه داشته و در حدود ماههای دسامبر و ژانویه شدت بیشتری داشته است. 
علت این موضوع دقیقا مشخص نیست اما می توان حدس زد که با توجه به تعطیلات آخر سال این حملات بیشتر می شود.
در شکل زیر 10 خانواده اول infostealerها که توسط ESET شناسایی شده اند نشان داده شده است:
نکته ای که باید در نظر داشت این است که بیشتر infostealerهای شناسایی شده، بدافزارهای ویندوزی بوده اند اما infostealerهایی نیز وجود دارد که مبتنی بر وب عمل می کنند و می توانند با موفقیت اطلاعات کاربرانی که از نرم افزارهای معتبر امنیتی استفاده نمی کنند، را به سرقت ببرند.
نتایجی که در تصاویر فوق ملاحظه میکنید براساس اطلاعات ESET جمع آوری شده و ممکن است در سایر منابع متفاوت باشد که به دلیل تفاوت در کاربران، موارد مورد بررسی قرار گرفته و … کاملا عادی و متداول است و در کلیت نتایج تفاوت چندانی ندارند.
سرقت اطلاعات برای تفریح یا سود مالی؟
شرکت ESET، بدافزارهای سرقت اطلاعات را تحت یک دسته جدا بنام infostealerها قرار میدهد. سایر شرکت ها ممکن است آنها با عنوان تروجانها یا جاسوس افزار نیز طبقه بندی نمایند.
بنابراین با در نظر گرفتن موارد فوق، سرقت اطلاعات دقیقا چیست؟ و وقتی رخ میدهد دقیقا چه اتفاقی می افتد؟
همانطور که از نام آن پیداست این نوع بدافزار هر اطلاعاتی را که اپراتور آن را در رایانه شما پیدا می کند، به سرقت می برد. این کار شامل نام های کاربری و رمزهای عبور برای وبسایت های مختلف که از طریق مرورگرهای نصب شده به آنها دسترسی پیدا می کند بوده و آنهایی که برای برنامه های کاربردی استفاده شده، می شود. اکانت های بازی یا بانکی حساب های ایمیل و رسانه های اجتماعی و اعتباری را می توان به سرقت برد و از آنها برای خرید و … استفاده کرد. با استفاده از همین حساب های کاربری می توانند سایر کاربران را نیز به دام اندازند.
حتما دیده اید که برخی از وبسایت ها و برنامه ها دارای ویژگی ((مرا به خاطر بسپار)) هستند که به کاربر این امکان را میدهد که برای مراجعات بعدی نیاز به ورود مجدد اطلاعات حساب کاربری خود نداشته باشد. این کار با ذخیره توکن سشن در سیستم کاربر انجام می شود. این موضوع را می توان به عنوان یک شکل خاص از کوکی مرورگر در نظر گرفت که به وبسایت هدف اعلام می کند که کاربر با موفقیت تایید شده و به آنها اجازه ورود میدهد. مجرمان به دنبال چنین مواردی بوده و آنها را هدف قرار میدهند، زیرا به آنها اجازه میدهند تا با دور زدن روال های معمول وارد یک حساب کاربری شوند. تا آنجایی که به این سرویس مربوط می شود، بنظر میرسد که کاربر از دستگاهی که مجوز ورود دارد، دسترسی پیدا کرده است.
سرقت اطلاعات
Stealerها نوعی بدافزار هستند که اغلب به عنوان یک سرویس فروخته می شوند، بنابراین کاری که هنگام اجرا انجام میدهد براساس هدف مهاجم سایبری که آن سرویس را خریداری کرده است، متفاوت خواهد بود. بسیاری از این بدافزارها پس از پایان سرقت اطلاعات موردنظر خود را در سیستم قربانی خذف می کنند تا تشخیص آنچه رخ داده و زمان آن دشوارتر شود. هرگاه قربانی اقدام در برابر این حمله را به تاخیر بیندازد، مجرمان سایبری زمان بیشتری خواهند داشت تا از اطلاعات سرقت شده، سوءاستفاده نمایند.
اما از آنجایی که این بدافزارها از نوع crimeware-as-a-service هستند، ممکن است از آن برای نصب بدافزارهای دیگری برای حفظ دسترسی به سیستم قربانی هم نیز استفاده شود. تا در صورت نیاز مجرمان مجددا بتوانند به سیستم هدف دسترسی یابند.
بازیابی بعد از یک حمله سرقت اطلاعات
برخلاف اینکه شاید لازم باشد درایوهای سیستم به عنوان مدرک حفظ شود اما پس از این مرحله، اولین کاری که باید انجام داد این است که درایو را پاک کرده و سیستم عامل جدیدی نصب شود. البته این کار را با فرض داشتن فایل بکاپ منظم باید انجام داد که پاک کردن درایوها باعث از دست رفتن اطلاعات نشود و از اطلاعات قبلا پشتیبان گیری شده باشد.
اگر اینطور نیست و فایل بکاپی نداشته و اطلاعات مهمی نیز روی آن سیستم ذخیره شده است، شاید بتوان درایو را با یک درایو جدید جایگزین و با نصب سیستم عامل جدید مجدد از آن سیستم آلوده استفاده کرد سپس درایو قدیمی را در یک سیستم خارجی و ایزوله از شبکه قرار داد و از اطلاعاتی که از آنها بکاپی وجود ندارد، یک نسخه کپی تهیه نمود.
پس از پاکسازی رایانه، نصب ویندوزها، نرم افزارهای امنیتی و دریافت تمامی آپدیت ها، زمان آن است که تمامی پسوردهای مربوط به اکانت های آنلاینی که دسترسی از طریق آنها صورت گرفته را نیز تغییر داد. هر پسورد جدید باید نه تنها پیچیده بلکه متقاوت از پسورد سایر سرویس و اکانتها باشد.
چنانچه تنها تغییر جزیی در پسوردها ایجاد کنیم، برای مهاجم پیدا کردن دوباره آنها کار دشواری نخواهد بود. با انتخاب پسورد پیچیده و کاملا متفاوت اگر پسوردی افشا یا به سرقت رفت، حدس سایر پسوردها توسط مهاجم ساده نخواهد بود. برخی راهکارهای امنیتی قابلیت مدیریت پسورد نیز دارند، همچنین ابزارهای رایگان بسیاری نیز برای ایجاد پسوردهای پیچیده و منحصر به فرد مانند ابزار ایجاد پسورد آنلاین ESET وجود دارد.
همچنین با فعالسازی راهکارهای احراز هویت چندعاملی برای تمامی اکانتها می توان تضمین کرد که دسترسی به آنها توسط مهاجم سخت تر خواهد بود حتی اگر پسورد آن اکانت را بدانند.
زمانی که پسوردی را تغییر می دهید حتما به این نکته توجه کنید که پسورد از پسورد قدیمی نیز متفاوت باشد. مسلما اگر پسوردها شبیه به قبلی باشند، مهاجم به راحتی می تواند آنها را حدس بزند.
همانطور که بالاتر ذکر شد، فقط مسئله پسوردها نیست بلکه باید توکن های سشن را نیز تغییر داد. این توکن ها به بدافزارهای سرقت اطلاعات این امکان را میدهد که بجای شما از سشن های قبلی تایید شده استفاده کنند. برخی از وبسایت ها و اپلیکیشن ها این امکان را دارند که به شما سشن های فعال یا دستگاههایی که از طریق آنها به اکانت شما دسترسی وجود دارد، را نمایش دهد همچنین این قابلیت وجود دارد که از سشن ها در دستگاههای مشکوک و ناخواسته لاگ اوت کنید. این موارد را نیز بررسی نمایید.
با توجه به اینکه امکان تکرار خطر زیاد است، پس مهم است این اقدامات برای هر سرویس به صورت جداگانه انجام شود. حتی آن اکانتها یا سرویسهایی که مدتی است استفاده نشده اند. این موضوع مخصوصا برای وبسایت های مالی، فروشگاههای آنلاین، شبکه های اجتماعی و ایمیل ها مهمتر است چرا که این سرویس ها بیش از سایر اکانتها برای مهاجمان ارزشمند هستند.
چنانچه هر پسورد مشابه و تکراری ای بین این سرویس ها وجود داشته باشد، مهاجم با مجوزهای سرقت شده را در سایر سرویس ها وامتحان کرده و به اکانتهای آنها نیز دسترسی پیدا می کند.
از جمله فعالیت های دیگری که در این زمان لازم است انجام داد می توان به ارائه گزارش به سازمانهای ذی ربط مثل پلیس فتا و … و همچنین در جریان قرار دادن بانکها و موسسات مالی است. چرا که این گزارشات می تواند در بازیابی حسابها مفید باشد. برای مثال در مواردی می توان با ارائه گزارشات دقیق چنانچه وجهی به سرقت رفته باشد، آن را برگرداند.
استراتژی های دفاعی
مقابله با عواقب حمله سرقت اطلاعات یک فرآیند طولانی و دشوار است که می تواند روزها یا هفته ها زمان ببرد. به اصول بازیابی از چنین حملاتی نیز اشاره شد. قفل و کلید هویت آنلاین ما نام های کاربری و رمزهای عبور هستند و نقض داده های مربوط به این موارد به طور قابل توجهی افزایش داشته اند.
استفاده از راهکارهایی با قابلیت ضدسرقت می تواند به کاهش بدترین جنبه های این نوع حملات کمک کند، اما این موضوع مانند داشتن فایل های بکاپ منظم چیزی است که بسیاری از ما تا زمانی که مشکلی پیش نیاید، به آنها توجه نمی کنیم.
وبسایت HIBP یک منبع رایگان و خوب برای یافتن این موضوع است که آیا آدرس ایمیل شما در نقض های داده ای دخیل بوده است یا خیر، این وبسایت مرتبا اطلاعات به روز شده ای در مورد نقض داده ها در سراسر جهان دریافت می کند. چنانچه آدرس ایمیلی از شما در این وبسایت یافت شود نه الزاما به معنی در خطر قرار داشتن ایمیل شما بلکه ممکن است بدین معنی باشد که این ایمیل مرتبط با حسابی باشد که شما در وبسایت یا اپلیکیشنی داشته اید و اطلاعات از آن سرویس به بیرون درز پیدا کرده است.
پیشگیری از نقض داده ها کار ساده ای نیست ، از طرفی سرقت اطلاعات معمولا نتیجه رفتارهای مخاطره آمیز است. در آخر چند مرحله وجود دارد که می توان برای کاهش تاثیر و بازیابی سریعتر از این نوع حملات انجام داد:
- استفاده از پسوردهای طولانی، پیچیده و منحصر به فرد برای هر اکانت. یک راهکار مدیریت پسورد می تواند این فرآیند را بسیار ساده کند.
- فعالسازی احراز هویت چندعاملی برای تمامی سرویس و استفاده از این راهکار در سیستم های سازمانی. استفاده از توکن های سخت افزاری یا اپلکیشن های موبایلی در مواردی امن تر از روشهای ایمیلی و اس ام اسی هستند چرا که در مواردی ممکن است مهاجم به ایمیل یا موبایل قربانی دسترسی داشته باشد.
- برخی از سرویسها به شما امکان دیدن تمامی دستگاههای متصل به اکانت شما را می دهند. به صورت دوره ای این دستگاهها را چک کرده و موارد نامرتبط و بلااستفاده را غیرفعال کنید.
- از یک ابزار مانیتور نقض داده ها و ضدسرقت استفاده کنید تا در صورت در خطر قرار گرفتن یک اکانت به شما اطلاع دهد.
- استفاده از نرم افزارهای کرک شده، تقلبی و … را تا حد امکان محدود کنید.
- سیستم عامل و نرم افزارهای خود را با استفاده از آخرین وصله ها به روز نگه دارید.
- همیشه آخرین نسخه نرم افزارها را از منابع معتبر دریافت و نصب نمایید.
- از آخرین تهدیدات امنیتی مطلع باشید و اخبار مربوط به امنیت را دنبال کنید.
این اقدامات می تواند تا حدود زیادی به شما در بازیابی از یک حمله و حفاظت از خود در برابر حملات سرقت اطلاعات کمک کند. همچنین شرکت مهندسی پانا با ارائه راهکاری متنوع امنیت شبکه آماده ارائه مشاوره در این زمینه می باشد. خواهشمندیم جهت کسب اطلاعات بیشتر در خصوص هر یک از محصولات با ما تماس حاصل فرمایید.
منبع:
