در کشور ما مسئولیت حملات سایبری به شرکتهای تجاری در درجه اول با خود آن شرکتها و پس از آن با پلیس فتا است.
به گزارش گرداب، حمله اخیر به پایگاه دادههای اسنپفود بار دیگر خطر حملات سایبری را به جامعه ایران گوشزد کرد. حملات سایبری این روزها میتوانند منبع راحتی برای به دست آوردن اطلاعات شهروندان باشند. یکی از شیوههایی که مجرمان سایبری از آن استفاده میکنند، حملات باجافزاری است که در طی آن با نفوذ به پایگاه داده برای دسترسی مجدد کاربران به آن دادهها و یا عدم انتشار آنها از شرکتها درخواست پول میکنند.
در صورتی که این حملات به زیرساختهای حیاتی کشور انجام شود، مسئولیت مقابله با آنها به مرکز راهبردی افتا ریاستجمهوری محول شده است. اما در صورتی که این حملات شرکتهای خصوصی و افراد را هدف قرار دهد، پلیس فتا موظف به ارائه خدمات است. به بیان دیگر در صورتی که کسبوکار شما قربانی حملات باجافزاری شد بهترین کار برقراری ارتباط با پلیس فتا است.
همچنین همه کسبوکارهایی که دادههای شهروندان را ذخیره میکنند، باید بدانند که نسبت به امنیت این دادهها مسئولند و موظفند اقدامات لازم را انجام دهند که هکرها نتوانند اطلاعات آنها را در اختیار بگیرند.
موسسه امنیت سایبری کسپرسکی هم در یادداشتی توضیح میدهد که در برابر قرار گرفتن اطلاعات شرکتمان در فضای دارک وب باید چه کار کنیم. مطالعه این یادداشت با در نظر گرفتن نکات فوق میتواند مفید باشد.
«پایگاه رسانهای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزههای مختلف فناوری اقدام میکند. انتشار مطالب به معنای تایید محتوای آن نیست».
هر سال نشت اطلاعاتی زیادی رخ میدهد که بزرگترین نقضها و هکها توجه رسانهها را به خود جلب میکنند (مانند نقض دادههای Optus و Medibank، نقض دادههای توییتر و توافق Rockstar و Uber در سال ۲۰۲۲ و OpenAI، MailChimp و T-Mobile در سال ۲۰۲۳).
ما آیا ما واقعاً از مقیاس واقعی تهدید آگاه هستیم؟ برای پی بردن به این موضوع، در سال ۲۰۲۲ فهرستی از ۷۰۰ شرکت در سراسر جهان از صنایع مختلف تهیه کردیم: صنعتی، مخابراتی، مالی، خرده فروشی و غیره. سپس ما در دارک نت جستجو کردیم و سعی کردیم به این سوال پاسخ دهیم که «چقدر احتمال دارد این شرکتها دچار نقض شده باشند؟»
در جریان این تحقیق، متوجه شدیم که پستهای رایج حول فروش حسابها، پایگاههای اطلاعاتی داخلی و اسناد به خطر افتاده، همراه با دسترسی به زیرساختهای شرکتی در چرخش هستند. در حالی که دارک نت فروش انواع دادههای مختلف را تسهیل میکند، مانند اطلاعات کارت بانکی، گواهینامه رانندگی و عکسهای شناسایی و غیره. تمرکز ما در این مقاله بر روی سه تهدید ذکر شده خواهد بود که به ویژه به شرکتها مرتبط است. در نتیجه تحقیقات، متوجه شدیم که از ۷۰۰ شرکت، ۲۲۳ شرکت در دارک نت در موضوعات مختلف مربوط به نقض داده لیست شده است.
توزیع صنایع در سال ۲۰۲۲
از نظر آماری، به این معنی است که از هر سه شرکت، یکی از آنها در پستهای دارک نت مرتبط با فروش دادهها یا دسترسیها ارجاع داده شده است، در حالی که از اخبار میدانیم که حتی شرکتهایی با سطح بلوغ امنیت سایبری بالا هک شدهاند. در ادامه مقاله، ما یک نمای کلی آماری ارائه میکنیم که شامل تمام پستهای دارک نت در مورد فروش، خرید یا توزیع رایگان حسابهای در معرض خطر، دادههای ناشی از نقضها و دسترسیهای شرکتی از ژانویه ۲۰۲۲ تا نوامبر ۲۰۲۳ است. این تجزیه و تحلیل فراتر از محدوده شرکتهای ذکر شده در این مطالعه است.
نشت دادهها
نشت دادهها اطلاعات محرمانه و حساس را افشا میکند و میتواند مشکلات بزرگی ایجاد کند. رایجترین مثال، پایگاههای اطلاعاتی و اسناد داخلی هستند، زیرا هر شرکتی با هر اندازهای با دادههای محرمانه که دارای قیمت است، کار میکند. این نشت اطلاعاتی میتواند بر خود شرکت، کارمندان و مشتریان تأثیر بگذارد. طبق گزارش Kaspersky DFI Portal، هر ماه حدود ۱۷۰۰ پست منحصربفرد مربوط به فروش، توزیع یا خرید نشت دادهها در دارک نت ظاهر میشود.
تعداد پیامهای مربوط به فروش / خرید پایگاه داده، ژانویه ۲۰۲۲ – نوامبر ۲۰۲۳
لازم به ذکر است که هر پیام نشاندهنده یک نشت منحصر به فرد به روز نیست. برخی از آنها تبلیغات مکرر در همان نشت هستند. برخی از پایگاههای داده را میتوان ادغام کرد یا بر اساس کشور تقسیم کرد و به عنوان یک پایگاه کاملاً جدید ارائه شده یا به عنوان Combolist عرضه کرد.
نمونهای از پیشنهاد Combolist
دیگر انواع پرطرفدار نشتهای چرخشی، پایگاههای داده با دادههای عمومی خراششده، مانند نامها، شناسههای پروفایل و ایمیلهای شبکههای اجتماعی محبوب هستند. آنها در جامعه مجرمان سایبری به عنوان منبعی ارزشمند برای توسعه یک حمله معتبر باقی میمانند. در سال ۲۰۲۱، اطلاعات شخصی بیش از ۷۰۰ میلیون کاربر لینکدین و ۵۳۳ میلیون کاربر فیسبوک پاک شده و در دارک نت پست شد.
نمونهای از توزیع پایگاه داده لینکدین که فاش شده (عکس از پرتال اطلاعاتی دیجیتال ردپای کسپرسکی گرفته شده است).
دسترسیهای زیرساختی
یکی دیگر از انواع محبوب دادههای فروخته شده در دارک نت، دسترسیهای زیرساختی است. قبلاً یک تحقیق مستقل در مورد این موضوع منتشر کردیم، بنابراین در اینجا فقط نکات اصلی را خاطر نشان میکنیم. دلیل محبوبیت دسترسیهای زیرساخت ساده است: حملات پیچیده تقریباً همیشه شامل چندین مرحله مانند شناسایی، دسترسی اولیه به زیرساخت، دسترسی به سیستمهای هدف و یا امتیازات، و اعمال مخرب واقعی (سرقت دادهها، تخریب یا رمزگذاری و غیره) است. مراحل مختلف به تخصصهای متفاوتی نیاز دارند، بنابراین مجرمان سایبری اغلب دارای تخصص هستند و کسی که به راحتی میتواند دسترسی داشته باشد ممکن است در توسعه حمله با مشکلاتی روبرو شود. در این حالت، خریدن دسترسی اولیه، حمله را ساده میکند و برای مجرمان سایبریِ باتجربه مقرون به صرفه است. برای کسبوکاری که میخواهد خطرات مربوط به فروش دسترسی به زیرساخت را کاهش دهد، اولین چالش این است که در مورد فروش، اطلاعات کسب کند. تفاوت بزرگ این نوع داده در مقایسه با انواع دیگر این است که مجرمان سایبری ترجیح میدهند نام شرکت را در پیام ذکر نکنند تا دسترسی را از دست ندهند. حتی اگر کسی نامی را ذکر کند، افراد دیگری همیشه آنجا هستند تا به همکاران غافل خود توصیه کنند که اطلاعات اضافی را به اشتراک نگذارند.
کامنت پستی که دسترسی را برای فروش ارائه میدهد
در این صورت، چگونه این تهدید را ردیابی میکنید؟ ویژگیهایی وجود دارد که مجرمان سایبری معمولاً در پیام قرار میدهند، مانند موقعیت جغرافیایی، صنعت، اندازه شرکت و درآمد سالانه.
چند نمونه از پیامهای یک سازمان با ویژگیهای شرکتها
در سال ۲۰۲۲، ما حدود ۳۰۰۰ پیشنهاد زیرساخت منحصر به فرد را پیدا کردیم. تا نوامبر ۲۰۲۳، ما در حال حاضر بیش از ۳۱۰۰ پیشنهاد پیدا کردهایم. به طور معمول، دسترسی هک شده به زیرساختهای شرکتی شامل حسابهای یک سرویس VPN شرکتی و برخی از سرورها یا میزبانها در شبکههای داخلی است (به طور کلی، دسترسی از طریق Web Shells یا RDP انجام میشود).
تعداد پیامهای ارائهدهنده دسترسی به زیرساخت، ژانویه ۲۰۲۲ - نوامبر ۲۰۲۳
حسابهای در معرض خطر
دسته دیگری از دادهها وجود دارد که یک یافتهی واقعی برای دستیابی به دسترسی اولیه بوده، که همان حسابهای در معرض خطر است. با توجه به منبع، ما تمام حسابهای در معرض خطر را به سه دسته تقسیم میکنیم:
چنین اعتبارنامههایی به دلیل سارقان اطلاعاتی مانند VIDAR و REDLINE در دسترس قرار میگیرند که اکنون از طریق Malware-as-a-Service در جامعه مجرمان سایبری به راحتی قابل دسترسی هستند.
در نگاه اول، هیچ نکتهای برای مجرمان سایبری وجود ندارد که اعتبار را به صورت رایگان به اشتراک بگذارند. با این حال، آنها اگر دیگر به دادهها نیاز نداشته باشند و بخواهند نرخ خود را در میان جامعه مجرمان سایبری در یک انجمن خاص دارک نت افزایش دهند، میتوانند این کار را انجام دهند و به صورت رایگان منتشر کنند. همچنین، آنها میتوانند برخی از پروندههای ورود به سیستم بدافزار حاوی حسابهای به خطر افتاده را منتشر کنند تا فروش بعدی را اعلام کنند.
هر سه نوع اطلاعات فاش شده شرکتها را تهدید میکند، چون علیرغم ممنوعیتها، کارمندان از آدرسهای ایمیل شرکتی برای ثبت نام در وبسایتهای شخص ثالث استفاده میکنند. در یک سناریوی معمولی، کارمندان شرکت از رمز عبورهای یکسانی برای سرویسهای خارجی و منابع شرکتی استفاده میکنند، که این موضوع میتواند به مجرمان سایبری کمک کند تا به زیرساختهای شرکت دسترسی غیرمجاز داشته باشند.
بنابراین، چقدر احتمال دارد که دادههای سرقت شده شما در حال حاضر در دارک نت فروخته شود؟ و با آن چه باید کرد؟ در صورت نشتی، زمانی برای پشیمانی از کنترلهای امنیتی محقق نشده یا عدم انجام آموزش امنیت اطلاعات وجود ندارد. شناسایی سریع تهدید و طرح پاسخ مناسب به حادثه میتواند وضعیت را خنثی کند یا حداقل آسیب را کاهش دهد.