درباره حملات مهندسی اجتماعی و Crypto Clipper

متخصصان امنیت عملیاتی در تلاشند تا بفهمند حملات سایبری به Web3 از چه شکافی می‌تواند اتفاق بیفتد. مشاهده عملیات‌های حمله سایبری از دیدگاه شخص ثالث مخرب این امکان را به ما می‌دهدکه آسیب‌پذیری‌های بالقوه را شناسایی کنیم و برای اقدامات متقابل اقدام کنیم.

مهمترین چیزی که باید بدانیم، مسیر حمله سایبری یا به عبارتی بردار آن است. بیایید نگاه دقیق‌تری به این موضوع داشته باشیم.

RAT و مهندسی اجتماعی

بیایید یک موقعیت فرضی را در نظر بگیریم که در آن رایانه شما به یک ویروس تروجان Remote Access (RAT) آلوده شده است. در این موقعیت، یکی از دو مورد فوق ممکن است رخ دهد. اگر حمله توسط یک هکر تازه کار (به عنوان مثال یک lamer) انجام شده باشد، احتمالاً او یک حمله گسترده و وسیع را بدون هیچ هدفی انجام داده است. او می‌تواند اطلاعاتی مانند کوکی‌های مرورگرتان را از شما بدزدد و سپس بفروشد.

مثال شماره 1 – مهندسی اجتماعی

گزینه دوم، یک حمله مستقیم است. هکرها یک صفحه فیشینگ در Router شما ایجاد کرده‌اند که از طریق آن می توانید رمز عبور خود را وارد کنید (مسموم کردن سرور DNS). برای جلوگیری از این نوع حمله، در حالت ایده آل باید ماشین‌ها و شبکه های خود را جدا کنید. همچنین باید مجوزهای عبور را بررسی کنید.

در اینجا نمونه‌ای از یک حمله سایبری بسیار خطرناک به Crypto Wallet شما آورده شده است:

کامپیوتر شما توسط یک بدافزار با Crypto Clipper آلوده می‌شود.

فرض می‌کنیم که می‌خواهید از حساب کریپتوی خود برای دوستتان پول ارسال کنید.

هنگامی که سعی می کنید آدرس کریپتو، ETH یا BTC دوست خود را کپی و پیست کنید، Clipper آدرس دوست شما را با آدرسی که بسیار شبیه به آدرس دوست شما به نظر می‌رسد (با همان کاراکترها شروع و پایان می یابد) جایگزین می‌کند.

بنابراین، به جای ارسال ارز دیجیتال به حساب دوست خود، در واقع پول را مستقیماً به حساب هکر واریز می‌کنید.

قبل از اینکه روی ارسال کلیک کنید، کل آدرس کیف پول مخاطب خود را بررسی کنید.

مجرمان حرفه‌ای کریپتو، با ترکیبی از بردارهای حمله را به سمت شما می‌تازند. این می تواند یک بردار مهندسی اجتماعی، به علاوه فیشینگ و بدافزار کلاسیک باشد. آنها حتی ممکن است برای حمله فیزیکی اقدام کنند!

مثال شماره 2 – ترول و شوالیه

بیایید جین را در نظر بگیریم که کارمندی سخت کوش در شرکت است. اطلاعات مربوط به جین در شبکه های اجتماعی او به صورت عمومی در دسترس است. حتی ممکن است برخی از اطلاعات حساسش هم فاش شده باشد. مانند نقض اطلاعات حساب کاربری Yahoo Mail در سال 2014. به طور کلی، او هیچ تفاوتی با شما یا ما ندارد. تا اینجای کار همه چیز خوب است.

اما کمی بعد، یک ترول شروع به دنبال کردن او در تمام شبکه‌های اجتماعی می‌کند و برای او کامنت‌های آزاردهنده می‌گذارد. او کمی بعد فعالیت خود را گسترش می‌دهد و شروع به آزار و اذیت مجازی همکاران جین در شرکت می‌کند و باعث ناراحتی قربانیانش می‌شود.

حتی در این مرحله، مهاجم به اندازه کافی آسیب وارد کرده است. کارمندان ممکن است از ترس آزارهای این چنینی، اشتراک‌گذاری اطلاعات شخصی خود را متوقف کنند.

جین همچنان در سکوت است و از حملات ترول رنج می‌برد. اگر جین حساب ترول را بلاک کند، او حساب دیگری ایجاد خواهد کرد. اگر ترول آدرس او را بداند، ممکن است ناگهان ده پیتزا به آدرس او سفارش داده شود. این زندگی نیست.

شوالیه وارد می‌شود!

در این مرحله، جان وارد داستان ما می‌شود. او یک غریبه است، اما او نیز یک حساب عمومی دارد و از اقدامات همین ترول که به صفحه او هم حمله کرده، آسیب دیده است. او به جین پیشنهاد همکاری در مورد چگونگی توقف حملات را می‌دهد و می‌گوید راهی برای ساکت کردن ترول بلد است.

مطمئناً او راه این کار را بلد است. شوالیه منجی و ترول شیطانی هر دو یک نفر هستند. ترفند ترول این است که با شخص مورد آزار، یک پیوند حمایتی عاطفی برقرار کند.

جان شرایطی را مهیا می‌کند که در آن جین به حرف‌های او گوش دهد. او ممکن است روی پیوند URL که جان فرستاده کلیک کند یا فایلی که برای او ارسال شده است را باز کند. او حتی ممکن است با جان قرار ملاقات بگذارد.

این داستان ممکن است برای جین بد تمام شود. چرا که کلاهبردار –یعنی جان- هدف را جذب خود کرده است.

آیا دستورالعمل‌هایی وجود دارد که با پیروی از آن‌ها در موقعیتی این چنینی قرار نگیریم؟

• توصیه می‌شود که «اجازه ندهید احساسات بر اعمالتان تأثیر بگذارد». این قانون همان‌طور که در سرمایه‌گذاری بازار سهام و انتخاب شریک زندگی صادق است، در زمین بازی دنیای دیجیتال هم صدق می‌کند.
• اگر در پی یک حمله مهندسی اجتماعی مورد کلاهبرداری قرار گرفتید، خودتان را نبازید. یکی از چیزهایی که قربانیان اغلب پس از کلاهبرداری می‌گویند این است که «باورم نمی‌شود اینقدر احمق بودم». کلاهبرداری معمولاً برای بهترین آدم‌ها اتفاق می‌افتد. روان‌شناسی تکاملی به ما می‌گوید که ما از طریق تکامل برای بقای خود به انسان‌های دیگر اعتماد می‌کنیم. به همین دلیل است که هر گونه بهره‌برداری از این سازگاری قوی تکاملی، برای ما دردناک است.
• اگر در نقش مدیریتی قرار دارید، مطمئن شوید که کارمندانتان در محل کار بیمار، خسته یا گرسنه نباشند. هنگامی که کارکنان از نظر جسمی یا عاطفی ضعیف باشند، در برابر تأثیرات روانی آسیب‌پذیر می‌شوند.
• در حالی که نسبت به تلاش‌های خارجی برای سرقت اطلاعاتتان احتیاط می‌کنید، مراقب تهدیدات داخلی نیز باشید. مانند کارمندان سهل‌انگار و کارکنان ناراضی.

الگوی حملات مهندسی اجتماعی

در حملات مهندسی اجتماعی، سوء استفاده از عشق یا عصبانیت کمتر اتفاق می‌افتد. زیرا کلاهبردار در این شیوه‌ها نیاز به حفظ ارتباط روانی با قربانی دارد که به مهارت، زمان و آشنایی با هدف نیاز دارد. در شرایط آسان‌تر، کلاهبردار از ترس قربانیان سوء استفاده می‌کند. علاوه بر این، برای موفقیت در این حمله، قربانی باید عجله کند.

یک طراح ماهر حملات مهندسی اجتماعی، به قربانی زمان زیادی برای فکر کردن نمی‌دهد و همیشه برای فوریت فشار می‌آورد. این اولین چیزی است که باید به آن توجه کنید. اگر شخصی به شما فشار می‌آورد که اطلاعات حساسی را سریعتر ارائه دهید، دست نگهدارید!

نکته دومی که باید به آن توجه کنید این است که وقتی در موقعیتی مشابه قرار گرفتید، سعی نکنید خودتان مشکل را حل کنید. از یک دوست، یک مشارکت‌کننده مکرر (frequent contributor) در سرور Discord مورد علاقه‌تان، یا از مدیر هر DAO شناخته‌شده‌ای درخواست کنید. آدم‌های خوبی وجود دارند که به شما کمک می‌کنند. همیشه خوب است که از مشورت دیگران بهره‌مند شوید.

گاهی اوقات کلاهبرداران فقط می‌خواهند قربانی را آلوده کنند یا هدف را ناشناس کنند. با این حال، اغلب سوء استفاده‌های سایبری پیچیده ممکن است با تزریق بدافزار، حمله فیشینگ با برخی غافلگیری‌های دیگر همراه شوند.

مثال شماره 3 – هک IoT با صدای صفحه کلید

این که هکرها چگونه می‌توانند تشخیص دهند کدام کلیدها را فشار می‌دهید، یک راز نیست. هکر برای این کار باید یک key-logger بر روی کامپیوتر قربانی نصل کند. با این حال، در حال حاضر از طریق صدای میکروفون یا اسپیکر یک دستگاه IoT ، می‌توان به سادگی فهمید که شخص چه چیزی را تایپ می‌کند.

اما این کار دقیقاً به چه شکلی انجام می‌شود؟ بیایید ته آن را دربیاوریم!

هر کلید روی کیبورد صدای منحصر به فردی دارد. فاصله بین کلیدها، میکروفون و سرعت فشار دادن آن‌ها برای هر کلید متفاوت است. به طور خلاصه، تجزیه و تحلیل طیف‌نگاری قادر است کلیدها را از یکدیگر متمایز کند و تشخیص دهد که کدام دکمه با صدای خاصی مطابقت دارد.

اگر هکری به میکروفون یا اسپیکر دسترسی پیدا کند، الگوریتم پارامترهای هر صدا را تجزیه و تحلیل می‌کند. برای محافظت در برابر key-logger های صوتی، در MacOS از Unclack و در لینوکس از Hushboard استفاده کنید. این ابزارها هنگام تایپ، میکروفون را میوت می‌کنند.

این حمله، می‌تواند در ترکیب با هک اینترنت اشیا استفاده شود که در آن هکرها از اسپیکرها و میکروفون شما استفاده می‌کنند تا کلمات بازیابی (Seed Phrase) شما را شناسایی کرده و دارایی‌های کریپتو شما را سرقت کنند. این یک شوخی نیست!

اگر صاحب یک دستگاه اینترنت اشیا هستید، با دقت بخوانید!

بانک‌ها مدت‌هاست که در تلاشند یک سیستم حفاظت صوتی ایجاد کنند و این سیستم نه فقط برای اتاق‌های جلسات و مدیریت، بلکه در بخش‌های امنیتی نیز ضروری است. بانک‌ها می‌توانند برای این کار از لابراتوآرهای زیرزمینی عمیق و قفس‌های عظیم فارادی استفاده کنند.

در اصل، یک Cold Wallet فقط یک سیستم شبه AirGap است (تعریف 100٪ AirGap بر روی زمین غیرممکن است) و می‌توان آن را شکست.

مثال شماره 4 – بردارهای حمله IOS + MacOS

اخیراً در چت روم مورد علاقه ام از من پرسیده شد، با توجه به رویدادهای اخیر، آیا استفاده از MacOS و IOS برای کار ایمن‌تر است؟ آیا درست است که آنها امنیت بهتری دارند؟ من در اینجا پاسخ قطعی ندارم – هم بله و هم خیر.

اول از همه، بدافزارهای زیادی برای macOS/IOS وجود دارد، نکته این است که اکسپلویت‌های 0 days/1 day برای MacOS/IOS کمی بیشتر از ویندوز/اندروید هزینه دارند.

هیچ تفاوتی وجود ندارد. تنها کمی در قیمت آماده‌سازی و قیمت اکسپلویت‌های مختلف (شامل اکسپلویت‌های file gluing  و اکسپلویت‌های delivery ) تفاوت وجود دارد. پیشنهاد می‌کنم به Zerodium بروید و قیمت‌ها را ببینید.

به طور کلی، این جعبه ابزار کم و بیش شکل یکسانی دارد. بنابراین تصور نکنید که macOS امن‌تر است. چرا که باز هم بر پایه FreeBSD است. به عبارت دیگر، بهتر است بدانید که چه کسانی علیه شما کار می‌کنند و چه کسانی می‌توانند این کار را بکنند.

به عبارت دیگر، احتمال یک حمله گسترده در macOS کمتر است، اما احتمال هک شدن توسط هکری که بین 5 تا 10 هزار دلار برای هک سیستم شما هزینه می‌کند، در همه دستگاه‌ها و تقریباً تمام سیستم عامل‌ها یکسان است.

هکرها همچنین به به اقتصاد، سود و هزینه کارشان اهمیت می‌دهند. آن‌ها معمولاً تنها زمانی برای حمله اقدام می‌کنند که از موفقیت خود مطمئن باشند. این را به یاد داشته باشید.

از Qubes OS، Whonix، Tails یا Graphene OS استفاده کنید (که بسیار بهتر از سیستم عامل بسته است و بنابراین نمی تواند خطرات IOS را تخمین بزند. Jailbreak کردن یک دستگاه همه چیز را بدتر می‌کند) اما برخی از آنها نیاز به آماده سازی زیادی دارند و این هیچ کمکی به امنیتشان نمی‌کند! ولی به یاد داشته باشید که اگر به قوانین امنیتی ساده اهمیتی نمی‌دهید، هیچ سیستم عامل امنی نمی تواند به شما کمک کند.

نتیجه‌گیری

من از شما نمی خواهم که همه این موارد را رعایت کنید، اما یک قانون اصلی در این مورد خاص وجود دارد که باید آن را به خاطر بسپارید:

سطح OpSec شما معمولاً به مدل تهدید و اینکه در مقابل چه حریفی قرار دارید بستگی دارد. بنابراین تعیین اینکه OpSec شما چقدر خوب است، دشوار است.

اگر بخواهیم به مردم این فرصت را بدهیم که بانک خودشان باشند، باید مطمئن شویم که مردم می‌توانند تمام خدمات و اقداماتی که بانک‌های سنتی برای نگهداری پولشان ارائه می‌دهند را خود انجام دهند.

بله، به نظر می‌رسد که این‌جا یک میدان مین واقعی است! ولی امید خود را از دست ندهید. جدیدترین تکنیک‌های حمله مهندسی اجتماعی، برگه تقلب کلاه سفید و دفاع را بیاموزید. فقط دانش است که می‌تواند دانش این مجرمان را شکست دهد. در این مسابقه بوکس فکری، تلاش کنید که برنده از رینگ خارج شوید!

منبع: hackernoon