کاربران رایانه و دستگاه‌های تلفن همراه اغلب از مناطق خطر بی‌اطلاع هستند، با این حال اینترنت نباید یک سفر دائمی از طریق سرزمین‌های بد باشد. چیزی که برای محافظت آنلاین لازم است این است که بدانید از چه چیزی اجتناب کرده و چگونه از خود محافظت کنید. هکر

در ادامه پنج راهکار برای حفظ امنیت در فضای دیجیتال ارائه شده است:

۱. کد‌های QR، مفید، اما بالقوه مضر

این پیوند‌های تصویر با اندازه پستی به وب سایت‌ها می‌توانند نقش بسیار موثری در تسهیل کارها داشته باشند، کافی است دوربین تلفن هوشمند خود را به سمت آن بگیرید و فورا به یک وب سایت، محل پشتیبانی فنی، پیشنهاد تخفیف در خرید یا منوی رستوران بروید؛ با این حال، کد‌های QR همچنین می‌توانند شما را به مکانی تهدید آمیز ببرند که در آن بدافزار یا بدتر از آن در انتظار شماست. کد‌های QR را می‌توان طوری برنامه ریزی کرد که به هر چیزی پیوند داده شود و حریم خصوصی و امنیت شما را در معرض خطر بزرگی قرار دهد.

قبل از اسکن یک کد QR فکر کنید. اگر کد در وب سایت یا سند چاپی مورد اعتماد شما نمایش داده می‌شود، احتمالا امن است، اگر نه، یا مطمئن نیستید، آن را بررسی کنید.

‌
۲. از کلاهبرداری‌های ایمیل «لغو اشتراک» خودداری کنید

این یک کلاهبرداری رایج در حال انجام است که نرخ موفقیت بالایی برای هکر‌ها دارد. قربانیان احتمالی، ایمیلی با محتوای یک پیشنهاد محصول یا سایر دعوت نامه‌های تجاری دریافت می‌کنند. مرحله اقدام به انصراف، فریبنده بوده و معمولا با این مضمون ارسال می‌شوند: «نمی‌خواهید ایمیل‌های ما را دریافت کنید؟ برای لغو اشتراک، اینجا را کلیک کنید» اشاره می‌کند.

گاهی اوقات ایمیل‌های تکراری آزاردهنده از شما می‌پرسند که آیا می‌خواهید اشتراک ایمیل‌های بعدی را لغو کنید. برخی حتی به شما پیوندی برای لغو اشتراک پیشنهاد می‌دهند.

هیچ گزینه‌ای را انتخاب نکنید. با کلیک بر روی لینک‌ها یا پاسخ دادن آدرس فعال شما تایید می‌شود.

هرگز آدرس ایمیل خود را در قسمت «لغو اشتراک من» وارد نکنید. ارسال کنندگان بیشتری دنبال خواهند شد.

راه حل بهتر برای حذف ایمیل‌های ناخواسته، به خصوص از طرف یک فرستنده ناشناس، علامت گذاری آن به عنوان هرزنامه است که آن را به پوشه اسپم منتقل می‌کند، همچنین می‌توانید آن فرستنده را به لیست مسدودی برنامه ایمیل خود اضافه کنید یا فیلتری را تنظیم کنید تا قبل از رسیدن به صندوق ورودی شما به طور خودکار آن را حذف کند.

۳. قفل کردن هکر‌های فیسبوک

هکرهای دیگر سعی می‌کنند حساب‌های فیسبوک را غصب کنند. آن‌ها می‌توانند رمز عبور، آدرس ایمیل و شماره تلفن شما را تغییر دهند و حتی یک کد امنیتی اضافه کنند تا مانع ورود شما به حسابتان شوند. قبل از اینکه مشکلی اتفاق بیفتد، برای جلوگیری از این شرایط فعال باشید. فیسبوک تنظیمات امنیتی زیر را ارائه می‌دهد که باید فعال کنید.

احراز هویت دو مرحله‌ای (۲FA) را فعال کنید تا به تایید ورود شما در دستگاه جداگانه نیاز داشته باشد.

برای انجام این کار، وارد حساب فیسبوک خود شده و به تنظیمات و حریم خصوصی بروید. سپس Security را انتخاب کرده و وارد شوید. به پایین اسکرول کرده و گزینه Two-factor authentication را ویرایش کنید.

تنظیمات احراز هویت دو مرحله‌ای فیسبوک

این دو ویژگی اضافی را برای مسدود کردن هکر‌های فیسبوک فعال کنید:

قابلیت Code Generator را در اپلیکیشن موبایل فیسبوک روشن کنید
هشدار‌های ورود به ایمیل خود را تنظیم کنید

ابتدا اپلیکیشن موبایل فیسبوک را باز کنید و روی ذره بین ضربه بزنید و عبارت «code generator» را وارد کنید و روی نماد جستجو ضربه بزنید. روی نتیجه Code Generator ضربه بزنید تا به صفحه بعدی بروید، سپس روی دکمه «روشن کردن کد ژنراتور» ضربه بزنید تا یک کد ۶ رقمی دریافت کنید که هر ۳۰ ثانیه تغییر می‌کند. برای ورود به حساب کاربری خود در دستگاه دیگری باید این کد را در این بازه زمانی کوتاه وارد کنید.

در مرحله بعد، هشدار‌هایی را در مورد ورود‌های ناشناس تنظیم کنید. می‌توانید این کار را از طریق رایانه یا دستگاه تلفن همراه انجام دهید.

۴. روتر Wi-Fi خود را ایمن کنید

شیوع بیماری کرونا و افزایش دورکاری در سطح جهان، راه را برای هکرها در مورد روتر‌های وای فای خانگی هموار کرده است، حملات بدافزار به شبکه‌های وای فای خانگی در حال افزایش است، زیرا تنظیمات مسکونی اغلب فاقد سطح امنیت و حفاظتی هستند که در شبکه‌های سازمانی یافت می‌شود.

یکی از ابزار‌های حمله ناخوشایند، به نام ZuoRAT، یک تروجان دسترسی از راه دور است که برای هک کردن روتر‌های اداری کوچک طراحی شده است و می‌تواند روی رایانه‌های macOS، Windows و Linux تاثیر بگذارد.

با استفاده از آن، هکر‌ها می‌توانند داده‌های شما را جمع آوری کرده و هر سایتی را که در شبکه خود بازدید می‌کنید، هک کنند. یکی از بدترین عوامل ZuroRAT این است که هنگامی که روتر شما آلوده شد، می‌تواند روتر‌های دیگر را آلوده کند تا به گسترش دسترسی هکر‌ها ادامه دهد.

۵. مراقب طرح‌های پشتیبانی فنی ساختگی باشید

برخی از کلاهبرداران با تلفن تماس می‌گیرند و به شما می‌گویند که یک بخش پشتیبانی فنی هستند که برای یک شرکت رایانه یا نرم افزار معروف کار می‌کنند. تماس گیرنده ادعا می‌کند که در پاسخ به هشداری از رایانه شما در مورد شناسایی ویروس یا بدافزار در دستگاه شما تماس می‌گیرد. کلاهبردار پیشنهاد می‌کند که اگر به سادگی شماره کارت اعتباری خود را ارائه دهید، آن را برطرف کند.

هرگز اجازه ندهید یک کلاهبردار شما را فریب دهد تا به یک وب سایت برود یا روی یک پیوند کلیک کند.
هرگز با اتصال از راه دور توسط به اصطلاح عامل پشتیبانی فنی که شروع کننده تماس با شماست موافقت نکنید. هرگز اطلاعات پرداخت را در ازای پشتیبانی فنی که شما درخواست نکرده‌اید، ندهید. شرکت‌های فنی قانونی با شما تماس نمی‌گیرند و برای رفع مشکلی که ادعا می‌کنند در دستگاه شما کشف کرده‌اند، درخواست پرداخت نمی‌کنند.

اگر مشکوک هستید که رایانه شما مشکل ویروس یا بدافزار دارد، خودتان با یک مرکز تعمیر تماس بگیرید. احتمالا قبلا یک طرح پشتیبانی یا گارانتی فعال از جایی که رایانه را خریداری کرده‌اید، دارید. اگر با یک شرکت پشتیبانی فنی تماس نگرفته‌اید، تماس یا پیامی که دریافت کرده‌اید فریب دهنده است.

نام این ابزار Hyperscraper است و مانند بسیاری از ابزار‌ها و عملیات عامل تهدید، به دور از هرگونه پیچیدگی است.

اما عدم پیچیدگی فنی آن با اثربخشی مؤثری همراه است و به هکر‌ها اجازه می‌دهد صندوق ورودی قربانی را بدون گذاشتن ردپای زیادی از نفوذ، بدزدند.

نفوذکننده‌ ایمیل ساده و در عین حال کارآمد
در یک گزارش فنی امروز، محققان گروه تحلیل تهدیدات گوگل (TAG) جزئیاتی را در مورد عملکرد Hyperscraper به اشتراک گذاشتند و گفتند که این بدافزار در حال توسعه فعال است.

گروه Google TAG این ابزار را به Charming Kitten، یک گروه تحت حمایت ایران که با نام‌های APT35 و Phosphorus نیز شناخته می‌شود، نسبت می‌دهد و می‌گوید که اولین نمونه‌ای که آن‌ها پیدا کرده‌اند مربوط به سال ۲۰۲۰ است.

محققان Hyperscraper را در دسامبر ۲۰۲۱ پیدا کردند و با استفاده از یک حساب کاربری آزمایشی Gmail آن را تجزیه و تحلیل کردند. این یک ابزار هک نیست، بلکه ابزاری است که به مهاجم کمک می‌کند تا داده‌های‌ ایمیل را بدزدد و پس از ورود به حساب‌ ایمیل قربانی، آن‌ها را در دستگاه خود ذخیره کند.

دریافت اعتبار (نام کاربری و رمز عبور، کوکی‌های احراز هویت) برای صندوق ورودی هدف در مرحله قبلی حمله، معمولاً با سرقت آن‌ها انجام می‌شود.

ابزار Hyperscraper یک مرورگر تعبیه شده دارد و عامل کاربر را به تقلید از یک مرورگر وب قدیمی تقلید می‌کند، که یک نمای اولیه HTML از محتوای حساب Gmail ارائه می‌دهد.

«این ابزار پس از ورود به سیستم، تنظیمات زبان حساب را به انگلیسی تغییر می‌دهد و از طریق محتویات صندوق پستی تکرار می‌شود، پیام‌ها را به‌صورت جداگانه به‌عنوان فایل‌های eml دانلود می‌کند و آن‌ها را به شکل خوانده نشده علامت‌گذاری می‌کند».  هنگامی که عملیات استخراج کامل شد، Hyperscraper زبان را به تنظیمات اصلی تغییر می‌دهد و هشدار‌های امنیتی را از Google حذف می‌کند.

محققان Google TAG می‌گویند که انواع قدیمی‌تر ابزار Charming Kitten می‌توانند داده‌ها را از Google Takeout، سرویسی که به کاربران اجازه می‌دهد داده‌ها را از حساب Google خود برای پشتیبان‌گیری یا استفاده از آن با یک سرویس شخص ثالث صادر کنند، درخواست کنند.

هنگام اجرا، Hyperscraper با یک سرور command-and-control (C2) در تماس است که منتظر تأیید برای شروع فرآیند exfiltration است.

اپراتور می‌تواند ابزار را با پارامتر‌های لازم (حالت عملیات، مسیر یک فایل کوکی معتبر، رشته‌شناسه) با استفاده از آرگومان‌های خط فرمان یا از طریق یک رابط کاربری حداقلی، پیکربندی کند.

اگر مسیر فایل کوکی از طریق خط فرمان ارائه نشده باشد، اپراتور می‌تواند آن را کشیده و در فرم جدیدی ر‌ها کند.

هنگامی که کوکی با موفقیت تجزیه شد و به حافظه پنهان محلی مرورگر وب اضافه شد، Hyperscraper یک پوشه “دانلود” ایجاد می‌کند که در آن محتویات صندوق ورودی مورد نظر را تخلیه می‌کند.

محققان خاطرنشان می‌کنند که اگر کوکی دسترسی به حساب را فراهم نکند، اپراتور می‌تواند به صورت دستی وارد شود.

ابزار Hypercraper گذر از تمام بخش‌های یک حساب‌ ایمیل را خودکار می‌کند، پیام‌ها را باز می‌کند و آن‌ها را با فرمت EML دانلود می‌کند و آن‌ها را همانطور که در ابتدا پیدا شده باقی می‌گذارد.

اگر پیامی در ابتدا به‌عنوان خوانده‌نشده علامت‌گذاری شده بود، ابزار Charming Kitten پس از کپی کردن، آن را در همان حالت باقی می‌گذارد.

ابزار Hyperscraper تمام‌ ایمیل‌ها را به صورت محلی، روی دستگاه اپراتور، همراه با گزارش‌هایی که تعداد پیام‌های دزدیده شده را نشان می‌دهند، ذخیره می‌کند و داده‌های دیگری غیر از وضعیت و اطلاعات سیستم را به سرور C2 ارسال نمی‌کند.

در پایان کار، Hyperscraper مسیر‌های خود را با حذف هر‌ ایمیلی از Google که می‌تواند به قربانی از فعالیت عامل تهدید هشدار دهد (اعلان‌های امنیتی، تلاش‌های ورود به سیستم، دسترسی به برنامه‌ها، در دسترس بودن بایگانی داده‌ها) را پنهان می‌کند.

گوگل مشاهده کرده است که Hyperscraper در تعداد کمی از حساب‌های کاربری، که همگی متعلق به کاربران در ایران هستند، استفاده می‌شود.

اهداف Charming Kitten که در آن از Hyperscraper استفاده شده است از طریق هشدار‌هایی در مورد حملات مورد حمایت دولت مطلع شده‌اند.

کاربرانی که چنین هشداری را دریافت کرده‌اند تشویق می‌شوند تا با ثبت‌نام در برنامه حفاظت پیشرفته Google (AAP) و با فعال کردن ویژگی مرور ایمن پیشرفته، دفاع خود را در برابر مهاجمان پیچیده‌تر تقویت کنند، که هر دو یک لایه امنیتی اضافه به مکانیسم‌های حفاظتی موجود ارائه می‌کنند.

گزارش Google TAG در مورد Hyperscraper امروز شاخص‌هایی از سازش مانند دو سرور C2 و هش برای ابزار‌های باینری پیدا شده را به اشتراک می‌گذارد.

شرکت اطلاعاتی تهدیدات و پاسخ به تهاجنات سایبری Volexity گزارش می‌دهد که طی سال گذشته، مشاهده شده است که کیمسوکی (Kimsuky)، عامل تهدید مداوم پیشرفته کره شمالی (APT)، از یک بد افزار و افزونه مرورگر برای سرقت محتوا از حساب‌های‌ ایمیل قربانیان استفاده می‌کند.

کیمسوکی که حداقل از سال ۲۰۱۲ فعال بوده و با نام‌های Black Banshee، Thallium، SharpTonge، و Velvet Chollima نیز ردیابی می‌شود، به‌خاطر هدف قرار دادن نهاد‌ها در کره جنوبی، و همچنین برخی از آن‌ها در اروپا و ایالات متحده نیز شناخته شده است.

بیش از یک سال است که Volexity مهاجم را با استفاده از یک افزونه مرورگر مخرب برای Google Chrome، Microsoft Edge و Naver Whale (یک مرورگر مبتنی بر کروم که در کره جنوبی استفاده می‌شود) دنبال می‌کند که داده‌ها را مستقیماً از حساب‌ ایمیل قربانیان سرقت کند.

مجموعه Volexity می‌گوید این برنامه افزودنی که Sharpext نام دارد از سرقت داده‌ها از Gmail و AOL وب‌میل پشتیبانی می‌کند، به طور فعال توسعه یافته است و در حملات هدفمند به افراد مختلف، از جمله حملاتی در بخش سیاست خارجی و هسته‌ای، استفاده شده است.

طبق گفته‌های Volexity، «مهاجم با استقرار بد افزار توانست هزاران‌ ایمیل از چندین قربانی را با موفقیت به سرقت ببرد. »

برنامه افزودنی به صورت دستی در سیستم‌هایی که قبلاً در معرض خطر قرار گرفته‌اند مستقر می‌شود و مهاجم باید فایل‌های پرفرنس قانونی مرورگر را با فایل‌های تغییریافته جایگزین کند.

«استقرار Sharpext بسیار سفارشی شده است، زیرا مهاجم ابتدا باید به فایل تنظیمات امنیتی مرورگر اصلی قربانی دسترسی پیدا کند. سپس این فایل تغییر می‌یابد و برای استقرار پسوند مخرب استفاده می‌شود. Volexity مشاهده کرده است که SharpTongue شارپکس را در برابر اهداف به مدت بیش از یک سال مستقر می‌کند. و در هر مورد، یک پوشه اختصاصی برای کاربر آلوده ایجاد می‌شود که حاوی فایل‌های مورد نیاز برای افزونه است.»

یک اسکریپت PowerShell برای از بین بردن فرآیند مرورگر استفاده می‌شود تا امکان استخراج فایل‌های مورد نیاز فراهم شود. پس از استقرار برنامه افزونه، PowerShell دیگری DevTools را قادر می‌سازد تا محتویات تب را که کاربر به آن دسترسی دارد بررسی کند و داده‌های مورد علاقه را استخراج کند.

در ادامه Volexity خاطرنشان می‌کند، از آنجایی که برنامه افزودنی شامل کد‌های بدیهی مخرب نمی‌شود، احتمالاً از شناسایی توسط راه حل‌های ضدبدافزار جلوگیری می‌کند. این برنامه افزونه همچنین به مهاجمان اجازه می‌دهد تا به صورت پویا کد خود را بدون نیاز به نصب مجدد آن بر روی دستگاه آلوده به روز کنند.

بد افزار Sharpext لیستی از آدرس‌های‌ ایمیل را برای ایگنور کردن، ایمیل‌ها و پیوست‌های دزدیده شده قبلی، و تب‌های نظارت شده برای جلوگیری از استخراج چندین بار داده‌های یکسان نگهداری می‌کند. همچنین دامنه‌هایی را که قربانی بازدید می‌کند نظارت می‌کند.

«با سرقت داده‌های‌ ایمیل در چارچوب session که کاربر از قبل وارد شده است، حمله از ارائه‌دهنده‌ ایمیل پنهان می‌شود و تشخیص را بسیار چالش برانگیز می‌کند. به طور مشابه، روشی که در آن افزونه کار می‌کند به این معنی است که اگر کاربر آن را بررسی کند، فعالیت مشکوک در صفحه وضعیت «فعالیت حساب»‌ ایمیل کاربر ثبت نمی‌شود. »