هکرها همچون گذشته، برای کنجکاوی و تفریح به شبکه‌های سازمانی حمله نمی‌کنند، بلکه در قالب جرایم سازمان‌ یافته به نهادهای خصوصی و دولتی حمله می‌کنند تا اطلاعات آن‌ها را سرقت کنند. در حالی که اخلال و خرابکاری با هدف کسب درآمد هنوز رواج دارد، اما جاسوسی اصلی‌ترین هدفی است که هکرها در هنگام حمله به زیرساخت‌ها دنبال می‌کنند. انگیزه هرچه که باشد، تیم‌های امنیتی مجبور هستند برای حفظ امنیت سیستم‌های فناوری اطلاعات خود سخت تلاش کنند.

حملات سایبری هر روز علیه سازمان‌ها انجام می‌شود و طبق گزارشی که شرکت امنیتی چک‌پوینت منتشر کرده، در سه ماهه چهارم سال 2021، اوج حملات سایبری هفتگی به بیش از 900 حمله به هر سازمان رسیده است. این در حالی است که سال 2021 میلادی اداره فناوری اطلاعات ایالات متحده اعلام کرد، 34.9 میلیون رکورد نقض به ثبت رسیده است.

پژوهش انجام شده توسط موسسه تحقیقاتی RiskIQ نشان می‌دهد جرایم سایبری در هر دقیقه خسارت سنگینی به سازمان‌ها وارد می‌کنند. در شرایطی که برخی از هزینه‌ها ملموس هستند، در نقطه مقابل، برخی دیگر ناپیدا هستند. در هر دو حالت، حمله‌های سایبری باعث از دست رفتن مستقیم دارایی‌ها، کاهش درآمد و بهره‌وری، سبل اعتماد از برند و غیره می‌شوند.

آمارها نشان می‌دهند، جرایم سایبری حول محور سوء استفاده از آسیب‌پذیری‌ها هستند، این درست همان نقطه‌ای است که تیم‌های امنیتی در آن نقطه ضعف دارند، زیرا باید اطلاع دقیقی در ارتباط با همه نقاط ورودی یک سازمان داشته باشند تا بتوانند به شکل درستی از آن‌ها محافظت کنند. در شرایطی که یک مهاجم تنها به یک نقطه ضعف یا آسیب‌پذیری نیاز دارد تا بتواند از آن سوء استفاده کند. این عدم تقارن به شدت به نفع هکرها است، در نتیجه حتی شرکت‌های بزرگ نیز برای پیشگیری از کاهش میزان فروش و متوقف شدن فعالیت‌های تجاری از سوی هکرها مجبور هستند به شکل شبانه‌روز فعالیت‌های انجام شده در شبکه را مورد بررسی قرار دهند و اطمینان حاصل کنند که کاربران و کارمندان بدون مشکل به سرویس‌های موردنیاز خود دسترسی دارند.

واقعیت این است که سازمان‌های کوچک و بزرگ به ایک اندازه در معرض حملات سایبری قرار دارند. مجرمان سایبری از هر دستگاه متصل به اینترنت به عنوان سلاح، هدف یا هر دو استفاده می‌کنند. اصل مهم این است که از طریق به کارگیری بهترین تمهیداتی امنیتی از شبکه‌های سازمانی محافظت کنید. با این مقدمه به سراغ معرفی 9 مورد از مخرب‌ترین حملات سایبری می‌پردازیم.

بدافزار یا نرم‌افزار مخرب، اصطلاحی است که اشاره به یک برنامه یا فایل مخرب دارد که برای سوءاستفاده از دستگاه‌های کاربر در جهت منافع هکرها نوشته می‌شوند. امروزه، انواع مختلفی از بدافزارها وجود دارد، اما همه آن‌ها از تکنیک‌های فرار و مبهم‌سازی استفاده می‌کنند که نه تنها برای فریب دادن کاربران طراحی شده‌اند، بلکه توانایی گذر از کنترل‌های امنیتی را نیز دارند تا بتوانند به شکل مخفیانه و بدون اطلاع کاربر به سیستم او وارد شده یا روی دستگاه او نصب شوند. از رایج‌ترین انواع بدافزارها به موارد زیر باید اشاره کرد:

• باج افزار: ترسناک‌ترین شکل بدافزار، باج‌افزار است. برنامه‌ای که برای رمزگذاری فایل‌های قربانی و سپس درخواست باج برای دریافت کلید رمزگشایی طراحی شده است. سال 2021 شاهد افزایش 82 درصدی حملات مرتبط با باج‌‌افزارها نسبت به سال 2020 بودیم که برخی از بزرگ‌ترین حملات تاریخ به زیرساخت‌ها و تاسیسات حیاتی را به وجود آوردند.
• روت‌کیت: برخلاف سایر بدافزارها، روت‌کیت مجموعه‌ای از ابزارهای نرم‌افزاری است که برای باز کردن یک درب پشتی روی دستگاه قربانی استفاده می‌شود و به مهاجم اجازه می‌دهد تا بدافزار اضافی مانند باج‌افزار و کیلاگرها را نصب کند، یا کنترل و دسترسی از راه دور به دستگاه‌های دیگر را به دست آورد. برای جلوگیری از شناسایی، روت کیت‌ها اغلب نرم‌افزارهای امنیتی را غیرفعال می کنند. هنگامی که روت کیت کنترل دستگاهی را به دست می‌آورد، می‌تواند از آن برای ارسال ایمیل‌های اسپم، پیاده‌سازی شبکه‌ای از بات‌ها جمع‌آوری و ارسال داده‌های حساس استفاده کند.
• تروجان: اسب تروجان برنامه‌ای است که دانلود و بر روی رایانه نصب می‌شود و به نظر بی‌خطر می‌آید، اما در واقع مخرب است. به طور معمول، این بدافزار در یک پیوست ایمیل با ظاهری عادی یا دانلود رایگان مستتر می‌شود. هنگامی که کاربر بر روی پیوست ایمیلی کلیک می‌کند یا برنامه رایگانی را دانلود می‌کند، بدافزار پنهان به دستگاه محاسباتی کاربر منتقل می‌شود. پس از ورود، کد مخرب هر کاری را که مهاجم طراحی کرده است اجرا می‌کند. اغلب، این روش ساده‌ترین و پر سرعت‌ترین روش برای حمله به سامانه‌ها است، همچنین، می‌تواند یک درب پشتی برای هکر ایجاد کند تا در حملات بعدی از آن استفاده کند.
• نرم‌افزارهای جاسوسی: نرم‌افزارهای جاسوسی بر فعالیت‌های اینترنتی قربانی نظارت می‌کنند، اطلاعات ورود به سیستم‌ها را سرقت می‌کنند و سعی می‌کنند اطلاعات ارزشمندی در ارتباط با کاربران جمع‌آوری کنند. مجرمان سایبری از نرم‌افزارهای جاسوسی برای به دست آوردن شماره کارت اعتباری، اطلاعات بانکی و رمز عبور استفاده می‌کنند. برخی از جاسوس‌افزارها نیز توسط سازمان‌های دولتی در بسیاری از کشورها استفاده می‌شوند. به طور مثال، نرم‌افزار جاسوسی پگاسوس برای جاسوسی از فعالان، سیاستمداران، دیپلمات‌ها، وبلاگ‌نویسان، آزمایشگاه‌های تحقیقاتی و متحدان مورد استفاده قرار گرفت.

با وجود بسیاری از نقاط ضعف شناخته شده، گذرواژه‌ها هنوز رایج‌ترین روش احراز هویت مورد استفاده در فضای مجازی هستند. بنابراین دریافت رمز عبور هدف راهی آسان برای دور زدن کنترل‌های امنیتی و دسترسی به داده‌ها و سیستم‌های حیاتی است. مهاجمان از روش‌های مختلفی برای به دست آوردن رمز عبور کاربر استفاده می‌کنند:

• حمله جستجوی فراگیر: مهاجم می‌تواند گذرواژه‌های شناخته‌شده، مانند password123، یا گذرواژه‌هایی را بر اساس اطلاعات جمع‌آوری‌شده از پست‌های رسانه‌های اجتماعی هدف، مانند نام حیوان خانگی برای حدس زدن اعتبار ورود به سیستم کاربر از طریق آزمون و خطا، امتحان کند. علاوه بر این، امکان استفاده از ابزارهای خودکار برای شکستن رمز عبور نیز وجود دارد.
• حمله به دیکشنری: مشابه حمله جستجوی فراگیر است. در روش فوق از فرهنگ لغت برای شناسایی رایج‌ترین کلمات و عبارات استفاده می‌شود.
• مهندسی اجتماعی: برای یک هکر آسان است که با جمع‌آوری اطلاعات مربوط به پست‌های رسانه‌های اجتماعی، یک ایمیل یا پیام شخصی‌سازی کند که برای کاربران واقعی به نظر برسد. این پیام‌ها، به‌ویژه اگر از یک حساب جعلی که برای کاربر آشنا باشد، ارسال می‌شوند به این امید که اعتبار ورود به سیستم به دست آید.
• شنود رمز عبور: یک برنامه کوچک روی سیستم یا شبکه سازمانی نصب می‌شود تا نام‌های کاربری و رمزهای عبور ارسال شده در سراسر شبکه را به صورت متن شفاف استخراج کند.
• کی لاگر: به طور مخفیانه هر کلیدی که کاربر فشار می‌دهد را برای ضبط پین کدها و سایر اطلاعات محرمانه ثبت می‌کند. این اطلاعات از طریق اینترنت برای مهاجم ارسال می شود.
• سرقت یا خرید پایگاه داده رمز عبور: هکرها می‌توانند با نقض سیستم دفاعی شبکه سازمان، پایگاه داده اطلاعات کاربران را به سرقت ببرند تا داده‌ها را به دیگران بفروشند یا خودشان از آن استفاده کنند.

نظرسنجی که در سال 2022 توسط Identity Defined Security Alliance انجام شده نشان داد نزدیک به 84 از پاسخ دهندگان یک نقض هویت را تجربه کرده‌اند. گزارش تحقیقات نقض داده‌های 2022 شرکت Verizon نشان داد که 6161 درصد تمام نقض‌ها شامل سوء استفاده از اعتبارنامه‌ها هستند.

باج افزار در حال حاضر برجسته‌ترین نوع بدافزار است. معمولا زمانی نصب می‌شود که کاربر از یک وب‌سایت مخرب بازدید می‌کند یا یک پیوست ایمیل بسته‌شده را باز می‌کند. از آسیب‌پذیری‌های دستگاه برای رمزگذاری فایل‌های مهم مانند اسناد Word، صفحات گسترده اکسل، فایل‌های PDF، پایگاه‌های داده و فایل‌های مهم سیستم سوء استفاده می‌کند و آن‌ها را غیرقابل استفاده می‌کند. سپس، مهاجم در ازای کلید رمزگشایی مورد نیاز برای بازیابی فایل‌های قفل شده، باج درخواست می‌کند. این حمله ممکن است یک سرور حیاتی را هدف قرار دهد یا سعی کند باج افزار را بر روی سایر دستگاه‌های متصل به شبکه قبل از فعال کردن فرآیند رمزگذاری نصب کند تا همه آنها به طور همزمان مورد حمله قرار گیرند. برای افزایش فشار بر قربانیان برای پرداخت، مهاجمان اغلب تهدید می‌کنند که در صورت عدم پرداخت باج، داده‌های استخراج شده در طول حمله را می‌فروشند یا افشا می‌کنند.

همه یک هدف احتمالی هستند، از افراد و مشاغل کوچک گرفته تا سازمان های بزرگ و سازمان های دولتی. این حملات می تواند تأثیرات مخرب جدی بر قربانی و مشتریانش داشته باشد. حمله باج‌افزار WannaCry در سال 2017 سازمان‌ها را در بیش از 150 کشور تحت تأثیر قرار داد. به طوری که اختلال در عملکرد بیمارستان‌ها به تنهایی حدود 111 میلیون دلار هزینه برای خدمات بهداشت ملی بریتانیا داشت. حمله‌ای که به خرده فروشی گوشت JBS Foods در سال 2021 انجام شد، باعث کمبود گوشت در سراسر ایالات متحده شد. برای جلوگیری از اختلال مداوم، این شرکت باج 11 میلیون دلاری پرداخت کرد، در حالی که Colonial Pipeline پس از یک حمله باج افزاری که یکی از آنها را تعطیل کرد، 5 میلیون دلار باج پرداخت کرد.

حمله انکار سرویس توزیع شده (DDoS) حمله‌ای است که در آن چند سیستم کامپیوتری به یک هدف مانند سرور، وب سایت یا سایر منابع شبکه حمله می‌کنند و باعث عدم دسترسی به سرویس‌ها برای کاربران می‌شوند. سیل پیام‌های دریافتی، درخواست‌های اتصال یا بسته‌های نادرست به سیستم هدف، آن را مجبور می‌کند تا سرعت خود را کاهش دهد یا حتی از کار بیفتد و خاموش شود و در نتیجه سرویس‌دهی به کاربران یا سیستم‌های قانونی را رد کند.

سال 2021 شاهد رشد حملات DDoS بودیم که بسیاری از آن‌ها زیرساخت‌های حیاتی را در سراسر جهان مختل کردند. آمارها نشان می‌دهندحملات DDoS در مقایسه با گذشته، 29 درصد افزایش داشته‌اند. مهاجمان از قدرت هوش مصنوعی استفاده می‌کنند تا بفهمند چه نوع تکنیک‌های حمله به بهترین شکل ممکن کار می‌کنند و بات‌نت‌های خود را به آن سمت هدایت کنند تا ماشین‌های برده‌ مطابق با انتظار آن‌ها کار کنند. نگران‌کننده است که از هوش مصنوعی برای تقویت انواع حملات سایبری استفاده می‌شود.

حمله فیشینگ نوعی کلاهبرداری است که در آن مهاجم به عنوان یک نهاد معتبر مانند یک بانک، اداره مالیات، یا شخص واقعی ایمیل‌هایی را برای افراد ارسال می‌کند تا قربانیان روی لینک‌های مخرب یا پیوست‌ها کلیک کنند. این حملات با هدف جمع‌آوری اطلاعات ارزشمند، مانند رمز عبور، جزئیات کارت اعتباری، مالکیت معنوی و غیره انجام می‌شود. راه‌اندازی یک کمپین فیشینگ آسان است و به طرز شگفت‌آوری موثر هستند. حملات فیشینگ می‌تواند از طریق تماس تلفنی (فیشینگ صوتی) و از طریق پیامک (فیشینگ پیامکی) انجام شود.

حملات فیشینگ هدف‌دار افراد یا شرکت‌های خاصی را نشانه می‌روند. حملات نهنگ نوعی حمله فیشینگ هدف‌دار است که به طور خاص مدیران ارشد یک سازمان را هدف قرار می‌دهند. یکی از انواع حملات شکار نهنگ، مبتنی بر الگوی ایمیل تجاری (BEC) است، که در آن مهاجم، کارکنان خاصی را هدف قرار می‌دهد که توانایی صدور مجوز تراکنش‌های مالی را دارند تا آن‌ها را فریب دهد تا پول را به حسابی که توسط مهاجم کنترل می‌شود، منتقل کنند.

هر وب سایتی که مبتنی بر پایگاه داده باشد در معرض حملات تزریق SQL قرار دارد. پرس و جوی SQL درخواستی برای انجام برخی اقدامات در پایگاه داده است. در حمله فوق هکرها درخواست مخرب را برای دسترسی به داده‌های ذخیره شده در پایگاه داده به منظور ایجاد، اصلاح یا حذف کند، ارسال می‌کند، به این امید که داده‌هایی مانند مالکیت معنوی، اطلاعات شخصی را استخراج کند. تزریق SQL سومین حمله خطرناک در سال 2022 گزارش شده است. PrestaShop، توسعه‌دهنده نرم‌افزارهای تجارت الکترونیکی که محصولات آن توسط حدود 300000 خرده‌فروش آنلاین استفاده می‌شود، اخیرا به کاربران خود هشدار داده است که فورا به آخرین نسخه به‌روزرسانی شده نرم‌افزار این شرکت مهاجرت کنند، زیرا برخی از نسخه‌های قبلی در برابر حملات تزریق SQL آسیب‌پذیر هستند که مهاجم را قادر می‌سازند اطلاعات کارت اعتباری مشتری را به سرقت ببرند.

این نوع دیگری از حمله تزریقی است که در آن مهاجم، داده‌هایی مانند یک اسکریپت مخرب را به محتوای وب‌سایت‌های مورد اعتماد تزریق می‌کند. حملات اسکریپت‌نویسی بین سایتی (XSS) زمانی رخ می‌دهد که یک هکر بتواند به روش خاصی کدی در یک برنامه وب تزریق کند و آن کد مخرب همراه با محتوای پویا برای مرورگر قربانی ارسال می‌شود. بردار حمله فوق به مهاجم اجازه می‌دهد تا اسکریپت‌های مخرب نوشته شده به زبان‌های مختلف مانند جاوا اسکریپت، جاوا، آژاکس، فلش و HTML را در مرورگر کاربر اجرا کند. این بردار حمله به هکر اجازه می‌دهد تا کوکی‌های جلسه را بدزدد و به مهاجم اجازه می‌دهد وانمود کند کاربر واقعی است، در شرایطی که قادر به انتشار بدافزار، تخریب وب‌سایت‌ها، ایجاد خرابی در شبکه‌های اجتماعی و پیاده‌سازی تکنیک‌های مهندسی اجتماعی است.

حمله مرد میانی (MiTM) جایی است که مهاجمان به طور مخفیانه پیام‌ها را بین دو طرف که معتقدند مستقیما با یکدیگر ارتباط برقرار می‌کنند، رهگیری و انتقال می‌دهند، اما در واقع، مهاجمان خود را در وسط مکالمه آنلاین قرار داده‌اند. مهاجمان می‌توانند پیام‌ها را قبل از ارسال آن‌ها به گیرنده ناآگاه، بخوانند، کپی یا تغییر دهند. یک حمله موفقیت‌آمیز MiTM می‌تواند به هکرها اجازه دهد تا اطلاعات شخصی حساس مانند اعتبارنامه ورود، جزئیات تراکنش‌ها و شماره کارت اعتباری را ضبط یا دستکاری کنند.

آدرس اینترنتی (URL) یک شناسه منحصر به فرد است که برای مکان‌یابی یک منبع در اینترنت استفاده می‌شود و به مرورگر وب می‌گوید که چگونه و کجا آن را بازیابی کند. برای هکرها آسان است که یک آدرس اینترنتی را تغییر دهند تا سعی کنند به اطلاعات یا منابعی دسترسی پیدا کنند که نباید به آن‌ها دسترسی داشته باشند. به عنوان مثال، اگر یک هکر به حساب کاربری خود در awebsite.com وارد شود و بتواند تنظیمات حساب خود را در https://www.awebsite.com/acount?user=2748 مشاهده کند، می‌تواند به راحتی این آدرس اینترنتی را به https://www.awebsite.com/acount?user=1733 تغییر دهد تا بتواند جزییات مربوطه را مشاهده کند. این جزییات شامل ورودی‌های ارائه شده توسط کاربر است.

این نوع حمله برای جمع‌آوری اطلاعات محرمانه مانند نام‌های کاربری، فایل‌ها و داده‌های پایگاه داده یا دسترسی به صفحات مدیریتی که برای مدیریت کل سایت استفاده می‌شوند، استفاده می‌شود. اگر یک مهاجم موفق شود از طریق دستکاری آدرس اینترنتی به منابع سازمان دسترسی پیدا کند، قادر به انواع مختلفی از کارها است.

سیسکو درباره یک آسیب‌پذیری روز صفر CVE-2023-20269 در Cisco Adaptive Security Appliance (ASA) و Cisco Firepower Threat Defense (FTD) هشدار می‌دهد که به طور فعال توسط عملیات باج‌افزار برای دسترسی اولیه به شبکه‌های شرکتی اکسپلویت شده است.

آسیب‌ پذیری روز صفر با شناسه CVE-2023-20269 و شدت متوسط، ویژگی VPN سیسکو ASA و Cisco FTD را تحت تأثیر قرار می‌دهد و به مهاجمان غیرمجاز از راه دور اجازه می‌دهد تا حملات  brute force  علیه حساب‌های موجود انجام دهند. مهاجمان با دسترسی به حساب ها می‌توانند یک جلسه SSL VPN بدون کلاینت را در شبکه سازمان نقض شده ایجاد کنند، که بسته به پیکربندی شبکه قربانی می‌تواند پیامدهای متفاوتی داشته باشد.
این آسیب پذیری در رابط خدمات وب دستگاه های Cisco ASA وCisco FTD، به ویژه عملکردهایی که با توابع احراز هویت، مجوز و حسابداری (AAA) مرتبط هستند، قرار دارد. آسیب پذیری به دلیل جداسازی نادرست عملکردهای AAA و سایر ویژگی های نرم افزار ایجاد می شود و منجر به سناریوهایی می‌شود که در آن مهاجم می تواند درخواست‌های تایید هویت را به رابط خدمات وب ارسال کند تا بر مؤلفه‌های مجوز تأثیر بگذارد یا آنها را به خطر بیاندازد.
از آنجایی که این درخواست‌ها هیچ محدودیتی ندارند، مهاجم می‌تواند با استفاده از ترکیب‌های نام کاربری و رمز عبور بی‌شماری، بدون محدود کردن نرخ یا مسدود شدن برای اکسپلویت آسیب پذیری ها، اعتبارنامه‌های اجباری را اکسپلویت کند.
سیسکو یک به‌روزرسانی امنیتی را برای آسیب پذیری CVE-2023-20269 منتشر می‌کند، اما تا زمانی که اصلاحات در دسترس نباشد، به مدیران سیستم توصیه می‌کند از DAP (سیاست های دسترسی پویا) برای متوقف کردن تونل های VPN با DefaultADMINGroup یا DefaultL2LGroup استفاده کنند. با تنظیم vpn-simultaneous-logins برای DfltGrpPolicy روی صفر و اطمینان از اینکه تمام نمایه های جلسه VPN به یک خط مشی سفارشی اشاره می کنند، دسترسی را با خط مشی پیش فرض گروه مسدود کنند. محدودیت‌های پایگاه داده کاربر محلی را، با قفل کردن کاربران خاص در یک نمایه، با گزینه قفل گروهی اعمال کنند و با صفر کردن ورودی های مجازی vpn از تنظیمات VPN جلوگیری کنند.  سیسکو همچنین توصیه می‌کند که پروفایل‌های VPN با دسترسی از راه دور پیش‌فرض را با نشان دادن تمام پروفایل‌های غیرپیش‌فرض، به یک سرور AAA حفره‌ای (سرور LDAP ساختگی) و فعال کردن گزارش‌گیری برای شناسایی زودهنگام حملات احتمالی، ایمن کنند.
در نهایت، به این نکته توجه داشته باشیم که احراز هویت چند عاملی (MFA) خطر را کاهش می‌دهد، زیرا حتی اعتبارنامه‌های اجباری حساب با موفقیت برای ربودن حساب‌های ایمن MFA و استفاده از آنها برای ایجاد اتصالات VPN کافی نیست.

منابع خبر

مجموعه راه‌حل‌های امنیتی و شبکه اسپلانک به شرکت‌ها اجازه می‌دهد ضمن نظارت بر ترافیک مبادله شده در شبکه یک راه‌حل جامع امنیتی را پیاده‌سازی کنند. اسپلانک (Splunk Enterprise Security) که به اختصار به آن Splunk ES می‌گویند یک فناوری پیشرفته، گسترش‌پذیر و کاربردی است که فایل‌های ثبت شده در یک سامانه را فهرست‌بندی و جست‌وجو می‌کند. ابزار Splunk ES می‌تواند داده‌ها را توسط الگوریتم‌های هوشمند تجزیه‌وتحلیل کند و یک برنامه عملیاتی کارآمد در اختیار کسب‌وکارها قرار دهد. Splunk ES علاوه بر ساخت یک استراتژی امنیتی مبتنی بر تجزیه و تحلیل و نظارت مداوم بر تهدیدات امروزی به سازمان‌ها اجازه می‌دهد یک راه‌حل بهینه‌سازی شده امنیتی را با کمترین زمان پاسخ‌گویی که تمرکزش بر اطلاعات مبادله شده توسط کلاینت‌ها است پیاده‌سازی کنند. Splunk ES با اتکا بر یادگیری ماشین که قادر به شناسایی ناهنجا‌ری‌ها و تهدیدها است به سازمان‌ها اجازه می‌دهد تصمیمات آگاهانه‌تری نسبت به تهدیدات اتخاذ کنند. Splunk ES تنها یکی از راه‌حل‌های کارآمد ارائه شده توسط اسپلانک است. راه‌حل‌های هوشمندانه این شرکت عمدتا در ارتباط با جست‌وجو، نظارت و بررسی بزرگ داده‌های تولید شده توسط ماشین‌ها از طریق یک رابط کاربری وب‌محور است. Splunk ES با ثبت، شاخص‌گذاری و نمایش ارتباط داده‌های واقعی در یک محیط قابل جست‌جو و ارائه نمودارها، گزارش‌ها، هشدارها و داشبوردها به کارشناسان امنیتی در انجام وظایف خود کمک می‌کند. کاربرد اسپلانک محدود به مدیریت بزرگ داده‌ها نیست و کارشناسان امنیتی می‌توانند به اشکال مختلفی از این فناوری کاربردی استفاده کنند که یکی از این کاربردها پیاده‌سازی مرکز عملیات امنیت شبکه است.

تهدیدات پیشرفته توسط هکرهایی انجام می‌شود که برای به‌دست آوردن یا تغییر اطلاعات از مسیرهای چندگانه استفاده می‌کنند. به‌طور معمول، کشف، شناسایی و حذف تهدیدات پیشرفته فرآیند پیچیده‌ای است. تهدیدات پیشرفته می‌توانند فیشینگ، آلوده‌سازی وب‌سایت‌ها با بدافزارها، حمله‌های جست‌وجوی فراگیر یا مهندسی اجتماعی باشند که برای به‌دست آوردن دسترسی‌های مجاز و پیاده‌سازی حمله‌های هدف‌دار که شامل اکسپلویت‌های روز صفر می‌شوند اجرا شوند. تهدیدهای پیشرفته یک یا چند سامانه را در معرض خطر قرار می‌دهند تا یک راه ارتباطی پایدار در اختیار هکرها قرار دارند تا انواع مختلف عملیات مخرب را پیاده‌سازی کنند. برای شناسایی حمله‌های چندریختی که ماهیت ثابتی ندارند، شرکت‌ها و به ویژه شرکت‌های ارائه‌دهنده خدمات به فناوری پیشرفته‌ای نیاز دارند که قادر به تحلیل داده‌ها باشد. Splunk ES یکی از راهکارهای پیش‌روی کسب‌وکارها است. Splunk ES فرآیند جست‌وجوی داده‌های خاص در مجموعه‌ای متشکل از داده‌های متجانس و نامتجانس را ساده می‌کند. کارشناسان شبکه و امنیت به سختی می‌توانند با نگاه کردن به فایل‌های گزارش متوجه شوند آیا تجهیزات به درستی پیکربندی شده‌اند یا خیر، به همین دلیل برای ساده‌سازی این فرآیند به سراغ نر‌م‌افزارهایی می‌روند که یک چنین قابلیت‌های کاربردی را ارائه می‌کنند.

مجموعه راه‌حل‌های اسپلانک یک زیرساخت هوشمند ارائه می‌کند تا دستیابی به داده‌های تولید شده توسط دستگاه‌ها ساده شود. پردازش و تجزیه و تحلیل حجم عظیمی از داده‌ها با هدف شناسایی تهدیدات پیشرفته یکی از بزرگ‌ترین چالش‌های کارشناسان امنیتی است. اسپلانک با ارائه یک مکانیزم مدیریت فراگیر این فرآیند را ساده کرده است. بهتر است برای روشن‌تر شدن موضوع به ذکر مثالی بپردازیم. تصور کنید، یک مدیر سیستم هستید و باید درباره این موضوع که چه اشتباهی در دستگاه‌ها یا سامانه‌ها به وجود آمده با نگاه کردن به داده‌های تولید شده تحقیقی انجام دهید. به‌طور سنتی، ساعت‌ها طول می‌کشد تا مشکل را شناسایی کنید. این درست همان نقطه‌ای است که وجود مجموعه راه‌حل‌های اسپلانک احساس می‌شود. اسپلانک با پردازش داده‌های تولید شده توسط سامانه‌ها و برجسته‌سازی وجه اشتراک داده‌های تولید شده شناسایی مشکلات را ساده‌تر می‌کند.

از مهم‌ترین مزایای راه‌‌حل‌های اسپلانک می‌توان به عملکرد، گسترش‌پذیری و ارائه راهکارهای خلاقانه جمع‌آوری و ارائه داده‌ها اشاره کرد. البته کار با اسپلانک زیاد ساده نیست و به تجربه و تخصص نیاز دارد. در مجموع از مزایای شاخص این راه‌حل‌ها و به ویژه Splunk ES به موارد زیر می‌توان اشاره کرد:

•  کارشناسان می‌توانند از Splunk ES برای ساخت گزارش‌های تحلیلی همراه با نمودارها و جداول تعاملی استفاده کنند و آن‌را با سایر بخش‌های سازمان به‌اشتراک قرار دهند.
•  مجموعه راه‌حل‌های اسپلانک گسترش‌پذیر و انعطاف‌پذیر هستند.
•  مجموعه راه‌حل‌های اسپلانک به‌طور خودکار اطلاعات و پیوندهای مفید موجود در داده‌ها را شناسایی و برجسته می‌کنند. بنابراین لازم نیست خودتان به شکل دستی این‌کار را انجام دهید. رویکرد فوق زمان صرف شده برای جست‌وجوها را کم می‌کند و فرآیند برچسب‌زنی اطلاعات را ساده‌تر می‌کند.

قبل از آن‌که به سراغ کاربرد اسپلانک در دنیای امنیت و همچنین ابزار Splunk Enterprise Security برویم، اجازه دهید به شکل مختصر با مولفه‌ها و اجزا تشکیل دهنده اسپلانک آشنا شویم. شکل 1 معماری کلی اسپلانک را نشان می‌دهد.

عملکرد هر یک از مولفه‌های این معماری به شرح زیر است:

‌Forwarder Universal: مولفه فوق روند ارسال داده‌ها به Splunk forwarder را شتاب می‌بخشد. وظیفه اصلی این مولفه ارسال گزارش‌ها است. کارشناسان امنیتی یا سرپرستان شبکه می‌توانند مولفه فوق را در سمت کلاینت نصب کنند.

Load Balancer: مسئولیت متعادل سازی بار روی چند منبع محاسباتی را بر عهده دارد.

Forwarder Heavy: مولفه فوق برای فیلتر‌سازی داده‌ها استفاده می‌شود. به‌طور مثال، می‌توانید اسپلانک را به گونه‌ای تنظیم کنید که تنها اطلاعات خطا را نشان دهد.

Indexer: وظیفه ساخت فهرست‌ها و فهرست‌بندی داده‌های فیلترشده را عهده‌دار است تا عملکرد اسپلانک بهبود یابد.

Search Head: مولفه فوق فرآیند توزیع جست‌وجوها میان سایر نمایه‌سازها را تسهیل می‌کند. این مولفه هیچ زیرمجموعه‌ای ندارد.

Deployment Server: فرآیند استقرار پیکربندی‌ها و به‌روزرسانی فایل پیکربندی Universal Forwarder را ساده می‌کند. کارشناسان امنیتی می‌توانند از این مولفه برای به‌اشتراک‌گذاری داده‌ها میان مولفه‌های دیگر استفاده کنند.

License Master: مدیریت مجوز اسپلانک استفاده شده توسط کاربر را بر عهده دارد.

Forwarder: ابتدا به جمع‌آوری داد‌ه‌ها از ماشین‌های مختلف می‌پردازد و داده‌ها را به Indexer انتقال می‌دهد. این مولفه می‌تواند داده‌ها را ردیابی کند، یک کپی از داده‌ها آماده کند و توازن بار را روی داده‌های خاص قبل از ارسال به Indexer انجام دهد. در مرحله بعد Forwarder داده‌ها را به Indexer تحویل می‌دهد. در نمایه‌ساز، داده‌های به‌دست‌آمده به بخش‌های مختلف تقسیم می‌شوند. در این مرحله کارشناسان شبکه می‌توانند در هر پایگاه داده، تنظیماتی را اعمال کنند و مجوزهای مربوطه را به کاربران تخصیص دهند. Indexer ضمن پردازش داده‌های دریافتی، داده‌های موجود در دیسک را جمع‌آوری و مرتب می‌کند.

زمانی که داده‌ها درون نمایه‌ساز آماده شدند، امکان جست‌وجوی داده‌ها و مشاهده نتایج بر مبنای فیلترهای مختلف و ارسال نتایج برای مولفه Search Head فراهم می‌شود. Search Head  به کاربران اجازه می‌دهد به تعامل با اسپلانک بپردازند.

همان‌گونه که اشاره شد، یک تهدید پیشرفته، زنجیره‌ای از فعالیت‌های مخرب است تا هکر بتواند یک نقطه ورود به شبکه را پیدا کند، به سراغ منابع حاوی اطلاعات ارزشمند برود و اطلاعات حساس را به خارج از سازمان منتقل کند. شکل 2 چرخه عمر تهدیدات پیشرفته را نشان می‌دهد.

چگونگی انتقال

یک تهدید پیشرفته با دانلود بدافزار، کلیک روی پیوندهای مخرب، باز کردن فایل‌های پیوست شده به ایمیل‌ها یا مراجعه به سایت‌های آلوده آغاز می‌شود.

چگونگی انجام اکسپلیوت و نصب بدافزار

بدافزار توسط یک سامانه دانلود و در ادامه اجرا می‌شود. بدافزارها عمدتا پنهان هستند یا درون اسناد رایج همچون فایل‌های وب، فایل‌های پی‌دی‌اف یا تصاویر گرافیکی با فرمت فایلی Jpeg بارگذاری می‌شوند. هر زمان کاربر فایل مخربی را اجرا کند بدافزار روی سامانه او فعال می‌شود. زمانی‌که بدافزاری اجرا می‌شود، فعالیت‌های مختلفی انجام می‌دهد تا به شکل ناشناس روی یک سامانه به حیات خود ادامه دهد. به‌طور مثال، بدافزارها ممکن است با نصب برنامه‌هایی که رابط کاربری عادی دارند، غیرفعال کردن بسته‌های امنیتی، پاک کردن فایل‌های گزارش یا جایگزین کردن فایل‌های سیستمی سالم با فایل‌های آلوده یا تزریق کد آلوده به فایل اجرایی روی گره‌های تحت شبکه به کار خود ادامه می‌دهند.

نرم‌افزارهای مخرب زمانی که روی گره‌های پایانی نصب می‌شوند با سرور کنترل و فرمان‌دهی (Command & Control) ارتباط برقرار می‌کنند تا دستورالعمل‌هایی اجرایی مخرب را دریافت کنند. این دستورالعمل‌ها می‌توانند فایل‌ها یا بارداده‌های مخربی باشند که قرار است اطلاعات سازمانی را به سرقت ببرند. بدافزارها برای برقراری ارتباط با سرورهای کنترل و فرمان‌دهی از پروتکل‌های رایجی همچون FTP، HTTP و DNS پنهان استفاده می‌کنند. گاهی اوقات این ارتباط از طریق پروتکل‌های رمزنگاری شده یا با استفاده از پروتکل‌های راه دور (RDP) که یک مکانیزم انتقال رمزنگاری شده را ارائه می‌کنند انجام می‌شود.

حمله‌های پیشرفته با هدف ورود به زیرساخت‌های ارتباطی و انجام عملیات مخرب انجام می‌شوند. در حملات پیشرفته هکر از مسیرها و تکنیک‌های مختلفی برای پیاده‌سازی حملات استفاده می‌کند تا بتواند با استفاده از یک حساب کاربری به یک سامانه تحت شبکه وارد شود، سطح مجوز را ارتقا دهد، به شکل ناشناس در شبکه باقی بماند و در نهایت اطلاعات را سرقت کرده یا به سامانه‌های دیگر آسیب جدی وارد کند. دسترسی به اطلاعات و ترافیک مبادله شده در شبکه و تحلیل تمامی داده‌ها به شناسایی و مقابله با تهدیدات پیشرفته کمک می‌کند. نظارت مستمر بر ترافیک و فعالیت‌های غیر‌عادی و مرتبط کردن اطلاعات با یکدیگر یکی از روش‌های Kill Chain است که می‌تواند به شناسایی میزبان‌های در معرض خطر و تهدیدات پیشرفته‌ای که شبکه سازمانی را نشانه گرفته‌اند کمک کند. در روش Kill Chain تمرکز روی شناسایی فعالیت‌های پس از اجرای اکسپلیوت یا آلوده شدن سامانه‌ها (به فرض ورود هکر به شبکه) است. مجموعه راهکارهای امنیتی اسپلانک می‌توانند به سازمان‌ها و شرکت‌های ارائه‌دهنده خدمات اینترنتی اجازه دهند ضمن حفظ کارایی سامانه‌ها، با شناسایی زودهنگام مخاطرات امنیتی، تهدیدات را شناسایی کنند، عملیات تحلیل و ارزیابی را به موقع انجام دهند و با کمترین هزینه ممکن مرکز عملیات شبکه و امنیت را پیاده‌‌سازی کنند. مهم‌ترین مزیت راه‌حل‌های امنیتی ارائه شده توسط اسپلانک نظارت بر سازگاری و پایداری، بهبود سطح فرآیندهای امنیتی و انطباق‌پذیری بالا است.

برای شناسایی تهدیدهای پیشرفته ابتدا باید فهرستی از پرسش‌های مهم را در قالب یک چک‌لیستی امنیتی آماده کنید و مطابق با آن به شناسایی موارد مشکوک بپردازید. این فرآیند می‌تواند به دو شکل دستی یا خودکار انجام شود. مزیت روش خودکار در تشخیص زود‌هنگام و دقیق تهدیدات است. راه‌حل‌هایی همچون Splunk Enterprise یا IBM QRadar به سازمان‌ها در انجام این‌کار کمک می‌کنند. در جدول1 تکنیک‌هایی که برای شناسایی تهدیدات پیشرفته پیرامون میزبان‌ها استفاده می‌شوند و نحوه پاسخ‌گویی و مقابله با تهدیدات را نشان می‌دهد. این جدول توسط شرکت اسپلانک و مطابق با تکنیک‌های استفاده شده توسط محصولات این شرکت آماده شده‌اند. برای اطلاع بیشتر در خصوص سایر موارد به آدرس انتهای مطلب مراجعه کنید.

جدول 1 نشان می‌دهد انجام این فرآیندها به شیوه دستی کار سختی است و در بیشتر موارد احتمال سهل‌انگاری یا نادیده گرفتن برخی نکات وجود دارد. Splunk ES با ارائه راه‌حلی جامع این مشکل را برطرف می‌کند.

یکی از مشکلات عمده سازمان‌ها عدم انطباق استراتژی‌های امنیتی با تهدیدات پویا و فناوری‌های روز است. همین موضوع باعث شده تا تهدیدات پیشرفته نوین به سختی شناسایی شوند و استراتژی‌های کسب‌وکار سنخیت چندانی با دکترین امنیتی نداشته باشند. تیم‌های امنیتی برای غلبه بر این چالش‌ها به یک راهکار تحلیلی با قابلیت پاسخ‌گویی دقیق به رویدادها نیاز دارند که بتواند تکنیک‌های شناسایی تهدیدها را به سرعت به کار بگیرد، در کوتاه‌ترین زمان به تهدیدات پاسخ دهد و به کارشناسان امنیتی اجازه دهد تصمیمات مناسبی برای مقابله با تهدیدات اتخاذ کنند. Splunk ES یک راه‌حل امنیتی ایده‌آل است که اجازه می‌دهد تیم‌های امنیتی در کوتاه‌ترین زمان تهدیدات داخلی و خارجی را شناسایی کنند و به آن‌ها پاسخ دهند. فارغ از مدل پیاده‌سازی که می‌تواند به شکل ابر خصوصی، عمومی، درون سازمانی یا استقرار SaaS یا ترکیبی از حالت‌های فوق پیاده‌سازی شود، Splunk ES به سازمان‌ها اجازه می‌دهد برای نظارت مستمر و پاسخ‌گویی سریع به رخدادها یک مرکز عملیات امنیت (SOC) را پیاده‌سازی کنند. همچنین این امکان وجود دارد که Splunk ES را همراه با راه‌حل‌های دیگر این شرکت همچون Splunk Cloud استفاده کرد.

•  Splunk ES می‌تواند با تحلیل هوشمندانه داده‌هایی که توسط فناوری‌ها امنیتی تولید می‌شود به کارشناسان امنیتی کمک کند قواعد و خط‌مشی‌های قدرتمندی برای پاسخ‌گویی به تهدیدات اتخاذ کنند.
•  ارائه قابلیت‌های کاربردی در ارتباط با مدیریت هشدارها، کشف و شناسایی تهدیدات پویا، جست‌وجوی دقیق داده‌ها و تحلیل سریع تهدیدهای پیشرفته
•  ارائه یک راه‌حل انعطاف‌پذیر در زمینه سفارشی‌سازی جست‌و‌جوها، هشدارها، گزارش‌ها و داشبوردهایی مطابق با نیازهای کاربری با هدف نظارت مستمر بر ترافیک شبکه
•  پیاده‌سازی یک مرکز عملیات امنیت کارآمد برای پاسخ‌گویی سریع به رخدادها

• فرآیند شناسایی و مرتبط کردن داده‌های امنیتی و شبه‌امنیتی با یکدیگر (اطلاعاتی در ارتباط با زیرساخت‌های فناوری اطلاعات، محصولات امنیت و داده‌های تولید شده توسط کلاینت‌ها) و انطباق سریع این اطلاعات با هدف ارائه یک دورنمای دقیق از تهدیدات را امنیت مبتنی بر تجزیه و تحلیل می‌گویند. Splunk ES با ارائه یک راه‌حل تحلیل‌محور SEIM به کسب‌وکارها اجازه می‌دهد به سرعت تهدیدات داخلی و خارجی را شناسایی و به آن‌ها واکنش نشان دهند. در ادامه به چند مورد از مهم‌ترین کاربردهای Splunk ES اشاره می‌کنیم:
  

  مانیتور کردن مستمر وضعیت امنیتی

  • Splunk ES با ارائه مجموعه کاملی از داشبوردهای از پیش تعریف شده همچون شاخص‌های مهم امنیتی (KSI)، شاخص‌های مهم عملکردی (KPI)، آستانه تحمل پویا و ایستا و شاخص‌های Trending یک تصویر کلی و شفاف از وضعیت امنیتی سازمان ارائه می‌کند (شکل 3).

  

  اولویت‌بندی رخدادها و واکنش مناسب به آن‌ها

  • تحلیل‌گران و تیم‌های امنیتی می‌توانند از هشدارها و رخدادها، ناهنجاری مرتبط با تحلیل الگوی رفتاری کاربر (UBA) سرنام User Behavior Analytics، گزارش‌های تولید شده در ارتباط با وضعیت ترافیک شبکه و موارد این چنینی برای پاسخ‌گویی سریع‌تر و شفاف‌تر استفاده کنند (شکل 4).

  

  ‌بررسی و رسیدگی سریع به تهدیدها

  • Splunk ES برای شتاب بخشیدن به روند شناسایی تهدیدها قابلیت جست‌وجوی موردی و همچنین ارتباط بصری، پویا و ایستا را ارائه می‌کند تا کارشناسان امنیتی فعالیت‌های مخرب را به سرعت شناسایی کنند. در این زمینه Splunk ES تمامی داده‌های تولید شده در شبکه را بررسی می‌کند تا بتواند تهدیدات را بر مبنای الگوهای رفتاری آن‌ها شناسایی کند و با ردیابی اقدامات هکرها و بررسی شواهد و مدارک اطلاعات بیشتری در اختیار کارشناسان امنیتی قرار دهد.

  انجام بررسی‌های چندگانه

  • با هدف پیگیری فعالیت‌های مرتبط با سامانه‌های آسیب دیده لازم است تحلیل‌های مرتبط با نفوذ‌پذیری انجام شود. در این حالت باید مدل Kill Chain را اعمال کرد و با استفاده از جست‌وجوهای موردی و به‌کارگیری قابلیت‌های Splunk ES همراه با رکوردهای جست‌وجو کننده و خط زمانی جست‌وجو به بررسی چرخه عمر تهدیدهای پیشرفته پرداخت (شکل 5).

  

  کلام آخر

  همان‌گونه که ممکن است حدس زده باشید، Splunk ES عملکردی فراتر از یک راه‌حل SIEM عادی دارد و می‌تواند ضمن نظارت بر ترافیک شبکه، با ارائه داشبوردهای تعاملی به کارشناسان کمک کند قبل از آن‌که مشکلات یا آسیب‌پذیری‌ها خسارت زیان‌باری به بار آورند، اقدامات پیشگیرانه را انجام دهند .

این آسیب‌پذیری سیسکو به دلیل عدم اعتبارسنجی کافی درخواست‌ها هنگام استفاده از ویژگی REST API به وجود می‌آید. یک حمله‌کننده می‌تواند از طریق ارسال درخواست API منحصربه‌فرد به یک نمونه vManage متأثر، از این آسیب‌پذیری بهره‌برداری کند. در صورت موفقیت آمیز بودن حمله، حمله‌کننده قادر خواهد بود اطلاعات را از پیکربندی نمونه Cisco  vManage  متأثر دریافت و اطلاعات را به آن ارسال کند. این آسیب‌پذیری تنها تأثیری بر روی REST API دارد و بر روی رابط مدیریت مبتنی بر وب یا رابط خط فرمان تأثیری ندارد. این APIها برای موارد زیر استفاده می‌شوند.
•    نظارت بر وضعیت دستگاه
•    پیکربندی دستگاه
•    بدست آوردن اطلاعات آماری از دستگاه
نسخه های تحت تاثیر و اصلاح شده :

سیسکو اعلام کرده است که اطلاعاتی در خصوص اکسپلویت یا حملات استفاده شده برای این آسیب پذیری ندارد.
برای بررسی اینکه آیا به این APIها درخواستی ارسال شده است می‌توان فایل لاگ که در مسیر زیر قرار دارد را بررسی کنید :

/var/log/nms/vmanage-server.log

با دستور CLI زیر میتونید این فایل رو مشاهده کنید :

vmanage# show log /var/log/nms/vmanage-server.log

اگه در نتایج عبارت Request Stored in Map is (/dataservice/client/server) for user (admin) بود، یعنی درخواست‌هایی به REST API ارسال شده  است.

توصیه :
سیسکو به‌روزرسانی‌های نرم‌افزاری را منتشر کرده است که این آسیب‌پذیری را رفع می‌کند. راه‌حل‌های موقتی برای رفع این آسیب‌پذیری وجود ندارد. همچنین گفته شده که می‌توانید با فعال کردن access control list) ACL) دسترسی به vManage رو محدود کنید.

منبع : sec.cloudapps.cisco.com

کمپانی فورتینت از یک ضعف امنیتی و آسیب پذیری با شدت بحرانی در فورتی‌اواس (FortiOS) و فورتی‌پراکسی (FortiProxy) خبر داده است که به یک حمله‌کننده از راه دور امکان اجرای کد دلخواه را در دستگاه‌های آسیب‌پذیر می‌دهد.

این ضعف که توسط شرکت امنیتی Watchtowr کشف شده است، با شناسه CVE-2023-33308 ردیابی می‌شود و امتیاز CVS v3 آن 9.8 از 10.0 است که به عنوان بحرانی رده‌بندی شده است. فورتینت در یک اعلان جدید از ضعف، هشدار داده است: یک آسیب پذیری سرمبنای بالا [CWE-124] در فورتی‌اواس و فورتی‌پراکسی ممکن است اجازه دهد تا یک حمله‌کننده از راه دور کد یا دستور دلخواه را از طریق بسته‌هایی که به سیاست‌های پروکسی یا سیاست‌های فایروال با حالت پروکسی و همچنین بررسی عمیق بسته‌های SSL می‌رسند، اجرا کند.
یک سرریز مبتنی بر استک (stack-based overflow) یک مشکل امنیتی است مهاجم راه دور با ارسال بسته های مخربی که به خط مشی های فایروال و پروکسی در حالت proxy mode و SSL deep packet inspection  می‌رسد، میتواند کد یا دستور دلخواه را اجرا کند.
این ضعف در نسخه‌های زیر از FortiOS تأثیر می‌گذارد:

اگر مدیران قادر به اعمال نسخه‌نرم‌افزار جدید به‌صورت فوری نباشند، فورتینت می‌گوید که می‌توانند  پشتیبانی HTTP/2 را در پروفایل‌های SSL inspection که توسط خط مشی های پروکسی یا فایروال با حالت proxy mode استفاده می‌شوند را غیرفعال کنید. در مثال زیر این ویژگی را در یک پروفایل با عنوان custom-deep-inspection غیرفعال کرد است.

config firewall ssl-ssh-profile
   edit "custom-deep-inspection"
      set supported-alpn http1-1
   next
end

در نهایت پروفایل‌های امنیتی در حالت proxy mode می‌توانند SSL inspection را روی ترافیک HTTP/2  که توسط TLS 1.2 یا TLS 1.3 امن شده‌اند توسط Application-Layer Protocol Negotiation (ALPN) اجرا کنند. دستور بالا با تنظیم http1-1 روی این پروفایل‌ها، ترافیک HTTP/1.1  رو فقط فوروارد می‌کند.

منبع : fortiguard

مهاجمان از یک آسیب پذیری بحرانی که اخیرا در پلاگین WooConnerce Payments WordPress افشا شده بود، برای حملات هدفمند گسترده استفاده می کنند. این گروه  حملات، به وب سایت های  Wordfence حمله می کنند. یک فایروال برنامه وب برای سایت های وردپرس گزارش کرده است که این گروه حملات بر روی زیرمجموعه کوچکتری از وب سایت ها تمرکز دارد. 

این آسیب پذیری که با عنوان CVE-2023-28121 و امتیاز 9.8 ارزیابی شده است،  یک مورد دور زدن تایید هویت است که به مهاجمان تایید هویت نشده امکان می دهد، با جعل هویت کاربران برخی اقدامات را حتی با جعل هویت مدیر انجام دهند که منجر به تصاحب سایت می شود.
اکسپلویت موفقیت آمیز از آسیب پذیری پلاگین WooCommerce Payments وردپرس، به مهاجم تایید هویت نشده، اجازه می دهد درخواست هایی را از طرف یک کاربر با دسترسی بالا مانند مدیر ارسال کند. از این رو، مهاجم از راه دور و تایید هویت نشده می تواند به سایتی که با نسخه آسیب پذیر پلاگین فعال شده است، دسترسی مدیر داشته باشد.
گزارش ها نشان می دهد افزایش درخواست های شمارش پلاگین ها، از چند روز قبل، نشانه هایی از حملات گسترده را شناسایی کرده اند. این درخواست ها یک فایل خاص read.txt را در فهرست wp-content/plugins/woocommerce-payments/ در میلیون ها سایت جستجو می کردند. اگرچه، همه اسکن‌هایی که فایل‌های readme.txt را هدف قرار می‌دهند مخرب نیستند. بااین حال، افزایش جستجوها برای یک پلاگین خاص معمولاً نشان‌دهنده علاقه شدید عوامل تهدید است.
حفره مشترک مشاهده شده در حملات، استفاده از هدر درخواست HTTP “X-Wcpay-Platform-  Checkout-User: 1 است که باعث می شود سایت های حساس هر گونه بار اضافی را به عنوان یک کاربر مدیریتی Wordfence در نظر بگیرند. این حفره برای استقرار پلاگین WP Console استفاده می شود که می تواند برای اجرای کدهای مخرب و نصب یک آپلود کننده فایل برای تنظیم پایداری سایت در معرض آسیب پذیری باشد.

محصولات تحت تأثیر
نسخه های 4.8.0 تا 5.6.1 پلاگین WooCommerce Payments آسیب پذیر هستند. بیش از 600000  وب سایت وردپرسی وجود دارد که از این پلاگین استفاده می کنند. وصله های مربوط به این آسیب پذیری توسط WooCommerce در مارس 2023 منتشر شد و وردپرس با استفاده از نسخه های آسیب پذیر نرم افزار، بروزرسانی هایی را برای سایت ها صادر کرد.

منبع : hdeveloper.woocommerce.com

اخیرا Citrix با انتشار بیانیه ای امنیتی کاربران خود را از سه آسیب پذیری جدید NetScaler ADC و NetScaler Gateway با خبر کرد. از بین این سه آسیب پذیری، آسیب پذیری با شناسه CVE-2023-3519 شدیدترین است که سواستفاده ی موفقیت آمیز از آن، به مهاجمین احراز نشده اجازه ی اجرای کد از راه دور بر روی سیستم های آسیب پذیر که به عنوان دروازه (Gateway) تنظیم شده اند را می دهد.

• آسیب پذیری CVE-2023-3466: این آسیب پذیری از نوع Reflected XSS (XSS بازتابی) بوده و سو استفاده ی موفق از آن به دسترسی کاربر از طریق مرورگر به یک لینک کنترل شده توسط مهاجم درحالی که در یک شبکه به NetScaler IP (NSIP) متصل شده است دارد.
• آسیب پذیری CVE-2023-3467: باعث افزایش سطح دسترسی به ادمین root (nsroot) می شود.
• آسیب پذیری CVE-2023-3519: از نوع اجرای کد از راه دور احراز نشده است و برای آن دستگاه باید به صورت یک دروازه (Gateway) مثل VPN virtual server, ICA Proxy, CVPN RDP Proxy یا به صورت AAA  virtual server تنظیم شده باشد.
این محصول برای مهاجمین با هر سطح مهارتی، هدف محبوبی است و توصیه می شود کاربران در اسرع وقت آن را به یک نسخه ی اصلاح شده ارتقا دهند و منتظر پچ شدن آن نمانند.

محصولات آسیب پذیر:

هر سه آسیب پذیری در محصولات زیر رفع شده است:

منابع : https://gbhackers.com/zero-day-vulnerability-citrix-netscaler/

مایکروسافت، بروزرسانی های جدیدی برای رفع  132 آسیب‌ پذیری امنیتی جدید، در نرم افزار خود منتشر کرد که شامل 6 آسیب‌ پذیری zero-day است که اکسپلویت شده است. از بین این آسیب پذیری ها، 9 آسیب‌ پذیری بحرانی و 122 آسیب پذیری مهم ارزیابی شده اند. این آسیب پذیری ها، علاوه بر 8 آسیب‌ پذیری است که در پایان ماه گذشته، در Edge browser مبتنی بر Chromium خود وصله کرد.

مایکروسافت، در صورتی یک آسیب پذیری را به عنوان zero-day ارزیابی می کند که بصورت عمومی افشا شود و یا اکسپلویت شود. 6 آسیب پذیری zero-day که بطور فعال اکسپلویت شده اند، شامل این موارد هستند:

در این آسیب پذیری، مهاجم حقوق کاربری را که برنامه آسیب پذیری را اجرا میکند را بدست می آورد. این آسیب پذیری، توسط مرکز اطلاعات تهدیدات مایکروسافت کشف شده است. مایکروسافت این آسیب پذیری را که با باز کردن یک فایل ساختگی، از طریق ایمیل یا وب-سایت های مخرب اکسپلویت شده بود را برطرف کرده است.

مهاجمان از این آسیب پذیری برای جلوگیری از نمایش Open File – Security Warning هنگام دانلود و بازکردن فایل ها از اینترنت اکسپلویت کرده اند. این آسیب پذیری، توسط مرکز اطلاعات تهدیدات مایکروسافت کشف شده است.

این آسیب پذیری، به مهاجم اجازه میدهد تا حساب ادمین را در دستگاه ویندوز به دست آورند. مهاجم باید به دستگاه مورد نظر دسترسی محلی داشته باشد و با حقوق محدودی که کاربران عادی بطور پیش فرض دارند، باید بتواند پوشه ها و ردیابی عملکرد روی دستگاه ایجاد کند.

 CVE-2023035311 – Microsoft Outlook Security Feature Bypass Vulnerability

این آسیب پذیری، هشدارهای امنیتی را دور می زند و در صفحه پیش نمایش کار می کند. مهاجم با استفاده از این آسیب پذیری، می تواند اعلان امنیتی Microsoft Outlook را دور بزند. مایکروسافت، این آسیب پذیری را رفع کرده است.

CVE-2023-36884- Office and Windows HTML Remote Code Execution Vulnerability

مایکروسافت دستورالعمل‌هایی را در موردMicrosoft Office  و ویندوز zero-day وصله نشده منتشر کرده است که امکان اجرای کد از راه دور را، با استفاده از اسناد Microsoft Office  ایجاد می کند. همچنین، در حال بررسی گزارش های تعدادی از آسیب پذیری های اجرای کد از راه دور است که بر ویندوز و محصولات Office تأثیر می گذارد. مهاجم می تواند، یک سند Microsoft Office  ساخته شده ایجاد کند که اجازه می دهد، کد از راه دور را در زمینه قربانی انجام دهند. با این حال، یک مهاجم باید قربانی را متقاعد کند که فایل مخرب را باز کند.

ADV230001- Malicious use of Microsoft-signed drivers for post-exploitation activity

مایکروسافت اعلام کرده است که درایورهای تایید شده، توسط برنامه توسعه سخت افزار ویندوز مایکروسافت، به طور مخرب اکسپلویت شده اند. در این حملات، مهاجم قبل از استفاده از درایورها، حساب های مدیریتی را بر روی سیستم های در معرض خطر به دست آورده بود. چندین حساب توسعه دهنده، برای مرکز شریک مایکروسافت (MPC) درگیر ارسال درایورهای مخرب، برای به دست آوردن امضای مایکروسافت بوده اند. همه حساب‌های توسعه‌دهنده درگیر، در این حادثه بلافاصله به حالت تعلیق درآمدند.

منبع : thehackernews.com

چندین کارشناس به خبرگزاری ریکوردد فیوچر نیوز (Recorded Future News) گفته اند که یک رمزگشا برای این باج افزار، ماه‌ها قبل از اینکه شرکت امنیت سایبری Avast نسخه آن را برای دانلود عمومی تولید و منتشر کند، بی‌ سر و صدا در میان پاسخ‌دهنده‌ها استفاده می‌شده است.

گروه باج‌ افزاری آکیرا، مسئولیت چندین حادثه مهم را به عهده گرفته است؛ از جمله حملات به دولت خلیج ناسائو در تگزاس، دانشگاه بلوفیلد، یک بانک دولتی در آفریقای جنوبی و کارگزار بزرگ فارکس لندن؛ یعنی کپیتال گروپ.

این رمزگشا بر روی نسخه ویندوز این باج افزار کار می کند و آواست می گوید که در حال کار بر روی رمزگشایی است که برای نسخه لینوکس کشف شده در ماه گذشته کار کند.

نسخه لینوکس باج‌ افزار آکیرا مانند نسخه ویندوزی خود کار می‌کند.

به گفته محققان، فایل های رمزگذاری شده دارای پسوند و طرح رمزگذاری یکسانی هستند و رمزگشای فعلی می تواند برای باز کردن قفل فایل های رمزگذاری شده توسط نوع لینوکس نیز استفاده شود.

محققان خاطرنشان می کنند که باج‌ افزار آکیرا شباهت‌های زیادی با باج‌افزار کانتی (Conti) دارد که به گفته آنها ممکن است نشان دهد که نویسندگان بد افزار آکیرا، حداقل از منابع فاش شده کانتی الهام گرفته‌اند.

فایل‌ها و دایرکتوری‌هایی که در طول حملات حذف می‌شوند، یکسان هستند و چندین ویژگی رمزگذاری شبیه به موارد استفاده شده توسط کانتی است.

چندین شرکت امنیتی دیگر در مورد شباهت ها و روابط بین باج افزار کانتی که امروزه از بین رفته است و آکیرا اشاره کرده اند.

آلن لیسکا، کارشناس باج‌افزار ریکوردد فیوچر (Recorded Future) می‌گوید که اگرچه آکیرا تنها از ماه مارس شروع به کار کرده است، اما در حال حاضر بیش از 50 قربانی را به سایت اخاذی خود اضافه کرده است، که نشان می‌دهد به احتمال زیاد آنها یک گروه با تجربه هستند که به استفاده از نوع باج افزار متفاوتی روی آورده‌اند.

او می گوید:

این گروه بیشتر به خاطر سایت نشت خود شناخته شده است، که شبیه ترمینال رایانه ای دهه 80 (متن سبز در پس زمینه سیاه) است.

 

یکی دیگر از چیزهایی که در مورد آنها جالب است این است که آنها در یادداشت باج خود به همه می گویند که چگونه وارد شبکه قربانیانی شده اند که پولی نمی پردازند.

این گروه هفته گذشته پس از ارسال یک عذرخواهی به دلیل حمله به بانک توسعه دولتی آفریقای جنوبی با ادعای اینکه شخصی بدون اجازه آنها از باج افزار آنها استفاده کرده است، موجی به راه انداخته بود.

مسلما هیچ‌یک از ما علاقه‌ای به گرفتار شدن در چنگال هکر ها ندارد! با این حال برخی تصمیمات اشتباه باعث می‌شوند راه ورود این افراد به گوشی و اطلاعات شخصی ما باز شود.

گاهی اوقات یک اشتباه کوچک، حتی به‌طور ناخواسته، می‌تواند دروازه ورود هکر ها به گوشی ما باشد. بنابراین لازم است که از انجام برخی از این کارها خودداری کنیم.

در ادامه به معرفی چندین اشتباه که می‌توانند گوشی ما را در معرض حمله هکر ها قرار دهند خواهیم پرداخت. با مرتکب نشدن این اشتباهات می‌توانید امنیت دستگاه خود را به‌طور قابل ملاحظه‌ای افزایش دهید.

بسیاری اوقات، زمانی که در فروشگاه‌ها، رستوران‌ها، کافه‌ها یا هتل‌ها هستیم دو روش برای دسترسی به اینترنت پیش روی ماست. روش اول استفاده از داده موبایل بوده و روش دوم استفاده از شبکه وای فای عمومی است.

طبیعتا همه ما ترجیح می‌دهیم به جای این که حجم اینترنت گرانبهای خود را مصرف کنیم، به اینترنت رایگان این مکان‌های عمومی وصل شویم؛ خصوصا زمانی که مشغول استریم کردن یا کارهای پرمصرفی نظیر آن باشیم.

با این وجود باید بدانید که شبکه‌های عمومی به هیچ عنوان ایمن نبوده و به‌راحتی توسط هکر ها قابل نفوذ هستند. به عنوان مثال، هکر ها به‌سادگی قادرند ارتباط شما از طریق یک شبکه Wi-Fi عمومی را تحت نظر داشته باشند و حتی به اطلاعات کلیدی شما، نظیر مشخصات فردی یا اطلاعات بانکی‌تان هم دسترسی پیدا کنند.

علاوه بر این، هکرها همچنین می‌توانند شبکه وای فای خودشان را بسازند و آن را به‌گونه‌ای نام‌گذاری کنند که شبیه به یک شبکه عمومی به نظر برسد و شما را فریب دهد.

در صورتی که در این تله گرفتار شوید، گمان می‌کنید به یک شبکه رایگان و البته ایمن متصل شده‌اید. با این وجود، هکر سازنده این شبکه تا زمانی که به آن متصل هستید، اطلاعات شما را مشاهده کرده و به آن‌ها دسترسی خواهد داشت.

اگر قصد دارید به یک شبکه وای فای عمومی متصل شوید، سعی کنید از یک وی پی ان استفاده کنید تا مطمئن شوید اطلاعاتتان در هر شرایطی رمزگذاری شده باقی می‌ماند.

البته استفاده از وی پی ان‌های رایگان هم چندان بدون ریسک نیست و می‌تواند شما را در معرض خطرات امنیتی فراوانی قرار دهد.

بسیاری از ما در طول روز درگیر کارهای مختلفی شده و روزهای شلوغی را سپری می‌کنیم. بنابراین طبیعی است که برخی کارهای به‌ظاهر بی‌اهمیت‌تر مانند اسکن آنتی ویروس‌ها رفته رفته از برنامه ما حذف می‌شود!

ممکن است گمان کنید اسکن کردن لپ تاپ برای ویروس‌ها و بدافزارها نمی‌تواند کمک چندانی به تامین امنیت آن کند. اما سخت در اشتباه هستید؛ چرا که این کار می‌تواند باعث ارتقای امنیت شما شود.

بدون انجام این اسکن‌های دوره‌ای، ممکن است بدافزارها به حافظه دستگاه شما نفوذ کرده و همان‌جا باقی بمانند.

اگر فکر می‌کنید امکان دارد اسکن کردن دوره‌ای کامپیوتر خود را فراموش کنید، از قابلیت اسکن خودکار که اکثر آنتی ویروس‌ها از آن بهره می‌برند، استفاده کنید. از این طریق، برنامه آنتی ویروس در پس‌زمینه دستگاه شما را اسکن کرده و بدون این که متوجه شوید، ایمنی‌تان را تامین خواهد کرد.

هیچیک از ما بدمان نمی‌آید از یک برنامه رایگان استفاده کنیم! با این وجود باید در نظر داشته باشید که برخی نرم افزارها مانند آنتی ویروس‌ها یا وی پی ان‌ها ارزش هزینه‌ای که برایشان پرداخت می‌کنید را دارند.

بیشتر آنتی ویروس‌ها یا وی پی ان‌های شناخته شده بازار محصولاتی پریمیوم بوده و برای ارائه خدمات، مبلغی را به‌صورت ماهیانه یا سالیانه از کاربران دریافت می‌کنند.

به‌طور کلی دو دلیل برای رایگان بودن آنتی ویروس یا وی پی ان وجود دارد. بنابراین اگر یکی از این دو به‌طور رایگان در اختیار کاربران قرار گیرد یا درآمدش را از طریق تبلیغات تامین خواهد کرد و یا از طریق فروش داده کاربران به دیگر سرویس‌ها!

به عنوان مثال، یک اپلیکیشن وی پی ان رایگان معمولا پر از تبلیغات گوناگون است که ضمن آسیب رساندن به تجربه گشت و گذار در اینترنت می‌تواند باعث لو رفتن اطلاعات گوشی شما به هکرها هم شود.

علاوه بر این، با استفاده از سرویس‌های VPN رایگان همچنین اطلاعات مهم موجود روی کامپیوتر خود اعم از مشخصات فردی، تاریخچه مرور در اینترنت و… را در معرض دید ارائه دهنده این سرویس قرار می‌دهید!

از سوی دیگر همچنین باید به این نکته هم توجه کنید که آنتی ویروس‌ها و وی پی ان‌های رایگان عموما قادر نیستند از شما در برابر خطرات سایبری محافظت کنند. به عنوان مثال، این دسته آنتی ویروس‌ها ممکن است قادر به شناسایی برخی بدافزارها نباشند یا وی پی ان مورد استفاده‌تان رمزگذاری ضعیفی داشته باشد!

همانند اسکن نکردن دائمی گوشی، بسیاری از ما همچنین به دلیل وقت‌گیر بودن فرآیند آپدیت نرم افزارها، معمولا از نسخه‌های قدیمی‌تر استفاده می‌کنیم.

این مساله نیز یکی دیگر از کارهای اشتباه است که می‌تواند باعث نفوذ هکرها به سیستم‌تان شود.

دقت کنید که بروزرسانی‌های اپلیکیشن‌ها صرفا برای افزودن قابلیت‌های اضافی و رفع مشکلات نرم افزاری نیست؛ بلکه در بسیاری مواقع، این بروزرسانی‌ها برخی ایرادات امنیتی را رفع می‌کنند.

این دسته آپدیت ها حفره‌های امنیتی جدید شناسایی شده را می‌بندند تا هکرها نتوانند از طریق آن‌ها به اکانت یا دستگاه شما نفوذ کنند.

بنابراین اگر سیستم عامل یا نرم افزارهای روی کامپیوتر خود را به‌طور پیوسته آپدیت نکنید، شانس گرفتار شدن‌تان در دام هکرها را افزایش می‌دهید.

به همین جهت، دفعه بعدی که تصمیم گرفتید قید آپدیت نرم افزارها یا سیستم عامل خود را بزنید، به خطرات امنیتی که خود را در معرضشان قرار می‌دهید فکر کنید!

حتما پیش آمده که یک لینک را خیلی سریع و بدون مشاهده جزئیات باز کرده و به یک صفحه ایمن هدایت شده باشید! با این حال در نظر بگیرید که همیشه این‌قدر خوش‌شانس نیستید!

چیزی که شاید ندانید این است که بدافزارها ممکن است از طریق لینک‌ها یا پیوست ایمیل‌ها، رسانه‌های اجتماعی یا موارد این چنینی پخش شده و در کمین دستگاه شما قرار داشته باشند.

همچنین بسیاری لینک‌های با منبع نامشخص هم می‌توانند اطلاعات هویتی و مالی کاربران را به سرقت برده و بعدا از آن‌ها سوء استفاده کنند.

مثلا اگر نام کاربری و رمز عبور حساب بانکی خود را در یکی از وبسایت‌های کلاهبرداری (فیشینگ) وارد کنید، هکر طراح این سایت به‌راحتی می‌تواند نام کاربری و رمز دقیق شما را مشاهده کرده و اکانتتان را هدف قرار دهد.

به همین جهت ضروری است که همواره پیش از باز کردن یک وبسایت یا پیوست، از صحت و ایمنی آن مطمئن شوید.

برای انجام این کار می‌توانید از وبسایت‌های مختلف مخصوص چک کردن سلامت لینک‌ها استفاده کنید یا روش‌های مربوط به شناسایی ایمیل‌های اسپم را فرا بگیرید.

بی‌توجهی به این موارد می‌تواند اشتباه بزرگی باشد و هکرها را در یک قدمی کامپیوتر، گوشی یا تبلت شما قرار دهد.

در گذشته، پروتکل انتقال هایپرتکست (HTTP)، پروتکل استاندارد ارسال داده از طریق اینترنت بود. با این وجود امروزه بسیاری افراد ترجیح می‌دهند از پروتکل امن‌تر HTTPS برای این کار استفاده کنند.

دلیل این امر کاملا واضح است. پروتکل HTTPS داده‌های کاربران را رمزگذاری کرده و امنیت آن‌ها را به‌طور چشمگیری افزایش می‌دهد.

تشخیص استفاده از وبسایت‌های HTTP و HTTPS به‌راحتی از طریق مرورگر اینترنت شما قابل تشخیص است. در صورتی که در کنار نام یک وبسایت، نشان یک قفل بسته را مشاهده کردید، یعنی وبسایت مربوطه امن بوده و از پروتکل HTTPS استفاده می‌کند.

از سوی دیگر، مشاهده یک قفل باز در کنار نام وبسایت به معنی استفاده از پروتکل HTTP و ایمن نبودن آن است.

در صورتی که قصد دارید امنیت خود را حفظ کرده و داده‌های‌تان را به‌صورت رمزگذاری شده نگهداری کنید، همواره سعی کنید از پروتکل HTTPS استفاده کنید.

یکی دیگر از کارهای اشتباه کاربران که می تواند خطرات امنیتی فراوانی در پی داشته و هکرها را به یک قدمی دستگاه آن‌ها بکشاند، استفاده از حافظه‌های فلش اشتراکی بدون توجه به تدابیر امنیتی است.

فلش درایوها تنها محل نگهداری فایل‌های بی‌خطر نیستند و بعضا ممکن است نرم افزارهای مخرب، بدافزارها و یا ویروس‌ها را نیز در خود ذخیره داشته باشند.

به همین جهت هنگام اتصال یک فلش درایو به کامپیوتر خود باید نهایت دقت را داشته باشید. اشتراک گذاری یک فلش درایو با افرادی که نمی‌شناسید و یا استفاده از فلش دیگر افراد می‌تواند خطرات فراوانی برای دستگاه شما داشته باشد.

در این شرایط توصیه می‌شود یا از فلش نو متعلق به خودتان استفاده کنید یا با استفاده از یک برنامه آنتی ویروس بروز، فلش را پیش از این که باز کنید، اسکن نمایید.

احراز هویت دو یا چند عاملی می‌تواند امنیت دستگاه شما و فرآیند ورود به دستگاه را به‌طور قابل توجهی افزایش دهد.

مهم نیست که قصد وارد کردن نام کاربری یا پسورد اینستاگرام خود را دارید یا در صدد ورود به حساب بانکی خود هستید، می‌توانید با استفاده از روش‌های مختلف احراز هویت چند عاملی مانند اپلیکیشن مخصوص احراز هویت ( Authenticator ) یا هر قابلیت دیگر، یک لایه امنیتی به سیستم خود اضافه کرده و دسترسی هکر ها به مشخصاتتان را بسیار سخت‌تر کنید.

منظور از احراز هویت، تایید صحت ورود به یک سایت یا اپلیکیشن از طریق یک برنامه یا سرویس دیگر است. به عنوان مثال اگر قصد داشته باشید از طریق لپ تاپ خود به حساب بانکی‌تان دسترسی پیدا کنید، می‌توانید به کمک روش‌های مختلف احراز هویت، از طریق گوشی هوشمند خود ورودتان را تایید کنید.

همچنین تایید ورود به حساب اینستاگرام از طریق کدی که با ایمیل به شما ارسال شده نیز یکی دیگر از روش‌های احراز هویت است که می‌تواند امنیت شما را به‌طور قابل ملاحظه‌ای افزایش دهد.

این فرآیند تنها چند ثانیه به طول می‌انجامد؛ اما تاثیر فراوانی در حفظ امنیت اکانت شما و جلوگیری از دسترسی هکر ها به اطلاعاتتان خواهد داشت.

در بسیاری مواقع نمی‌توانیم برنامه مورد نظرمان را به‌راحتی در اینترنت پیدا کنیم یا نسخه مناسب برای پلتفرم مد نظرمان را دانلود نماییم.

در این شرایط بسیاری از ما به سراغ وبسایت‌های شخصی ثالث می‌رویم که بسیاری از آن‌ها به هیچ وجه امن نبوده و می‌توانند گوشی، لپ تاپ یا تبلت ما را در معرض حمله هکرها قرار دهند.

البته ظاهر اغلب این وبسایت‌ها بسیار عادی به نظر می‌رسد؛ به‌طوری که کاربر هرگز شک نمی‌کند که این سایت ممکن است حاوی فایل‌های آلوده باشد.

با این حال هکر ها با استفاده از این دسته وبسایت‌ها قادرند با انواع و اقسام خطرات امنیتی اعم از بدافزارها، تبلیغات، ویروس‌ها و… امنیت و آرامش شما را هدف گرفته و ضمن مختل کردن تجربه کاربری، انواع و اقسام اطلاعات شما را به سرقت برده و امنیتتان را تهدید کنند.

به همین جهت توصیه می‌کنیم تا جای ممکن به سراغ دانلود نرم افزار از این دسته وبسایت‌ها نرفته و همیشه سعی کنید از فروشگاه‌های معتبر نرم افزاری برای دانلود اپلیکیشن‌های مدنظرتان استفاده کنید.

با دوری از این اشتباه های پرتکرار می‌توانید خطر نفوذ هکر ها به گوشی هوشمند، تبلت یا لپ تاپ خود را به‌طور قابل ملاحظه‌ای کاهش دهید. بنابراین توصیه می‌کنیم تحت هر شرایطی، از هیچ‌یک از موارد گفته شده در این متن غافل نشوید.

منبع : ded9.com