امنیت

فناوری اطلاعات

December 31, 2023
14:34 یکشنبه، 10ام دیماه 1402
کد خبر: 156236

یکه‌تازی بدافزارها

منبع: پیوست

در ماهی که گذشت داده‌های تیم‌ تحقیقاتی شرکت Zimperium از وجود کمپین بدافزاری متمرکز برای ۲۰۰ اپلیکیشن‌های بانکی و کیف پول رمزارزی خبر داد. این کمپین بدافزاری که از سوی محققان Banker نام‌گذاری شده، کاربران موبایل‌بانک و صرافی‌های رمزارزی را هدف گرفته است. در تیرماه و مردادماه امسال نیز کمپین بدافزاری دیگری، اپلیکیشن‌های بانکی ایرانی را هدف قرار داده بود. به نظر می‌رسد این کمپین متمرکز در نبود ارتباط موثر نهادهای متولی امنیت بانکی کشور با نهادهای بین‌المللی امنیت، و بدون ترس از مسدودسازی یوارال‌ها (URL) از سوی نهادهای بین‌المللی به فیشینگ از کاربران ایرانی ادامه می‌دهد. در واقع، ارائه نشدن دی‌داس پروتکشن از سوی شرکت‌های خارجی و قطع ارتباط بین‌المللی در لایه امنیت شبکه و زیرساخت مالی، ایجاد کمپین‌هایی از این دست را به اتفاقی پرتکرار در این سال‌ها تبدیل کرده است. اتفاقی که قربانی اصلی آن کاربران این اپ‌ها هستند.

در کمپین اخیر بیش از ۲۰۰ اپلیکیشن شبیه‌سازی شده و جعلی، موسسات مالی در ایران و به طور متمرکزی کاربران گوشی‌های اندروید را هدف گرفته‌اند. شرکت Zimperium در گزارش خود از کشف تعداد زیادی اپلیکیشن جعلی و بدافزار خبر داده و توضیح داده یک کمپین بدافزار اندرویدی، بانک‌های ایرانی را هدف قرار داده و با گسترش و تکامل قابلیت‌های خود قصد فیشینگ دارد. در واقع، بنا بر این گزارش، این کمپین همچنان فعال بوده و تلاش دارد به سمت فیشینگ صرافی‌های رمزارزی نیز قدم بردارد. در گزارش شرکت Zimperium تاکید شده است که در گام نخست این کمپین چهار بانک سپه، شهر، ملت و تجارت و در گام بعدی چهار بانک‌ ملی، پاسارگاد، تجارت و بلوبانک هدف این بدافزار قرار گرفته‌اند. اگرچه داده‌های شرکت فعال در حوزه امنیت نشان از فعالیت این کمپین‌ها در چند ماه گذشته دارد، همچنان آماری از تعداد قربانیان این حملات از سوی پلیس فتا اعلام نشده است.

بانک ملی: ‌URLها در سطح بین‌المللی مسدود نمی‌شوند، فیشینگ ادامه دارد

مجید ترکمانی رئیس اداره کل شبکه و زیرساخت بانک ملی درباره ثبت اسم بانک ملی در اهداف کمپین بدافزاری می‌گوید: «این اتفاق تازه‌ای نیست و از قبل رواج داشته است. در واقع، هکرها با شبیه‌سازی اپلیکیشن‌های بانکی، و ارسال لینک آنها در پیام‌رسان‌هایی چون تلگرام، واتس‌اپ، بات‌ها و حتی بله، به مشتریان و اجرای آن از سوی مشتریان بانکی به اطلاعات گوشی آنها دسترسی پیدا می‌کنند و با مهندسی اجتماعی حساب مشتری را خالی می‌کنند. ما چندین بار از طریق روابط عمومی بانک به مشتریان اعلام کرده‌ایم که اپلیکشین‌ بام را از طریق سایت بانک ملی یا اپلیکیشن‌های معتبر دریافت و نصب کنند.»

مازیار وطنی معاون اداره کل شبکه و زیرساخت بانک ملی درباره آمار قربانیان لینک‌های فیشینگ توضیح می‌دهد: «آماری از سمت ما وجود ندارد چون در صورت این اتفاق مشتریان به ما مراجعه نمی‌کنند و بایستی به پلیس فتا بروند. این فرایند برای فیشینگ و هک حساب بانکی مشخص شده و شعبه تمرکز اسناد ما بیشتر در این زمینه درگیر است. آمار دقیق فیشینگ را پلیس فتا در اختیار دارد.»

وطنی درباره چگونگی مقابله با کمپین‌های بدافزاری می‌گوید: «ما در مواجهه با این کمپین‌ها هیچ کار خاصی جز اطلاع‌رسانی نمی‌توانیم انجام دهیم. چراکه یک گروه هکری به یاری هم می‌آیند و یک بک‌اند و نرم‌افزار ایجاد می‌کنند تا بتوانند حمله را انجام بدهند. موضوع این است که ما متوجه نمی‌شویم زیرا از قبل که نمی‌آیند ما را تهدید کنند. ما در این زمینه یک مقدار در کشور ضعیف هستیم. شرکت‌های بین‌المللی که در حوزه امنیت و بدافزار کار می‌کنند به شناسایی و گزارش‌دهی این کمپین‌ها می‌پردازند اما ما ارتباطی با آنها نداریم.»

معاون اداره کل شبکه و زیرساخت بانک ملی درباره شکست راهکارها در مواجهه با بدافزارها توضیح می‌دهد: «راهکارهای ما تا یک جایی جواب می‌دهد و به دلیل یکسری محدودیت‌های فنی و سیاسی در برخی مواقع جواب نمی‌دهد. ما در بانک ملی واحد اطلاعات تهدیدها داریم و با شناسایی لینک‌ها، ای‌پی‌ها و اپلیکیشن‌های آلوده در هماهنگی با نهادهایی چون پلیس فتا، افتای ریاست‌جمهوری و کاشف بانک مرکزی این یوارال (URL) مسدود می‌شوند تا تهدیدی برای مشتری ایجاد نشود. اما مشکل اینجاست که ما ارتباطی با دنیا نداریم و وقتی بخواهیم این یوارال‌ها را مسدود کنیم با سرعت بالا نمی‌توانیم به همه اعلام کنیم که این یوارال مسدود شود. ما تنها می‌توانیم به صورت داخلی این یوارال را ببندیم اما اگر مشتری از فیلترشکن استفاده کند با استفاده از آن لینک فیشینگ می‌شود. اینها مشکلاتی است که در ارتباط با مراکز بین‌المللی اقدام در زمینه امنیت بانکی داریم.»

وطنی به ناکامی انتخاب ایران اکسس در جلوگیری از این نوع حملات اشاره می‌کند: «ایران اکسس یک راه‌حل نیست زیرا ما مشتری‌هایی داریم که مرتب در خارج از کشور در رفت‌وآمد هستند و به اپ بانکی خود نیاز دارند. در سال جاری حدود 6 میلیون نفر به ترکیه رفته‌اند؛ با ایران اکسس عملاً سرویس را روی این مشتریان قطع کرده‌ایم.»

او ادامه می‌دهد: «دلیل ایران اکسس کردن برخی از سایت‌ها و اپ‌های بانکی به عنوان یک راه‌حل موقت، ارائه نشدن دی‌داس پروتکشن از سوی شرکت‌های بین المللی بود و هنوز هم نمی‌دهند. ما برای اینکه جلوی حملات را در آن بازه بگیریم ایران اکسس را در پیش گرفتیم. خوشبختانه زیرساخت تدبیری در این باره اندیشیده و دی‌داس پروتکشن داخلی را ارائه کرده است. بانک ملی در حدود یک ماه است که به این سرویس اضافه شده و به‌خوبی هم کار می‌کند.»

معاون اداره کل شبکه و زیرساخت بانک ملی درباره راهکار مقابله با بدافزارها می‌گوید: «تنها عامل بازدارنده در دنیا آموزش و آگاهی‌رسانی است. اما این آگاهی‌رسانی از طریق پیامک برای بانک‌ها هزینه بالایی دارد و موجب ناترازی بانک‌ها می‌شود. باید پذیرفت هدف فیشینگ سیستم‌ها و زیرساخت‌ها نیستند بلکه افراد و مشتری‌ها هستند. در این وضعیت تنها آگاهی‌رسانی می‌تواند راهکار مقابله با بدافزارها باشد. پلیس فتا عنوان می‌کند بودجه محدودی دارد و با توجه به تعرفه‌های صداوسیما نمی‌تواند به طور ویژه در این زمینه آگاهی‌رسانی کند. ما بانک‌ها نیز از طریق سایت خود با مشتریان ارتباط داریم و اطلاع‌رسانی از این طریق را پیش گرفته‌ایم.»

وطنی در آخر اشاره می‌کند که در موضوع اخیر پیامکی به مشتریان ندادیم چون موضوع مربوط به گذشته است و تنها از طریق سایت به مشتریان خود اطلاع‌رسانی کرده‌ایم.

بلوبانک: تاکنون اپلیکیشن جعلی با نام بلو مشاهده نشده است

بلوبانک یکی از اپلیکیشن‌هایی بود که نامش در گزارش کمپین بدافزاری آمده بود. بلوبانک به پیوست در این باره می‌گوید: «تمرکز بدافزارهایی که اخیراً در گزارش شرکت Zimperium قید شده استفاده از روش‌های مبتنی بر مهندسی اجتماعی است. شایان ذکر است تاکنون اپلیکیشن جعلی‌ای با عنوان اپلیکیشن بلو مشاهده نشده است. عمدتاً سرقت اطلاعات کارت بانکی از طریق وب‌سایت‌ها و درگاه‌های جعلی و اپلیکیشن‌های جعلی پرداخت در کنار آلوده شدن موبایل کاربر به بدافزارهایی که به پیامک‌های کاربران دسترسی دارند منتج به کلاهبرداری از کاربران می‌شود.»

این نئوبانک درباره راهکار مقابله با کمپین‌های بدافزاری عنوان می‌کند: «یکی از مهم‌ترین راه‌های مقابله با حملات فیشینگ و کلاهبرداری‌هایی که از این طریق انجام می‌شود آگاهی‌رسانی به مشتریان است. بلو از گذشته برنامه‌های مستمری در زمینه آگاهی‌رسانی به مشتریان داشته است، از طرفی مکانیسم‌های امنیتی به‌کاررفته در اپلیکیشن بلو، امکان سوءاستفاده از کاربران را کاهش می‌دهد. بدیهی است بدافزارها گسترده و مدام در حال پیشرفت‌اند، در صورتی که کاربران اطمینان داشته باشند که اپلیکیشن‌های بانکی خود را از یک منبع معتبر دریافت ‌کرده‌اند و از وارد کردن اطلاعات خود در درگاه‌های جعلی خودداری کنند، جای نگرانی وجود نخواهد داشت.»

اپلیکیشن بانکی آپ: این بدافزارها بیشتر کاربران را هدف قرار داده است

علی حیدری، معاون فنی سوپراپلیکیشن آپ، درباره وضعیت امنیت در این اپ بانکی توضیح می‌دهد: «در باب مسائل امنیتی چند نکته وجود دارد، یک اینکه ما در تمام فرایندهایمان از جمله توسعه سرویس‌ها و نرم‌افزارها موضوعات امنیتی را به‌جد مد نظر قرار داده‌ایم و آن را رعایت می‌کنیم. نکته بعد اینکه دستورالعمل‌های رگولاتورها را رعایت می‌کنیم و با آنها در ارتباطیم و امنیت را به بهترین وجه حفظ می‌کنیم.»

حیدری درباره قربانی شدن کاربران از طریق بدافزارها می‌گوید: «برای اینکه کاربران در دام این بدافزارها و فیشینگ نیفتند در مورد سوپراپلیکیشن آپ این نکته اساسی مهم است که کاربران آن را از منابع معتبر و رسمی مثل کافه‌بازار، مایکت و وب‌سایت آسان‌پرداخت دریافت کنند.»

او ادامه می‌دهد: «این نوع بدافزارها بیشتر کاربران را هدف قرار داده‌اند تا بتوانند از روش‌های مختلف به اطلاعات گوشی آنها دسترسی پیدا کنند، در صورتی که هدف شرکت‌ها و اپلیکیشن‌هایی که در حال خدمت‌رسانی هستند، این موضوع نیست.»

معاون فنی آپ درباره راهکار مقابله با بدافزارها می‌گوید: «در نتیجه کاربران هرگز هیچ اپلیکیشنی را از منابع نامعلوم مثل کانال‌های تلگرامی و سایت‌های غیرمعتبر دانلود نکنند و وارد سایت‌های ناشناخته نشوند، روی لینک‌های مشکوک کلیک نکنند و به موارد امنیتی که در رسانه‌ها گفته می‌شود توجه کنند‌.»

تکامل به سمت صرافی‌های رمزارزی

آخرین یافته‌های Zimperium نشان‌ می‌دهد با تکامل بدافزارها تهدیدات بیشتر خواهد شد. در این گزارش آمده است، این کمپین نه ‌تنها قصد دارد مشتریان بانک‌های بیشتری را هدف قرار دهد، بلکه کیف پول‌های رمزارزی را نیز هدف گرفته است. این بدافزارها «با گسترش ویژگی‌های مخرب خود قادر به استفاده از سرویس دسترس‌پذیری برای اعطای مجوزهای اضافی برای رهگیری پیامک‌ها، جلوگیری از حذف نصب و کلیک روی عناصر رابط کاربری هستند». در واقع، کمپین‌‌های بدافزاری گامی رو به جلو برداشته‌اند و امنیت کیف پول‌های رمزارزی را نیز در معرض تهدید قرار داده‌اند. با توجه به تعداد بالای کاربران صرافی‌های رمزارزی داخلی، با دو صرافی که نام‌شان در لیست گزینه‌های در معرض تهدید بدافزارها قرار داشت، گفت‌وگو کرده‌ایم.

صرافی رمزارزی تترلند: آمدن نام تترلند در خبر کمپین بدافزاری به معنی نفوذ نیست

آگاهی کاربران از چگونگی کارکرد بدافزارها و شناخت لینک‌ها، بات‌ها و اپلیکیشن‌های بانکی تنها راه‌حل موجود از نظر کارشناسان این حوزه برای کاهش حملات فیشینگ عنوان می‌شود. صرافی رمزارزی تترلند در واکنش به شناسایی کمپین بدافزاری یادشده به پیوست می‌گوید: «حمله فیشینگ از کم‌اطلاعی کاربر استفاده می‌کند و با ایجاد رابط کاربری جعلی اما کاملاً مشابه با اصلی، اطلاعات کاربر را به سرقت می‌برد. در این نوع حمله، سامانه جعل‌شده در معرض هک یا نفوذی قرار نگرفته و این دستگاه کاربر قربانی است که آلوده می‌شود.»

تترلند ادامه می‌دهد: «به همین خاطر ذکر شدن نام بانک‌ها و صرافی‌های مختلف از جمله تترلند در خبر فوق به معنی نفوذ به آنها نبوده و فقط به دلیل پرمخاطب بودن و وجود اطلاعات مالی گزینه‌های مناسبی برای جعل شدن و پهن کردن دام برای کاربران بوده است.»

این صرافی رمزارزی راهکار اصلی مقابله با حملات فیشینگ را اطلاع‌رسانی و بالا بردن سطح آگاهی کاربران می‌داند. تترلند درباره اقداماتش در مقابله با کمپین‌های بدافزاری توضیح می‌دهد: «از طرفی ما در تترلند با رصد کانال‌های مختلف که احتمال انتشار لینک‌های جعلی در آنها وجود دارد، گزارش‌شان را به پلیس فتا می‌دهیم. همچنین در تلاشیم با استفاده از اعتبار تترلند قربانی شدن کاربران کم‌اطلاع را به حداقل برسانیم.»

صرافی رمزارزی نوبیتکس: نگهداری دارایی‌ها به شکل کاملاً سرد تدابیر امنیتی نوبیتکس است

صرافی رمزارزی نوبیتکس به اقدامات خود در زمینه آگاهی‌رسانی به کاربران درباره بدافزارها می‌پردازد. نوبیتکس اعلام می‌کند: «همواره در کانال‌های مختلف و با استفاده از ظرفیت رسانه‌ها و شبکه‌های اجتماعی به کاربران توصیه کرده‌ایم که برای حفظ امنیت دارایی‌های دیجیتالی خود، اطلاعات هویتی و مالی‌شان را در اختیار دیگران قرار ندهند. ضمن اینکه در مورد آدرس صفحات رسمی نوبیتکس اطلاع‌رسانی شده و اقدامات لازم برای شناسایی سریع و مسدودسازی صفحات جعلی به اسم نوبیتکس، انجام می‌شود.»

این صرافی رمزارزی به ارائه دستورالعمل‌های خود برای جلوگیری از حملات فیشینگ و بدافزارها می‌پردازد: «کاربران نوبیتکس به محض اقدام برای ارتقای سطح کاربری و افزایش مبلغ واریز و برداشت، باید کد شناسایی دوعاملی را هم فعال کنند که این کار نیز افزایش امنیت حساب کاربران را تضمین می‌کند. برداشت رمزارزی فقط با کد شناسایی دوعاملی امکان‌پذیر است. همچنین در صورتی که از دستگاه‌های متفاوتی اقدام به ورود به حساب کاربری شود با ارسال ایمیل به کاربر اطلاع داده و برای حفظ امنیت کاربران به صورت موقت برداشت رمزارز مسدود می‌شود.»

آنها یکی از قابلیت‌های نوبیتکس را امکان ثبت دفتر آدرس رمزارزی می‌دانند. نوبیتکس در این باره می‌گوید: «به این معنی که کاربر با فعال کردن این قابلیت، تنها امکان برداشت به مقصد آدرس‌های ذخیره‌شده را خواهد داشت. نوبیتکس با ارائه یک مرورگر اختصاصی این امکان را فراهم کرده که کاربران ایرانی در فضایی امن و بدون اینکه ترافیک جست‌وجوهایشان در اختیار شرکت‌های خارجی قرار بگیرد در بازار رمزارزها فعالیت کنند.»

این صرافی رمزارزی درباره تدابیر امنیتی خود توضیح می‌دهد: «نگهداری دارایی‌ها به شکل کاملاً سرد یکی دیگر از تدابیر امنیتی نوبیتکس است. یعنی اگر تمام اکوسیستم صرافی هم هدف حمله قرار بگیرد، دارایی کاربران در کلدولت‌ها محفوظ می‌ماند. همچنین ارسال پیامک تایید برداشت به کاربران، اقدام دیگر نوبیتکس برای ارتقای امنیت حساب کاربری است. ضمن اینکه نوبیتکس برای افزایش امنیت حساب به صورت تصادفی تماس تصویری را هم در دستور کار قرار می‌دهد.»

قربانیان خاموش

چنان‌که گفته شد، در سال‌های اخیر هرچند وقت یک بار کمپین‌های جعل اپلیکیشن‌های بانکی و فیشینگ، قربانیان تازه‌ای می‌گیرند. بسیاری معتقدند هدف فیشینگ و شبیه‌سازی اپلیکیشن‌های بانکی و مالی حمله به زیرساخت‌ها و درافتادن با دیوارهای امنیتی نیست بلکه فیشینگ قربانیان خود را از آسیب‌پذیرین بخش یک عملیات مالی آنلاین، انتخاب می‌کند. در واقع، مشتریان در زنجیره انتهایی امنیت قرار می‌گیرند و از این حیث قربانیان اصلی، انواع بدافزارها به‌ویژه بدافزارهای بانکی هستند.

مشتریان قربانیان خاموش بدافزارها و فیشینگ هستند که در سایه نبود آگاهی‌رسانی کافی سرمایه و داده‌های شخصی‌شان در پلک‌برهم زدنی به تاراج می‌رود. به نظر می‌رسد اگر نهادهای متولی امنیت و زیرساخت شبکه کشور، در سطح کاربران فکر چاره‌ای برای کمپین‌های متمرکز بدافزاری نباشند، بر تعداد هرروزه قربانیان افزوده خواهد شد.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.