در اوایل ماه جولای گزارش شد که در حدود 2.3 میلیون آدرس بیت کوین در معرض خطر هک شدن قرار دارند. محاجمان از بدافزارای مخرب به نام clipboard hijackers استفاده می کنند که کلیپ بورد را وارد عمل می کند و قادر است آدرس های کیف پول های محاجمان را به جای آدرس کیف پول کپی شده، قرار دهد.
این نوع از حملات هکرها توسط کسپراسکای در نوامبر سال قبل پیش بینی شده بود اما تا به حال این نوع حملات انجام نشده بود. در حال حاضر این یکی از انواع حملات گسترده است که سرقت اطلاعات و یا پول کاربران را مورد هدف قرار داده.
به طور کلی حملات به حساب های شخصی و کیف پول ها 20 درصد از کل حملات مخرب این بدافزار را تشکیل می دهد. طبق گزارش منتشر شده توسط کسپراسکی بیش از 9 میلیون دلار اتریوم در طول سال گذشته از طریق بدافزارهای مهندسی شده به سرقت رفته است.
خلاصه ای از مشکلات
پورتال Bleeping Computer، که در زمینه بهبود و افزایش اطلاعات و سواد رایانه ای فعالیت می کند، در مورد اهمیت پیگیری حداقلی برخی از قوانین امنیتی برای ایجاد یک سطح حفاظتی کافی می گوید:
اکثر مشکلات فنی ناشی از عدم شناخت کافی کاربران از مفاهیم پایه و اساسی است که تمام مسائل رایانه را تحت تاثیر قرار می دهد. این مفاهیم شامل سخت افزار، فایل ها و پوشه ها، سیستم عامل ها، اینترنت و برنامه های کاربردی است.
بسیاری از متخصصان و کارشناسان ارزهای رمزنگاری با این دیدگاه موافق هستند. یکی از این متخصصان به نام آوریل اوهایون، سرمایه گذار و کارآفرین، در پستی می نویسد:
شما کنترل دارایی های خود را دارید، اما مسئول حفاظت از امنیت این دارایی ها نیز به عهده خود شماست. از آنجا که اغلب افراد کارشناس امنیتی نیستند، بنابراین در معرض خطر قرار دارند. من همیشه در اطرافم افرادی را می بینم که حتی اقدامات اولیه امنیتی را انجام نمی دهند.
به گفته لکس سوکولین، مدیر استراتژی تحقیقاتی Autonomous Research، هر ساله هزاران نفر از مردم قربانی سایت های کلاهبرداری و فیشینگ می شوند. این افراد تا بحال 200 میلیون دلار ارز رمزنگاری شده را برای کلاهبرداران ارسال کرده اند که هرگز بازگردانده نخواهد شد.
این موارد چه چیزی به ما می گوید؟ هکرهایی که به کیف پول های ارزهای رمزنگاری حمله می کنند از آسیب پذیری اصلی سیستم، یعنی بی توجهی و عدم آگاهی انسانی، استفاده می کنند. بیایید ببینیم هکرها چطور این کار را انجام می دهند و چگونه می توانیم از دارایی های خود در برابر این حملات محافظت کنیم.
250 میلیون قربانی احتمالی
طبق یک مطالعه انجام شده توسط شرکت آمریکایی Foley & Lardner نشان می دهد که 71 درصد از معامله گران و سرمایه گذاران بزرگ معتقدند که سرقت و کلاهبرداری ارزهای رمزنگاری به شدت روی بازار اثر منفی دارد. 31 درصد از شرکت کنندگان در نظر سنجی معتقدند که تهدید فعالیت هکرها در صنعت جهانی رمزنگاری بسیار بالاست.
کارشناسان سایت هکرنون داده های مربوط به حملات هکرها را در سال 2017 مورد برررسی و تجزیه و تحلیل قرار دادند. آنها این حملات را به سه بخش تقسیم کردند:
1) حملات انجام شده بر روی بلاک چین، صرافی های ارزهای رمزنگاری و ICO ها
2) انتشار نرم افزارها برای انجام استخراج پنهانی
3) حمله به کیف پول کاربران
اما به شکلی قابل تامل این مقاله منتشر شده توسط هکرنون، ظاهرا با استقبال زیادی روبرو نشد و هشدارهایی که به نظر می رسد برای کاربران ارزهای رمزنگاری به صورت آشکار و واضح بیان شده بود باید بارها و بارها تکرار شوند.
بر اساس تحقیقات انجام شده که در آن شرق آسیا در نظر گرفته نشده بود، 9 درصد اروپایی ها و 8 درصد آمریکایی ها در زمینه تجارت ارزهای رمزنگاری فعال هستند و 25 درصد دیگر قصد دارند به زودی وارد این عرصه شوند. بنابراین در حدود یک چهارم از یک میلیون نفر به زودی در دام فعالیت های هکرها خواهند افتاد.
1) برنامه های موجود در گوگل پلی و اَپ استور:
نکات جهت مقابله:
– برنامه های مختلف تلفن همراه را، در صورتی که خیلی ضروری نیستند، نصب نکنید.
– برای تمام برنامه های کاربردی خود کد شناسایی دوعاملی(2FA) را در گوشی های هوشمند فعال کنید.
– از لینک های برنامه های کاربردی که از سایت های معتبر دریافت می کنید، مطمئن شوید و آنها را بررسی کنید.
قربانیان هک اغلب صاحبان تلفن های هوشمند با سیستم عامل های اندروید هستند که کد شناسایی دو عاملی را استفاده نمی کنند. با این روش علاوه بر نام کاربری و رمزعبور، عامل دیگری نیز برای ورود کاربر به برنامه نیاز است. این شامل بخشی از یک اطلاعات است که باید فورا و بلافاصله قرار داده شود و مانند دستگاه های توکن فیزیکی عمل می کند. به دلیل سیستم عامل باز اندروید گوگل، بدیهی است که برای آلوده شدن به ویروس ها بستر آماده ای دارد و به همین دلیل نسبت به آیفون امنیت کمتری دارد. هکرها بعضی از برنامه های کاربردی مربوط به ارزهای رمزنگاری را بر روی گوگل پلی قرار می دهند. هنگامی که یک کاربر برنامه را نصب و راه اندازی می کند، برای تایید نیاز است که اطلاعات حساس حساب های خود را وارد کند و به این ترتیب هکرها به اطلاعات دست پیدا می کنند.
یکی از معروفترین هک ها به این شکل، مربوط به صرافی معروف آمریکایی پولونیکس بود، که به وسیله دانلود برنامه کاربردی موبایل که در گوگل پلی توسط هکرها قرار داده شده بود انجام شد، که مانند یک درگاه برای موبایل جهت انجام معاملات ارزهای رمزنگاری معروف عمل می کرد. تیم توسعه پولونیکس هیچ برنامه ای برای اندروید ایجاد نکرده است و در سایت آن هیچ لینکی برای برنامه های کاربردی موبایل وجود ندارد. طبق گفته لوکاس استفانکو، که تحلیلگر بدافزارها در ESET است، در حدود 5500 معامله قبل از حذف این بدافزار از گوگل پلی، انجام شده بود.
کاربران دستگاه های iOS نیز به نوبه خود، اغلب برنامه های خود را از اَپ استور دریافت می کنند که می تواند به برنامه های استخراج پنهانی آلوده باشند. اپل حتی مجبور شد قوانین را برای پذیرش برنامه های کاربردی در فروشگاه خود سخت تر کند تا بتواند به نحوی از انتشار چنین نرم افزاری جلوگیری کند. این نوع تخریب قابل قیاس با هک شدن کیف پول نیست و داستانی کاملا متفاوت دارد، زیرا در اینجا استخراج کننده تنها سرعت پردازش و عملکرد رایانه را کاهش می دهد.
2) ربات در اِسلک
نکات جهت مقابله:
– فعالیت این نوع ربات ها را برای توقف آنها گزارش دهید.
– رد کردن درخواست فعالیت ربات
– از کانال اسلک خود محافظت کنید. برای مثال با استفاده ازMetacert یا ربات امنیتی Webroot، نرم افزار آنتی ویروس اویرا یا حتی فعال کردن مرورگر ایمن گوگل.
از اواسط سال 2017 ربات های اسلیک با هدف سرقت ارزهای رمزنگاری شده، به سرعت به شکل برنامه های پیام رسان در حال رشد هستند. در اغلب موارد هکرها ربات را به گونه ای طراحی می کنند که در مورد وجود مشکلات در ارز رمزنگاری به کاربران هشدار می دهد. هدف این است که کاربر را مجبور کنند تا بر روی لینک کلیک کرده و کلید خصوصی خود را وارد نماید. با همان سرعتی که این ربات ها ظاهر شدند، توسط کاربران مسدود می شوند. با وجودی که سریعا به این نوع ربات ها واکنش داده می شود و اغلب هکرها مجبور به کناره گیری می شوند، اما گاهی موفق به دریافت پول می شوند.
بزرگترین حمله موفقیت آمیز توسط هکرها از طریق اسلک، مربوط به هک گروه Enigma بود. محاجمان از طریق استفاده از نام Enigma از طریق یک ربات اسلک موفق به سرقت 500 هزار دلار اتریوم شدند.
3) افزونه هایی برای معاملات ارزهای رمزنگاری شده
نکات جهت مقابله:
– استفاده از یک مرورگر جداگانه برای انجام عملیات مربوط به ارزهای رمزنگاری شده.
– استفاده از حالت ناشناس.
– هیچ یک از افزونه های رمزنگاری را دانلود نکنید.
– داشتن یک رایانه یا گوشی هوشمند جداگانه برای انجام معاملات رمزنگاری.
– دانلود یک آنتی ویروس و نصب و فعال کردن محافظت شبکه آن.
مرورگرهای اینترنتی پسوندی را برای شخصی سازی رابط های کاربری ارائه می دهند که برای راحتی کار بیشتر جهت کار با صرافی ها و کیف پول ها است. مسئله این نیست که زمانی که شما با اینترنت کار می کنید افزونه هرچیزی را که تایپ می کنید می خواند. اما این افزونه ها توسط جاوا اسکریپت توسعه می یابد که آنها را بسیار نسبت به حملات هکرها آسیب پذیر می کند. دلیل این امر آن است که اخیرا با افزایش محبوبیت وب 2.0، آژاکس و برنامه های کاربردی فراوان اینترنتی، جاوا اسکریپت و آسیب پذیر بودن آن در حال شیوع و گسترش است، حتی در سازمان ها و موسسات. علاوه بر این بسیاری از این برنامه ها می توانند جهت استخراج پنهانی استفاده شوند.
4) تایید توسط پیام کوتاه
نکات جهت مقابله:
– بخش انتقال یا ارسال تماس(divert) را در تلفن همراه خود خاموش کنید تا دسترسی هکرها به اطلاعات شما غیرممکن شود.
– از دریافت رمز عبور دوعاملی از طریق پیامک خودداری نمایید و به جای آن از نرم افزار شناسایی دوعاملی استفاده کنید.
بسیاری از کاربران از تایید رمز عبور از طریق پیامک استفاده می کنند و باید همواره تلفن همراه آنها نزدیکشان باشد. positive Technologies، که یک شرکت متخصص در زمینه امنیت سایبری است، نشان داد که به راحتی می توان جلوی ارسال پیامک حاوی تایید رمز عبور را گرفت و آن را عملا توسط پروتکل SS7(Signaling System 7) به سراسر جهان ارسال کرد. متخصصان قادرند پیام های نوشتاری را با استفاده از ابزار تحقیقاتی خود دریافت کنند، که از ضعف شبکه تلفن برای ردیابی پیام های نوشتاری در هنگام ارسال و دریافت استفاده می کند. یکی از این موارد با استفاده از حساب های مربوط به صرافی کوین بیس انجام شده بود که تمام کاربران این صرافی را شوکه کرد. در نگاه اول ممکن است آسیب پذیر بودن کوین بیس به نظر برسد، اما در واقع طبق اعلام positive Technologies مشکل از ضعف شبکه تلفن است. این تحقیقات ثابت می کند که هر سیستمی می تواند به طور مستقیم از طریق پیامک، حتی اگر از رمز عبور دو عاملی استفاده شود، به حساب شما دسترسی داشته باشد.
5) وای فای عمومی
نکات جهت مقابله:
– هرگز معاملات مربوط به ارزهای رمزنگاری را از طریق وای فای و اینترنت بی سیم عمومی انجام ندهید، حتی اگر از VPN استفاده می کنید.
– به طور منظم سیستم عامل را از طریق روتر خود به روزرسانی کنید. سازندگان سخت افزارها دائما به روزرسانی هایی را به منظور محافظت در برابر بازسازی کلید، منتشر می کنند.
در اکتبر سال گذشته در پروتکل WPA (دسترسی محافظت شده وای فای)، که از روترها استفاده می کند، یک آسیب پذیری غیرقابل برگشت یافت شد. پس از انجام یک حمله ابتدایی KRACK (یک حمله با بازسازی کلید)، دستگاه کاربر مجددا راه اندازی و به شبکه وای فای هکرها متصل می شود.
تمام اطلاعاتی که توسط کاربر داخل شبکه اینترنت دریافت و یا ارسال می شود، از جمله کلیدهای خصوصی کیف پول های رمزنگاری، در دسترس هکرها قرار می گیرد. این مشکل مخصوصا برای شبکه های عمومی وای فای که در مکان هایی که افراد زیادی حضور دارند، مثل ایستگاه های راه آهن و هتل ها، وجود دارد.
6) سایت های مشابه و فیشینگ
نکات جهت مقابله:
– هرگز وارد سایت های مرتبط با ارزهای رمزنگاری که بدون پروتکل HTPPS (پروتکل امن انتقال ابر متن)هستند، نشوید.
– هنگامی که از هر منبع مربوط به ارزهای رمزنگاری پیامی دریافت می کنید، لینک مربوطه را در نوار ابزار آدرس مرورگر خود کپی کرده و آن را با آدرس سایت اصلی مقایسه کنید.
– هنگام استفاده از مرورگر کروم، پسوند را سفارشی کنید، که آدرس زیرمنوها را نشان می دهد.
– اگر به مورد مشکوکی برخورد کردید، پنجره مربوطه را ببندید و ایمیل دریافت شده را از صندوق ایمیل خود پاک کنید.
این ها از روش های قدیمی هک هستند اما به نظر می رسد، که هنوز استفاده می شوند. محاجمان یک آدرس مشابه با آدرس دامنه سایت اصلی ایجاد می کنند که تنها در یک حرف اختلاف دارند. هدف استفاده از این روش، یعنی جایگزین کردن یک آدرس مشابه در قسمت آدرس مرورگر، این است که کاربران را به یک سایت جعلی و مشابه هدایت کنند و سپس آنها رمزعبور و یا کلید امنیتی را وارد کنند.
در مورد فیشینگ نیز هکرها یک ایمیل دقیقا مشابه ایمیل های سایت اصلی ارسال می کنند، اما در واقع قصد دارند کاربر را مجبور به کلیک کردن بر روی لینک ارسالی و وارد کردن اطلاعات شخصی خود کنند. بر طبق اعلام Chainalysis، هکرها با این روش 225 میلیون دلار از ارزهای رمزنگاری را به سرقت بردند.
استخراج پنهان
خبر خوب این که هکرها به تدریج تمایل خود را برای حملات گسترده و بی رحمانه به کیف پول ها از دست داده اند. این امر به این علت است که خدمات محافظت و مقابله در برابر این حملات در کنار آگاهی کاربران، افزایش یافته است. تمرکز هکرها اکنون بر روی استخراج پنهان قرار دارد.
طبق گفته شرکت مک آفی در سه ماهه اول سال 2018 در حدود 2.9 میلیون ویروس نرم افزاری برای استخراج پنهان ثبت شده است. این یک رشد 625 درصدی را نسبت به سه ماهه آخر سال 2017 نشان می دهد. این روش که cryptojacking نامیده می شود، سادگی آن باعث شده که هکرها روش های سنتی و مرسوم سرقت را رها کرده و به سراغ اجرای این روش برود.
اما خبر بد این که فعالیت هکرها به هیچ عنوان حتی ذره ای کم نشده است. کارشناسان Carbon Black، که در زمینه امنیت سایبری فعال هستند، نشان می دهد که در جولای سال 2018، در حدود 12000 پلت فرم تجاری در دارک وب ها وجود دارند که 34000 بدافزار را می فروشند. میانگین قیمت این بدافزارها جهت هک در حدود 224 دلار است.
اما این امر(استخراج پنهان) در رایانه ها چگونه اجرا می شود؟
در 27 ژوئن کاربران پیام های شکایتی را در Malwarebytes در مورد برنامه ای به نام All-Radio 4.27 Portable ارسال کردند. این برنامه به صورت ناشناس و خودکار در سیستم ها نصب می شد. وضعیت عدم امکان حذف آن این موضوع را پیچیده کرده بود. اگر چه برنامه اصلی این نرم افزار به نظر بی ضرر و محبوب می رسید، اما نسخه آن توسط هکرها اصلاح شده بود که کلیت این برنامه را نامطلوب می ساخت.
این بسته دارای یک برنامه استخراج پنهان است که تنها سرعت رایانه شما را کاهش می دهد. همانطور که گفته شد برنامه کلیپ بورد، هنگامی که کاربر آدرس را کپی می کند، این برنامه آدرس را جایگزین می کند. 2343286 کیف پول بیت کوین مستعد این نوع هک هستند. این اولین باری است که چنین پایگاه عظیمی از دارندگان ارزهای رمزنگاری شده مورد هدف قرار می گیرد. پس از جایگزینی اطلاعات، کاربر به صورت داوطلبانه ارز را به کیف پول هکر منتقل می کند. تنها راه محافظت از ارزها در برابر این روش آن است که کاربر آدرس وارده را مجددا به صورت کامل بررسی کند. ممکن است این روش خیلی راحت نباشد، اما روشی مطمئن و عادتی مفید می تواند باشد.
پس از بررسی قربانیان برنامه All-Radio 4.27 Portable، مشخص شد که نرم افزارهای مخرب به علت اقدامات نامناسب کاربران به رایانه های آنها منتقل شده است. همانطور که متخصصان Malwarebytes و Bleeping Computer در تحقیقات خود اعلام کردند، این افراد از نرم افزار و بازی های کرک شده و نیز فعال کننده های ویندوز مثل KMSpico استفاده کرده اند. بنابراین هکرها قربانیانی را انتخاب می کنند که به شکل آگاهانه قوانین کپی رایت و امنیتی را نقض می کنند.
پاتریک وردل، متخصص شناخته شده در زمینه بدافزار Mac، در وبلاگ خود می نویسد که بسیاری از ویروس هایی که کاربران معمولی را هدف قرار می دهند بسیار احمقانه و ابتدایی هستند. به همان اندازه قربانی این نوع حملات شدن نیز بسیار راحت است. بنابراین در پایان مشاوره ای از بیان والاس مشاور Google Small Business عنوان می شود:
قرار دادن رمزعبور مشکل، استفاده از آنتی ویروس ها و کدهای شناسایی چندعاملی از دارایی های رمزنگاری شما تنها در یک نقطه و محل محافظت می کنند. این ها اقدامات پیشگیرانه کلیدی و ساده می باشند.