حملات سایبری به اقداماتی گفته می شود که یک کامپیوتر و یا سیستم های اطلاعات رایانه ای را هدف قرار داده و به این ترتیب موجب تغییر، تخریب و یا دسترسی به داده ها و یا حتی موجب آسیب به شبکه می گردد. این حملات با دیجیتالی شدن مشاغل که اخیرا از محبوبیت زیادی برخوردار شده، افزایش می یابند. حملات سایبری انواع مختلفی دارد که در این مطلب به بیست نوع رایج آن اشاره خواهیم کرد.
حمله ی denial-of-service (DoS) به گونه ای طراحی شده که منابع یک سیستم تا حدی با درخواست های غیرمجاز روبرو می شوند که دیگر فرصتی برای پاسخگویی به درخواست های معتبر باقی نمی ماند. حمله ی distributed denial-of-service (DDoS) نیز از بُعد تلاش برای تخلیه ی منابع یک سیستم به حمله DoS شباهت دارد. با این تفاوت که حمله ی DDoS از تعداد بسیار فراوانی دستگاه های آلوده به بدافزار که تحت کنترل مهاجم سایبری است، نشات می گیرد. به این حمله، حمله ی محروم سازی از سرویس گفته می شود، زیرا به این دلیل که باید به همه درخواست ها پاسخ داده شود، منابع سایت توسط درخواست های فراوان و غیر مجاز، مصرف شده و دیگر امکان ارائه ی خدمات به کاربران واقعی سایت ممکن نمی باشد.
حملات DoS و DDoS با سایر حملات سایبری متفاوت هستند زیرا به مهاجمان اجازه می دهند به یک سیستم دسترسی پیدا کرده و یا دسترسی فعلی خود را گسترده تر کنند. گاها از این حملات، برای مقابله با رقبای تجاری نیز استفاده می شود. در برخی از موارد از حمله DoS به عنوان زمینه سازی برای سایر حملات استفاده می شود.
طی یک حمله موفقیت آمیز DoS و DDoS، سیستم قربانی به ناچار آفلاین می شود که در این صورت هم ممکن است در برابر سایر حملات سایبری، آسیب پذیر گردد.
یکی از راه های جلوگیری از حملات DoS، به کار گیری فایروال هایی است که قادر به شناسایی درخواست های معتبر و غیر معتبر می باشد. در این صورت درخواست هایی که از سایت های غیر معتبر ارسال شده، مسدود می گردند و ترافیک سایت، به صورت عادی و بدون وقفه، جریان می یابد.
نمونه ای از این حملات، در فوریه 2020 به Amazon Web Services (AWS) رخ داد.
این حمله سایبری زمانی رخ می دهد که مهاجم خود را بین دو فرد، شبکه و یا کامپیوتر قرار داده و سعی بر دسترسی به اطلاعات مبادله شده بین آن ها را دارد و از این جهت به آن man in the middle (حمله مرد میانی) گفته می شود. در واقع مهاجم در حال جاسوسی از تعامل دو طرف است.
در حمله MITM تعامل دو طرف کاملا طبیعی به نظر رسیده و هیچ مورد مشکوکی مشاهده نمی شود. اما در حقیقت، داده ها ابتدا به دست مهاجم و سپس به مقصد می رسد و یا توسط وی تغییر می کند.
بهترین روش برای جلوگیری از حملات MITM، به کارگیری رمزنگاری های پیشرفته بر روی اکسس پوینت ها و همچنین استفاده از Virtual Private Network (VPN) می باشد.
در حملات فیشینگ، هکرها اقدام به ارسال ایمیل هایی به ظاهر معتبر و از طرف منابعی کاملا قانونی و مورد اعتماد نموده و در تلاش برای دستیابی به دیتا می باشند.
برای اجرای این حمله، یک لینک توسط مهاجم ارسال می شود که قربانی را به وب سایتی جهت دانلود بدافزار هدایت می کند. در بسیاری از موارد، هیچ مورد مشکوکی مشاهده نمی شود و روند حمله با موفقیت به پایان می رسد و گاها مهاجم به سراغ افراد دیگر سازمان می رود.
با آگاهی و شناخت نسبت به ایمیل ها، به خصوص مواردی که حاوی لینک هستند، می توان مانع از حملات phishing شد. توصیه می شود به عناوین ایمیل و پارامترهای reply to و return path توجه شود، آن ها باید به همان دامنه ای که ارسال شده، کانکت شوند.
این حمله با هدف مدیران ارشد سازمان ها اجرا می شود. این افراد، اطلاعاتی را در اختیار دارند که برای هکرها بسیار ارزشمند می باشد؛ مانند اطلاعات ویژه در خصوص کسب و کار و نحوه عملکرد آن.
چنانچه قربانی، باج افزار مورد نظر هکرها را دانلود نماید، احتمالا مجبور می شود برای جلوگیری از انتشار خبر حمله و آسیب به برندینگ سازمان، مبلغ درخواستی به عنوان باج را پرداخت کند.
اقداماتی که برای جلوگیری از حمله ی phishing در پیش گرفته می شود، برای ممانعت از whale-phishing نیز تاثیرگذار است؛ مانند بررسی دقیق ایمیل ها و ضمایم آنها و همچنین لینک های ارسالی.
این حمله از phishing پیشرفته تر بوده و هدف آن گروه ها و یا افراد خاصی است. از آنجا که پیام ارسالی توسط مهاجم کاملا قانونی و معتبر به نظر می رسد، تشخیص این حمله بسیار دشوار می باشد.
غالبا در حملات spear-phishing از ایمیل های جعلی استفاده می شود و این طور به نظر می رسد که از طرف یک فرد یا سازمان آشنا ارسال شده. حتی ممکن است برای فریب کاربر، یک وب سایت معتبر، شبیه سازی شود.
برای جلوگیری از این حمله، مشابه حمله فیشینگ معمولی باید نسبت به ایمیل ها و فرستنده آن ها و همچنین ضمائم شان، اطمینان حاصل کرد.
طی حملات باج افزاری، مهاجمان سایبری پس از دسترسی به اطلاعات، با تهدید به انتشار یا مسدود سازی داده ها یا سیستم های کامپیوتری، از قربانی درخواست باج نموده تا دوباره اطلاعات را به وی بازگرداند. هکرها پس از دریافت وجه، دستورالعملی را در خصوص نحوه کنترل مجدد سیستم به قربانی ارسال می کنند.
در این نوع تهدیدات، دانلودِ بدافزار یا از طریق وب سایت رخ می دهد و یا از طریق ضمیمه ایمیل. گاهی اوقات حملات باج افزاری، چندین کامپیوتر و یا یک سرور مرکزی را هدف قرار می دهند. در این حالت یک بدافزار، فایل های autorun را از یک سیستم به سیستم دیگر و از طریق شبکه ی داخلی و یا درایوهای BUS که چندین کامپیوتر را به هم متصل می کند، انتقال می دهد. و زمانی که رمزنگاری توسط مهاجمان سایبری آغاز می شود، به طور همزمان بر روی تمامی سیستم های آلوده، اجرا خواهد شد.
گاهی طراحی باج افزارها به گونه ای است که آنتی ویروس های قدیمی قادر به شناسایی آن ها نباشند. بنابراین توصیه می شود کاربران نسبت به سایت هایی که بازدید می کنند و لینک هایی که کلیک می کنند، آگاه باشند.
شایان ذکر است بسیاری از حملات باج افزاری را می توان با به کارگیری فایروال های نسل جدید فورتی گیت (NGFW) مسدود ساخت. این فایروال ها با ارائه قابلیت data packet inspection می توانند تهدیدات باج افزاری را شناسایی نمایند.
کشف رمز عبور برای مهاجمان سایبری، همواره یک هدف جذاب بوده و راه های مختلفی برای دستیابی به آن ها وجود دارد.
ممکن است یک مهاجم سایبری، با ردیابی تبادل اطلاعات شبکه، در تلاش برای دستیابی به پسورد رمزنگاری نشده باشد. حتی ممکن است از طریق مهندسی اجتماعی، قربانی را متقاعد به وارد کردن پسورد خود کند.
غالبا هکرها، روش brute-force را برای حدس زدن پسورها به کار می برند. در این روش از اطلاعات فردی و شغلی، برای دستیابی به پسورد استفاده می شود. بنابراین اطلاعاتی که در رسانه های اجتماعی به اشتراک گذاشته می شود، در این امر نقش دارد.
یکی دیگر از روش های کشف پسورد، dictionary attack می باشد. در این روش از کلمات و عبارت های رایج استفاده می شود؛ دقیقا مانند مواردی که در یک کتاب فرهنگ لغت لیست می شود.
بهترین روش مقابله با password attackها بر اساس تکنیک های dictionary و brute-force اعمال پالیسی lock-outاست تا دسترس به تجهیزات، وب سایت ها و یا اپلیکیشن ها به طور خودکار و پس از چند تلاش ناموفق برای دسترسی به پسورد، غیر فعال شود.
Structured Query Language (SQL) injection، تکنیکی رایج برای استفاده از وب سایت هایی است که برای ارائه خدمات خود به کاربران، به پایگاه داده ها وابسته هستند. در این روش هکرها با ایجاد کامندهای SQL بر روی دیتابیسِ یک وب سایت آسیب پذیر، دسترسی مورد نظر خود را پیدا می کنند.
در صورت موفقیت آمیز بودن حمله ی SQL injection، چندین اتفاق ممکن است رخ دهد؛ از جمله دسترسی به داده ها و همچنین تغییر و یا حذف آن ها. در ضمن پس از این که مهاجم، قادر به اجرای کد مورد نظر خود شد، می تواند کامند shut down را نیز اجرا نموده تا موجب مختل شدن پایگاه داده ها گردد.
برای مقابله با این حمله، بهتر است میزان دسترسی کاربران مختلف به پایگاه داده ها مشخص گردد.
با استفاده از حمله URL interpretation، مهاجمان سایبری برای دستیابی به داده های قربانی، اقدام به ایجاد و یا تغییر در آدرس های URL می کنند. به این حمله URL poisoning نیز گفته می شود.
برای اجرای حمله URL interpretation، یک هکر URLهایی را حدس می زند تا به دسترسی مدیر وب سایت برسد. زمانی که آن ها به پیج مورد نظر خود وارد می شوند، سایت را دستکاری نموده و یا به داده های مورد نظر خود دست پیدا می کنند.
به عنوان مثال، اگر هکری قصد وارد شدن به بخش ادمین یک سایت با نام GetYourKnowledgeOn.com را داشته باشد، عبارت http://getyourknowledgeon.com/admin را در بخش URL تایپ می کند. در این مرحله دسترسی مدیر سایت به وی داده می شود. در برخی از موارد نیز نام کاربری و پسورد مدیرسایت، ممکن است همان پیش فرض admin باشد که حدس زدن آن بسیار ساده است. گاهی نیز قبلا پسوردهای احتمالی توسط هکرها لیست شده است.
برای جلوگیری از حملات سایبری URL interpretation، توصیه می شود از روش احراز هویت چندعاملی و یا رمزهای عبور بسیار قوی استفاده شود.
مهاجمان سایبری با تغییر در سوابق DNS، ترافیک را به سمت یک وب سایت جعلی هدایت می کنند و قربانی نیز اطلاعات خود را در همان وب سایت وارد می کند. گاهی نیز هکرها به نام قربانی، اقدامات غیر قانونی انجام می دهند.
برای جلوگیری از حمله DNS Spoofing می بایست از به روز بودن سرورهای DNS اطمینان حاصل کرد.
یکی از زیرمجموعه های حملات MITM می باشد. در این روش، مهاجم سایبری، خود را بین یک کلاینت و سرور قرار می دهد. کامپیوتری که برای حمله مورد استفاده قرار می گیرد، آدرس IP خود را با آدرس آی پی کلاینت، جایگزین می کند و سرور نیز به session خود ادامه می دهد. با توجه به این که سرور از آدرس IP کلاینت برای احراز هویت خود استفاده می کند، این روش بسیار موثر بوده و مورد توجه مهاجمان سایبری قرار می گیرد. حتی اگر در مرحله ای از session، آدرسIP مهاجم مشخص شود، بر اساس احراز هویتی که انجام شده، سرور به کار خود ادامه می دهد و موردی را مشکوک نمی داند.
به منظور ممانعت از حملات session hijacking، بهتر است از یک V.PN برای دسترسی به سرورها استفاده شود. به این ترتیب، همه ی ارتباطات، رمزنگاری خواهند شد و مهاجم قادر به دسترسی به اطلاعات نخواهد بود.
مهاجم سعی دارد نام کاربری و پسورد کاربری که به سیستم مورد نظر دسترسی دارد را حدس بزند.
ممکن است این تکنیک، وقت گیر و دشوار به نظر برسد، اما مهاجمان سایبری غالبا از ربات ها برای این کار استفاده می کنند. آن ها لیستی از اطلاعات احتمالی ورود به سیستم تهیه کرده و در اختیار ربات قرار می دهند.
به منظور جلوگیری از حملات brute-force، استفاده از پالیسی lock-out توصیه می شود که پس از چند تلاش ناموفق، سیستم قفل خواهد شد.
Web Attack به حملاتی گفته می شوند که از آسیب پذیری های موجود در اپلیکیشن های تحت وب استفاده می کند. هر زمان که اطلاعاتی را در یک اپلیکیشن تحت وب وارد می کنید، در واقع دستوری را ایجاد می کنید که یک واکنش به دنبال خواهد داشت. به عنوان مثال، زمانی که به صورت آنلاین به حساب شخصی مبلغی را واریز می کنید، اطلاعات مورد نظر، ابتدا به حساب شما وارد شده، مبلغ را خارج نموده و آن ها را به حساب فرد دیگری واریز می کند. مهاجمان در جستجوی فرصت هایی هستند که در چارچوب این دسته از درخواست ها به نفع خود استفاده کنند.
برخی از رایج ترین web attackها شامل SQL injection و cross-site scripting (XSS) می گردند، که در ادامه به آن ها خواهیم پرداخت. علاوه بر موارد مذکور، از تکنیک cross-site request forgery (CSRF) نیز برای دستکاری پارامترها استفاده می شود. در یک حمله SCRF قربانی فریب خورده و کاری انجام می دهد که به نفع هکرهاست. به عنوان مثال، قربانی بر روی لینکی کلیک می کند که شامل کدهایی برای تغییر نام کاربری و پسورد جهت دسترسی به اپلیکیشن های تحت وب می باشد. در نتیجه مهاجم سایبری با در دست داشتن نام کاربری و پسوردی که خودش اعمال کرده، به عنوان یک کاربر قانونی وارد سیستم می شود.
دستکاری پارامترها شامل تغییر در پارامترهایی است توسط برنامه نویسان به عنوان اقدامات امنیتی برای برخی از عملکردهای خاص طراحی شده اند. اجرای عملکردها بستگی به آنچه که در پارامتر وارد می شود، دارد. یک هکر با تغییر در پارامترها می تواند اقدامات امنیتی را غیر فعال کند.
به منظور جلوگیری از web attack، بررسی و کنترل اپلیکیشن های تحت وب و اصلاح آن ها در صورت نیاز، ضروری است. یکی از راه های رفع آسیب پذیری ها بدون تاثیر منفی بر روی عملکرد اپلیکیشن های تحت وب، استفاده از توکن های CSRF می باشد. یک توکن بین مرورگر کاربر و اپلیکیشن تحت وب، مبادله می شود. و پیش از اجرای کامند، اعتبار توکن مورد بررسی قرار می گیرد. چنانچه تایید شود، کامند اجرا شده و در صورت عدم تایید، مسدود می گردد. در ضمن استفاده از کوکی های Same Site نیز یکی از راه های مقابله با این تهدید به شمار می رود.
