بسمه تعالی

خبرنامه وکیل سایبری

آخرین اخبار روز حقوق سایبری و جرایم سایبری جهان را با وکیل سایبری دنبال کنید.

این خبرنامه زیرنظر مستقیم علیرضا طباطبایی وکیل متخصص حوزه جرایم سایبری آماده می شود.

31 خرداد 1402

خبر اول:

همه چیز در مورد حملات سازش ایمیل تجاری (BEC)

مبارزه با حملات سازش ایمیل تجاری (BEC) نیاز به هوشیاری و آگاهی دارد.

کلاهبرداری ایمیل تجاری در حال افزایش می باشد و حملات روز به روز بسیار پیچیده تر و موفق تر می شوند. در گزارش جنایات اینترنتی 2022، FBI به بیش از 21000 شکایت درمورد سازش ایمیل تجاری (BEC) اشاره کرده که معادل زیان تعدیل شده بیش از 2.7 بیلیون دلار می باشد. با این که حملات باج‌افزار «پر سر و صدا» هستند و توجه زیادی را به خود جلب می‌کنند اما حملات BEC دقیق تر و ماهرانه تر رفتار می کنند.

سازش ایمیل تجاری (BEC) یک بازی جلب اعتماد می باشد که حول محور اعتماد و طبیعت انسان طراحی شده است. عوامل بد از ابزارهای در دسترس برای بهبود مقیاس، معقول بودن و میزان موفقیت ایمیل های مخرب استفاده می کنند. این امر باعث می شود تا حملات BEC به سختی قابل مبارزه باشند. به جای حملات بدافزاری که از دستگاه‌های وصله‌نشده سوء استفاده می‌کنند، عاملان برای دریافت اطلاعات کاربری یک کاربر، اطلاعات مالی یا حتی فریب قربانی جهت انتقال پول به مهندسی اجتماعی متکی هستند. دفاع در برابر این خط حمله به ترکیبی از فناوری و آگاهی انسانی نیاز دارد.

سازش ایمیل تجاری (BEC) ، بخش در حال گسترش اقتصاد جرایم سایبری

افزایش BEC به دلیل رشد جرایم سایبری به عنوان یک سرویس (CaaS) می باشد. اپراتورهای BEC به دنبال مقیاس هستند، زیرا هر چه قربانیان بیشتری را هدف قرار دهند، شانس موفقیت آنها هم بیشتر می باشد و در واقع فرصتی برای پلتفرم‌های جرایم سایبری مانند BulletProftLink می باشد که می‌توانند کمپین‌های پست الکترونیکی مخرب در مقیاس صنعتی را در صورت تقاضا با یک سرویس سراسری شامل قالب ها، میزبانی و ارسال خودکار ایمیل، جمع اوری داده‌ها و گزارش‌ گیری ایجاد کنند. مشتریان این پلتفرم ها نه تنها اطلاعات کاربری بلکه آدرس IP قربانیان را هم در دسترس دارند.

بخش مهم کلاهبرداری

هنگامی که اپراتورها آدرس IP قربانیان خود را دارند، می توانند پروکسی های محلی ایجاد کنند که منابع را پنهان می کند. این امر باعث می‌شود که حتی اگر قربانی تحصیل کرده باشد و نسبت به این نوع حمله هوشیار باشد اما ایمیل کاملا قانع‌کننده‌ به نظر برسد. و از آنجایی که بسیاری از کسب و کارهای قانونی به طور منظم از خدمات IP/Proxy برای تحقیق و جستجوی مشتری استفاده می کنند، این موضوع موجب بیشتر شدن آسیب‌پذیری اطلاعات مورد هدف می شود و تعداد بیشتری از افراد هم در داخل سازمان‌ها و هم در خانه در معرض خطر قرار می‌گیرند.

تهدیدات جهانی، تأثیرات داخلی

مهاجمان BEC با دسترسی به اطلاعات آدرس محلی (مرتبط با قربانیان) به همراه نام کاربری و رمزعبور، قادرند تا هویت خود را پنهان کرده و از سیستم‌های امنیتی که برای تشخیص سفر غیرممکن و مشکوک استفاده می‌شود، عبور کنند. در نتیجه، آنها می‌توانند حملات دیگر را به راحتی انجام داده و از اطلاعات به دست آمده بهره‌برداری کنند. تحقیقات نشان می‌دهد که این روش بیشتر توسط افراد تهدیدآفرین در مناطق آسیا و شرق اروپا مورد استفاده قرار می‌گیرد.

تحلیلگر ارشد اطلاعات تهدیدات مایکروسافت، تیمی را رهبری می کند که بیش از 30 گروه جرایم سایبری را ردیابی می کند. وی می گوید که ویژگی اصلی همه آنها تلاش و پشتکار می باشد. مهندسی اجتماعی نیاز به صبر دارد، اما ایجاد روابط در طول زمان می تواند با وادار کردن قربانیان به کوتاه امدن و نادیده گرفتن هشدارهای امنیتی نتیجه دهد.

کاربران مورد هدف بر روی پیوندهای موجود در ایمیل‌های منابع بظاهر قابل اعتماد کلیک می‌کنند که منجر به دانلود بدافزار و جاسوس‌افزار، سرقت اطلاعات کاربری و به خطر افتادن داده ها می‌شود.

عوامل تهدید، چه نماینده دولت‌های ملی یا سازمان‌های جنایی، از BEC برای هدف قرار دادن مدیران ارشد و رهبران مالی در شرکت‌های تجاری برای دسترسی به سیستم‌ها یا سرقت اعتبار استفاده می‌کنند. این مسئله می تواند منجر به نفوذ IP یا انتقال پول شود که هر دو می تواند میلیون ها دلار یا بیشتر برای شرکت ها هزینه داشته باشد. آسیب درازمدت آن می تواند شامل سرقت هویت و آسیب به شهرت باشد که بازیابی هر دوی آنها زمان زیادی می برد.

حتی با وجود مجموعه‌ای از دشمنان پیچیده‌ و ماهر، سازمان‌ها می‌توانند برای محافظت از خود در برابر BEC اقدام کنند.

اقداماتی که می توانید انجام دهید:

ایمیل از بین نمی رود و برای کسب و کار مهم و اساسی تلقی می شود. تعداد آن هم به همراه تهدیدات هر روز در حال افزایش می باشد. مبارزه با BEC نیازمند هوشیاری و آگاهی می باشد. در اینجا به پنج اقدام کلیدی که شرکت ها می توانند انجام دهند، اشاره می کنیم:

از راه حل ایمن ایمیل استفاده کنید:

پلتفرم‌های ابری ایمیل امروزی از هوش مصنوعی و قابلیت‌های یادگیری ماشینی برای پیشبرد حفاظت از فیشینگ و شناسایی ارسال مشکوک استفاده می‌کنند. برنامه های ابری برای ایمیل و بهره وری به روز رسانی مداوم و خودکار نرم افزار و مدیریت متمرکز سیاست های امنیتی را ارائه می دهند.

تنظیمات امنیتی را به حداکثر برسانید:

سیستم ایمیل خود را طوری تنظیم کنید که پیام‌های ارسال شده از سوی آدرس‌های خارجی را علامت گذاری کند و هنگامی که فرستنده‌ها تأیید نشدند، اطلاع دهد.

فعال سازی احراز هویت قوی:

احراز هویت چند عاملی را فعال کنید. این اقدام بدون توجه به فضای آدرسی که مهاجمان استفاده می‌کنند، خطر از دست رفتن اطلاعات احراز هویت و تلاش‌های مداوم برای ورود را محدود می‌کند.

ایمن سازی هویت ها برای جلوگیری از حرکات جانبی:

حفاظت از هویت ها یک مسئله کلیدی برای مبارزه با BEC محسوب می شود. با اعتماد صفر یا Zero Trust و مدیریت هویت خودکار، دسترسی به برنامه‌ها و داده‌ها را کنترل کنید.

یک پلت فرم پرداخت ایمن اتخاذ کنید:

استفاده از یک پلتفرم پرداخت امن و معتبر می‌تواند از نقاط ضعف و قابلیت‌های تقلبی مرتبط با ارسال فاکتورهای ایمیلی جلوگیری کند. این نوع پلتفرم‌ها عموماً قابلیت‌های امنیتی جهت تأیید هویت و اعتبار سنجی پرداخت‌ها را دارند. به علاوه، آنها ابزارهای رمزنگاری و مکانیزم‌هایی را ارائه می‌دهند که از روند پرداخت محافظت کرده و از سرقت اطلاعات حساس جلوگیری می‌کنند.

· کاربران تان بخش مهمی از دفاع شما در برابر BEC محسوب می شوند.

· به آنها آموزش دهید تا بتوانند علائم هشدار دهنده مانند عدم تطابق در آدرس های دامنه و ایمیل را تشخیص دهند.

· به آنها یادآوری کنید که اگر فرستندگان نمی توانند هویت خود را تأیید کنند، مسدود کرده و گزارش دهند.

· از کارمندان خود بخواهید به خصوص برای تراکنش های مالی، جهت تأیید هویت تماس تلفنی برقرار کنند.

· به کارمندان خود در مورد خطر و هزینه های یک حمله موفق آگاهی دهید.

منبع خبر : csoonline

خبر دوم:

نقش قابل توجه تلگرام در جرایم سایبری جدید

دنیای جرایم سایبری به سرعت در حال حرکت می باشد. عوامل تهدید، گروه های باج افزار، توسعه دهندگان بدافزار و سایرین به طور فزاینده و سریع از دارک وب "سنتی" (سایت های Tor) خارج شده و وارد کانال های تلگرام غیرقانونی متخصص در جرایم سایبری می شوند.

چرا عوامل تهدید از Tor به تلگرام می روند؟

امروزه شاهد اکثریت فعالیت های جرایم سایبری هستیم که خارج از دارک وب سنتی و در برنامه های کاربردی رسانه های اجتماعی مدرن رخ می دهد.

دلایل بی‌شماری برای این تغییر وجود دارد، از جمله تجاری سازی جرایم سایبری، افزایش نظارت مجری قانون در سایت‌های Tor و کندی عمومی Tor.

عدم وجود کلاهبرداری های خروج (Exit Scams)

یکی از بزرگترین مزایا و معایب بازارهای سنتی دارک وب این است که این بازارها به عنوان یک مرجع عمل می کند.

در معاملات انجام شده در بازار، معمولاً یک دوره ۱۴ روزه برای تراکنش‌ها وجود دارد که در آن مقداری از رمزارز به عنوان وثیقه یا تضمین نگهداری می‌شود. این مقدار رمزارز به طور معمول توسط بازار نگهداری می‌شود تا اطمینان حاصل شود که هیچ کلاهبرداری یا تقلبی در معامله انجام نشده است.

در بسیاری از موارد صاحبان بازار ممکن است در هر لحظه میلیون‌ها دلار بصورت کریپتو نگهداری کنند که همین امر انگیزه‌ای قوی برای کلاهبرداری خروج و سرقت پول در اختیار ایجاد می‌کند.

امکانات رسانه های اجتماعی مدرن در مقایسه با سایت های Tor

تلگرام در زمینه های زیر دارای مزیت می باشد:

تلگرام سریع می باشد و دارای بسیاری از امکاناتی ست که اپلیکیشن‌های رسانه‌های اجتماعی مدرن دارند مانند ایموجی‌ها، چت‌های خصوصی مستقیم، اپلیکیشن تلفن و سایر امکانات خوب.

سطح مهارت فنی برای یافتن کانال‌های جرایم سایبری و خرید موفقیت‌آمیز حتی پایین‌تر از Tor می باشد و باعث ایجاد دموکراسی سازی داده‌های جرایم سایبری می‌شود.

کانال‌های زیادی وجود دارند که «نمونه‌هایی» رایگان از اعتبارنامه‌ها، لاگ‌های جاسوسی (Stealer logs)، داده‌های مربوط به نقض‌ها و سایر داده‌ها را ارائه می‌دهند که می‌توانند راهی آسان برای تأیید اثربخشی پیشنهادهای فروشندگان برای کاربران فراهم کنند.

ناشناسی ملموس

بر کسی پوشیده نیست که بازارها، انجمن‌ها و سایت‌های Tor به شدت توسط سازمان‌های مجری قانون نظارت می‌شوند. کاربران به طور کلی از این مسئله مطلع هستند که وقتی یک پست در انجمن یا یک آگهی در بازارها ارسال می‌کنند، احتمالاً توسط تیم‌های امنیت شرکت‌ها، دستگاه‌های انفورماتیکی نیروهای پلیس و بسیاری دیگر نظارت می‌شود.

در مقابل، تلگرام به دلیل وجود هزاران کانال متخصص در جرم‌های سایبری، عدم قابلیت ردیابی آدرسIP توسط متخصصان امنیت و نیروهای پلیس و ماهیت زودگذر پیام ها ، ناشناسی و پنهانیت را ارائه می دهد.

انواع کانال های تلگرام جرایم سایبری

در مقایسه با بازارهای قدیمی دارک وب، کانال های تلگرام تمایل دارند در یک نوع خاص از فعالیت های مجرمانه تخصص داشته باشند. یک بازار دارک وب ممکن است به مجرمان توانایی خرید مواد مخدر، اسلحه، شماره کارت اعتباری، لیست‌های ترکیبی( مجموعه‌ای از نام کاربری و رمزعبور‌هایی است که به صورت ترکیبی در یک لیست قرار می‌گیرند.) و ده ها کالای غیرقانونی دیگر را ارائه بدهد.

کانال‌های تلگرام به عنوان بسترهایی عمل می‌کنند که در آن محصولات یا خدمات خاصی ارائه می‌شود. این کانال‌ها به عنوان فروشگاه یا بازار مجازی، به نوعی به یک نوع کالا یا خدمت مشخص متمرکز می‌شوند. آن‌ها بر اساس محصولاتی که ارائه می‌دهند، قابل دسته‌بندی هستند.

دسته بندی هایی که ما شناسایی کرده ایم، جامع نیستند:

توزیع لاگ‌های جاسوسی

به معنای انتقال و توزیع داده‌های حاصل از دستگاه‌هایی است که تحت تأثیر بدافزارهای جاسوسی نرم‌افزاری قرار گرفته‌اند. این لاگ‌ها به طور معمول شامل انواع اطلاعات زیر هستند:

1. اثر انگشت مرورگر: اطلاعاتی که هویت منحصر به فرد مرورگر وب مورد استفاده در دستگاه آلوده را شناسایی می‌کند، از جمله نسخه مرورگر، افزونه‌های نصب شده و سایر جزئیات پیکربندی.

2. رمزهای عبور ذخیره شده در مرورگر: اطلاعات حاوی رمزهای عبوری که در مرورگر ذخیره شده‌اند.

3. اطلاعات کلیپ‌بورد: محتوایی که کاربران در کلیپ‌بورد دستگاه آلوده کپی کرده‌اند.

4. اطلاعات کارت اعتباری ذخیره شده در مرورگر: اطلاعات مرتبط با کارت‌های اعتباری که در مرورگر ذخیره شده‌اند.

5. اطلاعات ولت رمزارز: اطلاعات مربوط به ولت های رمزارزی مانند بیتکوین، اتریوم و سایر ارزهای رمزنگاری شده که در دستگاه آلوده ذخیره شده‌اند.

لاگ فردی › نشان دهنده داده های یک کامپیوتر می باشد. کانال های لاگ جاسوسی در تلگرام در دو نوع هستند:

کانال‌های Open Access Stealer Log

این کانال‌ها به طور منظم فایل‌هایی با حجم مگابایت تا گیگابایت را توزیع می‌کنند که شامل صدها، هزاران و گاهی اوقات صدها هزار لاگ جداگانه از نوع Stealer می باشند.

این کانال‌ها می‌توانند به عنوان یک نوع تبلیغات گسترده برای کانال‌های خصوصی و محدود دسترسی به لاگ‌ها در نظر گرفته شوند. این کانال‌ها نشان دهنده این هستند که فروشندگان می‌توانند نمونه‌هایی از لاگ‌های خود را ارائه دهند تا به خریداران نشان دهند که لاگ‌هایی که در اختیار دارند، کیفیت بالا و شامل اطلاعات ارزشمندی هستند. به این صورت، فروشندگان می‌توانند به عنوان معرفی کنندگان لاگ‌های خود عمل کرده و خریداران را قانع کنند که لاگ‌هایی که ارائه می‌دهند، مورد نیاز و ارزشمند هستند.

کانال های VIP Stealer Log

این کانال‌ها تعداد محدودی از عوامل تهدید را به لاگ‌های «پریمیوم» دسترسی می‌دهند که ظاهراً مستقیماً از سوی منبع می باشند و توسط سایر عوامل تغییر نمی کنند. به طور معمول قیمت دسترسی به این کانال ها بین 200 تا 400 دلار در ماه است که بصورت Monero پرداخت می شود.

ما فکر می کنیم که بسیاری از کارگزاران دسترسی اولیه، لاگ‌های ارسال شده در این کانال‌ها را بررسی می‌کنند تا گزارش‌های خاصی را که دسترسی شرکتی دارند، شناسایی کنند، دسترسی را تأیید، و سپس دسترسی را در انجمن‌های جرایم سایبری درجه یک مانند Exploit یا XSS دوباره بفروشند.

کلاهبرداری مالی

نوع دیگری از کانال هایی که معمولاً می بینیم کانال های کلاهبرداری مالی هستند که در آن اطلاعات حساب بانکی، کارت اعتباری و بازپرداخت به صورت انبوه ارائه می شود. برای مثال، این کانال‌ها معمولاً در زمینه های خاصی از جرم شناسی تخصصی می شوند.

· شماره های کارت اعتباری

· حساب های بانکی

· راهنمای بازپرداخت

· تعویض سیم کارت

· کلاهبرداری از طریق کارت هدیه

لیست های ترکیبی و اعتبارنامه ها

یکی دیگر از انواع رایج و مهم کانال برای نظارت، کانال هایی هستند که لیست های ترکیبی را ارائه می دهند. لیست های ترکیبی فهرست‌های «انتخاب ‌شده ای» از نام‌های کاربری و رمزهای عبور سرقت‌شده هستند، که گاهی همراه با نام‌ها، ایمیل‌ها و سایر اطلاعات شناسایی می باشند. مجرمان از آنها برای حمله به حساب کاربری استفاده می‌کنند.

لیست های ترکیبی را می توان بر اساس جغرافیا، صنعت، دسترسی به حساب و سایر ویژگی هایی که آنها را برای عوامل تهدید ارزشمند می سازد، ایجاد کرد.

در بسیاری از موارد نام کاربری، ایمیل و رمز عبور مستقیماً در چت تلگرام قرار می گیرد. در موارد دیگر، عوامل تهدید ممکن است فایل‌هایی را ارائه کنند که حاوی هزاران یا ده‌ها هزار نقاط داده ای می باشند (و اغلب با بدافزار همراه هستند).

هکتیویسم دولت ملی

آخرین دسته از کانال‌هایی که با تیم‌های امنیت سایبری هم مرتبط هستند، کانال‌های هکتیویسم دولت ملی هستند. کانال‌هایی مانند Bloodnet، Killnet، Noname47، Anonymous Sudan ، و سایر کانال‌ها به‌ویژه از آغاز جنگ در اوکراین محبوبیت زیادی پیدا کرده‌اند.

این کانال‌ها معمولاً اهداف خاصی مثلا زیرساخت‌های حیاتی در کشورهای NATO را انتخاب می‌کنند و تلاش می‌کنند تا وب‌سایت‌ها، سرویس‌های حیاتی DDoS، و اطلاعات افشا شده شرکت‌ها را مخدوش کنند.

منبع خبر : bleepingcomputer

خبر سوم:

تأثیر حملات جاسوسی مرتبط با چین بر روی صدها کاربر

یک شرکت امنیتی، هکرهای چینی را به انجام حملات اینترنتی علیه صدها سازمان دولتی و خصوصی متهم کرده است.

به گفته مقامات شرکت امنیت سایبری Mandiant، هکرها از یک آسیب‌پذیری در ابزار امنیتی محبوب ایمیل استفاده کردند که این حملات را ممکن می سازد.

شرکت Mandiant که متعلق به گوگل می باشد، اعلام کرد احتمال می دهد که دولت چین از این حملات حمایت کرده است. این شرکت افزود که نزدیک به یک سوم از کسانی که هدف قرار گرفتند، سازمان های دولتی از جمله وزارتخانه های خارجه بودند.

سخنگوی وزارت خارجه چین، گزارش Mandiant را «غیر محتمل و غیرحرفه‌ای» عنوان کرد. وی افزود که شرکت‌های آمریکایی همچنان در چارچوب اتهامات غلط دولت آمریکا علیه سایر کشورها، گزارش‌هایی تولید می‌کنند.

مدیر فنی Mandiant گفت: این حملات بزرگترین کمپین جاسوسی آنلاین مرتبط با چین از زمان حمله به یک محصول ایمیل مایکروسافت در اوایل سال 2021 بوده است. این هک ده ها هزار رایانه را در سراسر جهان تحت تأثیر قرار داده است.

این حمله از مشکلی در یک برنامه نرم افزاری امنیتی ایمیل ساخته شده توسط Barracuda Networks، یک شرکت در کالیفرنیا استفاده کرده است. Mandiant گفت که به شدت مشکوک است که این حمله شامل یک عملیات جاسوسی "در حمایت از جمهوری خلق چین" باشد. بر اساس گفته ها این فعالیت از اوایل اکتبر آغاز شده است.

شرکت Mandiant گفت هکرها ایمیل هایی حاوی پیوست های مضر را برای ورود به دستگاه ها و داده های سازمان های هدف ارسال کردند.

از این سازمان ها، 55 درصد از قاره آمریکا، بیست و دو درصد از منطقه آسیا و اقیانوسیه، و 24 درصد هم از اروپا، خاورمیانه و آفریقا بوده است. Mandiant گفت که اهداف شامل وزارت خارجه در جنوب شرقی آسیا، دفاتر تجارت خارجی و سازمان های آموزشی در تایوان و هنگ کنگ می باشد.

این واقعیت که اکثر حملات در قاره آمریکا اتفاق افتاده است به این دلیل می باشد که Barracuda بیشترین کاربران را در آن جا دارد.

در 6 ژوئن Barracuda اعلام کرد که برخی از سیستم های امنیتی ایمیلش در اوایل اکتبر هک شده است. عملیات هک آنقدر شدید بوده که Mandiant به کاربران پیشنهاد کرده که سیستم خود را به طور کامل تعویض کنند.

این شرکت گفت پس از کشف این مشکل در ماه مه، Barracuda نرم افزارهایی را برای محدود کردن آسیب و تعمیر سیستم منتشر کرد. اما این گروه هکر برنامه نویسی خود را تغییر داد تا بتواند به حملات خود ادامه دهد. این گروه که Mandiant آن را UNC4841 معرفی کرده شروع به هدف قرار دادن قربانیان در حداقل 16 کشور مختلف کرده است.

شرکت Mandiant گفت که این حملات در مناطقی که برای سیاست چین مهم هستند، از جمله منطقه آسیا و اقیانوسیه متمرکز شده و شامل سازمان ها و حساب های فردی می باشد.

به گفته Barracuda که حدود پنج درصد از سیستم‌های Email Security Gateway فعال در سراسر جهان شواهدی از حمله احتمالی را نشان می‌دهند. این شرکت گفت که سیستم های جایگزینی را بدون هیچ هزینه ای به خریداران آسیب دیده ارائه می دهد.

دولت ایالات متحده چین را به عنوان اصلی ترین تهدید جاسوسی آنلاین خود متهم کرده است. مقامات ایالات متحده به شواهدی اشاره کرده اند که نشان می دهد هکرهای چینی تحت حمایت دولت در گذشته داده های افراد و سازمان های خصوصی و دولتی را سرقت کرده اند.

مقامات آمریکایی گفته اند که حملات اینترنتی مشکوک مرتبط با چین، مجموعه ای از شرکت ها و آژانس های آمریکایی را هدف قرار داده است. این موارد شامل اداره مدیریت پرسنل دولت (OPM)، شرکت مراقبت های بهداشتی Anthem، Equifax و Marriott بوده است.

در اوایل سال جاری، مایکروسافت اعلام کرد هکرهای چینی تحت حمایت دولت، زیرساخت های مهم ایالات متحده را هدف قرار داده اند. این شرکت پیشنهاد کرد که چین ممکن است در حال آماده شدن برای حمله احتمالی به پیوندهای ارتباطی بین ایالات متحده و آسیا در طی بحران‌های آتی باشد.

چین بارها آمریکا را به انجام عملیات جاسوسی آنلاین علیه این کشور متهم کرده است.

منبع خبر : Associated Press