دنیای امنیت سایبری با سرعتی سرسامآور در حال حرکت است و گاهی دنبال کردن آن شبیه نوشیدن آب از شلنگ آتشنشانی است. اما نگران نباشید! ما اینجا هستیم تا این هیاهو را کنار بزنیم و ۱۰ مورد از غافلگیرکنندهترین و تأثیرگذارترین داستانهای امنیتی را که همین حالا در حال وقوع هستند، برای شما روشن کنیم. این داستانها پارادوکس عجیبی را به تصویر میکشند: از یک سو، حملات باستانی با چهرهای جدید و خطرناکتر بازگشتهاند و از سوی دیگر، هوش مصنوعی هم توسط مدافعان و هم مهاجمان به کار گرفته میشود. اینها فقط تیتر اخبار نیستند؛ بلکه تغییرات عمیقی هستند که بر پایه اعتماد ما به تکنولوژی بنا شدهاند و بر همه ما تأثیر میگذارند.
۱. مصاحبه شغلی بعدی شما ممکن است یک بدافزار باشد – کمپین GhostCall و کمپین GhostHire
مهندسی اجتماعی، هنر فریب انسانها، همیشه سنگ بنای حملات سایبری بوده است. اما مهاجمان امروزی دیگر به ایمیلهای فیشینگ ساده بسنده نمیکنند. آنها در حال اجرای کمپینهای چندمرحلهای و بسیار پیچیدهای هستند که ابتدا با صرف زمان و حوصله، اعتماد شما را جلب میکنند و سپس در لحظهای غیرمنتظره، ضربه نهایی را وارد میکنند.
بر اساس تحقیقات اخیر کسپرسکی، گروه هکری BlueNoroff که به عنوان زیرمجموعهای از گروه بدنام و تحت حمایت دولت لازاروس (Lazarus) شناخته میشود، در حال اجرای دو کمپین بسیار فریبنده به نامهای “GhostCall” و “GhostHire” است.
- کمپین GhostCall: در این روش، مهاجمان خود را به عنوان سرمایهگذار جا میزنند و از طریق پلتفرمهایی مانند تلگرام، مدیران اجرایی شرکتها را به یک جلسه جعلی در Zoom یا Teams دعوت میکنند. نکته شگفتانگیز ماجرا اینجاست که ویدیوهای شرکتکنندگان در این جلسات، دیپفیک (Deepfake) نیستند؛ بلکه ویدیوهای ضبطشده واقعی از قربانیان قبلی هستند که برای ایجاد حس مشروعیت، دوباره استفاده میشوند. در حین تماس، مهاجم به بهانه وجود مشکل در صدا، از هدف میخواهد یک اسکریپت مخرب را که در قالب یک “فایل بهروزرسانی SDK” پنهان شده، اجرا کند تا به اصطلاح مشکل برطرف شود.
- کمپین GhostHire: این کمپین توسعهدهندگان حوزه وب ۳ (Web3) را هدف قرار میدهد. مهاجمان در نقش یک استخدامکننده ظاهر میشوند و از توسعهدهنده میخواهند تا یک “آزمون مهارت” زمانبندیشده (مثلاً ۳۰ دقیقهای) را از یک مخزن (repository) آلوده در گیتهاب (GitHub) دانلود و اجرا کند. آنها با ایجاد فشار زمانی، قربانی را وادار میکنند تا با عجله و بدون بررسی دقیق، پروژه آلوده را روی سیستم خود اجرا کند.
بدافزارهای استفادهشده در این حملات بسیار پیچیده و چندمرحلهای هستند. به گفته کسپرسکی، این بدافزارها به صورت ماژولار و با زبانهای برنامهنویسی متنوعی مانند Rust، Nim و Go نوشته شدهاند تا شناسایی آنها دشوارتر شود.
بذار خلاصه بگم 👇 هکرها در حال ساخت مصاحبههای شغلی و جلسات سرمایهگذاری جعلی هستند و با استفاده از تاکتیکهای فوقالعاده فریبنده، افراد را به نصب بدافزار روی سیستمهایشان ترغیب میکنند.
در حالی که برخی هکرها به صورت شخصی و هدفمند عمل میکنند، برخی دیگر با ربودن دستگاههای روزمره، عملیات خود را در مقیاس صنعتی گسترش میدهند…
۲. باتنتها روتر شما را به شرکتهای هوش مصنوعی اجاره میدهند – باتنت Aisuru
باتنتها، شبکههایی از دستگاههای آلوده، معمولاً برای حملات مخرب DDoS شناخته میشوند. اما مدل کسبوکار آنها در حال تحول است و اکنون به سمت بازارهای جدید و سودآوری مانند صنعت هوش مصنوعی حرکت کردهاند تا از هر فرصتی برای کسب درآمد استفاده کنند.
برایان کربز در وبلاگ امنیتی خود گزارش میدهد که باتنت معروف Aisuru، که پیش از این با حملات DDoS رکوردشکن خود تیتر خبرها شده بود، اکنون مدل کسبوکار خود را تغییر داده است. این حملات به قدری عظیم بودند که به گفته متخصصان، باعث از کار افتادن فیزیکی کارتهای لاین روترهای اپراتورهای اینترنتی (ISP) میشدند. اما اکنون، این باتنت به جای حملات پرسروصدا، بیش از ۷۰۰,۰۰۰ دستگاه اینترنت اشیاء (IoT) آلوده خود (مانند روترها و دوربینهای خانگی) را به سرویسهای پروکسی مسکونی (Residential Proxy) اجاره میدهد.
اما چرا این موضوع اهمیت دارد؟ این سرویسهای پروکسی به طور گسترده برای پنهان کردن هویت مجرمان سایبری و اخیراً، برای جمعآوری تهاجمی داده (Data Scraping) توسط پروژههای هوش مصنوعی استفاده میشوند. تصور کنید یک شبکه ارواح غولپیکر وجود دارد که به رباتهای شرکتهای هوش مصنوعی اجازه میدهد تا از طریق اینترنت خانگی شما وبگردی کنند. این کار باعث میشود فعالیت آنها شبیه به کاربران عادی به نظر برسد و شناسایی و مسدود کردنشان تقریباً غیرممکن شود. این معضل به قدری جدی است که ردیت (Reddit) اخیراً از یکی از این سرویسها به نام Oxylabs به دلیل فعال کردن همین نوع جمعآوری داده شکایت کرده است.
مقیاس این تغییر بسیار بزرگ است. دادههای وبسایت spur.us (هرچند توسط شرکتها مورد مناقشه قرار گرفته) نشان میدهد که تعداد پروکسیهای موجود در ماههای اخیر رشد نجومی داشته است؛ رشدی که مستقیماً با نیاز سیریناپذیر شرکتهای هوش مصنوعی به داده مرتبط است.
بذار خلاصه بگم 👇 یک شبکه عظیم از دستگاههای خانگی هکشده، بیسروصدا به شرکتهای هوش مصنوعی اجاره داده میشود تا به آنها کمک کند بدون شناسایی شدن، دادهها را از سراسر اینترنت جمعآوری کنند.
این استفاده مجدد از روترها برای اهداف جدید نشان میدهد که چگونه زیرساختهای قدیمی میتوانند به سلاح تبدیل شوند. اما فقط سختافزارهای قدیمی نیستند که بازیافت میشوند؛ برخی از قدیمیترین روشهای حمله نیز در حال بازگشتی ترسناک هستند.
۳. حملهای با قدمت ۲۰ سال که از همیشه خطرناکتر است – NTLM Relay Attacks – احراز هویت Active Directory
در دنیای امنیت سایبری، تهدیدهای قدیمی همیشه از بین نمیروند؛ گاهی فقط منتظر شرایط مناسب میمانند تا خطرناکتر از همیشه بازگردند. حملات بازپخش NTLM یا (NTLM Relay Attacks) نمونه کلاسیک یک آسیبپذیری قدیمی است که هنوز در شبکههای مدرن امروزی پابرجاست.
محققان در SpecterOps هشدار میدهند که حملات NTLM، با وجود اینکه یک تکنیک شناختهشده و چند دههای است، “زندهتر از همیشه و شاید بدتر از هر زمان دیگری” است و یکی از “سادهترین راهها برای به خطر انداختن کامپیوترهای متصل به دامنه (Domain)” محسوب میشود.
این حمله شبیه به کار یک “دربان متقلب” است. مهاجم بین شما و سرور مینشیند و پیامهای احراز هویت شما را در زمان واقعی به سرور منتقل میکند. سرور که به این پیامها اعتماد دارد، یک جلسه معتبر برای شما باز میکند، اما در واقع این مهاجم است که از آن جلسه برای مقاصد خود سوءاستفاده میکند. ابزارهایی مانند Responder به مهاجمان اجازه میدهند تا این تلاشهای احراز هویت را در شبکه به راحتی شنود کنند.
نکته نگرانکننده این است که امروزه مهاجمان میتوانند این اعتبارنامههای رهگیریشده را به سرویسهای مختلفی مانند SMB (برای دسترسی به فایلها)، ADCS (برای سوءاستفاده از گواهیها، معروف به ESC8) و LDAP (برای دسترسی به دایرکتوری) ارسال کنند. این کار به آنها اجازه میدهد تا در شبکه به صورت جانبی حرکت کرده و به سرعت سطح دسترسی خود را افزایش دهند.
بذار خلاصه بگم 👇 یک نقص بسیار قدیمی در سیستم احراز هویت ویندوز، اکنون توسط هکرها بسیار مؤثرتر از گذشته برای حرکت در داخل شبکه و در اختیار گرفتن کامپیوترها استفاده میشود.
در حالی که مهاجمان از نقاط ضعف قدیمی سوءاستفاده میکنند، با اشتیاق در حال بهکارگیری جدیدترین فناوریها برای آسانتر کردن کار خود نیز هستند…
۴. هوش مصنوعی فقط دفاع نمیکند، بلکه به هکرها هم کمک میکند – AI-Targeted Cloaking
هوش مصنوعی مولد (Generative AI) در امنیت سایبری یک شمشیر دولبه است. در حالی که از آن به عنوان یک ابزار دفاعی انقلابی یاد میشود، مهاجمان نیز به طور خلاقانهای از آن برای تقویت عملیات خود استفاده میکنند. این سوءاستفاده یک سیر تکاملی دارد:
۱. تقویت فریبکاری (ساختن انسانهای جعلی): بر اساس گزارش کسپرسکی، گروه هکری BlueNoroff از هوش مصنوعی (بهطور خاص GPT-4o) برای بهبود تصاویر پروفایل شخصیتهای جعلی خود در کمپین “GhostCall” استفاده میکند تا آنها را واقعیتر جلوه دهد. کسپرسکی همچنین گمان میبرد که این گروه از هوش مصنوعی برای نوشتن اسکریپتهای مخرب نیز کمک میگیرد.
۲. مسموم کردن دانش (ساختن اطلاعات جعلی): طبق گزارش The Hacker News، در یک حمله جدید به نام “AI-Targeted Cloaking”، یک وبسایت محتوای متفاوتی را به خزندههای وب هوش مصنوعی نسبت به بازدیدکنندگان انسانی نشان میدهد. نتیجه این کار فاجعهبار است: مدلهای هوش مصنوعی مانند ChatGPT فریب میخورند و اطلاعات جعلی را به عنوان حقیقت ذکر میکنند و عملاً چاه دانش عمومی را مسموم میکنند.
۳. تغذیه زیرساخت حمله (ساختن موتورهای داده): همانطور که برایان کربز گزارش میدهد، کل اقتصاد مجرمانه پروکسیهای مسکونی که توسط باتنت Aisuru تغذیه میشود، به دلیل نیاز شدید شرکتهای هوش مصنوعی به جمعآوری داده در حال رونق است. در واقع، خود صنعت هوش مصنوعی به بزرگترین مشتری زیرساختهای مجرمانه تبدیل شده است.
این موارد نشان میدهد که هوش مصنوعی دیگر فقط یک ابزار دفاعی نیست، بلکه به یک سلاح قدرتمند در دستان مهاجمان نیز تبدیل شده است.
بذار خلاصه بگم 👇 هکرها از هوش مصنوعی برای ساخت پروفایلها و وبسایتهای جعلی متقاعدکنندهتر استفاده میکنند و حتی دستیارهای هوش مصنوعی را فریب میدهند تا اطلاعات نادرست منتشر کنند.
هوش مصنوعی تنها ابزار خودکاری نیست که مهاجمان استفاده میکنند؛ آنها همچنین در حال ساخت شبکههای رباتیک عظیمی روی پلتفرمهایی هستند که ما هر روز از آنها استفاده میکنیم.
۵. لایکهای ویدیوی یوتیوب شما ممکن است کار رباتهای بدافزاری باشد – شبکه ارواح یوتیوب – Lumma Stealer
سیگنالهای اعتماد در پلتفرمهای اجتماعی، مانند لایکها و نظرات، به طور سیستماتیک توسط مهاجمان دستکاری میشوند تا حس کاذبی از امنیت ایجاد کرده و قربانیان را به دام بیندازند. این تاکتیک نشان میدهد که چگونه مهاجمان از روانشناسی جمعی برای پیشبرد اهداف مخرب خود استفاده میکنند.
بر اساس تحقیقات Check Point Research که در Dark Reading گزارش شده، یک عملیات گسترده به نام “شبکه ارواح یوتیوب” (YouTube Ghost Network) در حال فعالیت است. این شبکه شامل حداقل ۳,۰۰۰ ویدیوی مخرب است که روی حسابهای یوتیوب هکشده بارگذاری شدهاند.
ساختار عملیاتی این شبکه به وضوح تعریف شده است:
- حسابهای ویدیویی (Video Accounts): این حسابها ویدیوهایی (عمدتاً درباره تقلب در بازیها و کرک نرمافزارها) را آپلود میکنند که حاوی لینکهای بدافزار در توضیحاتشان هستند.
- حسابهای پُست (Post Accounts): این حسابها پیامهایی را منتشر کرده و لینکهای دانلود را به اشتراک میگذارند.
- حسابهای تعاملی (Interact Accounts): این یک باتنت از حسابهای هکشده است که به طور خودکار ویدیوهای مخرب را لایک کرده و نظرات مثبت برای آنها ارسال میکنند تا معتبر و قابل اعتماد به نظر برسند.
بدافزار اصلی که از طریق این شبکه توزیع میشود، عمدتاً از نوع سارق اطلاعات (Infostealer) مانند Lumma و RedLine است. جالب اینجاست که همین نوع بدافزارها میتوانند اعتبارنامههای ابری را بدزدند که بعداً برای اجرای ابزارهایی مانند AzureHound (که در ادامه به آن میپردازیم) استفاده میشوند. طبق گزارش Dark Reading، کرکهای نرمافزار Adobe Photoshop یکی از طعمههای اصلی برای جذب قربانیان است.
بذار خلاصه بگم 👇 هکرها از هزاران حساب یوتیوب دزدیدهشده برای ارسال ویدیوهای حاوی بدافزار استفاده میکنند. سپس، حسابهای دزدیدهشده دیگر به طور خودکار آن ویدیوها را “لایک” کرده و برایشان کامنت میگذارند تا شما را فریب دهند که آنها امن هستند.
این سوءاستفاده از اعتماد، تنها به پلتفرمهای رسانههای اجتماعی محدود نمیشود؛ حتی ابزارهای خدمات مشتریان سازمانی نیز در حال تبدیل شدن به سلاحهایی برای آزار و اذیت هستند.
۶. میز کمک (Help Desk) شما میتواند به یک سلاح تبدیل شود – پیکربندی نادرست Zendesk
ابزارها و فرآیندهای تجاری که در ظاهر بیخطر به نظر میرسند، در صورت پیکربندی نادرست، میتوانند فرصتهای غیرمنتظرهای برای سوءاستفاده ایجاد کنند که از دید سیستمهای نظارت امنیتی سنتی پنهان میمانند.
گزارشی از Krebs on Security نشان میدهد که چگونه مجرمان سایبری در حال سوءاستفاده از یک ویژگی در پلتفرم خدمات مشتریان Zendesk برای اجرای حملات “بمب ایمیلی” (Email Bomb) هستند. این مشکل از آنجا ناشی میشود که Zendesk به هر کسی، حتی کاربران ناشناس، اجازه میدهد یک تیکت پشتیبانی ایجاد کند.
روش حمله بسیار ساده است: مهاجم یک تیکت پشتیبانی ایجاد میکند، اما در قسمت فرستنده، آدرس ایمیل قربانی را وارد کرده و در قسمت موضوع، یک پیام آزاردهنده یا مخرب مینویسد. از آنجایی که سیستم برای تأیید آدرس ایمیل فرستنده پیکربندی نشده است، پلتفرم Zendesk به طور خودکار یک ایمیل اطلاعرسانی با عنوان “تیکت شما ایجاد شد” را به قربانی ارسال میکند.
از آنجایی که صدها شرکت بزرگ (مانند The Washington Post، Discord و Tinder) از این پیکربندی نادرست استفاده میکنند، یک مهاجم میتواند صندوق ورودی یک فرد را با هزاران ایمیل که به نظر میرسد از برندهای معتبر مختلف ارسال شدهاند، پُر کند و اختلال شدیدی ایجاد نماید.
بذار خلاصه بگم 👇 یک نقص در نرمافزار میز کمک Zendesk به مهاجمان اجازه میدهد تا صندوق ورودی افراد را با هزاران ایمیل که به نظر میرسد از شرکتهای بزرگ ارسال شدهاند، پُر کنند.
این سوءاستفاده از Zendesk نشان میدهد که چگونه ابزارهای قابل اعتماد میتوانند به سلاح تبدیل شوند. اما وقتی این پیکربندیهای نادرست به جای یک ابزار خدماتی، در زیرساخت ابری یک شرکت اتفاق بیفتد، مهاجمان دیگر فقط یک صندوق ورودی را بمباران نمیکنند—آنها نقشهی کامل قلعه را به دست میآورند.
۷. اَبرِ “امن” شما: نقشهای باز برای هکرها – ابزار AzureHound
این یک تصور غلط رایج است که محیطهای ابری ذاتاً امن هستند. در واقعیت، مجوزهای پیچیده و پیکربندیهای نادرست مکرر، این محیطها را به یک معدن طلا برای مهاجمانی تبدیل میکند که در حال شناسایی و جمعآوری اطلاعات هستند.
با ترکیب یافتههای گزارش Unit 42 درباره ابزار AzureHound و وبلاگ Nudge Security درباره Google Workspace، تصویر واضحی از این خطرات به دست میآید:
- AzureHound (نقشهبرداری از محیط Azure): مهاجمان، از جمله گروههای تحت حمایت دولت مانند Curious Serpens (ایران) و Void Blizzard (روسیه)، از این ابزار متنباز و قانونی (بخشی از مجموعه BloodHound) برای شناسایی پس از نفوذ استفاده میکنند. این ابزار به آنها اجازه میدهد تا تمام اجزای یک محیط Azure/Entra ID—کاربران، گروهها، نقشها و مجوزها—را شمارش کرده و مسیرهایی برای افزایش سطح دسترسی پیدا کنند. ریسک اصلی این است که AzureHound میتواند با استفاده از اعتبارنامهها یا توکنهای دزدیدهشده، از خارج از شبکه نیز اجرا شود، زیرا APIهای Microsoft Graph و Azure REST به صورت خارجی در دسترس هستند.
- Google Workspace (درهای باز رایج): این موضوع به پیکربندیهای نادرست رایج در محیطهای ابری متصل میشود. مقالهی Nudge Security به نمونههای مشخصی اشاره میکند: اجازه اشتراکگذاری عمومی فایل در Google Drive (“هر کسی با لینک”)، عدم اجبار به استفاده از احراز هویت چندعاملی (MFA) برای همه کاربران، و عمومی گذاشتن تنظیمات Google Groups.
این وضعیت مانند این است که یک سارق، نقشه کامل یک ساختمان را به همراه محل نگهداری اشیاء قیمتی و لیستی از درهای قفلنشده پیدا کند. مهاجمان با این اطلاعات میتوانند حمله اصلی خود را با دقتی مرگبار طراحی و اجرا کنند.
بذار خلاصه بگم 👇 هکرها با استفاده از ابزارهای ویژهای، تمام محیطهای ابری شرکتها را نقشهبرداری کرده و تمام نقاط ضعف و پیکربندیهای نادرست را برای برنامهریزی حمله اصلی خود پیدا میکنند.
اغلب، ضعیفترین نقاط در جدیدترین فناوریهای ابری نیستند، بلکه در سیستمهای قدیمیای قرار دارند که همه آنها را فراموش کردهاند.
۸. بزرگترین تهدید امنیتی شما، نرمافزاری است که سالها پیش نصب کردهاید
در زیرزمین هر شرکتی، سرورهایی وجود دارند که گرد و غبار گرفتهاند و همه آنها را فراموش کردهاند—اما هکرها هرگز فراموش نمیکنند. این سیستمهای قدیمی، دفترچه خاطراتی از آسیبپذیریهای شناختهشده هستند که مهاجمان با اشتیاق آن را ورق میزنند. این مشکل با بودجههای محدود تشدید میشود، جایی که بهروزرسانیهای ضروری به تعویق میافتند و ریسک امنیتی را افزایش میدهند.
با ترکیب نکات وبلاگ Cisco Talos در مورد “امنیت سایبری با بودجه محدود” و مقاله “Industrial Cyber” در مورد امنیت OT (فناوری عملیاتی)، این ریسکها واضحتر میشوند:
- کاهش سطح حمله (نکات Cisco Talos): یکی از استراتژیهای کلیدی برای سیستمهای قدیمی، “کاهش سطح حمله” است. یک مثال قدرتمند، غیرفعال کردن افزونههای استفادهنشده است؛ مانند یک افزونه وردپرس رهاشده روی یک وبسرور که میتواند به یک در پشتی تبدیل شود. همچنین، تالوس توصیه میکند که با استفاده از اصول دفاع در عمق و اعتماد صفر (Zero Trust)، فرض کنیم که سیستمهای قدیمی قطعاً مورد نفوذ قرار خواهند گرفت و بر این اساس دفاع را طراحی کنیم.
- نقاط کور در محیطهای صنعتی (مقاله Industrial Cyber): این ریسک به محیطهای OT که مملو از سیستمهای قدیمی هستند نیز گسترش مییابد. این مقاله به “نقاط کور” خاصی مانند پروتکلهای ICS رمزنگارینشده (مانند Modbus) و نرمافزارهای قدیمی و آسیبپذیر مانند SMBv1، که توسط باجافزار WannaCry مورد سوءاستفاده قرار گرفت، اشاره میکند.
نکته اصلی این است که فرقی نمیکند با یک سرور IT قدیمی روبرو باشیم یا با سیستم کنترل یک کارخانه؛ ریسک یکسان است: نرمافزار پچنشده و بدون پشتیبانی، یک دعوتنامه باز برای مهاجمان است.
بذار خلاصه بگم 👇 نرمافزارها و سختافزارهای قدیمی و بهروزنشده در شبکههای شرکتها، ریسکهای امنیتی بزرگی هستند، زیرا دارای نقصهای شناختهشدهای هستند که هکرها به راحتی میتوانند از آنها سوءاستفاده کنند.
در حالی که نرمافزارهای قدیمی یک هدف قابل پیشبینی هستند، مهاجمان در حال یافتن راههای هوشمندانه و جدیدی برای غیرقابل شناسایی کردن بدافزارهای خود بر روی دستگاههای مدرن نیز هستند.
۹. بدافزار جدید اندروید برای فریب سیستمهای امنیتی، ادای انسانها را درمیآورد – بدافزار Herodotus
جنگ موش و گربه بین توسعهدهندگان بدافزار و نرمافزارهای امنیتی هرگز متوقف نمیشود. همانطور که مدافعان برای شناسایی حملات خودکار، تحلیلهای رفتاری را توسعه میدهند، مهاجمان نیز بدافزارهای خود را تکامل میدهند تا رفتار انسان را به شکلی متقاعدکنندهتر تقلید کنند.
بر اساس گزارشی از BleepingComputer، بدافزار اندرویدی جدیدی به نام “Herodotus” که به صورت بدافزار-به-عنوان-سرویس (MaaS) ارائه میشود، دارای یک ویژگی نوآورانه برای فرار از شناسایی است.
تاکتیک اصلی این بدافزار مکانیزم “انسانساز” (humanizer) آن است. زمانی که بدافزار نیاز دارد تا اعتبارنامههای دزدیدهشده را در یک اپلیکیشن بانکی یا ارز دیجیتال وارد کند، تأخیرهای زمانی تصادفی (بین ۰.۳ تا ۳ ثانیه) بین فشردن هر کلید ایجاد میکند. این کار باعث میشود که این عمل خودکار، شبیه به تایپ کردن یک انسان واقعی به نظر برسد و در نتیجه، سیستمهای ضد تقلب را که به دنبال سرعت تایپ غیرممکن و ریتمیک یک ربات هستند، دور بزند.
این بدافزار یک تروجان بانکی است که از صفحات جعلی روی اپلیکیشنهای اصلی (Overlay)، سرقت کدهای پیامکی و فیشینگ از طریق پیامک (smishing) برای انتشار و سرقت اطلاعات استفاده میکند.
بذار خلاصه بگم 👇 یک بدافزار جدید برای گوشیهای اندروید میتواند از شناسایی شدن فرار کند، زیرا رمزهای عبور را به آرامی و با مکث تایپ میکند، درست مانند یک انسان واقعی.
در حالی که برخی بدافزارها تظاهر به انسان بودن میکنند، اساسیترین تهدیدها گاهی میتوانند نرمافزار را به طور کامل دور زده و خود سختافزار را هدف قرار دهند.
۱۰. حتی تراشههای ‘فوق امن’ هم در برابر حملات فیزیکی آسیبپذیرند – حمله کانال جانبی TEE.Fail – آسیبپذیری تراشههای امنیتی Intel SGX و AMD SEV
محیطهای اجرایی مورد اعتماد (TEEs) مانند Intel SGX و AMD SEV، سنگ بنای محاسبات محرمانه مدرن هستند. آنها گاوصندوقهای دیجیتالی هستند که مستقیماً در داخل CPU ساخته شدهاند. اما چه اتفاقی میافتد اگر کسی بتواند به صورت فیزیکی به سیمهای متصل به حافظه دسترسی پیدا کند؟
بر اساس تحقیقی که در The Hacker News پوشش داده شده، محققان دانشگاهی یک حمله کانال جانبی (Side-Channel Attack) به نام “TEE.Fail” را توسعه دادهاند (حملهای که به جای بهرهبرداری از نقص نرمافزاری، از اطلاعات فیزیکی مانند مصرف برق یا ترافیک حافظه برای استخراج اسرار استفاده میکند). آنها با استفاده از تجهیزات الکترونیکی آماده و ارزانقیمت (با هزینه کمتر از ۱۰۰۰ دلار) توانستند ترافیک حافظه را در سرورهای مدرن DDR5 به صورت فیزیکی بررسی کنند.
این دسترسی فیزیکی به مهاجم اجازه میدهد تا کلیدهای رمزنگاری محرمانه را مستقیماً از پیشرفتهترین محفظههای امن اینتل و AMD استخراج کند. این کار عملاً مدل اعتماد محاسبات محرمانه را از پایه نابود میکند.
اما تکاندهندهترین بخش ماجرا پاسخ شرکتهای اینتل و AMD است: آنها اعلام کردهاند که هیچ برنامهای برای ارائه راهکار مقابلهای ندارند، زیرا حملات با بردار فیزیکی را “خارج از محدوده” مدلهای تهدید خود میدانند. این یک نتیجهگیری قدرتمند و برخلاف انتظار است که نشان میدهد حتی امنترین لایههای دیجیتال نیز در برابر دسترسی فیزیکی آسیبپذیر هستند و سازندگان آنها مسئولیتی در قبال آن نمیپذیرند.
بذار خلاصه بگم 👇 محققان نشان دادهاند که با دسترسی فیزیکی و تجهیزات ارزان، میتوانند کلیدهای محرمانه را از امنترین بخشهای تراشههای کامپیوتری مدرن بدزدند، و سازندگان تراشه میگویند این چیزی نیست که قصد اصلاح آن را داشته باشند.
از سختافزار گرفته تا خطای انسانی، چشمانداز تهدیدات یادآوری دائمی است که امنیت یک فرآیند است، نه یک مقصد.
نتیجهگیری
همانطور که دیدیم، تهدیدات امنیت سایبری از مکانهای غیرمنتظرهای سرچشمه میگیرند—از پروتکلهای قدیمی فراموششده، ابزارهای تجاری مورد اعتماد، و حتی سختافزاری که به امنیت آن اطمینان داریم. وجه مشترک تمام این داستانها، بهرهبرداری از اعتماد مفروض است؛ اعتماد به یک کارفرمای بالقوه، اعتماد به یک برند معتبر، اعتماد به یک تراشه “فوق امن” یا اعتماد به یک پروتکل قدیمی. این داستانها نشان میدهند که در دنیای امنیت، هیچچیز قطعی نیست.
“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec