در داستان امنیت سایبری، همه به دنبال هیولاهای پیچیده و ناشناخته میگردند؛ حملات روز-صفر (Zero-day) که از دل تاریکترین گوشههای اینترنت سر بر میآورند. اما چه میشود اگر به شما بگویم که بزرگترین اژدهایان، همانهایی هستند که سالهاست در زیرزمین قلعه ما زندگی میکنند و ما ترجیح دادهایم نادیدهشان بگیریم؟ واقعیت این است که برخی از غافلگیرکنندهترین تهدیدها، نه سلاحهای فوقپیشرفته، بلکه ترفندهایی هستند که درست جلوی چشم ما پنهان شدهاند و از عادتهای قدیمی و فناوریهای جدید به شیوههایی غیرمنتظره بهرهبرداری میکنند. در این مقاله، ما پرده از ۱۰ بینش غیرمنتظره از گزارشها و رویدادهای امنیتی اخیر برمیداریم و به زبانی ساده نشان میدهیم که تهدیدهای واقعی کجا در کمین نشستهاند.
۱. حمله تزریق SQL: هیولایی ۲۰ ساله که هنوز هم وبسایتها را میبلعد – SQL Injection – ابزار sqlmap
در حالی که همه ما نگران حملات آیندهنگرانه مبتنی بر هوش مصنوعی هستیم، یکی از قدیمیترین آسیبپذیریهای وب همچنان یکی از ویرانگرترینها باقی مانده است. این واقعیت تلخ، خطر نادیده گرفتن اصول پایهای امنیت را به ما یادآوری میکند. تزریق SQL یا همان (SQL Injection) که قدمتی بیش از دو دهه دارد، همچنان یک تهدید جدی برای زیرساختهای دیجیتال ما محسوب میشود.
بر اساس گزارشی از شرکت Akamai، حملات تزریق SQL هنوز هم نزدیک به دو سوم کل حملات به وباپلیکیشنها را تشکیل میدهند. این آمار تکاندهنده نشان میدهد که ما برای دههها درب ورودی خانههای دیجیتال خود را باز گذاشتهایم. موضوع زمانی نگرانکنندهتر میشود که بدانیم ابزارهایی مانند sqlmap فرآیند کشف و بهرهبرداری از این نقصها را کاملاً خودکار کردهاند. این ابزارها به مهاجمان اجازه میدهند تا به راحتی کل پایگاههای داده پر از اطلاعات ارزشمند را در اختیار بگیرند. این مانند دادن یک شاهکلید به رباتی قدرتمند است که میتواند در چند ثانیه تمام قفلها را امتحان کند.
“بذار خلاصه بگم 👇”
حملات SQL Injection که یک آسیبپذیری قدیمی است، هنوز هم بزرگترین تهدید برای وبسایتها به شمار میرود. ابزارهای خودکار این حملات را به شدت آسان کردهاند.
این تهدید قدیمی به ما نشان میدهد که گاهی بزرگترین خطرات، همانهایی هستند که فراموششان کردهایم؛ درست مانند دسته دیگری از تهدیدها که در ادامه به آن میپردازیم.
۲. هکرها استاد بازیافت هستند: آسیبپذیریهای قدیمی، سلاحهای جدید – بازگشت بدافزار Sality
این تصور رایج که هکرها همیشه از اکسپلویتهای جدید و پیچیده روز-صفر استفاده میکنند، کاملاً اشتباه است. در واقع، بسیاری از گروههای هکری استراتژی هوشمندانهتری دارند: بهرهبرداری از آسیبپذیریهای قدیمی و فراموششده. آنها میدانند که بسیاری از سازمانها سیستمهای خود را بهروزرسانی نمیکنند و این یک فرصت طلایی برای نفوذ است.
برای مثال، مشاهده شده که گروههای هکری چینی سرورهای IIS را که به درستی پیکربندی نشدهاند، با استفاده از باگهای قدیمی هدف قرار میدهند. همچنین، گزارش روند بدافزارها و آسیبپذیریهای نیمه اول سال ۲۰۲۴ از بازگشت بدافزار Sality خبر میدهد؛ یک باتنت که اولین بار در سال ۲۰۰۳ شناسایی شد. به نظر میرسد هکرها با بازیافت روشهای حمله قدیمی، بسیار “دوستدار محیط زیست” هستند! این دو مثال، یکی از دنیای سرورهای وب و دیگری از بدافزارهای قدیمی، یک استراتژی واحد را نشان میدهند: مهاجمان روی فراموشی و کندی سازمانها در بهروزرسانی سیستمهایشان شرطبندی میکنند و اغلب هم برنده میشوند.
“گروههای هکری چینی با بهرهبرداری از ابزارهای مشترک و آسیبپذیریهای قدیمی، تشخیص اینکه کدام گروه دقیقاً پشت یک حمله قرار دارد را دشوار میسازند.”
“بذار خلاصه بگم 👇”
بسیاری از حملات موفق سایبری از آسیبپذیریهای قدیمی و فراموششده استفاده میکنند، نه از اکسپلویتهای فوقپیشرفته. هکرها میدانند که بسیاری از سیستمها هنوز وصله نشدهاند.
از باگهای نرمافزاری قدیمی به سراغ یک ترفند مهندسی اجتماعی بسیار مدرن میرویم که روشهای سنتی دفاع را دور میزند.
۳. “کوییشینگ” (Quishing): وقتی کد QR به یک تله فیشینگ تبدیل میشود – فیشینگ با کد QR
سالهاست که به ما آموزش دادهاند “قبل از کلیک، لینک را بررسی کنید”. اما مهاجمان با هوشمندی این توصیه امنیتی کلیدی را دور زدهاند. آنها میدان نبرد را از صفحه نمایش کامپیوتر به دوربین تلفن همراه شما منتقل کردهاند. این روش جدید که “کوییشینگ” (ترکیبی از QR Code و Phishing) نام دارد، در حال تبدیل شدن به یک تهدید جدی است.
در این نوع حمله، مهاجمان ایمیلهایی حاوی یک فایل PDF ارسال میکنند که در آن یک کد QR قرار دارد. وقتی کاربر با تلفن همراه خود این کد را اسکن میکند، مستقیماً به یک وبسایت مخرب هدایت میشود. این روش به دو دلیل بسیار مؤثر است: اول اینکه فیلترهای امنیتی شبکه روی کامپیوتر را دور میزند و دوم اینکه بررسی دقیق یک URL در اپلیکیشن دوربین گوشی تقریباً غیرممکن است. برای مثال، در حملهای که کارمندان شرکت Sophos را هدف قرار داد، ایمیلها طوری طراحی شده بودند که به نظر برسد از اسکنر اداره ارسال شدهاند و حس فوریت و مشروعیت کاذب ایجاد میکردند. صفحه فیشینگ نهایی نیز برای سرقت رمز عبور و توکنهای احراز هویت چندعاملی (MFA) طراحی شده بود.
“بذار خلاصه بگم 👇”
کوییشینگ یک نوع فیشینگ با استفاده از کدهای QR است. چون شما کد را با گوشی اسکن میکنید، این روش میتواند فیلترهای امنیتی کامپیوتر شما را دور بزند و شما را به سایتهای خطرناک هدایت کند.
همانطور که مهاجمان ابزارهای امنیتی را دور میزنند، گاهی اوقات خود این ابزارها را نیز مستقیماً هدف قرار میدهند.
۴. ابزارهای امنیتی شما هم هدف هستند: وقتی نگهبان نیاز به نگهبان دارد – آسیبپذیری VPN و فایروال
سازمانها هزینههای هنگفتی برای خرید فایروالها و VPNها صرف میکنند و آنها را دژهای نفوذناپذیر شبکه خود میدانند. اما طنز تلخ ماجرا اینجاست که خود این ابزارهای امنیتی به اهداف اصلی مهاجمان تبدیل شدهاند. مهاجمان فقط به دنبال یک نقطه ورود نیستند؛ آنها به طور خاص “کلیدهای ورود به قلعه” را هدف قرار میدهند. یک VPN یا فایروال آسیبپذیر تنها دسترسی به یک سیستم را فراهم نمیکند، بلکه به مهاجم یک موقعیت ممتاز و قابل اعتماد برای مشاهده و کنترل کل شبکه میدهد و عملاً او را به مدیر شبکه تبدیل میکند.
تحقیقات نشان میدهد که VPNهای تجاری، مانند دستگاههای SonicWall، اغلب از آسیبپذیریهای حیاتی رنج میبرند. یک تحلیلگر امنیتی دریافته است که کیفیت کدنویسی در این دستگاهها به مراتب پایینتر از رقبا بوده و حاوی نقصهای پیشپاافتادهای مانند خطاهای حافظه (memory corruption) است. علاوه بر این، گزارش روند بدافزارها و آسیبپذیریهای نیمه اول سال ۲۰۲۴ تأیید میکند که ۱۷ درصد از آسیبپذیریهای مورد بهرهبرداری قرار گرفته، مربوط به تجهیزات امنیتی لبه شبکه و Gatewayها بودهاند؛ این رقم دقیقاً برابر با سهم محصولات مایکروسافت است. این یعنی نگهبانان دیجیتال ما به اندازه سیستمهایی که از آنها محافظت میکنند، هدف قرار میگیرند.
“بذار خلاصه بگم 👇”
فایروالها و VPNها، که برای محافظت از شما طراحی شدهاند، خودشان اهداف جذابی برای هکرها هستند. یک آسیبپذیری در این ابزارها میتواند کل شبکه را به خطر بیندازد.
از سختافزارهای آسیبپذیر، به سراغ هوش مصنوعی فریبندهای میرویم که مرز بین واقعیت و خیال را محو کرده است.
۵. مراقب مدیرعامل تقلبی باشید: کلاهبرداری ۲۵ میلیون دلاری با دیپفیک – کلاهبرداری دیپفیک
هوش مصنوعی در حال ایجاد انقلابی در مهندسی اجتماعی است. دیگر تهدیدها به ایمیلهای فیشینگ متنی محدود نمیشوند؛ ما وارد عصری شدهایم که در آن جعل صدا و تصویر به شکلی فوقالعاده واقعی امکانپذیر شده است. این فناوری که دیپفیک (Deepfake) نام دارد، در حال تبدیل شدن به ابزاری قدرتمند برای کلاهبرداریهای بزرگ است.
در یک نمونه تکاندهنده، یک کارمند بخش مالی در یک شرکت چندملیتی، پس از شرکت در یک جلسه ویدیویی در Zoom، فریب خورد و مبلغ ۲۵ میلیون دلار را به حساب مهاجمان منتقل کرد. او بعداً متوجه شد که تمام شرکتکنندگان در آن جلسه، از جمله مدیر ارشد مالی (CFO)، همگی دیپفیک بودهاند. این جعلهای پیچیده با استفاده از فناوریهایی مانند شبکههای مولد تخاصمی (GANs) و رمزگذارهای خودکار (Autoencoders) ساخته میشوند. امروزه ابزارهای عمومی در دسترس هستند که میتوانند تنها با چند دقیقه صدای ضبطشده، یک صدای جعلی کاملاً متقاعدکننده تولید کنند.
“بذار خلاصه بگم 👇”
هکرها با استفاده از هوش مصنوعی (دیپفیک) میتوانند ویدیو و صدای افراد را جعل کنند. این تکنولوژی برای کلاهبرداریهای بزرگ، مانند جعل هویت مدیران در تماسهای تصویری، استفاده میشود.
تهدیدات دیپفیک در تماسهای ویدیویی یک جنبه از خطرات مدرن است، اما دستگاههای شخصی ما نیز با تهدیدات پیچیدهتری روبرو هستند.
۶. جاسوسافزار در یک عکس: حمله روز-صفر به گوشیهای سامسونگ – جاسوسافزار LANDFALL
تصور ما از تهدیدات موبایل اغلب به اپلیکیشنهای بدافزاری محدود میشود، اما واقعیت بسیار پیچیدهتر است. حملات پیشرفته امروزی میتوانند از طریق فایلهای به ظاهر بیخطر، مانند یک عکس، یک آسیبپذیری روز-صفر را فعال کرده و کنترل کامل دستگاه شما را در دست بگیرند.
در کمپینی به نام LANDFALL، مهاجمان از یک آسیبپذیری روز-صفر (CVE-2024-21042) در کتابخانه پردازش تصویر سامسونگ به نام libimagecodec.quram.so بهرهبرداری کردند. روش حمله بسیار هوشمندانه بود: ارسال یک فایل عکس با فرمت DNG که به صورت مخرب دستکاری شده بود. نام فایلهای مخرب، مانند ‘IMG-20240723-WA0000.jpg’، قویاً نشان میدهد که این تصاویر از طریق واتساپ توزیع شدهاند، هرچند که اثبات قطعی این موضوع هنوز ممکن نیست. به محض پردازش این فایل توسط گوشی، جاسوسافزار اجرا میشد. این جاسوسافزار که “در سطح تجاری” توصیف شده، قابلیتهای نظارتی گستردهای داشت؛ از جمله ضبط صدا از میکروفون، ردیابی موقعیت مکانی، و سرقت عکسها و مخاطبین از گوشیهای پرچمدار سامسونگ مانند سریهای Galaxy S22، S23 و S24.
“بذار خلاصه بگم 👇”
یک آسیبپذیری روز-صفر در گوشیهای سامسونگ به هکرها اجازه داد تا از طریق یک فایل عکس، جاسوسافزار پیشرفتهای را نصب کنند. این نشان میدهد حتی باز کردن یک عکس هم میتواند خطرناک باشد.
جاسوسافزارها دادهها را میدزدند، اما باجافزارها آنها را به گروگان میگیرند؛ البته با روشهایی جدید و غیرمنتظره.
۷. باجافزارها تغییر مسیر دادهاند: دیگر خبری از قفلکردن فایلها نیست! – باجافزار بدون رمزگذاری
وقتی نام باجافزار (Ransomware) را میشنویم، اولین چیزی که به ذهنمان میرسد، رمزگذاری فایلها و درخواست پول برای بازگرداندن آنهاست. اما برخی از مؤثرترین گروههای باجافزاری در حال تغییر مدل کسبوکار خود هستند و تاکتیکهای کلاسیک را کنار گذاشتهاند.
بر اساس گزارشهای جدید، برخی از مهاجمان مرحله رمزگذاری فایلها را به طور کامل حذف کردهاند. در عوض، آنها تمام تمرکز خود را بر روی سرقت دادههای حساس میگذارند و سپس قربانی را تهدید میکنند که اگر باج پرداخت نشود، این اطلاعات را به صورت عمومی منتشر خواهند کرد. این رویکرد “سرقت و اخاذی” از نظر استراتژیک برای مهاجمان بسیار هوشمندانه است. از آنجایی که هیچ فرآیند رمزگذاری گستردهای روی فایلها انجام نمیشود، هشدارهای امنیتی مرتبط با این فعالیت فعال نمیشوند و حمله بسیار مخفیانهتر پیش میرود. این کار همچنین فرآیند حمله را سادهتر و سریعتر میکند.
“بذار خلاصه بگم 👇”
برخی از گروههای باجافزار دیگر فایلهای شما را رمزگذاری نمیکنند. آنها فقط اطلاعات حساس شما را میدزدند و تهدید به افشای عمومی آن میکنند تا از شما اخاذی کنند.
اینکه مهاجمان بر سرقت داده تمرکز کردهاند، وقتی با واقعیت تکاندهنده عملکرد ضعیف سیستمهای دفاعی ما روبرو میشویم، ترسناکتر هم میشود.
۸. توهم امنیت: ۹۷٪ سیستمهای دفاعی در جلوگیری از سرقت اطلاعات شکست میخورند – شکست سیستمهای دفاعی
سازمانها سرمایهگذاریهای کلانی در محصولات امنیتی میکنند، اما اغلب از اعتبارسنجی مداوم این ابزارها غافل میشوند. این غفلت، شکافی خطرناک بین امنیتِ درکشده و اثربخشیِ واقعی ایجاد میکند. نتایج یک مطالعه گسترده این واقعیت تلخ را به وضوح نشان میدهد.
بر اساس گزارش Blue Report 2024 از شرکت Picus Security، که حاصل تحلیل بیش از ۱۶۰ میلیون شبیهسازی حمله است، اثربخشی ابزارهای پیشگیری در برابر سرقت اطلاعات (Data Exfiltration) از ۹ درصد به تنها ۳ درصد کاهش یافته است. این یعنی در ۹۷ مورد از ۱۰۰ حمله شبیهسازی شده، سیستمهای امنیتی نتوانستند از خروج دادهها جلوگیری کنند. این آمار فاجعهبار است، به خصوص وقتی در نظر بگیریم که مهاجمان باجافزاری دقیقاً روی همین نقطه ضعف تمرکز کردهاند.
“بر اساس گزارش Blue Report 2024، اثربخشی پیشگیری از سرقت اطلاعات به تنها ۳ درصد کاهش یافته است. این بدان معناست که سازمانها دقیقاً در مرحلهای که گروههای باجافزار بیشترین بهرهبرداری را از آن میکنند، آسیبپذیر هستند.”
“بذار خلاصه بگم 👇”
تستهای واقعی نشان میدهند که اکثر ابزارهای امنیتی در جلوگیری از سرقت دادهها (مهمترین بخش حملات باجافزاری) بسیار ضعیف عمل میکنند. داشتن ابزار امنیتی به معنای امن بودن نیست.
شکستهای امنیتی داخلی یک طرف ماجراست و تهدیدات ژئوپلیتیکی خارجی، طرف دیگر آن.
۹. میدان نبرد جدید: وقتی سیاست جهانی به کامپیوتر شما میرسد – جنگ سایبری ژئوپلیتیکی – گروه هکری روسی Fancy Bear
درگیریهای ژئوپلیتیکی دیگر فقط به میدانهای نبرد فیزیکی محدود نمیشوند؛ آنها یک بعد سایبری مستقیم دارند که میتواند شرکتها و افراد عادی را تحت تأثیر قرار دهد. کسبوکار شما ممکن است نه به خاطر دادههای مالی، بلکه به عنوان یک هدف جانبی یا یک مهره استراتژیک در یک درگیری جهانی، هدف حمله قرار گیرد.
به عنوان مثال، گروه هکری روسی “Fancy Bear” دامنه اهداف خود را گسترش داده و اکنون شرکتهای لجستیک و فناوری را که در ارسال کمک به اوکراین نقش دارند، هدف قرار میدهد. این گروه حتی دوربینهای امنیتی نزدیک ایستگاههای قطار را هک میکند تا بتواند محمولهها را ردیابی کند. از سوی دیگر، آژانسهای دولتی آمریکا هشدار دادهاند که بازیگران مرتبط با ایران، زیرساختهای حیاتی ایالات متحده را هدف قرار میدهند. این حملات اغلب “اهداف فرصتطلبانه” را نشانه میگیرند؛ یعنی سیستمهایی که دارای نرمافزارهای وصلهنشده هستند و به عنوان راهی برای تلافیجویی در برابر رویدادهای ژئوپلیتیکی استفاده میشوند.
“بذار خلاصه بگم 👇”
حملات سایبری دولتی دیگر فقط به دولتها محدود نمیشوند. شرکتهای عادی، بهویژه آنهایی که در زنجیرههای تأمین بینالمللی نقش دارند، ممکن است به دلیل درگیریهای ژئوپلیتیکی هدف قرار گیرند.
در این چشمانداز جدید تهدیدات، عنصر انسانی همچنان نقش کلیدی را ایفا میکند، اما با چالشهایی کاملاً جدید.
۱۰. مهندسی اجتماعی تکامل یافته: از ایمیلهای فیشینگ تا تماسهای ویدیویی جعلی – تکامل مهندسی اجتماعی
“خطای انسانی” دیگر فقط به کلیک کردن روی یک لینک مشکوک خلاصه نمیشود. ما وارد دنیایی شدهایم که در آن دیدن و شنیدن دیگر به معنای باور کردن نیست. مهندسی اجتماعی به سطحی از پیچیدگی رسیده است که تشخیص واقعیت از جعل را تقریباً غیرممکن میکند.
این تکامل در چندین جبهه قابل مشاهده است. از یک سو، تهدید “کوییشینگ” با استفاده از کدهای QR، عادتهای روزمره ما را هدف قرار میدهد. از سوی دیگر، حمله دیپفیک به مدیر مالی که پیشتر به آن اشاره شد، نشان میدهد که چگونه هویت افراد میتواند به طور بینقص جعل شود، حتی در یک تماس ویدیویی. اهمیت این موضوع به قدری است که اکنون دورههای آموزشی تخصصی مانند “مدیریت ریسک انسانی” توسط مؤسسات معتبری چون SANS ارائه میشود تا سازمانها را برای مقابله با این تهدیدات آماده کنند. در این دوره جدید، یک درخواست فوری از طرف مدیر شما، حتی اگر در یک تماس ویدیویی چهره و صدای او را ببینید و بشنوید، ممکن است جعلی باشد. راستیآزمایی از طریق یک کانال ارتباطی جداگانه و مورد اعتماد، حیاتیتر از همیشه شده است.
“بذار خلاصه بگم 👇”
مهندسی اجتماعی از ایمیلهای ساده فراتر رفته و به جعل هویت با ویدیو و صدای دیپفیک رسیده است. دیگر نمیتوان به راحتی به آنچه میبینید و میشنوید اعتماد کرد.
اینها تنها چند نمونه از تغییرات غافلگیرکنندهای هستند که چشمانداز امنیت سایبری را شکل میدهند.
جمعبندی
چشمانداز تهدیدات سایبری امروز ترکیبی از خطرات قدیمی است که هرگز از بین نمیروند و تاکتیکهای جدیدی که اعتماد ما به فناوری مدرن را هدف قرار میدهند. از آسیبپذیریهای ۲۰ ساله گرفته تا جعل هویت با هوش مصنوعی، بزرگترین ریسکها اغلب در نقاطی نهفتهاند که کمتر انتظارشان را داریم. آگاهی از این روندهای غافلگیرکننده، اولین و مهمترین گام برای ایجاد یک دفاع مؤثرتر است. اکنون که با این تهدیدات پنهان آشنا شدید، زمان آن رسیده که استراتژیهای دفاعی خود را بازنگری کنید.
“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec