براساس پست منتشر شده در وبلاگ یکی از متخصصان امنیتی با نام Barkly، چالش جدید پیام‌های اسپم(Spam) به جای سوءاستفاده از فایل‌های Word یا سایر فایل‌های معمول، از فایل‌های iqy. استفاده می‌نماید. این فایل‌هاى ساده متنی به صورت پیش فرض با نرم‌افزار اکسل باز شده و برای دریافت اطلاعات از اینترنت مورد استفاده قرار می‌گیرند.  

این رویکرد می‌تواند برای عبور از نرم‌افزارهای آنتی ویروس و نصب تروجان‌های دسترسی از راه دور موسوم به FlawedAmmyy  و ایجاد کد نفوذ برای دسترسی از راه دور نرم‌افزارAmmyy Admin مورد استفاده قرار گیرد.

محققان می‌گویند اولین بار این مسئله توسط کاربری به آیدی @dvk01uk با اولین موج پیام‌های Spam که از این شیوه استفاده می‌نمود، شناسایی شده است. این موج در 25 می امسال به وقوع پیوست و متعاقب آن موج کوچکتری در 5 جوئن شناسایی شد. موج سوم نیز در 7 جوئن کشف گردید.

ایمیل‌هایی که ارسال شده‌اند محتوای خاصی نداشته و اساسا محتوای آن‌ها از انواع متداولی است که انتظار داریم. ایمیل‌ها در موج اول حملات دارای عنوان "صورتحساب پرداخت نشده" بود که در ظاهر، شخصی از طرف یک سازمان آن را ارسال نموده است.

وقتی این فایل‌ها باز می‌شوند سعی می‌کنند از آدرس URL که در اختیار دارند، داده دریافت نمایند. سپس نرم افزار اکسل از این آدرس داده‌هایی را دریافت می‌کند که این داده‌ها اسکریپت‌های PoweShell می‌باشند.

خوشبختانه نرم‌افزار آفیس به صورت پیش فرض محتواهای خارجی را مسدود می‌نماید و به کاربران هشدار می‌دهد. اما همیشه این شانس وجود دارد که کاربر ماکروها را فعال نماید. به محض اینکه این قابلیت فعال شود فایل iqy می‌تواند بدون ‌محدودیت اسکریپت‌های PowerShell  را دانلود نماید. مجوز دیگری نیز از قربانی خواسته می‌شود که در صورت موافقت با مجموعه‌ای از دانلودها حمله ادامه یافته و بدون محدودیت به بدافزار FlawedAmmyy  متصل می‌شود.

به گفته جیمز لین(James Lyne) مدیر تحقیقات و توسعه موسسه SANS، یک گام اساسی برای مقابله با گونه‌های جدید، امنیت لایه بندی شده با کنترل‌های چندگانه در زمان اجرا(Runtime) می‌باشد.

وی افزود: "میزان انتشار این بدافزار کمتر از حد متوسط است با این حال از فروشندگان محصولات می‌خواهیم سریعا سیاست‌ها و محصولات خود را به روزرسانی نمایند. سازمان‌ها نیز در صورتی که به این نوع از فایل‌ها(iqy) نیازی ندارند دسترسی به آن‌ها را مسدود نمایند."

نیل شفیلد (Niall Sheffield) کارشناس امنیتی می‌گوید: " این نوع حملات به نوع خاصی از متدها دلالت دارد که عوامل مخرب برای عبور از آنتی ویروس‌ها مورد استفاده قرار می‌دهند. استفاده از یک فایل‌فرمت فراموش شده که آنتی ویروس توانایی اسکن و تعامل با آن را ندارد، بهره برداری از آن و بارگذاری در حافظه و سپس حصول نتیجه مورد نظر".

پاول داکلین (Paul Ducklin) کارشناس ارشد تکنولوژی نیز در این باره گفت: "استفاده از فرمت IQY ممکن است در پیام‌هایSpam موضوع جدیدی باشد اما در حملات سایبری مسئله جدیدی نیست." وی ادامه داد: "بسیاری از آنتی ویروس‌ها از شما محافظت می‌کنند در حالی جزئیاتی از نحوه نفوذ مهاجمان و کلاهبرداران در اختیار قرار نمی‌دهند." – که آیا این تهدید از طریق لینک فیشینگ در یک ایمیل، از طریق فایل‌های پیوست با فرمت‌های مختلف، یک سایت آلوده و یا از طريق یک درایو USB رخ داده است.

به گزارش سایت هک رید؛ تاکنون به کرات در اخبار، به واکاوی و بررسی وضعیت امنیت احراز هویت 2 مرحله ‌ای پرداخته شده و در برخی مواقع، غیرقابل نفوذ بودن این احراز هویت‌ها در بعضی سرویس‌ها مطرح شده است. البته در همه‌ی موارد، با فرض این مسئله که کاربران از دستگاه تلفن همراه خود، به خوبی مراقبت می‌کنند، امنیت احراز هویت 2 مرحله‌ای تأیید شده است.

بیشتر برنامه های رایانه ای، برای افزایش امنیت خود، از تأیید 2 مرحله ای را پیشنهاد می کنند و باور دارند که امکان دور زدن آن وجود ندارد. اما هم اکنون هکرها به روشی دست یافتند که به آسانی از این شیوه حفاظتی از طریق حملات فیشینگ عبور می کنند.

در این زمینه، هکرها به کمک حملات فیشینگ و جانمایی بدافزار «KnowBe4» می توانند اطلاعات مربوط به تأیید 2 مرحله ای را سرقت کرده، فرآیند تشخیص هویت را دور بزنند.

شرکت «Mitnick» -که در زمینه هک و نفوذ فعالیت می نماید- طی یادداشتی اعلام کرد: بدافزار «KnowBe4»، بیش از 17 هزار سازمان و نهاد را تحت تأثیر قرار داده است. این بدافزار، به یاری حملات فیشینگ، وارد دستگاه های رایانه ای می شود.

روش پیشین -که برای دور زدن تشخیص هویت 2 مرحله ای ارائه شد- به این ترتیب بود که اطلاعات با بهره گیری از روش ‌های مهندسی اجتماعی و سایر یورش های سنتی، علیه گذرواژه ‌ها انجام می گرفت و داشتنی های زیر، مورد نیاز بودند:

•    شناسه و گذرواژه‌ی حساب کاربری قربانی
•    شماره‌ تلفن همراه قربانی که سرویس احراز هویت 2 مرحله‌ای روی آن تعریف شده است
•    سرویس جعل شماره‌ی همراه
•    شماره‌ی رایانامه صوتی به منظور دسترسی از راه دور

اما در روشی نوین، هکرها با فرستادن رایانامه های فیشینگ، بدافزار بالا را به سامانه کاربران وارد می کنند و مقدمات سرقت اطلاعات مربوط به تأیید هویت 2 مرحله ای را فراهم می نمایند.

افزونه آلوده فایرفاکس به نام FriarFox توسط هکرهای چینی برای جاسوسی از فعالان تبتی مورد استفاده قرار میگیرد. برای سالها چین متهم به جاسوسی از اقلیت ها، فعالین و خبرنگاران شده است اما با توجه به تحقیقات انجام پذیرفته، تاکتیک های جاسوسی این کشور فقط پیچیده تر و پیگیرانه تر شده است. در جدیدترین تحقیق انجام شده، محققان یک گروه هک مورد حمایت دولت چین را با حملات جاسوسی و فیشینگ علیه اقلیت ها و فعالان تبتی مرتبط دانسته اند.

هکرهای مورد حمایت دولت چین، از فعالان تبتی جاسوسی میکنند:

محققان شرکت پروف پرینت کمپین جدیدی را کشف کرده اند که در آن، تهدیدات مداوم بسیار پیشرفته ای با حمایت حزب کمونیست چین، نهادها، سازمان ها و فعالان تبتی را از طریق یک افزونه مخرب فایرفاکس هدف قرار میدهد.

این گروه و کمپین که تحت نام TA413 ردیابی شده است که قبلا در حملات علیه جامعه تبت نقش داشته است. در آن زمان، گروه فوق الذکر از کمپین هایی با موضوع و محوریت بیماری کووید-19 برای نشر و گسترش بدافزار Sepulcher استفاده کرده است. با این حال حتی در آن زمان نیز هدف اصلی این کار، انجام نظارت و جاسوسی مخالفان مدنی بوده است.

کمپین فیشینگ از مارس 2020 ادامه دارد:

طبق گزارش شرکت امنیتی مستقر در سانی وِیل، کارزارهای فیشینگ سطح پایین علیه تبتی ها، ابتدا در مارس 2020 کشف گردید و از آن زمان تاکنون ادامه دارد. عوامل تهدید در حال حاضر اقدام به ارائه افزونه ای سفارشی برای مرورگر فایرفاکس جهت به سرقت بردن حساب های جیمیل کاربران میکنند.

محققان پروف پرینت در گزارش خود اشاره کرده اند که: "عوامل تهدید کننده، افزونه مخرب سفارشی مرورگر موزیلا فایرفاکس را مطابق با منافع دولتی حزب کمونیست چین ارائه کرده اند تا دسترسی دسترسی و کنترل حساب های جیمیل کاربران را تسهیل نمایند".

تازه ترین جملات نیز در ژانویه و فوریه سال 2021 کشف شده اند. این افزونه مخرب “FriarFox” نام دارد.

در این گزارش توضیح داده شده است که: "ما این فعالیت را به TA413 نسبت میدهیم که علاوه بر افزونه مرورگر با نام FriarFox، در اوایل سال 2021 نیز مشاهده شده است که هر دو بدافزار Scanbox و Sepulcher را وارد نهادها و سازمانهای تبتی کرده است".

پیوندها بدافزار Sepulcher در کمپین های بدافزار Lucky Cat و Exile Rat که سازمان های تبتی را هدف قرار داده بود، ردیابی و پیدا شده اند.

بدافزارها از طریق ایمیل های Spear-phishing به مقصد رسیده اند:

در ظاهر به نظر میرسد که ایمیل های فیشینگ توسط دفتر دالایی لاما در هند و انجمن زنان تبت ارسال میشود. این ایمیل ها دارای یک لینک مخرب است که گیرنده را به یک بروزرسانی جعلی فلش پلیر هدایت میکند که دستور جاوا اسکریپت را برای اسکن دستگاه آلوده شده اجرا کرده و تصمیم میگیرد که محتوای FriarFox را در سیستم تحویل دهد.

پس از اجرا، بد افزار اجازه دسترسی به حساب جیمیل قربانی را میدهد. پس از ورود به حساب جیمیل، بدافزار میتواند ایمیل ها را پیدا کرده، بایگانی کند، بخواند، حذف کند، به عنوان هرزنامه معرفی کرده و به مخاطبین ارسال نماید.

علاوه بر این، میتواند تنظیمات حریم خصوصی را تغییر داده و به داده های کاربر در وب سایت های دیگر دسترسی پیدا کند. همچنین مهاجمان ممکن است بدافزار Scanbox را که یک فریم ورک مبتنی بر جاوا اسکریپت است، بارگیری کند که میتواند کی لاگینگ را انجام داده و داده ها را برای استفاده در حملات بعدی سرقت کند.

محققان پروف پرینت به این نتیجه رسیده اند که: "بر خلاف بسیاری از گروه های ATP، افشای عمومی کمپین ها، ابزارها و زیرساخت ها، منتج به تغییرات عملیاتی قابل توجه TA413 نشده است. بر این اساس، ما پیشبینی میکنیم که در آینده همچنان از روش عملی مشابهی که اعضای گسترده جوامع تبت را هدف قرار میدهد، بهره گرفته شود".

برای اولین بار نیست:

این یک واقعیت است که چین به جاسوسی از فعالان، اقلیت ها و کشورهای همسایه متهم شده است. در سال 2013، فعالان ایغور و تبتی با استفاده از بدافزار اندروید هدف قرار داده شدند. چند سال بعد و در سال 2018، محققان بدافزار اندروید HenBox را شناسایی کردند که از دستگاه های برند ژیائومی و گروه های اقلیت در چین جاسوسی میکرد.

در سال 2019، یک محقق امنیتی هلندی فاش کرد که دولت چین از پایگاه داده های شناسایی چهره، برای نظارت از راه دور بر جمعیت ایغور در منطقه سین کیانگ استفاده میکند.

جعل کردن یک اصطلاح کلی است که برای محتوا و موارد متفاوتی مورد استفاده قرار میگیرد. با اینکه خیلی از ما این اصطلاح به نحوهای مختلف به گوشمان خورده و یا شنیده ایم، اندک افرادی از ما لحظه ای را تامل کرده و با خود اندیشیده ایم که جعل واقعا چیست و چه معنایی میتواند داشته باشد.

جعل کردن میتواند معانی متفاوتی نه تنها در خود بلکه برای هر شخص را، در بر بگیرد. به همین خاطر زمانی که سعی میکنیم تا به یک استنباط اولیه از مفهوم جعل کردن برسیم، ابتدا باید به انواع مختلف جعل بپردازیم. در این مقاله ما میخواهیم تا سه نوع جعل کردن را مورد بررسی قرار دهیم:

1. تصاحب حساب (ATO)
2. افتتاح حساب (AO) که گاهی به آن برنامه های جعل (FRAP) نیز گفته میشود.
3. پرداخت یا جعل پرداخت

ورای درک اولیه از هر یک از این نوع جعل ها، ما میخواهیم اقداماتی که شرکت ها میتوانند برای کاهش محسوس ریسک و کاستن احتمال از دست رفتن اطلاعات اعمال کنند را بررسی نماییم.

تصاحب حساب یا ATO:

همانگونه که انتظار دارید، جعل ATO زمانی اتفاق می افتد که فرد جعل کننده یا جاعل کنترل یک حساب و شناسه قانونی که متعلق به شخص دیگری می باشد را در اختیار میگیرد. در حالیکه این کار از طرق مختلفی انجام میشود، در اینجا برخی موارد رایج آن اشاره شده است:

1. سرقت اعتبارنامه ها از طریق فیشینگ و سایت های فیشینگ
2. سرقت اعتبارنامه ها از طریق کدهای آلوده (مانند بدافزارهای Keylogging)
3. جعل Session و Man-in-the-Middle

با توجه به حجم اعتبارنامه های سرقت شده و میزان سرقت آنها، امکان پیگیری حساب هایی که به خطر افتاده اند را اگر غیرممکن ندادیم، اما امکانی غیر عملی خواهد بود. یک رویکرد عملی تر، جستجوی و بررسی علائم تصاحب حساب میباشد. این علائم بسیار زیاد هستند، اما چند مورد قابل توجه آنها عبارتند از:

1. فعالیتهای غیر عادی در سابقه کاربر (مانند مشاهده صفحات غیرمعمول و یا صفحاتی که امکان مشاهده آنها بسیار بعید است)
2. رفتار غیر معمول در نشست ها کاربر (مانند برش و چسباندن (Cut and Paste) بیش از حد، حرکات نامنظم ماوس، سرعت کلیک و غیره)
3. فاکتورهای محیطی غیر معمول (مانند اتصال از طریق یک وسیله جدید یا ناشناس، ASN و منطقه زمانی ناسازگار، زبان ناآشنا یا تنظیمات کاربری متفاوت)

قطعا به دنبال این علائم، شرکت ها میبایست دارای کنترل کامل و همچنین توانایی نظارت قوی بر جعل کردن ها باشند حتی اگر هیچ از موارد فوق قابل مشاهده نباشند. هر دوی این قابلیتها، نیازمند برنامه استراتژیک، پیاده سازی مجدانه و تمرکز ممتد میباشند. به علاوه تشخیص ATO یک بخش موضوع و عملکرد مناسب برای جلوگیری و مسدودسازی هرگونه تبادل تقلبی و جعل گونه نیز موضوعی به کل مجزا میباشد.

هنگامی که به ATO فکر میکنیم، ممکن است به یاد حساب بانکی یا سایر شناسه های مالی بیفتیم. توجه به این نکته مهم است که در حقیقت هر حساب آنلاینی را می توان در اختیار گرفت و تصاحب کرد. اغلب حساب های مسافرتی یکی از نمونه های نوع حساب های غیر مالی هستند که عموما قربانی َATO میشوند. به همین خاطر تعداد شرکت هایی که نیازمند محافظت از خود در برابر ATO هستند، بسیار بیشتر از حد قابل تصور است.

افتتاح حساب (AO):

جعل افتتاح حساب یا AO که گاهی اوقات به آن جعل FRAP نیز اطلاق میشود، که درگیر افتتاح و فعالسازی شناسه ای کاملا جدید میباشد. به طبع جعل کننده ها به اسم افرادی دیگر و با اطلاعات سایر اشخاص اقدام به این کار می نمایند. اما افراد جعل کننده، این اطلاعات را از کجا به دست می آورند؟ پاسخ کوتاه است، از: دارک وب. به علت تعداد بالای نشت اطلاعات در ده سال اخیر، حجم بسیار زیادی از این قبیل اطلاعات کاربران یا PII با مبالغ بسیار اندک در اختیار کلاه برداران و افراد جعل کننده قرار میگیرد.

هنگامی که افراد جعل کننده به PII دیگران دسترسی پیدا میکنند، آنها اقدام به ایجاد شناسه جدید میکنند. در بعضی موارد آنها مستقیما از PII دزدیده شده افراد حقیقی استفاده مینمایند. در دیگر موارد آنها ممکن است که PII را به صورت تلفیقی و با در هم آمیختن اطلاعات افراد مختلف و بعضا غیرواقعی دست به چنین اقدامی بزنند. هرچند که آنها از اطلاعات دزدی فرد استفاده مینمایند، زمانی که موفق به ساخت یک شناسه و حساب کاربری جدید میشوند، به راحتی میتوانند از منافع و مزایای آن حساب بهره برداری کنند.

شناسه های کاربری که افراد جعل کننده علاقمند به ساخت و بهره برداری از آنها هستند چیست؟ انواع مختلفی از این موارد وجود دارد که به برخی از آنها در ذیل اشاره شده است:

1. مزایای بیکاری (ثبت نام و دریافت مزایای بیکاری با استفاده از PII شخص دیگر یا PII شخص جعلی ایجاد شده از PII افراد مختلف)
2. کارتهای اعتباری (افتتاح حساب کارت اعتباری و استفاده از آن کارتهای اعتباری)
3. بازپرداخت مالیات بر درآمد (ثبت مالیات با استفاده از PII شخص دیگر و دریافت بازپرداخت مالیات)

همانند ATO ، شناسایی و جلوگیری از AO به کنترل کامل و امکان نظارت قوی بر جعل کنندگی ها را نیاز دارد.

پرداخت یا جعل پرداخت:

جعل پرداخت جز آن دسته از مواردی است که افراد آشنایی بیشتری با آن دارند. هنگامی که شرکت ها اقدامات مناسب در راستای نظارت بر جعل ها را اتخاذ ننمایند، دقیقا آغازی بر مرحله انجام تبادلات جعلی می باشد. در این صورت جعل پرداخت، زمانی شناسایی میشود که یک مشتری متوجه یک تبادل جعلی در حساب خود شده و به آن موسسه اطلاعرسانی نماید. مشخصا در این شرایط آن پول از دست رفته است و آن شرکت متوجه ضرر مالی بخاطر جعل پرداخت شده است. بهتر است که شرکت ها از وقوع جعل پرداخت پیشگیری کرده و تدابیری را برای شناسایی این دست جعل ها قبل از شروع زنجیره جعل اتخاذ کنند؛ قبل از آنکه جعل کننده شانس و فرصت اقدام برای جعل پرداخت را داشته باشد.

در حالیکه متاسفانه انواع متفاوتی از جعل وجود دارد، ما سعی بر آن داشتیم تا معرفی پایه ای از سه نوع رایج آن داشته باشیم. شناسایی و جلوگیری از ATO، AO و جعل پرداخت مستلزم این است که شرکت ها کنترل لازم را در کنار نظارت قوی و کامل بر جعل ها اعمال نمایند. شرکت هایی که از این دو عامل و فاکتور مهم محروم باشند به سرعت درگیر روند فزاینده از دست رفتن سرمایه و ثروت بر اثر جعل میشوند. مراحلی وجود دارند که میتوان قبل از وقوع جعل، آن را کشف و از آن جلوگیری کرد و ما امید بر این داریم که با افزایش آگاهی از این شرایط، برای مرتفع کردن آن نیز اقدام شود.

به گفته محققان ، عوامل مهاجم از فایل های زیپ شده برای فریب کاربران لینکدین (LinkedIn) برای اجرای More_eggs Backdoor استفاده می کنند.

رسانه اجتماعی متعلق به مایکروسافت برای افراد متخصص با نام لینکدین، دارای بیش از 740 میلیون کاربر از 200 کشور در سراسر جهان می باشد. همین امر، آن را تبدیل به هدفی سودآور برای مجرمان و اخاذان اینترنتی می کند. در جدیدترین مورد، فعالان لینکدین توسط یک کمپین فیشینگ مورد هدف قرار می گیرند که اقدام به اجرای More_eggs Backdoor می نماید.

واحد واکنش تهدیدات سایبری (TRU) در ای سنتایر که یک شرکت امنیت سایبری مستقر در واترلو شهر انتاریو کانادا میباشد، یک کلاهبرداری غیرقانونی در حال انجام با استفاده از مشاغل جعلی را کشف کرده است که سیستم های رایانه ای کاربران لینکدین را با More_eggs Backdoor بسیار خطرناک و مخرب، آلوده می کند.

چگونهMore_eggs Backdoor پخش میشود؟

در ماه فوریه سال 2020، محققان چک پوینت چگونگی استفاده مهاجمان از More_eggs Backdoor برای هدف قرار دادن مسئولین مبارزه با پولشویی را گزارش دادند و اعلام کردند که آنها از خدمات پیام رسانی لینکدین برای ارائه فرصت های شغلی جعلی برای گسترش بدافزار مدنظرشان سوءاستفاده می کنند.

در آن بازه زمانی، مهاجمان به عنوان شرکت های نیازمند کارمند، به عنوان محلی برای ارسال پیوندهای وب سایت در معرض خطر و مخرب به افراد جویای کار ظاهر می شدند و بعداً از طریق ایمیل آنها، پیگیری می کردند. در هر دو مورد، هدف آلوده کردن دستگاه قربانیان با استفاده Backdoor با نام More_eggs برای سرقت اطلاعات بوده است.

با این حال، این بار طبق پست وبلاگ ای سنتایر، عوامل مهاجم از فایل های زیپ شده برای هدف قرار دادن قربانیان بر اساس توضیحات وظایف و جایگاه شغلی موجود در پروفایل لینکدین کاربر، استفاده می کنند.

ای سنتایر توضیح داد که اگر به عنوان مثال شغل کاربر عضو لینکدین به عنوان "مدیر ارشد حسابداری – پوزیشین بین المللی" ذکر شده باشد ، فایل زیپ مخرب با عنوان "مدیر ارشد حسابداری – پوزیشین بین المللی" نامگذاری می شود.

پس از باز شدن فایل زیپ، دستگاه قربانی با بکدور More_eggs که در حال حاضر دستگاه های ویندوز را هدف قرار می دهد، آلوده می شود.

پس از آلوده شدن، بدافزار کنترل کامل دستگاه هدف را در اختیار می گیرد که به طبع آن، به هکرها اجازه می دهد از راه دور از دستگاه برای اهداف مخرب خود از جمله ارسال، دریافت، حذف و اجرای فایل ها استفاده کنند.

خطر آلودگی به باج افزار

علاوه بر این، هکرها می توانند بدافزارهای جدیدی را نیز روی سیستم بارگذاری کنند که می تواند باعث آلودگی دستگاه به باج افزار شود و در نتیجه فایل های قربانی را قفل کرده و برای رمزگشایی آن، درخواست باج نماید. محققان هشدار می دهند که بکدور More_eggs همچنین می تواند داده ها را از دید دستگاه پنهان کرده و حساب های رسانه های اجتماعی، ایمیل ها، تاریخچه مرورگر و حتی کیف پول های رمزنگاری شده شما را در معرض خطر سرقت قرار دهد.

راب مک لئود ، مدیر ارشد واحد واکنش تهدیدات سایبری شرکت ای سنتایر در گزارشی اعلام کرده است که: "آنچه که به طور ویژه در مورد فعالیت More_eggs نگران کننده است، این سه عنصر است که آن را به تهدیدی جدی برای مشاغل و افراد فعال در زمینه تجارت تبدیل می کند".

این سه عنصر شامل موارد زیر میباشند:

1. این بدافزار از فرایندهای عادی ویندوز برای اجرا استفاده می کند؛ بنابراین معمولاً توسط برنامه های امنیتی آنتی ویروس و مسدود کننده های خودکار به عنوان عامل مشکوک یا خطرساز شناخته نمی شود، بنابراین کاملاً پنهانی عمل میکند.
2. گنجاندن موقعیت شغلی هدف از طریق پروفایل لینکدین در این پیشنهاد کاری مخرب، احتمال آلوده شدن کاربر به بدافزار را افزایش می دهد.
3. از زمان شیوع بیماری کرونا و آغاز پاندمی، نرخ بیکاری به طرز چشمگیری افزایش یافته است و طبیعتا زمان مناسبی برای سوءاستفاده از افراد جویای کاری است که از یافتن شغل ناامید هستند. بنابراین جذابیت بک شغل ایده آل کاربر، بخصوص در این مقطع حساس و پرتنش، جذابیتی دو چندان پیدا میکند.

چرا کاربران لینکدین؟

لینکدین تقریباً از هر حرفه شناخته شده ای شامل 740 میلیون کاربر از جمله افراد مهم و دارای جایگاه های شغلی حساس مانند دانشمندان، نظامیان، مجریان قانون، فعالین صنایع دفاعی، پرسنل خطوط هوایی، پرسنل سیستم بانکداری و امور مالی و افراد سیاسی و غیره را در خود جای داده است. برای مجرمان سایبری و هکرهای مورد حمایت دولت ها، دسترسی به سیستم رایانه ای مورد استفاده توسط هر یک از این متخصصان، مانند یک معدن طلا است که میتوانند از آن برای سریعتر رسیدن به پول نقد از طریق فروش دسترسی سیستم های آنها به سایر مجرمان یا استفاده از آن برای نظارت و بررسی یا سرقت اسرار یا اطلاعات و داده های حساس، بهره برداری و سوءاستفاده کنند.

کاربران لینکدین چه کاری باید انجام دهند؟

شرکت توسعه امن کیان (تاکیان) به عنوان اولین و مهمترین نکته توصیه میکند که از کلیک کردن روی لینک های ارسال شده توسط افراد در شبکه های اجتماعی، خصوصاً کاربران ناشناس و مجهول، خودداری کنید. اگر مجبور و ملزم شده اید که بر روی فایل زیپ شده یا اجرایی کلیک کنید، باید به هر قیمتی از آن اجتناب کنید. اما اگر از قبل فایلی را دریافت کرده اید، حتماً آن را با یک ضد بدافزار مطمئن اسکن نمایید.

مضاف بر این، همچنین می توانید لینک ها و فایل های مخرب را در ویروس توتال اسکن کنید. در هر صورت امنیت شما در دستان خودتان است. تاکیان اکیداً توصیه می کند درباره امنیت سایبری و تهدیداتی که در پس اتصال به فضای اینترنت ممکن است شما را تهدید کند، کسب اطلاعات کرده و حساسیت بخرج دهید.

تعداد حملات سایبری از نظر کمی و میزان پیچیدگی، در چند سال اخیر به سرعت افزایش یافته است. پاندمی و گسترش ویروس کرونا فضای کاری را به شکل به محسوسی به سمت کار از خانه سوق داده است که منتج به افزایش قابل توجه حملات سایبری شده است. در کنار راه حل های امنیتی که برای نهادها و سازمانها در نظر گرفته شده است، تقریبا تمامی نهادها در هر ابعاد و هر زمینه کاری که فعال هستند، قربانی این دست حملات شده اند. این نوع تهدید، نهادها را مجبور به سرمایه گذاری در زمینه دفاع سایبری کرده است و داشتن قابلیت SOC به عنوان یک ضرورت مهم برای پاسخ به تهدیدات جاری و پیش رو مطرح شده است.

یک مرکز عملیاتی امنیتی (SOC)، تیمی است که مسئول نظارت مداوم و ارزیابی ساختار دفاعی یک سازمان یا نهاد و افزون بر آن، مقابله با نشت و درز اطلاعات و ارائه راهکار و پیشنهاد برای اقدام متقابل جهت کاهش تهدیدهای فعلی و آینده میباشد. یک SOC میتواند درون سازمانی بوده یا خارج از مجموعه و توسط یک مجموعه تامین کننده امنیت (MSSP) فراهم شود.

در ادامه به چگونگی محافظت از تیم SOC در برابر حملات مهندسی اجتماعی اشاره شده است. مانند گروه های ATP، مجرمان اینترنتی خبره، قبل از اجرای حمله اصلی، اقدام به گردآوری اطلاعات نسبت به هدف خود مینمایند. فرض کنیم که مهاجمین موفق شده اند با ترفندهای مهندسی اجتماعی، اطلاعات را از طریق یکی از اعضای اصلی SOC بدست بیاورند. این حالت میتواند باعث ایجاد یک حفره امنیتی در سیستم دفاعی سازمان و نهاد آن شخص هدف ایجاد نماید که منتج به بروز مشکلات امنیتی برای آن نهاد و نشت و درز اطلاعات گردد.

استراتژی های لازم برای جلوگیری از حملات مهندسی اجتماعی:

حملات مهندسی اجتماعی (SE) بخصوص ایمیل های فیشینگ در بالاترین رده تهدیدات پیش روی نهادها قرار میگیرند. به گزارش وب سایت سکیوریتی بولوارد، 95% از کل حملات، که شبکه سازمان ها را هدف قرار میدهند، توسط حملات فیشینگ به وقوع میپیوندند و 30% ایمیل های فیشینگ ارسالی توسط کاربری که هدف حمله واقع شده باز میشوند؛ در حالی که 12% این کاربران بر روی یک آدرس اینترنتی آلوده که در داخل ایمیل درج شده کلیک میکنند.

در ادامه یکسری از نکات ضروری امنیت سایبری که با اجرای آنها میتوان از وقوع حملات مهندسی اجتماعی جلوگیری کرد، ارائه شده است:

1. از انتشار آنلاین اطلاعات حساسی که میتواند بر علیه اعضای SOC استفاده شود، بپرهیزید. به طور مثال، OSINT میتواند به نوعی تجهیز شود که محتوای حساس نشر یافته آنلاین در مورد هر ماهیتی را پیدا کند. بعد از پیدا کردن این اطلاعات حساس، یک سازمان میتواند آنها را پیش از آنکه عوامل تهدید کننده از آن بهره برداری کنند، حذف نمایند.
2. افرادی که برای امنیت سایبری آموزش دیده اند، بهترین لایه دفاعی در مقابل این دست حملات هستند. افراد، ضعیفترین پیوند در این زنجیره دیجیتال فرض میشوند و بهره برداری از تمایل آنها به جلب اعتماد، همچنان موثرترین روش استفاده شده توسط مجرمان سایبری برای ورود به شبکه سازمانی هدف است. برای نمونه، با وجود استفاده از راه حل های امنیتی همچون ضد نرم افزارها و نرم افزار تشخیص و جلوگیری از نفوذ، اگر یک فرد ناآگاه بر روی یک لینک آلوده در محتوای یک ایمیل کلیک نماید، این عمل میتواند کلیه فضای شبکه آی تی آن مجموعه را به خطر بی اندازد.
3. نفرات باید با دقت نسبت به بررسی آدرس ایمیل ارسال کننده اقدام نمایند تا هرگونه تلاش پنهانی موجود را کشف نمایند. به طور مثال فیشرها ممکن است از دامنه (@gooogle.com) به جای (Google.com) در زمان ارسال ایمیل استفاده نمایند تا با وانمود کردن به اصالت مشابه با Google، مخاطب را در راستای جلب اعتماد به ارسال کننده ایمیل ترغیب نمایند.
4. برای ارسال یا دریافت ایمیل ها از رمزگذاری ایمیل استفاده کنید تا از هرگونه اطلاعات حساس مانند اطلاعات شخصی، اطلاعات فنی درباره سیستم دفاعی امنیتی سازمان و مکاتبات داخلی محافظت نمایید. رمزگذاری همچنین این اطمینان را میدهد که داده های رد و بدل شده از طریق ایمیل، در فرایند جابجایی، دستخوش تغییر نمیشوند.
5. مضاف بر کلیه نرم افزارهای نصب شده، سیستم های عملیاتی تجهیزات رایانه ای همه اعضای تیم SOC و همچنین موارد امنیتی نصب شده برای آنها (مانند آنتی ویروس و غیره) باید به روز باشند.
6. از یک DNS امن برای جلوگیری از هرگونه بدافزار و حملات آلوده اینترنتی استفاده نمایید. به مثال، یک سرویس DNS امن در صورت مشاهده سایت فیشینگ توسط کاربر، میتواند ارتباط را قطع نماید. از موارد سرویسهای DNS امن میتوان به Comodo Secure DNS و Dyn Internet Guide اشاره نمود.
7. از SPF یا Sender Policy Framework استفاده نمایید. SPF یک تکنیک شناسایی ایمیل است که جلوی هر عامل آلوده ای که با نام دامنه شما اقدام به ارسال پیام کند، ممانعت به عمل می آورد. از پروتکل های مشابه میتوان به DMARC و DKIM اشاره نمود.
8. از راهکارهای ضد هرزنامه بهره ببرید. راهکارهای ضد هرزنامه به آن سازمان و نهاد کمک میکنند که محل ذخیره ایمیل اعضای مجموعه را از هرگونه اسپم و سایر ایمیل های آلوده دور نگاه دارد. از معروفترین نرم افزارهای ضد هرزنامه میتوان به مواردی همچون SolarWinds MSP Mail Assure، SpamTitan و Mailwasher اشاره کرد.
9. از فناوری های مختلف دفاع سایبری همچون فایروال ها، آنتی ویروس، مدیریت patch و پروتکل های مدیریت دسترسی بهره ببرید.
10. فایل هایی را که نمیشناسید، دانلود نکنید. اگر ایمیل دارای پیوستی به دستتان رسید، قبل از دانلود فایل پیوست و ذخیره آن در سیستم خود، آدرس ایمیل فرستنده را به دقت بررسی نمایید.
11. اطلاعات محرمانه را از طریق ایمیل و یا پیامرسان های فضای مجازی ارسال ننمایید. اگر لازم است که فایل یا اطلاعات حساسی را از طریق ایمیل ارسال کنید، حتما نسبت به رمزنگاری آن با نرم افزارهای ویژه رمزنگاری اقدام نمایید.

در مجموع حملات مهندسی اجتماعی، بخصوص در زمان پاندمی بیماری کرونا افزایش یافته اند. به همین علت ضروری است که کلیه اعضای تیم SOC موارد ایمنی و ملاحظات ذکر شده در این مقاله را جهت حفظ ایمنی نهاد و مجموعه متبوع، به کار ببندند.

به گزارش سایت هکرنیوز، طی یک اشتباه امنیت عملیاتی (OPSEC) توسط یک عامل تهدید ایران، روش‌های پشت‌پرده عملکرد داخلی این گروه هکری آشکار  شده است.

خدمات اطلاعاتی واکنش  IBM X-Force با نام IRIS، نزدیک به پنج ساعت ضبط ویدئویی گروه حامی مالی که آن را ITG18 (یا بچه گربه جذاب، یا فسفر و یا APT35)می‌نامد، را در اختیار دارد که برای آموزش اپراتورها از آن استفاده می‌کند.

طبق اطلاعات ارائه شده توسط این ویدئو، اطلاعات برخی از قربانیان شامل حساب‌های شخصی پرسنل نیروی دریایی آمریکایی و یونانی و همچنین تلاش‌های ناموفق فیشینگ در برابر مقامات وزارت امور خارجه ایالات‌متحده و یک فرد نیکوکار ایرانی - آمریکایی بوده است.

محققان گفتند: " برخی از این ویدیوها نشان‌دهنده مدیریت اکانت های ایجاد شده توسط اپراتور بودند در حالی که سایر ویدئوها دسترسی اپراتور برای تست داده‌های موجود از حساب‌های ثبت‌شده قبلی را نشان میدهند."

محققان آی بی ام گفتند که این ویدیوها را بر روی یک سرور مجازی خصوصی پیدا کرده‌اند که در معرض خطر تنظیمات امنیتی قرار گرفته‌است. این سرور در اوایل امسال میزبان چندین دامین مرتبط با ITG18 نیز بوده است که بیش از ۴۰ گیگابایت اطلاعات را نگهداری میکند.

فایل‌های ویدئویی کشف‌شده نشان می‌دهند که ITG18 با استفاده از آدرس‌های ایمیل و نام کاربری و رمزعبور رسانه‌های اجتماعی که از طریق فیشینگ (phishing) به دست آمده است برای ورود به حساب‌ قربانیان استفاده نموده و اقدام به حذف اطلاعات مهم انها شامل تماس های تلفنی، عکس ها، اسناد گوگل درایو و... غیره نموده است.

محققین خاطرنشان کردند: "اپراتورهای این گروه، به سرویس Google Takeout قربانیان دسترسی پیدا کرده و اطلاعات مهمی همچون تاریخچه مکان‌یابی، اطلاعات مرورگر کروم، و دستگاه‌های آندروید مرتبط و... را بازیابی نموده اند."

علاوه بر این، ویدیوهای ضبط‌ شده با استفاده از ابزار ضبط صفحه نمایش Bandicam نشان می‌دهند که بازیگران پشت این عملیات حساب اینترنتی قربانیان را به نرم‌افزار ایمیل Zimbra متصل کرده و قصد دارند حساب‌های پست الکترونیکی را کنترل و مدیریت کنند.

جدا از دسترسی به حساب‌های Email، محققان گفته‌اند که مهاجمان در حال استفاده از یک فهرست طولانی از نام کاربری و رمزهای عبور برای لاگین کرده به حداقل ۷۵ وب سایت مختلف از بانک‌ها گرفته تا ویدیو و پخش موسیقی و حتی سفارش پیتزا و محصولات مرتبطز با نوزادان هستند.

سایر کلیپ های ویدئویی نشان میدهد که در حساب های کاربری ساختگی یاهو، از شماره تلفن های ایرانی با کد (+98) برای ارسال اطلاعات فیشینگ استفاده کرده اند که حاکی از این است که ایمیل ها قطعا به صندوق پستی قربانی نرسیده است.

محققان گفتند: "در طی ویدئوهایی که در آن اپراتور اعتبار قربانی را تایید می‌کند، اگر اپراتور با موفقیت بتواند به سایت هایی دسترسی یابد که از MFA یا احراز هویت چند عاملی استفاده کرده اند، اقدام به متوقف نمودن MFA و تغییر روش های احراز هویت نموده است تادر مراحل بعدی براحتی بتواند مجدداً به این حساب ها دسترسی داشته باشد."

گروه ITG18 سابقه‌ای طولانی در مورد هدف قرار دادن ارتش آمریکایی مستقر در خاورمیانه، دیپلماتیک و دولت برای جمع‌آوری اطلاعات و جاسوسی برای خدمت به منافع ژئوپلتیک ایران دارد.

خدمات اطلاعاتی واکنش IBM X-Force به این نتیجه رسیدند: " مصالحه و سازش پرونده‌های شخصی اعضای نیروی دریایی یونان و ایالات‌متحده می‌تواند در حمایت از عملیات جاسوسی مربوط به اقدامات متعدد در خلیج عمان و خلیج‌فارس باشد و این گروه علی‌رغم افشا شدن اطلاعات عمومی خود و گزارش گسترده فعالیت آنها، مقاومت نشان داده‌است و باز هم در حال ایجاد سازگاری با زیرساخت جدید است.

طبق گزارش سازمان تحقیقات فدرال (FBI) و آژانس امنیت سایبری و زیرساخت (CISA)، عاملین تهدیدات مداوم پیشرفته ضد دولتی، به طور فعال و فزاینده ای از نقاط ضعف امنیتی شناخته شده در Fortinet FortiOS سوءاستفاده می کنند و محصولات SSL VPN این شرکت را تحت تأثیر قرار داده و به خطر می اندازند.

اداره تحقیقات فدرال و آژانس امنیت سایبری و زیرساخت، یک بیانیه و راهنمایی مشترک برای هشدار به سازمان ها و کاربران در مورد نحوه استفاده هکرها از آسیب پذیری های مهم در Fortinet FortiOS VPN صادر کرده اند.

هدف آنها استقرار یک ساختار ضد دفاعی برای نقض امنیت مشاغل متوسط ​​و بزرگ در آینده است.

بر اساس هشداری که در روز جمعه صادر شده است، عاملین تهدیدات مداوم پیشرفته ضد دولتی، از نقاط ضعف شناخته شده در سیستم عامل امنیتی سایت FortiOS سوءاستفاده کرده و محصولات SSL VPN Fortinet را هدف قرار می دهند. با این حال، آژانس ها جزئیات بیشتری در مورد تهدیدات مدوام پیشرفته به اشتراک نگذاشته اند.

FortiOS SSL VPN در فایروال های مرزی استفاده می شود که مسئول ممانعت از برقراری ارتباط شبکه های حساس داخلی با دیگر اتصالات اینترنتی عمومی هستند.

سوءاستفاده چگونه انجام میپذیرد؟

FBI و CISA گزارش دادند كه عاملین تهدیدات مداوم پیشرفته، دستگاه ها را روی پورت های 4443 ، 8443 و 10443 اسكن می كنند تا پیاده سازی های امنیتی Fortinet را كه انجام نشده اند، پیدا كنند. به ویژه موارد مورد توجه در زمینه نقاط آسیب پذیری طبق CVE-2018-13379 ،CVE-2019-5591 و CVE-2020-12812 طبقه بندی شده است.

بسیار مرسوم است که چنین گروه هایی برای انجام حملات DDoS، حملات باج افزاری، کمپین های فیشینگ، حملات نفوذ زبان جستجوی ساختاری، کمپین های اطلاعات نادرست یا دیس اینفورمیشن، تخریب وب سایت و سایر انواع حملات، از نقایص مهم سوءاستفاده می کنند.

چند نکته درباره این خطا

CVE-2018-13379 یک خطای عبور از مسیر Fortinet FortiOS است که در آن، پورتال SSL VPN به یک مهاجم غیرمجاز اجازه می دهد تا فایل های سیستم را از طریق درخواست منابع طراحی شده ویژه HTTP، بارگیری کند.

نقص CCVE-2019-5591 یک آسیب پذیری پیکربندی پیش فرض است که به یک مهاجم غیرمجاز در همان ساختار زیرمجموعه شبکه اجازه می دهد اطلاعات حساس را به سادگی و با تقلید از سرور LDAP ضبط و ذخیره کند.

CVE-2020-12812 یک نقص تأیید اعتبار نامناسب در FortiOS SSL VPN است که به کاربر اجازه می دهد حتی در صورت تغییر نام کاربری، بدون اینکه از وی درخواست FortiToken (تایید اعتبار دو مرحله ای) انجام پذیرد، با موفقیت وارد سیستم شود.

چه کسانی در معرض خطر است؟

محققان آژانس های امنیتی خاطرنشان کردند که عاملین این تهدیدات گسترده و پیشرفته، می توانند از این آسیب پذیری ها برای دستیابی به رئوس نهادهای دولتی، فناوری و نهادهای تجاری استفاده کنند.

"به دست آوردن دسترسی اولیه، شرایط را برای عاملین این تهدیدات گسترده و پیشرفته جهت انجام حملات در آینده آماده میکند". پس از بهره برداری، مهاجمان به صورت جانبی حرکت کرده و اهداف خود را زیر نظر می گیرند.

"عاملین این تهدیدات مداوم پیشرفته ممکن است از هر کدام یا همه این CVE ها برای دسترسی به شبکه های چندین بخش مهم زیرساختی و متعاقبا دسترسی به شبکه های اصلی به عنوان دسترسی مقدماتی و بنیادی برای دنبال کردن و پیگیری اطلاعات یا حملات رمزگذاری داده ها استفاده کنند. عاملین این تهدیدات مداوم و پیشرفته، ممکن است از CVE های دیگر یا تکنیک های متداول بهره برداری (مانند فیشینگ) برای دستیابی به شبکه های زیرساختی حیاتی برای تعیین موقعیت و جایگاه اولیه برای حملات بعدی استفاده کنند".

ارائه بروزرسانی برای رفع اشکالات به تغییراتی در ساختار اصلی نیاز دارد و شبکه سازمان ها باید بیش از یک دستگاه VPN داشته باشند. ممکن است سیستم برای زمانی غیرفعال شود و ممکن است کار کسانی که به VPN شبانه روزی احتیاج دارند، دچار اختلال شدیدی شود. با این حال، خطر فعالیت های جاسوسی یا باج افزار به مراتب بسیار بیشتر از این دست موارد است.

اگر کسی به سارقین فکر کند، ممکن است به یاد فیلم های هالیوودی، در پوشش ماسک همراه با لباس های متفاوت و سلاح هایی عجیب که در مکان هایی خلوت اقدام به برگزاری جلسات هماهنگی خود میکنند، بیافتد. به طور سنتی این منطق وجود دارد که مکان هایی مانند بانک ها و فروشگاه ها که در آن پول وجود دارد، مورد سرقت قرار میگیرند.

امروزه چنین شرایطی برقرار نیست و دزدان سایبری میتوانند با تنها چند بیت کُد، اقدام به سرقت پول های کلانی نمایند. این اقدامات تبدیل به یک صنعت چندین میلیارد دلاری در سال شده است که بر مبنای دزدی سایبری شامل اخاذی سایبری، دزدی سازمان یافته، فیشینگ و امثال آن شکل گرفته است. این حجم بالای گردش مالی، بسیاری از مجرمان سازمان یافته و عاملین شبه دولتی را به خود جلب کرده است. گزارش شده است که هکرهای مرتبط با دولت کره شمالی بیش از 100 میلیون دلار را از بانک مرکزی بنگلادش در سال 2016 سرقت کرده اند.

گزارش جدیدی از سیستم های سوئیفت و BAE تلاش های جدیدی را نشان میدهند که به آنها “ATM cash-out” گفته میشود. این اقدامات که با هک کردن دستگاه های خودپرداز مرتبط هستند، حجم زیادی از تراکنش های مالی را به صورت جعلی نشان میدهند که متعاقبا توسط جابجا کنندگاه پول برداشت میشوند. 

گزارش ها میگویند که این اقدامات توسط گروهی با عنوان بیگل بویز که به شکل گسترده ای با سازمان جاسوسی کره شمالی مرتبط هستند به وقوع پیوسته است. گزارش ها اذعان مینمایند که آنها عامل اقدام برای به سرقت رفتن حدود 2 میلیارد دلار در چند سال اخیر هستند.

مشخصا هر دستگاه خودپرداز مقدار مشخصی از پول را در خود جای میدهند؛ به همین خاطر چنین حملاتی در مقیاس بزرگی طراحی میشوند؛ اهدافی جاه طلبانه با هدف قرار دادن دستگاه هایی در بیش از 30 کشور دنیا. در گزارش ها آمده است که یکی از حملات در طی بیش از دو ساعت با گستره ای شامل 28 کشور که شامل دوازده هزار تبادل مالی میشود، انجام پذیرفته است. سپس جابجا کننده های پول، اقدام به پولشویی و پاکسازی پول ها کرده و آنها را به سیستم باز میگردانند تا قانونی جلوه داده شوند.

بررسی:

گزارش دیگری که توسط موسسه تکنولوژی آکامای منتشر شده است، نشان میدهد که شغل های خُرد و کوچک نیز به اندازه بخش بانکی در معرض خطر هستند. در این مقاله حملاتی که طی چند سال گذشته بخش های خرده فروشی، صنعت گردشگری و مراقب و پرستاری را هدف قرار داده است، بررسی کرده است که نشان میدهد با فعالیت حوزه دارک وب که در زمینه آسیب پذیری ها گسترش داشته، مهاجمان میتوانند از این داده ها سو استفاده و بهره برداری نمایند.

به طور مثال ترس عمومی و عدم اطمینان ناشی از قرنطینه که در راستای کاهش گسترش بیماری کووید-19 در نیمه اول سال 2020 اعمال شده است، باعث افزایش تعداد لیست های ترکیبی شامل رمز عبور شناسه ها در فضای دارک وب شده است. این لیست ها صنایع بخصوصی را هدف قرار میدهند. آنها عمدتا با لیست های قدیمی که در این سیستم ها پخش شده اند، مقایسه میشوند تا شناسه های آسیب پذیر جدید شناسایی شوند. این امر منجر به افزایش فعالیت مجرمانه به ویژه در زمینه های مربوط که برنامه های ثابت کاربری شده است.

این گزارش نشان میدهد که در بازه ماه جولای 2018 تا ژوئن 2020، حدود 100 میلیارد حملات ثبت اطلاعات مشاهده شده است که بیش از 60 میلیارد عدد از آنها به تنهایی در حیطه خرده فروشی، گردشگری و مراقبت و پرستاری انجام شده است.

به طور قطع ثبت اطلاعات تنها راهی نیست که مجرمین به این اقدامات دست میزنند؛ در حالی که معمولا به حملاتی با استفاده از SQL Injection یا SQLi و Local File Inclusion دست میزنند. در همین بازه زمانی، آکامای تقریبا 4 میلیارد و پانصد میلیون حمله به این بخش را با استفاده از این روش ها را مشاهده کرده است که در این بین حملات مبتنی بر SQLi از محبوبیت خاصی برخوردار بوده اند.

فصل پر ریسک:

ما به سرعت در حال ورود به اوج فصل خرده فروشی هستیم؛ به احتمال زیاد خریداران زمستانه و بهاره مقدار زیادی از خریدهای  خود را به دلیل محدودیت های مربوط به کووید-19، به صورت آنلاین انجام دهند که به طور قطع منتج به صفوف عظیم خریداران در فروشگاه های آنلاین برای انجام معاملات و خریدها میشود؛ که به طبع امتیازات و مزایا و تخفیفاتی که بدست آورده اند را برای خریدهای خود مورد استفاده قرار دهند.

این دست اقدامات نه تنها برای خرده فروشان بسیار ارزشمند است، بلکه برای مجرمان سایبری نیز یک نقطه عطف محسوب میشود که میتوانند با استفاده از حجم گسترده ای از داده های ذخیره شده در دیتابیس ها وجود دارد، طی یک عمل مجرمانه بسیار خلاقانه، دست به سرقت حساب تا جعل هویت بزنند. گر چه این داده های ذخیره شده مربوط به هر مشتری ممکن است به معنای واقعی کلمه مانند اطلاعات فروش در یکسری از سایت های فروش نباشد، اما برای یک مجرم اینترنتی، این تفاوت با توجه به امکان درآمد زایی، بسیار حائز اهمیت است.

گزارش موسسه آکامای میگوید که "تمامی شغل ها میبایست ارتباطات بیرونی خود را هماهنگ نمایند، حتی اگر موانع بیرونی یک بیماری پاندمیک، یک رقیب و یا یک مهاجم فعال هوشمند باشد". همچنین اذعان شده است که برخی از برنامه های اصلی مطرح، چیزی بیش از یک شماره تلفن همراه و یک رمز با کاراکترهای عددی از کاربر مطالبه نمینمایند، در حالی که دیگر برنامه ها به وسیله اطلاعاتی که به راحتی بدست می آیند به عنوان عاملی برای احراز هویت و تایید اعتبار بسنده میکنند. برای جلوگیری از حملات علیه APIها و سرورها، نیاز به کنترل هویت و اقدامات متقابل جدی بهتر وجود دارد.

در حالی که بانک ها، خرده فروشان یا حتی رستوران ها ممکن است مانند نسل قبلی بانکداران و خرده فروشان ، در معرض مخاطرات فیزیکی نباشند؛ اما خطرات مجرمان سایبری برای انجام کارهای مشابه که از درون خانه خود حملات را پیش میبرند، همواره محسوس و در حال اجرا است. امید است که به مرور زمان حوزه سایبر باید توجه ویژه تری به این نوع تهدیدها و سرمایه گذاری برای حل این معضلات در نظر داشته باشد.