روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در سال 2019، بازار سهام جهانی تا 17 تریلیون دلار رشد داشت و علیرغم اینکه بازارهای جهانی در پی پاندمی ویروس کرونا حسابی ویران شده‌ اما سود سرمایه از بین نرفته است. با شروع سال 2020 تعداد کاربران اپ‌های تجاری به تنهایی رشد چشمگیری داشته است. البته بخش منفی‌اش را هم اگر بخواهیم در نظر بگیریم، دارایی‌ها و داده‌های شخصی تاجران اینترنتی طعمه‌ای شده برای مجرمان سایبری. در صورت بروز چنین اتفاقی، این پلت‌فرم تجاری مربوطه است که باید پاسخگوی عواقب و خسارات وارد آمده باشد. در این مقاله با شما از سه تهدید اصلی که شرکت‌ها با آن مواجه می‌شوند و روش‌های غلبه بر این چالش‌ها گفته‌ایم. با ما همراه بمانید.

آسیب‌پذیری‌های اپ

پلت‌فرم‌های تجاری مانند هر نرم‌افزار دیگری دچار آسیب‌پذیری می‌شوند. در سال 2018،‌ آلیهاندرو هرناندز، متخصص امنیت سایبری در 79 اپ تجاری حفره امنیتی پیدا کرد. برخی از این اپ‌ها حتی برای ذخیره یا انتقال داده از رمزنگاری هم استفاده ننموده (هر کسی امکان داشت این داده را ببیند و یا تغییرش دهد) و کاربران را بعد از مدت مدیدی غیرفعال بودن از اپ، log out نکرده بودند. پسوردهای ضعیف یکی از عیوب در سطح طراحی بود. یک سال بعد، تحلیلگران ImmuniWeb تحقیق مشابهی انجام دادند و به نتیجه‌ی منفی یکسانی هم رسیدند: از هر 100 پیشرفت فین‌تک[1] که مورد بررسی قرار دادند همه‌شان تا حدی از خود آسیب‌پذیری نشان دادند. عیوب هم در وب و هم در اپ‌های موبایل پیدا شده بود؛ کلی از باگ‌ها نتیجه‌ی توسعه‌های طرف‌سوم و ابزارهایی بودند که برنامه‌نویسان ازشان استفاده می‌کردند. پچ‌های برخی از این آسیب‌پذیری‌ها خیلی وقت بود وجود داشتند اما هرگز به کار برده نشدند. یکی از این پچ‌ها سال 2012 منتشر شد اما نویسندگان اپ فین‌تک هرگز سمت نصبش هم نرفتند. پر واضح است که اگر محصولی مسائل امنیتی داشته باشد، دیر یا زود این مسائل آشکار خواهد شد و همین بالقوه می‌تواند اعتبار شرکت‌ها را خدشه‌دار کرده و مشتریان را نیز بترساند. و اگر –در نتیجه‌ی باگی در اپ- کاربران نشت داده یا خسارت مالی ببینند، توسعه‌دهنده مجبور به پردخت خسارت واردآمده خواهد شد و عواقب این مسئله او را به دردسر بزرگی خواهد انداخت.

برخی‌اوقات، سازنده یک پلت‌فرم تنها قربانی قصه است. برای مثال، نویسندگان اپ تجازی رابین‌هود نتوانستند باگی را که به کاربران پریمیوم اجازه‌ی قرض گرفتن پول از پلت‌فرم (برای تجارت امنیت) می‌داد شناسایی کنند و همین باعث شد کاربری در ازای فقط 4 هزار دلار، یک میلیون دلار قرض بگیرد. تاجران نام آن را «کد تقلب بی‌نهایت پول» گذاشتند. برای جلوگیری از چنین خساراتی که باگ‌ها و آسیب‌پذیری‌ها می‌توانند روی دست بگذارند، کدنویس‌های پلت‌فرم تجاری باید جوانب امنیتی را رعایت نموده و بُعد توسعه اپ را مد نظر قرار دهند. آن‌ها می‌بایست از قبل حواسشان به اموری چون log out خودکار کاربر، رمزنگاری و ممنوعیت پسوردهای ضعیف باشد. همچنین می‌بایست مرتباً کد خطاها را تحلیل کرده و فوراً آن‌ها را برطرف کنند.

حملات زنجیره تأمین

برای صرفه‌جویی در زمان و هزینه‌ها، بیشتر شرکت‌ها نه تنها کد مخصوص به خود را می‌نویسند که همچنین توسعه‌های طرف‌سوم، فریم‌ورک‌ها و سرویس‌های خود را نیز به کار می‌برند. اگر زیرساخت یک ارائه‌دهنده دستکاری شود، شرکت‌هایی که از آن استفاده می‌کنند نیز تحت‌الشعاع قرار خواهند گرفت. این اتفاقیست که به عنوان مثال برای کارگزار ارزی Pepperstone افتاد. در آگست 2020 مجرمان سایبری کامپیوترهای یک پیمانکار شرکت را آلوده کردند و به اکانتش در سیستم سی‌آراِم Pepperstone دسترسی پیدا کردند. گرچه این حمله خیلی سریع خنثی شد اما مهاجمین در همین فرصت کوتاه توانستند برخی از داده‌های کلاینت را سرقت کنند. به گفته‌ی این کارگزاری سیستم‌های مالی و تجاریِ آن آلوده نشده بود. در عین حال، بازیابی داده‌های نشت‌شده برای شرکت‌ها –درصورتیکه کد طرف‌سوم تقصیرکار باشد- می‌تواند بسیار هزینه‌بر باشد. به منظور جلوگیری از ویرانی‌های احتمالی، همیشه شرکای مطمئن و امنیت‌محور را انتخاب کنید و هرگز به خود مکانیزم‌های محافظتی بسنده ننمایید. هر شرکتی در حوزه مالی می‌بایست خط‌مشی امنیتی سختگیرانه‌ای را اتخاذ کند.

اسپیر فیشینگ

عامل انسانی اغلب دلیل رخدادهای سایبری است برای همین است که مهاجمین برای نفوذ به زیرساخت‌های سازمانی از کارمندان شرکت استفاده می‌کنند. جولای سال جاری، محققین امنیت سایبری یک سری حملات روی مؤسسات فین‌تک را در اتحادیه اروپا، انگلستان، کانادا و استرالیا بهم متصل کردند و پی بردند همه حملات توسط گروه APTبه نام Evilnum رهبری می‌شده است. مجرمان سایبری در حقیقت ایمیل‌هایی به کارمندان شرکت فرستاده بودند که در آن‌ها لینکی درج شده بود. این لینک، کارمندان را به آرشیو ZIP به میزبانی سرویس قانونی کلود هدایت می‌کرد. پیام‌ها خود را شبیه مکاتبات تجاری کرده و محتواهای آرشیو هم در لباس داکیومنت‌ها یا تصاویر ظاهر شده بودند. گرچه داکیومنت یا تصویر وعده داده‌شده روی نمایشگر ظاهر می‌شود اما وقتی بازش می‌کنید در واقع گویی زنجیره آلودگی را به جریان انداخته‌اید. برخی‌اوقات مهاجمین به اکانت‌های ایمیل سازمانی هجوم می‌آورند که همین شاید فیشینگ‌شان را از قبل قانع‌کننده‌تر نیز بکند. آگست سال جاری، چنین حمله‌ای به شرکت تجاری تحت عنوان Virtu شد. طبق گزارشات این شرکت، مجرمان سایبری به میل‌باکس مدیر ارشد نفوذ کرده بودند و دو هفته‌ی بعدی را صرف ارسال ایمیل‌هایی به دپارتمان حسابداری کرده بودند (دستور داده بودند مقادیر بالایی پول به چین انتقال داده شود). این اعتماد کورکورانه برای شرکت چیزی حدود 11 میلیون دلار آب خورد. کارمندان امنیت فضای مجازی برای مقابله با چنین حملاتی به آموزش صحیح نیاز دارند. فهرستی از پرچم‌های قرمز فیشینگ را در ایمیل‌های جمع‌آوری کرده و از آن فهرست برای مهندسی جریان اقدامات استفاده کنید.

مشکلات کلاینت

برخی‌اوقات کاربران پول خود را نه از بابت قصور شرکت یا اپ شما که با دانلود بدافزار، وارد کردن پسوردهایی روی سایت‌های فیشیگ یا سهل‌انگاری‌های دیگر از دست می‌دهند. البته افسوس که در این مورد هم باز بی‌جهت پای پلت‌فرم تجاری گیر خواهد بود: در برخی از کشورها، شرکت‌ها به طور قانونی موظفند از رخدادها باخبر باشند؛ پس شاید بهتر آن باشد که هر از چندگاهی خطرات احتمالی را در نظر بگیرند و از کاربران بخواهند جوانب حفاظتی را رعایت کنند. همچنین خوب است اگر به صورت دوره‌ای به کلاینت‌های خود یادآوری کنید که هر نرم‌افزار طرف‌سومی –خصوصاً اگر پایرت‌شده باشد یا از منابع مشکوکی بدست آمده باشد- می‌تواند نوعی تهدید محسوب شود. برای مثال، چنین نرم‌افزاری قادر است پسوردها را (از جمله آنی که مخصوص اکانت‌های تجاری است) سرقت کند. به کلاینت‌های خود هشدار دهید که مجرمان سایبری ممکن است برای استخراج اطلاعات محرمانه آن‌ها خود را جای شما جا بزنند. بدان‌ها توصیه کنید حسابی به ایمیل‌هایی در خصوص مشکلات سرویس دقت کنند و آدرس و پیام فرستنده را با دقت بالا بررسی کنند (غلط املایی و گرامر می‌تواند زنگ خطر باشد!). توصیه کنید به طور دستی در مرورگر خود یوآرال وارد کنند، اپ باز کنند یا در صورت بروز هر شکی با تیم فناوری تماس بگیرند.

راهکارهای امنیتی

مدیریت پول مسئولیت سنگینی دارد و اگر هر مورد امنیتی از قلم انداخته شود خسارات سنگینی متوجه شرکت‌های فین‌تک خواهد شد. بنابراین:

• امنیت اپ‌ها و برنامه‌های خود را زیر نظر قرار دهید. اسکن آن‌ها برای پیدا کردن آسیب‌پذیری‌ها و نمایش تحمل صفر[2] برای باگ‌ها و خطاها.
• نصب راهکار امنیتی مطمئن روی دستگاه‌های کاری؛ در حالت ایده‌آل راهکاری که مبتنی بر کلود باشد و بشود آن را از یک کنترل پنل واحد مدیریت کرد.
• آموزش اصول امنیت سایبری به کارمندان؛ بدین‌ترتیب آن‌ها اشتباهاتی که بخواهد خسارت مالی و پول و اعصاب شما را نشانه بگیرد مرتکب نخواهند شد.
• استفاده از خط‌مشی امنیتی سرسختانه و قابل‌اجرا برای کارمندان و تأمین‌کنندگان طرف‌سوم.
• به مشتریان یادآوری کنید که امنیت پولشان تا حد زیادی به خودشان بستگی دارد. توصیه کنید روی دستگاهی که از آن برای تجارت استفاده می‌کنند راهکار امنیتی نصب کنند.

از همان روز اول مکانیزم‌های امنیتی در توسعه‌های خود پیاده‌سازی کنید. بدان‌معنا که ممنوعیت ورود پسورد ضعیف اعمال کنید، رمزنگاری و LOG OUT خودکار (برای کاربران غیرفعال) را نیز لحاظ نمایید.

[1] FinTech (فناوری مالی) به معنای کاربرد نوآورانه فناوری در ارائه خدمات مالی است

[2] zero tolerance

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.