روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ در سال 2019، بازار سهام جهانی تا 17 تریلیون دلار رشد داشت و علیرغم اینکه بازارهای جهانی در پی پاندمی ویروس کرونا حسابی ویران شده اما سود سرمایه از بین نرفته است. با شروع سال 2020 تعداد کاربران اپهای تجاری به تنهایی رشد چشمگیری داشته است. البته بخش منفیاش را هم اگر بخواهیم در نظر بگیریم، داراییها و دادههای شخصی تاجران اینترنتی طعمهای شده برای مجرمان سایبری. در صورت بروز چنین اتفاقی، این پلتفرم تجاری مربوطه است که باید پاسخگوی عواقب و خسارات وارد آمده باشد. در این مقاله با شما از سه تهدید اصلی که شرکتها با آن مواجه میشوند و روشهای غلبه بر این چالشها گفتهایم. با ما همراه بمانید.
آسیبپذیریهای اپ
پلتفرمهای تجاری مانند هر نرمافزار دیگری دچار آسیبپذیری میشوند. در سال 2018، آلیهاندرو هرناندز، متخصص امنیت سایبری در 79 اپ تجاری حفره امنیتی پیدا کرد. برخی از این اپها حتی برای ذخیره یا انتقال داده از رمزنگاری هم استفاده ننموده (هر کسی امکان داشت این داده را ببیند و یا تغییرش دهد) و کاربران را بعد از مدت مدیدی غیرفعال بودن از اپ، log out نکرده بودند. پسوردهای ضعیف یکی از عیوب در سطح طراحی بود. یک سال بعد، تحلیلگران ImmuniWeb تحقیق مشابهی انجام دادند و به نتیجهی منفی یکسانی هم رسیدند: از هر 100 پیشرفت فینتک[1] که مورد بررسی قرار دادند همهشان تا حدی از خود آسیبپذیری نشان دادند. عیوب هم در وب و هم در اپهای موبایل پیدا شده بود؛ کلی از باگها نتیجهی توسعههای طرفسوم و ابزارهایی بودند که برنامهنویسان ازشان استفاده میکردند. پچهای برخی از این آسیبپذیریها خیلی وقت بود وجود داشتند اما هرگز به کار برده نشدند. یکی از این پچها سال 2012 منتشر شد اما نویسندگان اپ فینتک هرگز سمت نصبش هم نرفتند. پر واضح است که اگر محصولی مسائل امنیتی داشته باشد، دیر یا زود این مسائل آشکار خواهد شد و همین بالقوه میتواند اعتبار شرکتها را خدشهدار کرده و مشتریان را نیز بترساند. و اگر –در نتیجهی باگی در اپ- کاربران نشت داده یا خسارت مالی ببینند، توسعهدهنده مجبور به پردخت خسارت واردآمده خواهد شد و عواقب این مسئله او را به دردسر بزرگی خواهد انداخت.
برخیاوقات، سازنده یک پلتفرم تنها قربانی قصه است. برای مثال، نویسندگان اپ تجازی رابینهود نتوانستند باگی را که به کاربران پریمیوم اجازهی قرض گرفتن پول از پلتفرم (برای تجارت امنیت) میداد شناسایی کنند و همین باعث شد کاربری در ازای فقط 4 هزار دلار، یک میلیون دلار قرض بگیرد. تاجران نام آن را «کد تقلب بینهایت پول» گذاشتند. برای جلوگیری از چنین خساراتی که باگها و آسیبپذیریها میتوانند روی دست بگذارند، کدنویسهای پلتفرم تجاری باید جوانب امنیتی را رعایت نموده و بُعد توسعه اپ را مد نظر قرار دهند. آنها میبایست از قبل حواسشان به اموری چون log out خودکار کاربر، رمزنگاری و ممنوعیت پسوردهای ضعیف باشد. همچنین میبایست مرتباً کد خطاها را تحلیل کرده و فوراً آنها را برطرف کنند.
حملات زنجیره تأمین
برای صرفهجویی در زمان و هزینهها، بیشتر شرکتها نه تنها کد مخصوص به خود را مینویسند که همچنین توسعههای طرفسوم، فریمورکها و سرویسهای خود را نیز به کار میبرند. اگر زیرساخت یک ارائهدهنده دستکاری شود، شرکتهایی که از آن استفاده میکنند نیز تحتالشعاع قرار خواهند گرفت. این اتفاقیست که به عنوان مثال برای کارگزار ارزی Pepperstone افتاد. در آگست 2020 مجرمان سایبری کامپیوترهای یک پیمانکار شرکت را آلوده کردند و به اکانتش در سیستم سیآراِم Pepperstone دسترسی پیدا کردند. گرچه این حمله خیلی سریع خنثی شد اما مهاجمین در همین فرصت کوتاه توانستند برخی از دادههای کلاینت را سرقت کنند. به گفتهی این کارگزاری سیستمهای مالی و تجاریِ آن آلوده نشده بود. در عین حال، بازیابی دادههای نشتشده برای شرکتها –درصورتیکه کد طرفسوم تقصیرکار باشد- میتواند بسیار هزینهبر باشد. به منظور جلوگیری از ویرانیهای احتمالی، همیشه شرکای مطمئن و امنیتمحور را انتخاب کنید و هرگز به خود مکانیزمهای محافظتی بسنده ننمایید. هر شرکتی در حوزه مالی میبایست خطمشی امنیتی سختگیرانهای را اتخاذ کند.
اسپیر فیشینگ
عامل انسانی اغلب دلیل رخدادهای سایبری است برای همین است که مهاجمین برای نفوذ به زیرساختهای سازمانی از کارمندان شرکت استفاده میکنند. جولای سال جاری، محققین امنیت سایبری یک سری حملات روی مؤسسات فینتک را در اتحادیه اروپا، انگلستان، کانادا و استرالیا بهم متصل کردند و پی بردند همه حملات توسط گروه APTبه نام Evilnum رهبری میشده است. مجرمان سایبری در حقیقت ایمیلهایی به کارمندان شرکت فرستاده بودند که در آنها لینکی درج شده بود. این لینک، کارمندان را به آرشیو ZIP به میزبانی سرویس قانونی کلود هدایت میکرد. پیامها خود را شبیه مکاتبات تجاری کرده و محتواهای آرشیو هم در لباس داکیومنتها یا تصاویر ظاهر شده بودند. گرچه داکیومنت یا تصویر وعده دادهشده روی نمایشگر ظاهر میشود اما وقتی بازش میکنید در واقع گویی زنجیره آلودگی را به جریان انداختهاید. برخیاوقات مهاجمین به اکانتهای ایمیل سازمانی هجوم میآورند که همین شاید فیشینگشان را از قبل قانعکنندهتر نیز بکند. آگست سال جاری، چنین حملهای به شرکت تجاری تحت عنوان Virtu شد. طبق گزارشات این شرکت، مجرمان سایبری به میلباکس مدیر ارشد نفوذ کرده بودند و دو هفتهی بعدی را صرف ارسال ایمیلهایی به دپارتمان حسابداری کرده بودند (دستور داده بودند مقادیر بالایی پول به چین انتقال داده شود). این اعتماد کورکورانه برای شرکت چیزی حدود 11 میلیون دلار آب خورد. کارمندان امنیت فضای مجازی برای مقابله با چنین حملاتی به آموزش صحیح نیاز دارند. فهرستی از پرچمهای قرمز فیشینگ را در ایمیلهای جمعآوری کرده و از آن فهرست برای مهندسی جریان اقدامات استفاده کنید.
مشکلات کلاینت
برخیاوقات کاربران پول خود را نه از بابت قصور شرکت یا اپ شما که با دانلود بدافزار، وارد کردن پسوردهایی روی سایتهای فیشیگ یا سهلانگاریهای دیگر از دست میدهند. البته افسوس که در این مورد هم باز بیجهت پای پلتفرم تجاری گیر خواهد بود: در برخی از کشورها، شرکتها به طور قانونی موظفند از رخدادها باخبر باشند؛ پس شاید بهتر آن باشد که هر از چندگاهی خطرات احتمالی را در نظر بگیرند و از کاربران بخواهند جوانب حفاظتی را رعایت کنند. همچنین خوب است اگر به صورت دورهای به کلاینتهای خود یادآوری کنید که هر نرمافزار طرفسومی –خصوصاً اگر پایرتشده باشد یا از منابع مشکوکی بدست آمده باشد- میتواند نوعی تهدید محسوب شود. برای مثال، چنین نرمافزاری قادر است پسوردها را (از جمله آنی که مخصوص اکانتهای تجاری است) سرقت کند. به کلاینتهای خود هشدار دهید که مجرمان سایبری ممکن است برای استخراج اطلاعات محرمانه آنها خود را جای شما جا بزنند. بدانها توصیه کنید حسابی به ایمیلهایی در خصوص مشکلات سرویس دقت کنند و آدرس و پیام فرستنده را با دقت بالا بررسی کنند (غلط املایی و گرامر میتواند زنگ خطر باشد!). توصیه کنید به طور دستی در مرورگر خود یوآرال وارد کنند، اپ باز کنند یا در صورت بروز هر شکی با تیم فناوری تماس بگیرند.
راهکارهای امنیتی
مدیریت پول مسئولیت سنگینی دارد و اگر هر مورد امنیتی از قلم انداخته شود خسارات سنگینی متوجه شرکتهای فینتک خواهد شد. بنابراین:
- امنیت اپها و برنامههای خود را زیر نظر قرار دهید. اسکن آنها برای پیدا کردن آسیبپذیریها و نمایش تحمل صفر[2] برای باگها و خطاها.
- نصب راهکار امنیتی مطمئن روی دستگاههای کاری؛ در حالت ایدهآل راهکاری که مبتنی بر کلود باشد و بشود آن را از یک کنترل پنل واحد مدیریت کرد.
- آموزش اصول امنیت سایبری به کارمندان؛ بدینترتیب آنها اشتباهاتی که بخواهد خسارت مالی و پول و اعصاب شما را نشانه بگیرد مرتکب نخواهند شد.
- استفاده از خطمشی امنیتی سرسختانه و قابلاجرا برای کارمندان و تأمینکنندگان طرفسوم.
- به مشتریان یادآوری کنید که امنیت پولشان تا حد زیادی به خودشان بستگی دارد. توصیه کنید روی دستگاهی که از آن برای تجارت استفاده میکنند راهکار امنیتی نصب کنند.
از همان روز اول مکانیزمهای امنیتی در توسعههای خود پیادهسازی کنید. بدانمعنا که ممنوعیت ورود پسورد ضعیف اعمال کنید، رمزنگاری و LOG OUT خودکار (برای کاربران غیرفعال) را نیز لحاظ نمایید.
[1] FinTech (فناوری مالی) به معنای کاربرد نوآورانه فناوری در ارائه خدمات مالی است
[2] zero tolerance
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
