روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛یکی از مهمترین نکاتی که همیشه در امنیت سایبری یادآور می شویم این است که اگر به URL صفحه مشکوک هستید و از نظر شما صفحه ای عجیب و غریب به نظر می رسد، هرگز نباید در آن ها لوگین کنید و رمزعبور، اطلاعات کاربری و چیزهای مهم دیگر را وارد کنید. لینک های عجیب و غریب گاهی نشانه ی خطر هستند. اگر که شما به جای facebook.com، fasebook.com را مشاهده می کنید، این لینکی عجیب و غریب و مشکوک است و کاملا هم واضح است.
اما اگر صفحه ی وب جعلی بر روی یک صفحه ی رسمی و قانونی باشد چطور می شود؟ این سناریو خیلی هم غیر قابل باور به نظر نمی رسد. اجازه دهید این شیوه ی فریب را کمی بیشتر توضیح دهیم:
هایجکینگ و تغییر درخواست های DNS
DNS یا سیستم نام دامنه به منزله دفترچه تلفن اینترنت است، و درخواست را برای ارتباط با صفحات وب آسان می کند. در واقع این سرویس تضمین می کند زمانی که آدرس پایگاهی را در مرورگرتان وارد می کنید، به همانجا هدایت شوید. هربار که شما یک آدرس وبسایت را در قسمت آدرس مرورگر وارد می کنید، کامپیوتر شما درخواستی را برای ارسال به سرور DNS تعیین می کند تا آدرس دامنه ی شما را به اصطلاح ترجمه کند.
به عنوان مثال، زمانی که شما google.com را تایپ می کنید، سرور مربوطه DNS، آن را با آدرس آی پی 87.245.200.153 ترجمه می کند، این آدرس همان جایی است که شما قصد دارید به آنجا بروید. در تصویر زیر بیشتر متوجه عملکرد DNS خواهید شد.
اما چیزی که در اینجا وجود دارد این است که مجرمان می توانند سرور DNS خود را در آدرس آی پی دیگری (مثلا 6.6.6.6) در پاسخ به درخواست شما مثلا برای سایت google.com ایجاد کنند و این آدرس ممکن است میزبان یک وبسایت مخرب باشد. به این روش ربودن DNS یا هایجکینگ DNS گفته می شود.
در حال حاضر رمز موفقیت این جنایت وابسته به یک روشی است که قربانی را مجبور می سازد تا از یک سرور DNS مخرب که آن ها را به یک وب سایت مخرب به جای یک وب سایت مشروع هدایت می کند استفاده کنند. حالا توسعه دهندگان این تروجان چگونگی این کار را انجام دادند؟
سوییچر چگونه عمل میکند؟
توسعه دهندگان سوییچر یک جفت اپلیکیشن اندروید را ایجاد کردند که یک از آن ها به تقلید از Baidu ( برنامه ای مشابه گوگل اما در چین) و دیگر یکی آن به عنوان یک برنامه ی جستجوگر برای رمز عبورهای عمومی به شمار می رفت تا به کاربران کمک کند رمزعبورهای خود را در هات اسپات های عمومی به اشتراک بگذارند. این نوع از خدمات در چین بسیار رایج و محبوب است.
هنگامی که برنامه های مخرب، گوشی های هوشمند متصل به شبکه ی وای فای را مورد هدف قرار می دادند، با یک سرور فرمان و کنترل ارتباط برقرار می شد و گزارشی بر اساس این که تروجان در یک شبکه ی خاص فعال شده است، داده می شد. و همچنین یک آیدی شبکه ایجاد می شد.
سپس سوییچر شروع به هک روتر وای فای می کرد. این روند روی ادمین های مختلفی که برای ورود به قسمت تنظیمات اقدام می کردند انجام می شد. این روش تنها روی روترهای TP-Link با موفقیت انجام می شد.
اگر تروجان موفق به شناسایی اعتبار می شد، به صفحه ی تنظیمات روتر می رفت و آدرس سرور پیش فرض DNS را به یک صفحه مخرب تغییر می داد. همچنین این بدافزار یک سرور DNS گوگل در 8.8.8.8 به عنوان DNS ثانویه ایجاد می کرد، به طوری که اگر سرور DNS مخرب از کار هم می افتاد، قربانی متوجه آن نمی شد.
در اکثر شبکه های بی سیم، دستگاه ها تنظیمات شبکه ی خود را ( مثل آدرس یک سرور DNS ) از روترها دریافت می کردند، بنابراین تمام کاربرانی که به یک شبکه ی به خطر افتاده متصل بودند، به طور پیش فرض از سرورهای DNS مخرب استفاده خواهند می کردند. پس از اتمام عملیات، تروجان گزارش موفقیت خود را به سرور فرمان و کنترل گزارش می کرد.
عملیاتی که در بالا گفته شد، سناریویی واقعی بود که اگر تعداد سیستم های گزارش شده دقیق باشند، در کمتر از 4 ماه، این بدافزار توانسته بود 1,280 شبکه ی بی سیم را آلوده کند.
چگونه در برابر حملات این چنینی محافظت شویم؟
- تنظیمات وای فای خود را از حالت پیش فرض درآورده و آن را تنظیم کنید. در ابتدا، رمز آن را به رمزی پیچیده تغییر دهید.
- از نصب اپلیکیشن های مشکوک بر روی تلفن های هوشمند اندرویدی خود خودداری کنید. آن ها را فقط و فقط از فروشگاه های رسمی دانلود کنید، اگرچه متاسفانه در برخی مواقع نیز تروجان ها به فروشگاه های رسمی هم رخنه می کنند، اما در کل آن ها قابل اعتماد تر از فروشگاه های بی نام و نشان و غیر رسمی هستند.
- حتما از یک راهکار امنیتی قابل اعتماد برای تمام دستگاه های متصل خود استفاده کنید. این اخطار ما را جدی بگیرید. اگرکه درگیر این تروجان شده اید می توانید، از نسخه ی اندروید کسپرسکی برای موبایل خود استفاده کنید. راهکار امنیتی ما این بدافزار را با Trojan.AndroidOS.Switcher شناسایی کرده و شبکه ی وای فای شما را در برابر آن حفظ خواهد کرد.
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.