روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ برای دهه‌ها به ما قصه‌هایی گفتند از هکرهای دانا و همه‌چیزدان که از تکنیک‌های پیچیده‌ی مهندسی اجتماعی استفاده می‌کنند- یعنی افراد را فریب می‌دهند تا اطلاعات محرمانه خود را بدون تهدیدهای خشونت‌آمیز یا سایر رفتارهای سوء یا حتی مجبور کردن آن‌ها برای انجام سایر کارهای سهل‌انگارانه (از دیدگاه امنیت اطلاعاتی) دو دستی تقدیم‌شان کنند. مشکل این است که چنین قصه‌هایی می‌تواند دریافت فرد را از واقعیت مبهم کند. لابد با خود فکر می‌کنید افراد چون کلی داستان در مورد این جادوگر تکنولوژیکی شنیده‌اند باید از همه این ترفندها باخبر باشند. اما اصلاً چنین نیست. در ادامه سه مورد از هک‌های سال‌های اخیر را شرح داده‌ایم که نشان می‌دهد روش مهندسی اجتماعی هنوز تهدیدی بالقوه است و شاید بیش از همیشه باید آن را جدی گرفت. با ما همراه بمانید.

حتی یک بچه مدرسه‌ای هم می‌تواند مدیر CIA را هک کند

بیایید با داستانی شروع کنیم که می‌تواند براحتی عنوان یک فیلم هالیوودی شود. چیزی مانند «هکرها در مقابل جاسوس‌ها». با این حال بیشتر ژانرش کمدی خواهد بود تا اکشن و هیجان‌‌انگیز. در اکتبر سال 2015 گروه هکری به نام Crackas With Attitude از مهندسی اجتماعی برای پیدا کردن دسترسی به اکانت شخصی  AOL رئیس CIA جان برنان استفاده کرد. این هک با مصاحبه تلفنی با نیویورک پست همراه شد که در آن یکی از اعضای این گروه خود را دانش‌آموز دبیرستانی آمریکایی معرفی کرد. گرچه ایمیل مدیر CIA خصوصی بود اما کلی چیز مرتبط با کارش در آن یافت می‌شد: به طور خاص شماره‌های امنیت ملی و سایر اطلاعات شخصی تعداد زیادی از افسران اطلاعاتی رده‌بالای آمریکا و نیز فایل 47 صفحه‌ای از برگه عدم سوءپیشینه خود برنان.

ماه نوامبر همان سال ماجرا اینطور ادامه پیدا کرد: این بار هکرها اکانت‌های شخصی AOL یک مقام رده بالای دیگر مارک جولیانو معاون اف‌بی‌آی و همسرش را مورد هدف قرار دادند. آنچه هکرها در طی این هک جمع کردند شامل اسامی، آدرس‌های ایمیل و شماره تلفن 3500 کارمند آژانس‌های اجرای قانون آمریکا می‌شد. تنها چند ماه بعد در ژانویه 2016 همین هکرها اختیار اکانت‌های شخصی جیمز کلپر مدیر اطلاعات ملی را به دست گرفتند. در آخر –ماه فوریه 2016- آن‌ها به طور عمومی داده‌های 9000 کارمند وزارت امنیت داخلی آمریکا را به همراه 20 هزار کارمند سازمان اف‌بی‌آی (که مجرمان ادعا کردند این اطلاعات را با هک کردن وزارت دادگستری آمریکا بدست آوردند) منتشر کردند. همان ماه، یکی از هکرها دستگیر شد. او واقعاً یک بچه دبیرستانی بود (البته نه آمریکایی، او اهل انگلستان بود) که کین گمبل نام داشت. در نتیجه، این هکر –که به او کرکا می‌گفتند و تنها در سن 15 سالگی به این جرای دست زده بود- سرکرده گروه معرفی شد و به دو سال حبس در انگلستان محکوم گشت (که البته فقط 8 ماه آن را سپری کرد) و در همین بازه زمانی از استفاده از اینترنت هم منع شد (که این را کامل گذراند).

چند ماه بعد، دو عضو دیگر Crackas With Attitude در آمریکا دستگیر شدند. این بار دیگر آن‌ها بزرگسال بودند: اندرو اوتو بوگس 23 ساله دو سال در آمریکا حبس کشید و جاستین گری لیورمن نیز با 25 سال به پنج سال حبس محکوم شد.

در طول محاکمه، مشخص شد که برای بیش از شش ماه - از ژوئن 2015 تا فوریه 2016 - گمبل جوان با موفقیت تظاهر کرد که مدیر CIA است و از طرف این سازمان گذرواژه‌های کارکنان مراکز تماس و خطوط تلفن را کلاهبرداری می‌کرده. این گروه با استفاده از این گذرواژه‌ها توانست به اسناد بسیار حساس مربوط به عملیات اطلاعاتی در افغانستان و ایران دسترسی پیدا کند.

هک اکانت‌های توییترِ بایدن، ماسک، اوباما، گیتز و غیره

رخداد بعدی 15 جولای 2020 اتفاق افتاد وقتی که کلی اکانت توییتری شروع کردند به پخش پیام‌های مشابه. «همه بیت‌کوین‌های ارسالی به این آدرس به شما دور برابر برگردانده خواهند شد. اگر 1000 دلار بفرستید 2000 دلار دریافت خواهید کرد. فقط باید این کار را ظرف 30 دقیقه انجام دهید». این یک کلاهبرداری معمولی بیت‌کوین به نظر می‌رسید که اگر نکته مهمی در آن نبود آن را ذکر نمی‌کردیم: همه این حساب‌ها واقعاً متعلق به افراد مشهور و شرکت‌های بزرگ بودند.در ابتدا، پیام‌های کلاهبرداری در حساب‌های توییتر که مستقیماً با ارزهای دیجیتال مرتبط بودند ظاهر شدند:

این جایزه توسط چانگ پنگ ژائو، بنیانگذار Binance  و چندین صرافی دیگر از جمله Coinbase و سایت خبری ارز دیجیتالCoinDesk  اعلام شد.  اما به همین جا ختم نشد، زیرا یکی پس از دیگری، حساب‌های بیشتر و بیشتری متعلق به کارآفرینان مشهور، افراد مشهور، سیاستمداران و شرکت‌ها به این بزم ملحق شدند: اپل، اوبر، باراک اوباما، ایلان ماسک، کیم کارداشیان، بیل گیتس، جو بایدن (که هنوز رئیس جمهور نشده بود)، جف بزوس، کانیه وست؛ و لیست ادامه پیدا کرد.

در چند ساعتی که توییتر تلاش کرد  مشکل را ریشه‌ای پیدا کند، هکرها موفق شدند بیش از 100000 دلار آمریکا جمع‌آوری کنند - مبلغی بسیار خوب، اما چیزی در مقایسه با ضربه‌ای که به این شرکت خورده بود نبود. به زودی مشخص شد که هکرها به سیستم مدیریت حساب داخلی توییتر نفوذ کرده اند. در ابتدا فرض بر این بود که آنها این کار را با کمک خودی انجام دادند. با این حال، کاشف بعمل آمد اینطور نیست. هکرها به سرعت پیدا و دستگیر شدند، و دوباره رهبر گروه یک بچه مدرسه‌ای بود - این بار یک آمریکایی، گراهام ایوان کلارک 17 ساله. او سه سال حبس و سه سال دیگر به صورت مشروط محکوم شد. مهمتر از همه، تحقیقات نشان داد که حمله بدون کمک خودی یا نفوذی انجام شده است. در عوض، هکرها از ترکیبی از مهندسی اجتماعی و فیشینگ استفاده کردند تا کارمندان توییتر را فریب دهند به آنها دسترسی سیستم بدهند.

ابتدا آن‌ها برای شناسایی کارمندان که احتمال می‌رفت به سیستم مدیریت اکانت دسترسی دارند پروفایل‌های لینکدین را بررسی کردند. سپس با استفاده از قابلیت ریکروتر لینکدین، اطلاعات تماس آن‌ها را شامل شماره‌های تماس جمع‌آوری کردند. هکرها سپس با این کارمندان تماس گرفتند و وانمود کردند همکارشانند. آن‌ها از این داده‌ها برای متقاعد کردن آن‌ها برای بازدید از سایت فیشینگ که تقلید از لاگین پیج داخلی توییتر می‌کرد استفاده کردند. بدین‌ترتیب مهاجمین به پسوردها و کدهای احراز هویت دو عاملی دست یافتند و این به آن‌ها اجازه داد وارد سیستم مدیریت اکانت توییتر شوند و اختیار میلیون‌ها فالوور را به دست بگیرند.

Sky Mavis و سرقت پول نیم میلیارد دلاری

این داستان سال 2022 رخ داد. ستاره این قصه اجباری Sky Mavis است؛ سازنده بازیِ ان‌اف‌تی محور Axie Infinity. بگذارید از جزئیات این گیم بگذریم و فقط به همین بسنده کنیم که بازیکنان در آن رمزارز بدست می‌آورند. زمانی برخی ساکنین جنوب شرق آسیا این بازی برایشان حکم شغل واقعی را داشت و این بازی در اوج شهرت خود روزانه تا سقف 2.7 میلیون مخاطب داشت و البته درآمد هفتگی‌اش نیز به چیزی حدود 215 میلیون دلار آمریکا می‌رسید. با این حال در مارس 2022 پیش از رسوایی کریپتویی، Sky Mavis حسابی به دردسر افتاد. در طول حمله به  Ronin Network که زیربنای همه فعالیت‌های رمزارز در Axie Infinity را شکل می‌دهد، هکرها با 173600 ETH و 25.5 میلیون USDC از حساب‌های این شرکت که در زمان حمله حدود 540 میلیون دلار ارزش داشت، دست به کار شدند.

جزئیات این سرقت مالی چند ماه بعد افشا شد (در ماه جولای). مهاجمین از طریق شرکتی جعلی با کارمندان  Sky Mavis در لینکدین تماس گرفتند و آن‌ها را برای مصاحبه شغلی دعوت کردند. در نهایت رسیدند به مهندس ارشد و بعد از چند دور مصاحبه به او پیشنهاد شغلی وسوسه‌انگیز را دادند. پیشنهاد تقلبی در قالب پی‌دی‌افی آلوده که هکرها سعی داشتند با آن به شبکه داخلی شرکت دست پیدا کنند ارسال شد. بعد از آن هکرها که به دسترسی شبکه سازمانی خود را مجهز کرده بودند توانستند اختیار کلیدهای خصوصی را در دست گرفته و تراکنش‌ها را تأیید و سپس رمزارز برداشت کنند.

آن‌ها با نقشه پیچیده‌ای دست به پولشوییزدند: این نقشه شامل دو کریپتومیکسر می‌شد و چیزی حدود 12 هزار کیف‌پول میانجی و در ادامه برگردان به بین‌کوین و در ادامه پول نقد. تحلیلگرانی که به محققین آمریکایی در این امر کمک کردند حمله را به گروه کره شمالی لازاروس نسبت دادند. تنها حدود 10 درصد از ارزش اسمی سکه‌های سرقت شده قابل‌بازیابی است. یا اگر به دلار حساب کنید حدود 5٪: در شش ماه پس از سرقت تا پایان تحقیقات، بازار ارزهای دیجیتال سقوط کرد و باعث شد که نرخ ارز اتریوم کاهش یابد.

راهکارهای امنیتی

مطمئناً هیچ‌کس نمی‌خواهد در معرض این حملات قرار گیرد. اما حقیقت این است که محافظت تمام در برابر مهندسی اجتماعی تقریباً محال است چون مردم را هدف می‌گیرد. برای دفاع مؤثر در برابر ترفندهای مهندسی اجتماعی شرکت شما باید تمرکز خود را روی آموزش کارمندان بگذارد. پلت‌فرم Kaspersky Automated Security Awareness ما برای این منظور فوق‌العاده عمل می‌کند. با ترکیبی از اقدامات و شبیه‌سازی‌ها این راهکار آگاهی از طیف وسیعی از متودهای حمله و راه‌هایی برای دفاع را در پی خواهد داشت. 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.