روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ گرچه قدمت برنامه‌های مخرب که کارشان شکار پسورد، داده‌های مالی و حساس است به بیش از بیست سال می‌رسد اما عبارت «سارق داده» اوایل دهه 2010 متولد شد. با این وجود اخیراً این نوع نسبتاً ساده بدافزار نقش غیرمنتظره‌ای پیدا کرده- می‌تواند عاملی باشد برای پیشبرد هک‌ها و حملات سایبری هدف‌دار بسیار بزرگ. برای مثال، سرقت داده 500 میلیون مشتری Ticketmaster و حمله باج‌افزاری به وزارت بهداشت برزیل هر دو را که دنبال کنید در انتها به سارقین اطلاعات می‌رسید. چالش اصلی در مورد سارقین این است که نمی‌توانند در محیط شرکت به تنهایی در سطح زیرساخت شکست داده شوند. فعالیت‌های غیرکاری و دستگاه‌های شخصی کارمندان همچنین نیاز به یک سری ملاحظات دارند.

سارقین داده‌ی مدرن

سارقین داده برنامه‌هایی هستند که بی‌رویه روی هر دستگاه قابل‌دسترسی توسط عاملین تهدید که دنبال سرقت داده‌های حساس از هر نوع هستند نصب می‌شوند. تارگت اصلی پسوردهای اکانت، اطلاعات کیف‌پول‌های دیجیتال، جزئیات کارت‌های اعتباری و کوکی‌های مرورگر است. مورد آخر می‌تواند برای سرقت سشن کاربر در سرویس آنلاین استفاده شود. به بیانی دیگر اگر قربانی داخل مرورگر وارد اکانت کاری شده باشد، مهاجم با کپی کردن کوکی‌ها در کامپیوتر دیگر در برخی موارد می‌تواند بدون اینکه حتی اطلاعات قربانی را بداند به آن دسترسی پیدا کند. سارقین داده همچنین می‌توانند ایمیل و پیام‌های چت را رهگیری کرده، داکیومنت‌ها را سرقت کرده و تصاویر را دزدیده و از اسکرین یا پنجره‌های برخی اپ‌ها اسکرین شات بگیرند. نمونه‌های عجیب و غریبی وجود دارند که از شناخت کاراکتر اوتیکال برای لود کردن متن در فایل‌های تصویر jpg (برای مثال تصاویری از پسوردها و داده‌های مالی) استفاده می‌کنند. سارق داده همه داده‌های جمع‌شده را به سرور c2 می‌فرستد؛ جایی که در انتظار فروش مجدد روی دارک‌وب ذخیره می‌شوند.

از جمله پیشرفت‌های فنی سال‌های اخیر در زمینه دزدهای اطلاعاتی می‌توان به روش‌های جدید سرقت داده‌ها از فضای ذخیره‌سازی مرورگر محافظت‌شده، معماری ماژولار برای جمع‌آوری انواع جدید داده‌ها از رایانه‌هایی که قبلاً آلوده شده‌اند، و مهاجرت به یک مدل سرویس برای توزیع این بدافزار اشاره کرد. بازار جرایم سایبری نیازمند دزدهای اطلاعاتی همه کاره است؛ آن‌هایی که قادر به سرقت داده از کلی مرورگر، کیف پول دیجیتال و اپ‌های محبوب مانند استیم و تلگرام هستند. سارقین باید همچنین در برابر شناسایی توسط نرم‌افزارهای امنیتی مقاوم باشند و این یعنی باید توسعه‌دهندگان حواسشان باشد مدام بدافزارهای خود را تغییر دهند، بسته‌بندی‌شان را دستکاری کرده و آن‌ها را به ابزارهای دیباگ و ضدتحلیل تجهیز کنند. «فروشندگان» همچنین اغلب نیاز به آپلود بدافزار بسته بندی‌شده در سایت‌های میزبانی مختلف دارند. این امر ضروری است زیرا منابع قدیمی بدافزار به سرعت توسط شرکت‌های infosec با همکاری موتورهای جستجو و ارائه دهندگان هاست مسدود می‌شوند. سارقین داده عمدتاً برای سیستم‌های Windows و macOS ساخته می‌شوند – با این مورد دومی که به دور از عجیب‌وغریب است اما بخش رو به رشدی در بازار مجرمان سایبری است. سارقین مخصوص اندروید هم وجود دارند. برخی از کانال‌های تحویل متداول برای دزدهای اطلاعاتی عبارتند از: هرزنامه و فیشینگ، تبلیغات مخرب، و مسمومیت SEO.

علاوه بر کمپین‌هایی که شامل دزدان اطلاعاتی می‌شود که با نرم‌افزار هک‌شده یا تقلب‌های بازی همراه هستند، چنین بدافزاری ممکن است تحت پوشش مرورگر یا به‌روزرسانی آنتی‌ویروس و همچنین برنامه‌های کنفرانس ویدیویی نصب شود. اما به طور کلی، مهاجمین بر روی zeitgeist نظارت می‌کنند و بدافزار خود را بر این اساس می‌پوشانند: امسال، تولیدکننده‌های تصویر AI تقلبی محبوب بودند، و در طول قطع جهانی CrowdStrike، حتی یک infodealer به عنوان دستورالعمل‌های بازیابی دستگاه ظاهر شد.

اکوسیستم سارق داده

تقسیم کار در جهان جرایم سایبری شدیداً ریشه دوانده است. برخی عاملین تهدید سارقین داده مخصوص خود را به اضافه ابزارهایی برای مدیریتشان توسعه می‌دهند. برخی عاملین دیگر با استفاده از فیشینگ و سایر تکنیک‌ها این برنامه‌ها را روی دستگاه قربانیان دریافت می‌کنند. و عده‌ای دیگر از داده‌های سرقتی استفاده می‌کنند. اینها سه دسته‌بندی مجرمان را تشکیل می‌دهند که معمولاً به طور مستقل از هم عمل می‌کنند و نه به صورت گروهی اما با همدیگر روابط تجاری دارند. اولین‌شان به طور فزاینده‌ای تحت مدل MaaS سارقین داده را ارائه می‌دهند و اغلب پکیج‌ها داشبورد کلود محور برای سفارشی‌سازی دارند. اپراتورهای حملات واقعی بدافزار را پخش می‌کنند اما خودشان از داده‌های دزدیده شده استفاده نمی‌کنند – در عوض پایگاه‌های اطلاعاتی بزرگی از اطلاعات جمع‌آوری‌شده را برای فروش در انجمن‌های زیرزمینی قرار می‌دهند؛ جایی که مجرمان سایبری دیگر آنها را خریده و با استفاده از ابزارهای ویژه داده‌های خاصی را که می‌خواهند جستجو می‌کنند. همین پایگاه داده را می‌توان بارها خریداری و دوباره بسته‌بندی کرد: برخی از خریداران حساب‌های بازی را استخراج می‌کنند، برخی دیگر به دنبال جزئیات کارت بانکی یا حساب‌ها در سیستم‌های شرکتی می‌گردند.

این نوع دوم از داده‌ها به طور خاص از سال 2020 محبوبیت پیدا کرده‌اند زیرا بازیگران تهدید متوجه شدند روشی مخفیانه و موثر برای نفوذ به یک سازمان وجود دارد. حساب‌های دزدیده شده به آن‌ها این امکان را می‌دهد تا بدون سوءاستفاده از آسیب‌پذیری‌ها یا بدافزارها، به‌عنوان یک کاربر واقعی وارد یک سیستم شرکتی شوند - بنابراین هیچ شکی برانگیخته نمی‌شود. همه‌گیری COVID-19 شرکت‌ها را مجبور کرد تا از خدمات ابری بیشتر استفاده کنند و اجازه دسترسی از راه دور به سیستم‌های خود را بدهند، که باعث شد تعداد کسب‌وکارهای بالقوه آسیب‌پذیر افزایش یابد. و تعداد بیشتری از کارکنان شرکت در حال حاضر از دسترسی از راه دور از رایانه های شخصی استفاده می کنند، جایی که سیاست‌های امنیت اطلاعات به خوبی اجرا نمی شود (اگر اصلاً وجود داشته باشد). بنابراین، یک رایانه خانگی آلوده به سرقت اطلاعات در نهایت می‌تواند منجر به مهمانان ناخواسته در شبکه شرکت شود. مهاجمینی که اعتبار شرکتی را به دست آورده‌اند اعتبار آنها را تأیید کرده و این داده‌های فیلتر شده را به اپراتورهای حملات سایبری هدفمند منتقل می‌کنند.

راهکارهای امنیتی

امنیت‌بخشی هر کامپیوتر و اسمارت‌فون سازمانی (EDR/EMM) تنها شروع ماجراست. باید همچنین از همه دستگاه‌های شخصی کارمندان در برابر سارقین داده محافظت کرد و در صورت عفونت، باید از عواقب کاست. چندینراه برای پرداختن به این مسئله وجود دارد که برخی‌شان همدیگر را تکمیل می‌کنند:

•         دسترسی به سیستم‌های شرکتی از دستگاه‌های شخصی را ممنوع کنید. شاید این راهکار سخت باشد و همیشه هم به درد نخورد. مشکل را به طور کامل برطرف نمی‌کند: به عنوان مثال، اگر شرکت شما از خدمات کلود عمومی (ایمیل، ذخیره سازی فایل، CRM)برای کارهای کاری استفاده می‌کند، ممنوعیت عمومی غیرممکن خواهد بود.
•         از خط‌مشی‌های گروهی برای غیرفعال کردن همگام‌سازی مرورگر در رایانه‌های شرکتی استفاده کنید تا گذرواژه‌ها در دستگاه‌های شخصی قرار نگیرند.
•         احراز هویت دو عاملی ضد فیشینگ را در محیط شرکت، در تمام خدمات مهم داخلی و عمومی اجرا کنید.
•         اجباری کردن نصب راه حل Enterprise Mobility Management (EMM) بر روی لپ تاپ ها و تلفن های هوشمند شخصی به منظور نظارت بر امنیت آنها (پایگاه های اطلاعاتی راهکارهای امنیتی به روز را بررسی کنید، آیا راه حل غیرفعال است و آیا دستگاه ها رمز عبور هستند یا خیر- و محافظت شده در برابر رمزگذاری). یک سیستم EMM که به درستی پیکربندی شده باشد، جداسازی دقیق کار و داده‌های شخصی را در دستگاه کارمند حفظ کرده و بر فایل ها و برنامه‌های شخصی تأثیر نمی‌گذارد.
•         یک سیستم مدیریت هویت پیشرفته (برای حساب‌های کارمندان، دستگاه‌ها و سرویس‌های نرم‌افزاری) در سراسر سازمان خود برای کمک به مکان‌یابی سریع و مسدود کردن حساب‌هایی که رفتار غیرعادی نشان می‌دهند، مستقر کنید. به عنوان مثال، این کار از ورود کارکنان به سیستم‌هایی که برای کار یا مکان‌های مشکوک لازم نیست، جلوگیری می‌کند.
•         با گزارش‌های زنده در مورد نشت‌های تازه داده‌های شرکت خود (از جمله حساب‌های دزدیده شده)، جدیدترین اطلاعات تهدیدهای دارک‌وب را دریافت کنید.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.