راه‌های دزدیدن یا تصاحب حساب کاربری و مقابله با آن را بشناسید

تصاحب حساب کاربری (ATO) همیشه در سر خط خبرها نمی‌آید، بلکه هجمه‌ای وسیع از حملات به زنجیره‌های تأمین و زیرساخت‌های حیاتی باعث شده تا توجه ما به طور کامل به این مسأله جلب شود. حملاتی که به JBS، Colonial Pipeline، سولاروایند و دو کارخانه تصفیه آب شده است، همه و همه بر اثر تصاحب حساب بوده است. در هر یک از این موارد، هکرها توانسته‌اند تا از اعتبارنامه‌های کرک‌شده یا به سرقت‌رفته استفاده کنند و یک حساب معتبر را تصاحب کرده و اختیار آن را در دست گیرند.

فرض بر این است که در تمامی اتفاقاتی که منجر به تصاحب حساب کاربری می‌شود، خرابی و شلوغی انبوه به وجود نمی‌آید. اما همه هکرها می‌دانند که کار ساده‌تر برای آن‌ها این است که در جلوی درب جلویی شما قدم بزنند و سعی نمی‌کنند که به دنبال حفره‌ای در ابزار دفاع سایبری شما باشند. آن‌ها با استفاده از نام کاربری و کلمه عبور درست، امنیت قبلی را دور می‌زنند که یک روش ورود سنتی به سیستم است و خود را به عنوان یک کاربر مشروع جلوه می‌دهند.

هکرهای حرفه‌ای می‌توانند از داخل حساب‌های ویژه شما را به دست آورند، آسیب‌پذیری‌ها را بیابند، بک‌دور بزنند و اطلاعات شما را رمز کنند. آن‌چه که شما در مرحله بعدی با آن روبه‌رو می‌شوید، یک باج‌گیری است. این وضعیت هم یکی از بدترین سناریوهایی است که ابتدا به صورت یک تصاحب حساب کاربری (ATO) ساده بوده است.

در این مقاله، مسأله تصاحب حساب را با جزئیات بیشتری مرور می‌کنیم و در خصوص تاکتیک‌های مورد استفاده و این‌که اساساً ATOها به چه دلیل پدید می‌آیند هم صحبت خواهیم کرد. پس از آن‌که تصویر کاملی از این موضوع به دست آوردید، به شما خواهم گفت که چرا استفاده از پروتکل FIDO2 بهترین گزینه دفاعی برای شما به حساب می‌آید.

تصاحب حساب کاربری چیست؟

هر ساله میلیون‌ها تصاحب حساب (ATO) اتفاق می‌افتد که چندان مورد توجه قرار نمی‌گیرد. زیرا فقط تعداد اندکی از مشتریان را گرفتار می‌کند. شرکت‌ها سعی می‌کنند تا بدون سر و صدای زیاد، فقط به قربانیان این حمله مثلاً بگویند که فقط تعداد اندکی از حساب‌ها با مشکل روبرو شده است، و این‌گونه آن‌ها را مطلع می‌سازند. شاید این کار به آن‌ها دلداری ندهد، اما می‌تواند کمک کند که مشتریان شما این خبر را به رسانه‌ها و جراید انتقال ندهند؟

واقعیت این است که حتی یک بار تصاحب حساب کاربری هم می‌تواند به شرکت شما و مشتریان شما از نظر مالی آسیب برساند. اگر مجرمین بتوانند به حسابی دسترسی پیدا کنند که به یک کارت اعتباری وصل است، چه کارهایی باید انجام دهید که نتوانند جشن بگیرند و به خریدهای آنلاین بپردازند؟

از طرفی نیز مهاجمین می‌توانند از همین اعتبارنامه‌ها در سایت‌های دیگر هم استفاده کنند یا این‌که آن‌ها را در وب تار یا دارک‌وب بفروشند. بیش از ۶۵ درصد از ما از کلمات عبور یکسان برای بسیاری از حساب‌های خود استفاده می‌کنیم و هکرها هم این موضوع را به خوبی می‌دانند.

ATOها چه ضرباتی به توربو تکس وارد کرده‌اند؟

مهاجمین اخیراً توانسته‌اند تا با مجموعه‌ای از تصاحب حساب‌هایی که از اعتبارنامه‌های تکراری سرقت‌شده استفاده می‌کرده‌اند، پلتفرم توربوتکس شرکت اینتوییت را هدف قرار دهد. اینتوییت هم در ماه ژوئن به مشتریان خود اطلاع داده است که مهاجمین ممکن است که به اطلاعات شما مانند نام، شماره بیمه تأمین اجتماعی، آدرس، تاریخ تولد، شماره گواهینامه رانندگی و اطلاعات مالی مانند حقوق و کسورات دسترسی پیدا کرده کرده باشند.

فقط ظرف چند روز، اینتوییت اظهار کرد که این مشکل با بزرگ‌نمایی و غلو در اعداد و ارقام در رسانه‌های اجتماعی شرکت‌ها باید آسیب‌های وارده را کنترل کنند تا بتوانند از برند خود و اعتمادی که در منطقه به آن‌ها وجود دارد، حفاظت کنند. اما مشتریان توربوتکس هشدار دادند که هکرها می‌توانند از این اطلاعات استفاده کرده و هویت‌های آن‌ها را به سرقت ببرند، کارت‌های اعتباری آن‌ها را باز کرده، صورتحساب اجرا کنند و به اعتبار آن‌ها خدشه وارد نمایند.

برای شرکت‌ها هم بسیار مهم است که بتوانند دغدغه‌های مشتریان خود را برطرف سازند. اگر آن‌ها در زمینه اشتباه کنند و توپ را از دست بدهند، مشتریان خود را هم برای همیشه از دست خواهند داد.

آمار و ارقام مربوط به تصاحب حساب

بر اساس گزارش گروه Aite، حملات تصاحب حساب در تمامی صنایع، در مجموع هزینه‌ای بیش از ۱۶ میلیارد دلار داشته است که این مقدار معادل با ۳۰۰ درصد افزایش در سال ۲۰۲۰ است.

یکی از عوامل اصلی در این زمینه آن است که در بیشتر موارد، ATO توسط بات‌ها انجام می‌گیرد. PerimeterX که یکی از فروشندگان در حوزه محافظت در برابر بات‌ها است، می‌گوید که ۷۵-۸۵ درصد از تمام تلاش‌هایی که برای ورود به حساب‌ها در نیمه دوم سال ۲۰۲۰ اتفاق افتاده است، تلاش برای تصاحب حساب بوده است.

Imperva هم که یکی از ارائه‌دهندگان امنیت است، حملات باتی را مورد سرزنش قرار داده و ادعا می‌کند که توانسته تا مورد ۷۰۰،۰۰۰ تلاش در ساعت برای ورود و تصاحب حساب را کاهش دهد.

در روی دیگر سکه، هکرها سعی می‌کنند تا حملات ATO را به صورت خودکار درآورده و آن را به شکل کم و آهسته با یک روند ورود نوعی انجام دهند. آن‌ها چند هفته بین این تلاش‌های خود فاصله می‌اندازند تا شناسایی نشوند. VeriClouds هم که یکی از سرویس‌های بازیابی اعتبارنامه‌ها است، اشاره می‌نماید که بسیاری از شرکت‌ها قربانی حملات تصاحب حساب (ATO) بوده‌اند و کاری هم از دستشان بر نیامده است.

تهدیدات تصاحب حساب کاربری

پیش از آن‌که بخواهید برای برخورد با تصاحب حساب کاربری و مقابله با آن قدمی بردارید، بهتر است روش‌هایی را بشناسید که هکرها با استفاده از آن‌ها، اعتبارنامه‌ها را سرقت کرده و به حساب‌ها حمله می‌کنند.

۱) حملات جستجوی فراگیر (بروت‌فورس)

مرسوم‌ترین روش برای این کار همان حمله جستجوی فراگیر است که به آن شکستن کرک اعتبارنامه‌ها هم می‌گویند. هکرها هزاران کلمه عبور و نام کاربری مشهور را امتحان می‌کنند تا بتوانند به حساب نفوذ کنند. آن‌ها اسکریپت‌هایی را می‌نویسند تا ترکیبی از اعتبارنامه‌ها را امتحان کرده و در نهایت، به حساب وارد شوند.

در حمله جستجوی فراگیر، بات‌نت‌هایی (شبکه‌هایی از رایانه‌های مبتلا به مخرب یا های‌جک‌شده) دارند که حملاتی سریع و در حجم زیاد را انجام می‌دهند. با این کار می‌توانند پیش از آن‌که شناسایی شوند، به بیشترین تعداد حساب‌ها حمله کنند. معمولاً حساب‌ها پس از چند بار تلاش ناموفق برای ورود قفل می‌شوند و بنابراین، مقداری حفاظت به وجود می‌آید. در این هنگام، هکرها به سراغ حساب بعدی می‌روند.

۲) اسپری کلمه عبور

یکی از مدل‌های حمله جستجوی فراگیر، اسپری کلمه عبور است. در این روش، از مجموعه‌ای از اعتبارنامه‌های مشابه برای بسیاری از حساب‌ها استفاده می‌شود. هکرها از این روش استفاده می‌کنند تا بتوانند قفل‌شدن حساب‌ها پس از چند بار تلاش ناموفق را دور بزنند.

درست همانند آن‌چه در حمله جستجوی فراگیر وجود دارد، در اسپری کلمه عبور هم از بات‌هایی استفاده می‌شود که سریع عمل می‌کنند. بنابراین، به سختی می‌توان مهاجم واقعی را شناسایی کرد.

۳) فیشینگ، فیشینگ نیزه‌ای و اسمیشینگ

همه ما با حملات فیشینگ آشنا هستیم، اما باز هم ممکن است ایمیل‌های اغواکننده‌ای که برای ما می‌آید، ما را گول بزند و به سایت‌های جعلی‌ای ببرد که اتفاقاً خوب هم طراحی شده‌اند. همین که وارد می‌شوید، مهاجمین اعتبارنامه‌های شما را به سرقت می‌برند. بر اساس یکی از تحقیقاتی که ایوانتی انجام داده است، ۷۴ درصد از شرکت‌ها در سال ۲۰۲۰ قربانی حملات فیشینگ شده‌اند.

حملات فیشینگ نیزه‌ای بسیار مشابه هستند، با این تفاوت که افراد خاصی را هدف قرار می‌دهند که معمولاً تیم مدیران ارشد هستند. در حمله اسمیشینگ، به جای ارسال ایمیل، پیام‌های متنی ارسال می‌شود. بر اساس یکی از تحقیقاتی که شرکت آبردین انجام داده است، کلاهبردارانی که از اسمیشینگ استفاده می‌کنند، از علایق افراد استفاده می‌کنند و به همین دلیل، مهاجمین در دستگاه‌های موبایل می‌توانند به موفقیت‌های بیشتری دست پیدا کنند.

۴) مهندسی اجتماعی و جستجو

هکرهای حرفه‌ای زمان زیادی را صرف جستجو در رسانه‌های اجتماعی و وب‌سایت‌های مختلف می‌کنند تا بتوانند اطلاعاتی مانند آدرس هدف، شماره تلفن یا نام اعضای خانواده و حیوانات خانگی افراد را به دست آورند. این‌ها سعی می‌کنند تا هر اطلاعاتی که می‌تواند به آن‌ها در پیدا کردن کلمات عبور کند را به دست آورند. این کار برای به دست آوردن پاسخ سؤالات دانشی هم به هکرها کمک می‌کند. تلاش‌های سخت‌کوشانه و متمرکز نیز نمونه‌ای از حملات هدفمند و تصاحب حساب‌های شرکتی است.

۵) استافینگ اعتبارنامه‌ها

ما عادت بدی داریم که معمولاً از یک کلمات عبور یکسانی برای حساب‌های مختلف استفاده می‌کنیم. در این حمله، از همین عادت بد ما استفاده می‌شود. در واقع، بر اساس گزارشاتی که ارائه شده است، هکرها برای حمله به توربوتکس از همین حمله استفاده کرده‌اند.

در بیشتر موارد، مجرمین با انبوهی از اطلاعات اعتبارنامه‌ها که از سایت دیگری سرقت کرده یا در وب تار خریداری کرده‌اند، کار خود را شروع می‌کنند. سپس، از بات‌های خود استفاده کرده و این اعتبارنامه‌ها را در تمامی سایت‌ها و اپلیکیشن‌ها امتحان می‌کنند تا در نهایت، موفق شوند.

۶) حملات مرد میانی (MITM)

احتمالاً تا به حال به شما گفته شده است که از وایفای یا هات‌اسپات در محل‌های عمومی استفاده نکنید. این‌که کلمه عبور نداشته باشید، اولین نشانه‌ای است که نشان می‌دهد که یک هکر چند میز آن طرف‌تر از شما در کافه لاته نشسته و شما را زیر نظر دارد.

هکر می‌تواند با هدایت ترافیک شما به سمت شبکه خود، ارتباط شما را قطع کند و حمله مرد میانی رخ می‌دهد. هکرها سپس می‌توانند شخص دریافت‌کننده را در یک تبادل آنلاین شنود کرده و هویت او را جعل نمایند. در این حالت، هکر دید کاملی نسبت به شخص دارد و می‌تواند اعتبارنامه‌های ورود او را سرقت کرده، اطلاعاتی را منتقل کند، بدافزارهای مورد نظر خود را نصب کرده و بازی‌های جاسوسی انجام دهد.

۷) تبادل SIM

هکرها می‌توانند ارائه‌دهندگان خدمات تلفن همراه را متقاعد سازند که صاحب حساب هستند تا شماره تلفن هدف خود را به یک سیم کارت مشخص منتقل کنند. پس از آن‌که توانستند تا کنترل شماره تلفن را به دست آورند، از احراز هویت پیامک ضعیف استفاده می‌کنند تا حساب را تصاحب کنند. این حمله برای یکی از مهندسین شرکت اپل به نام راب ارس اتفاق افتاده است. در این حمله، مهاجمین توانسته‌اند تا کنترل شماره تلفن او را به دست گیرند و به حساب رمزارز او دست پیدا کنند. او در این حمله، یک میلیون دلار ضرر کرده است.

پیشگیری از تصاحب حساب

بگذریم، بهترین روش برای آن‌که از حملات تصاحب حساب جلوگیری شود، این است که کلمات عبور خود را حذف کنید. وقتی کلمه عبوری وجود ندارد، یعنی هیچ اعتبارنامه‌ای هم نیست که مورد حمله جستجوی فراگیر، فیشینگ، حدس‌زدن، استاف‌شدن، ربوده‌شدن یا دور زدن قرار گیرد. اگر بتوانیم از شر کلمات عبور خلاص شویم، از ۸۰ درصد از تمامی این حملات در امان خواهیم بود. در واقع، این درصد مربوط به نقض‌های امنیتی است که مرتبط با اعتبارنامه‌ها هستند.

روش‌های بیومتریک: جایگزینی برای کلمات عبور

روش‌های مختلفی وجود دارد که با استفاده از آن‌ها می‌توان کاربران را بدون استفاده از کلمه عبور احراز هویت نمود. بیشتر ما با کلیدهای امنیتی که سرپرستان IT از آن‌ها برای دسترسی به ایستگاه‌های کاری و حساب‌های ویژه استفاده می‌کنند، آشنا هستیم. مشکل این‌جا است که توکن‌های سخت‌افزاری گران‌قیمت هستند، مقیاس‌پذیر نبوده و ممکن است گم شوند. این ابزارها برای کارمندان و نه برای مشتریان طراحی شده‌اند.

روش‌های بهتری هم برای تصدیق مشتریان و کارمندان با استفاده از احراز هویت بیومتریک وجود دارد. اثر انگشت و تشخیص چهره، هر دو بسیار امن هستند. زیرا در هر دو حالت هویت کاربر بر اساس ویژگی‌های منحصر به فرد فیزیکی تأیید می‌شود. میلیون‌ها نفر از این روش‌ها برای بازکردن دستگاه‌های خود استفاده کرده‌اند و سادگی در استفاده از آن را ترجیح می‌دهند. شما با استفاده از تنها یک راهکار می‌توانید هم مشکل ضعف امنیتی را برطرف کرده و هم تجربه کاربری بهتری برای مشتری به وجود آورید.

FIDO2 به چه ترتیبی از تصاحب حساب جلوگیری می‌کند؟

در احراز هویت‌های مبتنی بر FIDO2، از رمزنگاری کلید عمومی برای پیشگیری از تصاحب حساب استفاده می‌شود. برای کسانی که تازه کار را شروع می‌کنند، به ازای هر دستگاهی که برای یک حساب ثبت‌نام می‌شود، یک مجموعه منحصر به فرد از کلیدهای رمزنگاری (یک کلید عمومی و یک کلید خصوصی) تخصیص داده می‌شود.قائم‌مقام شرکت ترنسمیت سکوریتی، نیو گلدنبرگ می‌گوید:

در FIDO، عوامل بیومتریک و کلید خصوصی هرگز از روی دستگاه کاربر نهایی از بین نمی‌روند. از روش‌های بیومتریک برای احراز هویت محلّی کاربر بر روی دستگاه استفاده می‌شود. سپس، کلید خصوصی چالش را انجام می‌دهد و آن را به سرور بر می‌گرداند. تنها چیزی که عبور می‌کند، همان چالش علامت‌خورده است.

این بدان معنا است که شاخصه‌های بیومتریک و کلید خصوصی هرگز در حال انتقال نیستند. بنابراین، امکان سرقت آن‌ها با استفاده از حملاتی همچون مرد میانی امکان‌پذیر نیست. FIDO2 همچنین تضمین کرده است که هیچ دیتابیس مرکزی مشخصی برای هویت‌های بیومتریک وجود ندارد که هکرها بتوانند آن را هدف قرار دهند. گلدنبرگ می‌گوید:

حتی اگر کسی بتواند به سرور نفوذ کند، باز هم نمی‌تواند هویت افراد را جعل کند. زیرا کلیدهای خصوصی و شاخصه‌های بیومتریک در آن سرور وجود ندارند. این مشخصه‌ها به صورت امن بر روی خود دستگاه‌های شخص قرار دارند.

کار کردن بدون هیچ‌گونه کلمه عبور

توجه داشته باشید که احراز هویت بیومتریک شما را از دردسرهای استفاده از کلمات عبور خلاص می‌کند و با این کار، بسیاری از تهدیدات ناشی از تصاحب کلمه عبور از بین می‌‌رود. اما یک مسأله مهم مطرح است. بسیار مهم و حیاتی است که شما تمامی کلمات عبور خود را حذف کنید، زیرا احراز هویت شما بر اساس ضعیف‌ترین لینک شما قدرت دارد. شما نمی‌توانید از کلمات عبور در فرآیند پشتیبانی رو به عقب (فال‌بک) خود استفاده کنید یا این‌که آن را در کش خود نگه دارید.