تهدیدات امنیتی از بزرگترین چالشهای دنیای دیجیتال هستند که امنیت دادهها و سیستمها را به خطر میاندازند. این تهدیدات که توسط افراد یا گروههایی با نیتهای مخرب انجام میشوند، میتوانند منجر به سرقت اطلاعات حساس، ایجاد اختلال در شبکهها یا حتی تخریب کامل سیستمها شوند. در این مقاله به بررسی انواع مختلف تهدیدات امنیتی، از جمله بدافزارها، حملات مهندسی اجتماعی، حملات تزریقی و دیگر روشهای مخرب پرداخته و تأثیرات آنها بر امنیت سایبری را تحلیل میکنیم.
تهدیدات امنیتی چیست؟
تهدیدات امنیتی، اقداماتی هستند که توسط افرادی با نیتهای مخرب انجام میشوند و هدف آنها سرقت دادهها، ایجاد خسارت یا اختلال در سیستمهای رایانهای است. از جمله دستهبندیهای رایج تهدیدات امنیتی میتوان به بدافزارها (Malware)، مهندسی اجتماعی (Social Engineering)، حملات مرد میانی (Man in the Middle)، حملات منع سرویس (Denial of Service) و حملات تزریقی (Injection Attacks) اشاره کرد که در ادامه هر یک از این دستهها به تفصیل توضیح داده شدهاند.
بدافزار یا Malicious Software به نرمافزارهای مخربی اشاره دارد که شامل ویروسها، کرمها، تروجانها، جاسوسافزارها و باجافزارها میشود و یکی از رایجترین انواع حملات سایبری است. بدافزارها معمولاً از طریق لینکهای موجود در وبسایتهای نامطمئن، ایمیلها یا دانلود نرمافزارهای ناخواسته به سیستم نفوذ میکنند. این نرمافزارها میتوانند دادههای حساس را جمعآوری کرده، دسترسی به اجزای شبکه را مختل کرده، دادهها را نابود کرده یا سیستم را کاملاً خاموش کنند.
انواع بدافزارها
ویروسها (Viruses)
کدی مخرب که به یک نرمافزار تزریق میشود. زمانی که نرمافزار اجرا میشود، کد مخرب فعال میگردد و میتواند سیستم را آلوده کند.
کرمها (Worms)
کرمها از آسیبپذیریهای نرمافزار و درهای پشتی (Backdoors) استفاده کرده و به سیستمعامل دسترسی پیدا میکنند. پس از نصب در شبکه، کرمها میتوانند حملاتی مانند حملات منع سرویس توزیعشده (DDoS) را انجام دهند.
تروجانها (Trojans)
نرمافزار یا کدی مخرب که بهعنوان یک برنامه بیخطر مانند بازی، نرمافزار یا پیوست ایمیل ظاهر میشود. کاربران بیاطلاع تروجان را دانلود میکنند و این نرمافزار کنترل دستگاه آنها را به دست میگیرد.
باجافزار (Ransomware)
باجافزار دسترسی کاربر یا سازمان به سیستمها یا دادههای خود را از طریق رمزگذاری مسدود میکند. مهاجم معمولاً برای ارائه کلید رمزگشایی، درخواست باج میکند، اما هیچ تضمینی وجود ندارد که پرداخت باج منجر به بازگرداندن کامل دسترسی شود.
کریپتوجکینگ (Cryptojacking)
مهاجمان نرمافزاری روی دستگاه قربانی نصب میکنند که از منابع پردازشی آن برای تولید ارز دیجیتال استفاده میکند، بدون اطلاع کاربر. این حملات میتوانند عملکرد سیستم را کند کرده و پایداری آن را به خطر بیندازند.
جاسوسافزار (Spyware)
جاسوسافزارها به دادههای حساس کاربران، از جمله رمزهای عبور و اطلاعات پرداخت، دسترسی پیدا میکنند. این بدافزار میتواند مرورگرهای دسکتاپ، تلفنهای همراه و برنامههای دسکتاپ را تحت تأثیر قرار دهد.
نرمافزار تبلیغاتی (Adware)
این نرمافزار فعالیتهای مرورگر کاربران را ردیابی میکند تا تبلیغات هدفمند به آنها نمایش داده شود. گرچه ادور معمولاً بدافزاری با هدف تخریبی نیست، اما میتواند بدون رضایت کاربران حریم خصوصی آنها را به خطر بیندازد.
بدافزار بدون فایل (Fileless Malware)
در این نوع بدافزار، هیچ نرمافزاری روی سیستمعامل نصب نمیشود. فایلهای بومی مانند WMI و PowerShell برای انجام عملکردهای مخرب ویرایش میشوند. این نوع حمله به دلیل استفاده از فایلهای معتبر، شناسایی بسیار دشواری دارد.
روتکیتها (Rootkits)
روتکیتها در نرمافزارها، فریمورها یا هستههای سیستمعامل تزریق شده و به مهاجم دسترسی مدیریتی از راه دور به سیستم میدهند. این حمله به مهاجمان امکان کنترل کامل سیستم را داده و آنها میتوانند بدافزارهای دیگری را نیز به سیستم اضافه کنند.
حملات مهندسی اجتماعی
حملات مهندسی اجتماعی شامل فریب دادن کاربران برای ارائه دسترسی به بدافزار است. قربانیان به دلیل اینکه مهاجم خود را بهعنوان یک فرد معتبر معرفی میکند، اطلاعات حساس را در اختیار او قرار داده یا ناخواسته بدافزار را بر روی دستگاه خود نصب میکنند.
در ادامه به معرفی برخی از رایجترین انواع حملات مهندسی اجتماعی میپردازیم:
طعمهگذاری (Baiting)
در این روش، مهاجم قربانی را با وعده چیزی جذاب، مانند کارت هدیه رایگان، به دام میاندازد. قربانی اطلاعات حساس خود مانند رمز عبور را در اختیار مهاجم قرار میدهد.
جعل پیشزمینه (Pretexting)
مشابه طعمهگذاری، مهاجم قربانی را تحت فشار قرار میدهد تا اطلاعاتی را در اختیار او بگذارد. این روش معمولاً شامل جعل هویت یک فرد معتبر، مانند مأمور پلیس یا کارمند اداره مالیات، است که قربانی احساس میکند باید به او اعتماد کند.
فیشینگ (Phishing)
مهاجم ایمیلهایی ارسال میکند که به نظر میرسد از یک منبع معتبر آمدهاند. این حملات میتوانند گسترده باشند یا بهصورت هدفمند انجام شوند:
- فیشینگ هدفمند (Spear Phishing): ایمیلها برای یک کاربر خاص شخصیسازی میشوند.
- حملات نهنگی (Whaling): مهاجمان افراد باارزش مانند مدیران عامل را هدف قرار میدهند.
ویفیشینگ (Vishing)
در این روش، مهاجم از تماس تلفنی برای فریب قربانی و دریافت اطلاعات حساس استفاده میکند. ویفیشینگ معمولاً افراد مسن را هدف قرار میدهد اما میتواند علیه هر کسی انجام شود.
اسمیشینگ (Smishing)
مهاجم از پیامکها برای فریب قربانی استفاده میکند. این پیامکها معمولاً با ظاهری معتبر و زبان فوری ارسال میشوند.
سوارشدن (Piggybacking)
در این روش، یک کاربر مجاز به فرد دیگری اجازه دسترسی فیزیکی میدهد که از اعتبارنامههای او سوءاستفاده میکند. بهعنوان مثال، یک کارمند ممکن است به کسی که خود را کارمند جدید معرفی میکند، اجازه ورود دهد.
تعقیب پنهانی (Tailgating)
یک فرد غیرمجاز کاربر مجاز را تعقیب میکند و از موقعیت او برای ورود به مکان محافظتشده استفاده میکند. این روش مشابه سوارشدن است، با این تفاوت که کاربر مجاز از سوءاستفاده فرد بیاطلاع است.
حملات زنجیره تأمین (Supply Chain Attacks)
حملات زنجیره تأمین نوع جدیدی از تهدیدات امنیتی برای توسعهدهندگان نرمافزار و فروشندگان است. هدف این حملات آلوده کردن برنامههای معتبر و توزیع بدافزار از طریق کد منبع، فرآیندهای ساخت یا مکانیزمهای بهروزرسانی نرمافزار است.
مهاجمان از پروتکلهای شبکه غیرامن، زیرساختهای سرور و تکنیکهای کدنویسی آسیبپذیر سوءاستفاده میکنند تا فرآیندهای ساخت و بهروزرسانی را به خطر بیندازند، کد منبع را تغییر داده و محتوای مخرب را مخفی کنند.
این حملات به دلیل اینکه برنامههای مورد حمله امضاشده و تأییدشده توسط فروشندگان معتبر هستند، بهویژه خطرناکاند. در چنین حملاتی، فروشنده نرمافزار از آلوده بودن برنامهها یا بهروزرسانیهای خود بیاطلاع است، و کد مخرب با همان سطح اعتماد و مجوزهای برنامه اصلی اجرا میشود.
انواع حملات زنجیره تأمین
- آلوده کردن ابزارهای ساخت یا خط تولید نرمافزار
- اختلال در فرآیندهای امضای کد یا حسابهای توسعهدهنده
- ارسال کد مخرب بهصورت بهروزرسانیهای خودکار برای سختافزار یا فریمور
- کد مخرب پیشنصبشده بر روی دستگاههای فیزیکی
حملات مرد میانی (Man-in-the-Middle Attack)
حملات مرد میانی شامل رهگیری ارتباط بین دو نقطه مانند یک کاربر و یک برنامه است. مهاجم میتواند این ارتباط را شنود کرده، دادههای حساس را سرقت کرده و خود را بهجای هر یک از طرفین معرفی کند.
مثالهایی از حملات مرد میانی
- شنود وایفای (Wi-Fi Eavesdropping): مهاجم یک اتصال وایفای جعلی راهاندازی کرده و کاربران را فریب میدهد تا به آن متصل شوند. این کار به او امکان نظارت بر فعالیت کاربران و سرقت دادهها را میدهد.
- هک ایمیل (Email Hijacking): مهاجم با جعل آدرس ایمیل سازمانی معتبر، کاربران را فریب داده و اطلاعات حساس یا پول از آنها میگیرد.
- جعل DNS (DNS Spoofing): کاربر به یک وبسایت جعلی هدایت میشود که خود را بهعنوان سایت معتبر معرفی میکند.
- جعل IP (IP Spoofing): مهاجم با جعل آدرس IP خود را بهعنوان یک وبسایت معتبر معرفی کرده و کاربران را فریب میدهد.
- جعل HTTPS (HTTPS Spoofing): مهاجم از HTTPS در آدرس وبسایت استفاده میکند تا کاربران تصور کنند سایت امن است، درحالیکه مخرب است.
حملات منع سرویس (Denial-of-Service Attack)
حملات منع سرویس یا DoS با حجم بالایی از ترافیک، سیستم هدف را بیش از حد بارگذاری میکنند و عملکرد عادی آن را مختل میکنند. اگر این حمله توسط چندین دستگاه انجام شود، به آن حملات منع سرویس توزیعشده (DDoS) گفته میشود.
تکنیکهای حملات DoS و DDoS
- حملات HTTP Flood: ارسال درخواستهای HTTP که به نظر قانونی میرسند اما سیستم را غرق میکنند.
- حملات SYN Flood: ارسال درخواستهای SYN بدون تکمیل فرآیند ارتباطی، که منابع سرور را اشغال میکند.
- حملات UDP Flood: ارسال بستههای UDP به پورتهای تصادفی که منابع سرور را مصرف میکند.
- حملات ICMP Flood: ارسال حجم زیادی از بستههای درخواست Echo که پهنای باند ورودی و خروجی سیستم را مصرف میکند.
- تقویت NTP (NTP Amplification): بهرهبرداری از سرورهای NTP برای ارسال حجم زیادی از ترافیک UDP به یک سرور هدف.
حملات تزریقی (Injection Attacks)
حملات تزریقی با استفاده از آسیبپذیریهای مختلف، ورودیهای مخرب را مستقیماً به کد برنامههای وب وارد میکنند. این حملات در صورت موفقیتآمیز بودن میتوانند اطلاعات حساس را فاش کنند، حملات منع سرویس (DoS) اجرا کنند یا کل سیستم را به خطر بیندازند.
تزریق SQL (SQL Injection)
در این نوع حمله، مهاجم یک دستور SQL را به یک کانال ورودی کاربر مانند فرم وب یا بخش نظرات وارد میکند. در صورت آسیبپذیری برنامه، دادههای مهاجم به پایگاه داده ارسال شده و دستورات SQL تزریقشده اجرا میشوند.
- حملات NoSQL: نوع جدیدی از این حملات که پایگاه دادههای غیر رابطهای (NoSQL) را هدف قرار میدهد.
تزریق کد (Code Injection)
مهاجم میتواند کد مخربی را به برنامهای که آسیبپذیر است تزریق کند. سرور وب این کد را همانند بخشی از برنامه اجرا میکند.
تزریق دستورات سیستمعامل (OS Command Injection)
این حمله به مهاجم اجازه میدهد دستورات سیستمعامل را وارد کند و آنها را اجرا کند. این نوع حمله میتواند دادههای سیستمعامل را استخراج کرده یا کنترل کامل سیستم را به مهاجم بدهد.
تزریق LDAP (LDAP Injection)
مهاجم با وارد کردن کاراکترهای خاص، درخواستهای LDAP را تغییر میدهد. این حملات بسیار خطرناک هستند زیرا سرورهای LDAP معمولاً اطلاعات حسابهای کاربری و اعتبارنامههای کل سازمان را ذخیره میکنند.
تزریق موجودیت خارجی XML (XXE Injection)
این حمله با استفاده از اسناد XML خاص انجام میشود و از آسیبپذیریهای ذاتی پارسرهای XML قدیمی بهرهبرداری میکند، نه از ورودیهای تاییدنشده کاربر. مهاجم میتواند از طریق اسناد XML مسیرها را طی کرده، کد را از راه دور اجرا کرده یا درخواستهای سمت سرور (SSRF) ارسال کند.
اسکریپتنویسی میانوبگاهی (XSS)
مهاجم رشتهای از متن شامل کد مخرب جاوااسکریپت را وارد میکند. مرورگر قربانی این کد را اجرا کرده و مهاجم میتواند کاربران را به وبسایت مخرب هدایت کرده یا کوکیهای نشست کاربر را برای دسترسی به جلسه کاربری سرقت کند.
- برنامههایی که ورودیهای کاربران را صحتسنجی نمیکنند در برابر XSS آسیبپذیر هستند.
جمعبندی
تهدیدات امنیتی به طور گسترده شامل بدافزارها، حملات مهندسی اجتماعی، حملات زنجیره تأمین، حملات مرد میانی و تزریقی میشوند که هر یک به شیوهای متفاوت امنیت سیستمها و اطلاعات را تهدید میکنند. شناخت انواع این حملات و روشهای جلوگیری از آنها از اهمیت بالایی برخوردار است. با توجه به پیچیدگی و گسترش روزافزون این تهدیدات، اجرای سیاستهای امنیتی مؤثر، استفاده از نرمافزارهای امنیتی بهروز و آموزش کاربران میتواند نقش بسزایی در کاهش خطرات داشته باشد. امنیت سایبری یک فرآیند پیوسته است و مقابله با این تهدیدات نیازمند آگاهی و اقدام مداوم است.
