آنچه درباره حملات سرقت نشست باید بدانید

اجازه ندهید حملات سرقت نشست توسط افراد مخرب، اختیار حساب شما را به دست بگیرند.

نشست‌های رایانه‌ای (Computer session) تعامل موقت شما با یک وب‌سایت در گفتگوهای عادی روزمره، می‌باشند. برای مثال، مدت‌زمان بین اولین اتصال شما با حساب بانکی­تان و خروج از حساب پس ‌از انجام عملیات بانکی، یک نشست نامیده می‌شود.

در حملات سرقت نشست‌ (Session Hijacking Attack) درحالی‌که شما درگیر یک نشست فعال هستید هکر خرابکار، خود را بین رایانه شما و سرور وب‌سایت قرار می‌دهد (برای نمونه وب‌سایت فیس‌بوک) و کنترل حساب شما را به دست می‌گیرد.

در این نقطه از حملات سرقت نشست، هکر خرابکار به‌طور فعالانه تا جایی جلو می‌رود که هر آنچه در حساب شما روی می‌دهد را ملاحظه می‌کند، و  حتی می­‌تواند شما را از این حساب بیرون کرده و کنترل آن را به دست گیرد.

بزرگ‌ترین مزیت حملات سرقت نشست این است که هکر شرور می­‌تواند وارد سرور شده و بدون اینکه مجبور باشد یک حساب ثبت‌شده را هک کند، به اطلاعات آن نیز دسترسی پیدا نماید. علاوه بر این در حملات نشست فعال هکر می­‌تواند تغییراتی بر روی سرور به وجود آورد که در هک­‌های بعدی به او کمک کنند، یا عملیات سرقت اطلاعات را تسهیل نمایند.

بیشتر بخوانید: نقاط ضعف مهم در ویندوز که کاربران را در معرض حملات جدید قرار می‌دهند

نحوه عملکرد نشست‌های رایانه­‌ای

تکنولوژی زیربنایی که چگونگی عملکرد وب‌سایت‌ها و ارتباط رایانه‌­ها با یکدیگر را فراهم می‌­آورد، پروتکل TCP/IP نامیده می‌شود که کوتاه شده­‌ عبارت Transmission Control Protocol / Internet Protocol است.

حملات سرقت نشست به سبب محدودیت‌­های TCP/IP روی می‌دهند و از آنجا که این محدودیت­‌ها گستردگی وسیع و استقرار محکمی یافته­‌اند، به‌سادگی قابل اصلاح نیستند. در عوض، لایه­‌های امنیتی اضافه‌ شده بر این تکنولوژی، تهدیدات حملات سرقت نشست را محدود و خنثی می‌کنند.

بیشتر حملات سرقت نشست، بر دو جنبه تمرکز دارند:

ID نشست (sessionID) و ارقام متوالی نشست (session sequence number).

همان‌طور که می‌توانید حدس بزنید، ID نشست در اصل “نام” یک نشست به‌خصوص است. مثلاً :

• نشست فیس‌بوک شما می­‌تواند ID نشستی به‌صورت 1233vs%fav داشته باشد.
• نشست آمازون (Amazon) شما می­‌تواند ID نشستی به‌صورت 684s`9lbd داشته باشد.

ارقام متوالی نشست، به توضیح بیشتری نیاز دارند، پس‌ از آن می‌توانید از این مرحله عبور کرده و مستقیماً به روش­‌های وقوع حملات سرقت نشست بپردازید.

رایانه شما و سرور وب‌سایت از طریق بسته‌­های داده به یکدیگر اطلاعات می‌­فرستند.

برای مثال، یک وب‌سایت ممکن است تصویری را به 4 بسته داده تقسیم کرده و به رایانه شما بفرستد. رایانه شما برای به دست آوردن تصویر، این بسته‌­ها را با هم یکی می‌کند.

اما چگونه یک رایانه یا سرور می­‌داند که چه طور داده‌­ها را با هم ادغام کند؟

این همان‌جایی است که شماره‌ها به‌صورت متوالی وارد می‌شوند. در اصل، این شماره‌ای است که به هر یک از بسته‌­ها تخصیص داده می‌شود تا دستگاه گیرنده ترتیب گردآوری داده‌­ها را بداند.

اصولاً، چیزی شبیه این است:

1. بسته داده A شماره ترتیب 3 را دارد.
2. بسته داده B شماره ترتیب 7 را دارد.
3. بسته داده C شماره ترتیب 11 را دارد.

نحوه عملکرد بسته­‌های داده و شماره ترتیب آن‌ها:

حملات سرقت نشست چگونه عمل می‌کنند؟

 

اهداف ایده‌­آل

وب‌سایت‌ها و سرورهای بزرگ همراه با رایانه‌­ها و بازدیدکنندگان بسیاری که به آنها اتصال یافته­‌اند، اهداف ایده‌آلی برای حملات سرقت نشست هستند، زیرا مهاجم می­‌تواند خود را در حجم انبوه ترافیک در هم‌ آمیخته و خود را در این‌ بین مخفی کند.

انجمن‌ها، وب‌سایت‌های بانکداری، فروشگاه‌های آنلاین؛ همگی اهداف در دسترس و پر­ منفعتی برای حملات سرقت نشست هستند.

حملات سرقت نشست فعال و غیرفعال:

در حملات سرقت نشست فعال، هکر شرور ارتباط رایانه شخصی با سرور را متوقف ساخته و آن را درون نشست جایگزین می‌­نماید. از این نقطه به بعد، هکر شرور، قادر به انجام تمام کارهای یک کاربر عادی است. اگر یک حساب ایمیل باشد، می­‌تواند رمز عبور آن را تغییر داده، ایمیل‌­ها را حذف کند، ایمیل بنویسد، فایل­‌های الحاق شده را کپی و دانلود کند یا حساب‌­هایی را که با ایمیل ارتباط داشته‌­اند، بازیابی نماید.

در حملات سرقت نشست غیرفعال، مهاجم به‌طور پنهانی داده‌­ای را که در شبکه جریان دارد تحت نظر می‌گیرد. یک مهاجم این نوع حمله را از این‌ رو انتخاب می‌کند که بتواند پنهان بماند و شکی را برانگیخته نکند. در حالت ایده‌آل، مهاجم به دنبال پسورد، نام‌های کاربری، جزییات کارت اعتباری و… می‌­گردد.

بیشتر بخوانید: سرقت رمزهای بانکی و داده های شخصی توسط بدافزار جدید اندرویدی

البته، اگر فرصتی غیرمنتظره پیش بیاید که هکر از آن سود ببرد، هیچ‌ چیز نمی‌تواند مانع تغییر شکل یک حمله غیرفعال به یک حمله فعال باشد.

حمله‌ای برای پیش‌­بینی شماره‌های متوالی TCP

در این روش از حملات سرقت نشست، مهاجم باید شماره ترتیب بسته­‌های داده را که بین رایانه قربانی و سرور ارسال شده است حدس بزند.

مهاجم در این زمان، بسته داده‌­های خود را ساخته، ترتیب ارقام آن‌ها را مشخص کرده، و به سرور ارسال خواهد کرد. او سرور وب‌سایت را به‌گونه‌ای فریب می‌دهد تا تصور کند که مهاجم، رایانه حقیقی است.

البته یک حدس نادرست از شماره ترتیب بسته‌ها می‌­تواند منجر به ارسال یک بسته ریست توسط سرور شود، که در اصل ارتباط جدیدی آغاز می‌شود. در موارد دیگر، ممکن است سرور تصمیم به اتمام کلی نشست بگیرد.

در شکل زیر نحوه حدس شماره‌های متوالی TCP را در حملات سرقت نشست مشاهده می‌کنید

حملات سرقت نشست

حملات سرقت نشست از یک کانال ارتباطاتی رمزگذاری نشده برای یافتن IDنشست یا نشانه‌­ها سوءاستفاده می‌کنند. هکر با استفاده از یک دستگاه اسنیفینگ (sniffing) یا نرم‌افزاری مثل وایرشارک (Wireshark)، ترافیک ورودی و خروجی را اسکن نموده و به دنبال رمز نشست می­‌گردد. وایرشارک ابزاری بسیار قدرتمند در تحلیل و آنالیز ترافیک و پروتکل‌های شبکه است. به کمک وایرشارک می‌توان ترافیک شبکه را به تصاحب درآورد و درون آن به جستجو پرداخت.

سایت‌هایی بدون گواهی­نامه SSL نیز در معرض این نوع از حملات هستند، چرا که سایت‌ها، داده­‌های فرستاده‌شده بین رایانه و سرور را رمزگذاری نمی‌­کنند. چه سایتی SSL داشته باشد، چه نداشته باشد، می‌توانید با نگاه کردن به صفحه URL، و چک کردن اینکه آیا https:// ‌در ابتدای لینک آن هست یا نه، این موضوع را متوجه شوید. حرف “s” که در آخر می‌­آید برگرفته از “secure” یا همان ایمن است.

تثبیت نشست

در حملات سرقت نشست به روش تثبیت نشست، مهاجم با یک ID نشست قصد دسترسی به حساب شما را دارد.

بهتر است بگوییم مهاجم می‌خواهد به پولی که شما در حساب بانکی‌تان دارید، در سایت مثلاً www.example.com دسترسی پیدا کند.

پس‌ از آن، مهاجم یک ایمیل فیشینگ (Phishing) یا یک پیام متنی به شما ارسال می‌کند و درباره برخی پیشرفت‌های بانکی و یا لزوم تغییر رمز ورودتان به شما می‌گوید و در هر دوی این موارد یک لینک برای شما می­‌فرستد.

این لینک به صفحه ورود حساب بانکی شما و البته ID‌نشستی که هکر می‌خواهد شما از آن استفاده کنید، اشاره دارد:

example.com/SessionID=I_want-your_money

با ورود به حسابتان از طریق این لینک، هکر خرابکار ID نشست شما را به‌صورت “I_want_your_money” تثبیت می‌کند. او اکنون می‌­تواند هم‌زمان با شما به حساب دسترسی داشته باشد و این حساب را خالی کند یا قادر به انجام هر عملیات دیگری باشد.

تزریق اسکریپت از طریق وب‌گاه(Cross Site Scripting)

 تزریق اسکریپت از طریق وب‌گاه یکی دیگر از روش‌های حملات سرقت نشست و نفوذ هکرها به وب‌سایت‌ها می‌باشد. در این روش کدهای جاوا اسکریپت به سایت تزریق می‌شوند و هدف هکر بیشتر کاربرانی هستند که به سایت مراجعه کرده‌اند. درواقع هکرها در این نوع حمله اطلاعات کاربران یک سایت را بدون اینکه خودشان متوجه شوند، به سرقت می‌برند! وب‌سایت‌ها و اپلیکیشن‌­های وب بسیاری دارای آسیب‌­پذیری­های نرم‌افزاری هستند که به هکر شرور اجازه می‌­دهند تا آن­‌ها را با اسکریپت­‌های خرابکارانه آلوده کنند. زمانی که یک کاربر از این وب‌سایت‌های آلوده بازدید می‌کند یا عملیات مشخصی را انجام می‌دهد، اسکریپت آلوده فعال می‌شود.

بیشتر بخوانید: ۶ آسیب‌پذیری رایج امنیتی در وب‌سایت‌ها

در مورد حملات سرقت نشست، اسکریپت آلوده­، IDنشست بازدیدکننده یا کوکی‌­ها (Cookies)  را دنبال می‌کند و سپس آن را به هکر ارسال می­‌نماید. کوکی‌ها داده‌های کوچک متنی هستند (و نه چیز دیگر!) که وب‌سایت‌ها هنگام مرور، بر روی مرورگر کاربر ذخیره کرده و معمولاً محتوای آن‌ها رشته‌هایی در رابطه با شماره شناسایی کاربران است.

اگر چه CSS باید مخفف Cross Site Scripting باشد اما با توجه به اینکه CSS به‌عنوان مخفف Cascading Style Sheets به‌کاربرده می‌شود، به همین دلیل از XSS برای مخفف Cross Site Scripting استفاده می‌شود.

نحوه حمله XSS‌

آسیب­‌های بدافزاری

مرورگرهای رباینده می‌­توانند اطلاعات ذخیره‌ شده در کوکی‌­های شما ازجمله IDنشست را به سرقت برده و سپس ‌از آن برای اقدامات غیرمجاز در رایانه‌تان استفاده کنند. برای مثال، رباینده ممکن است برنامه یا نوارهای وظیفه مرورگر را نصب‌کرده، یا خیلی ساده اطلاعات خصوصی شما را تخلیه کند.

حملات جستجوی فراگیر برای یافتن ID نشست

یکی از راه­‌های ناکارآمد و غیر مؤثر برای در دست گرفتن کنترل نشست در حملات سرقت نشست، حدس زدن ID نشست است.

بسته به اینکه چه قدر IDنشست طولانی باشد، یک هکر با حوصله می­‌تواند آن را با استفاده از یک حمله جستجوی فراگیر (brute-force attack) حدس بزند.

این یعنی فرد مهاجم، سرور را با هزاران یا ده­‌ها هزار تقاضا بمباران می‌کند، به این امید که یکی از این­ درخواست‌ها، ID موردنظر باشد.­

در عوض برای وب‌سایت‌های کوچک‌تر و با امنیت کمتر، این نوع از حملات شدنی هستند، چرا که زیرساخت­‌های فنی همیشه حاضر نیستند تا بر این نوع تهدیدات فائق آیند.

وب‌سایت‌های بزرگ‌تر موجود، آمادگی بیشتری برای مواجهه با این نوع تهدیدات را دارند، زیرا IDهای آنها طولانی­‌تر بوده و ویژگی­‌های امنیتی درونی بیشتری، مانند IPبلاکینگ (IP blocking) دارند.

مردی در حمله مرورگر

در این نوع از حملات سرقت نشست، مرورگر شما را با یک اسب تروجان آلوده می­‌سازند و هر آنچه شما انجام می‌دهید را زیر نظر دارند، این در حالی است که به‌طور مخفیانه به جمع‌آوری داده‌ها پرداخته و حتی قادر به تغییر مقادیر ورودی در فرم‌های بانکداری و سایر وب‌سایت‌های مشابه خواهد بود.

زمانی که مرورگرها، خود همراه با آسیب‌پذیری‌های متعدد باشند، “مردی در آسیب‌های مرورگر” نیز افزونه‌های مرورگر و پلاتین‌های آن را مورد هدف قرار خواهد داد. در بیشتر مواقع شرکت­‌های کوچک‌تر این افزونه‌ها را کدگذاری می‌کنند، اما این افزونه‌ها فاقد منابعی هستند که برای حفاظت از نرم‌­افزار به آن‌­ها نیاز دارند.

بیشتر بخوانید: امنیت مرورگرهای اینترنتی چرا و چگونه؟

چگونه از خود در برابر حمله سرقت نشست حفاظت کنیم:

در ابتدایی‌­ترین سطح، حمله سرقت نشست براثر محدودیت‌­های موجود در پروتکل ‌TCP/IP شکل می‌گیرد پروتکلی که مسئول تکنولوژی اجازه دادن به رایانه‌­ها برای ارتباط با سرورها می‌باشد.

گفته می‌شود، لایه­‌های امنیتی چندگانه‌­ای به این مکانیسم اضافه‌شده­‌اند تا این فرایند را تا آنجا که ممکن است، برای هکر خرابکاری که می‌خواهد به نشست شما حمله کند، دشوار نماید.

در اینجا گام‌هایی برشمرده شده که به‌عنوان یک کاربر، برای اطمینان از اینکه قربانی چنین تهدیداتی نشوید، از آن‌ها بهره ببرید:

مطمئن شوید که وب‌سایت HTTPS است.

اگر URL وب‌سایت به‌جای پروتکل HTTP با HTTPS آغاز می‌شود، پس مطمئن باشید که سرور، داده‌­هایی را که رایانه شما به او می‌­فرستد، رمزگذاری می‌کند.

بدون HTTP، بسته­ داده‌­هایی که بین رایانه شما و سرور تبادل می‌شوند، متن‌­هایی ساده هستند، یعنی هکرهای خرابکار، این متن‌ها را همان‌گونه که هستند، قرائت می‌کنند.­

بیشتر بخوانید: رشد قابل توجه استفاده از پروتکل HTTPS توسط وب‌سایت‌های فیشینگ

به شبکه‌های رمز گذاری نشده بی‌سیم وصل نشوید.

یک شبکه وای‌فای رمزگذاری نشده، دعوت‌نامه مستقیمی به هکرهای خرابکار برای سرقت اطلاعات شما است.

با استفاده از یک ابزار سخت­‌افزاری یا نرم­‌افزاری هم‌چون وایرشارک، هکر خرابکار می‌­تواند به‌آسانی در ترافیک شما وارد شده و هر آنچه در شبکه­‌های باز، تبادل می‌کنید را ببیند.

این داده‌ها شامل هر چیزی؛ از قبیل داده‌های کارت اعتباری، رمز­های ورود، پیام‌­های کوتاه و ایمیل‌­ها می‌شوند.

برای رهایی از این حملات، بهترین کار این است که از شبکه‌های وای‌فای باز استفاده نکنید. اگر ناچار به استفاده از اینترنت هستید، به جای آن از بسته‌های اینترنتی استفاده کنید.

بیشتر بخوانید: هک شبکه های وای فای نزدیک به هم توسط بدافزار Emotet

حمله اسنیفر به وای فای عمومی

از یک آنتی‌­ویروس خوب استفاده کنید

تمام راه‌حل‌ها به امنیت سایبری ختم می‌شوند؛ یک آنتی‌ویروس تا مقدار زیادی امنیت شما را تأمین می‌کند. بهترین برنامه‌های آنتی‌­ویروس، پایگاه داده عظیمی از نشانه‌­های بدافزار دارند، یک موتور تحلیل رفتاری خوب دارند و دارای قابلیت از بین بردن آن بدافزارها می­‌باشند.

در پایان هر نشست، از حساب خارج شوید

خارج شدن از حسابتان، نشست را از بین می‌­برد. این بدان معناست که مهاجم را نیز وادار به خروج از نشست می‌کنید.­

در بهترین حالت، شما خواهان عملیاتی هم‌چون “بزن و در رو” روی حساب­‌های حساس هم‌چون حساب بانکی­تان هستید، جایی که شما وارد می‌شوید، عملیات را انجام می‌دهید، و به‌سرعت خارج می‌شوید. با این روش زمان زیادی که یک مهاجم نیاز دارد تا به حساب شما دسترسی داشته باشد، از بین می‌­رود و آسیب­‌رسانی به حداقل می‌­رسد.

مرورگر و سایر نرم‌­افزارهای خود را همیشه به‌روز نگه­‌دارید.

آسیب­‌پذیری‌­های نرم­‌افزار، ریسک‌های امنیتی بزرگی هستند، زیرا هکرها بدافزارهای خود را به‌گونه‌ای طراحی می‌کنند تا یک آسیب‌­پذیری به‌خصوص در یک نوع خاص از نرم‌­افزار­ها را هدف قرار دهد. مثلاً حمله واناکرای (WannaCry)‌، با بهره‌­گیری از  SMB اترنال بلو (EternalBlue) در ویندوز OS پایان می‌یابد.

مرورگرهای به‌ روز نشده، فلش(Flash)­ و سایر نوار ابزارهای دیگر به‌طور فزآینده‌­ای ریسک حملات سرقت نشست مرورگر را بالا می‌برند، بنابراین همیشه و همیشه از به‌ روز بودن این نرم­‌افزارها اطمینان حاصل کنید.

بیشتر بخوانید: به روزرسانی گوگل کروم در پس Mac‌های غیر قابل بوت

چرخه حیات آسیب‌پذیری صفر روز “Zero Day”

فیلتر کردن ترافیک

راه دیگر برای اطمینان از اینکه حملات سرقت نشست به شما آسیب نمی‌رساند، استفاده از راه‌ حل فیلتر کردن ترافیک است. این برنامه‌­ها ترافیک شما را پویش کرده و پس‌ از آن هر بدافزاری که ممکن است به سمت رایانه شما بیاید را متوقف می‌کنند.

روش فیلتر کردن ترافیک، ترافیک شما را پویش می­‌نماید. اگر متوجه شود اطلاعات شخصی شما به‌ سوی سایت‌­های مشکوک می­‌روند، ارتباط را قطع می‌کند و اطلاعات را از دسترس هکرهای خرابکار خارج می‌کند.

نتیجه­‌گیری

یک روش حمله قدیمی، که تا به امروز هم ادامه داشته، حملات سرقت نشست بوده‌اند که دست‌کم گرفته‌شده‌اند و متأثر از تهدیدات بزرگ‌تری مانند بدافزارها، حملات DDoS یا تروجان‌­های مخرب بانکداری هستند.

این حمله ساده، همراه با پتانسیل بیش از اندازه­‌ای که برای سود ­رسانی دارد، هنوز هم سلاح قدرتمندی در اختیار هکرها است.

آیا تابه‌حال با حملات سرقت نشست آسیب دیده­‌اید؟ روش­‌های امنیتی دیگری که برای ایجاد امنیت آنلاین استفاده می‌کنید، کدام است؟

با ما همراه باشید.