
اجازه ندهید حملات سرقت نشست توسط افراد مخرب، اختیار حساب شما را به دست بگیرند.
نشستهای رایانهای (Computer session) تعامل موقت شما با یک وبسایت در گفتگوهای عادی روزمره، میباشند. برای مثال، مدتزمان بین اولین اتصال شما با حساب بانکیتان و خروج از حساب پس از انجام عملیات بانکی، یک نشست نامیده میشود.
در حملات سرقت نشست (Session Hijacking Attack) درحالیکه شما درگیر یک نشست فعال هستید هکر خرابکار، خود را بین رایانه شما و سرور وبسایت قرار میدهد (برای نمونه وبسایت فیسبوک) و کنترل حساب شما را به دست میگیرد.
در این نقطه از حملات سرقت نشست، هکر خرابکار بهطور فعالانه تا جایی جلو میرود که هر آنچه در حساب شما روی میدهد را ملاحظه میکند، و حتی میتواند شما را از این حساب بیرون کرده و کنترل آن را به دست گیرد.
بزرگترین مزیت حملات سرقت نشست این است که هکر شرور میتواند وارد سرور شده و بدون اینکه مجبور باشد یک حساب ثبتشده را هک کند، به اطلاعات آن نیز دسترسی پیدا نماید. علاوه بر این در حملات نشست فعال هکر میتواند تغییراتی بر روی سرور به وجود آورد که در هکهای بعدی به او کمک کنند، یا عملیات سرقت اطلاعات را تسهیل نمایند.
بیشتر بخوانید: نقاط ضعف مهم در ویندوز که کاربران را در معرض حملات جدید قرار میدهند |
نحوه عملکرد نشستهای رایانهای
تکنولوژی زیربنایی که چگونگی عملکرد وبسایتها و ارتباط رایانهها با یکدیگر را فراهم میآورد، پروتکل TCP/IP نامیده میشود که کوتاه شده عبارت Transmission Control Protocol / Internet Protocol است.
حملات سرقت نشست به سبب محدودیتهای TCP/IP روی میدهند و از آنجا که این محدودیتها گستردگی وسیع و استقرار محکمی یافتهاند، بهسادگی قابل اصلاح نیستند. در عوض، لایههای امنیتی اضافه شده بر این تکنولوژی، تهدیدات حملات سرقت نشست را محدود و خنثی میکنند.
بیشتر حملات سرقت نشست، بر دو جنبه تمرکز دارند:
ID نشست (sessionID) و ارقام متوالی نشست (session sequence number).
همانطور که میتوانید حدس بزنید، ID نشست در اصل “نام” یک نشست بهخصوص است. مثلاً :
- نشست فیسبوک شما میتواند ID نشستی بهصورت 1233vs%fav داشته باشد.
- نشست آمازون (Amazon) شما میتواند ID نشستی بهصورت 684s`9lbd داشته باشد.
ارقام متوالی نشست، به توضیح بیشتری نیاز دارند، پس از آن میتوانید از این مرحله عبور کرده و مستقیماً به روشهای وقوع حملات سرقت نشست بپردازید.
رایانه شما و سرور وبسایت از طریق بستههای داده به یکدیگر اطلاعات میفرستند.
برای مثال، یک وبسایت ممکن است تصویری را به 4 بسته داده تقسیم کرده و به رایانه شما بفرستد. رایانه شما برای به دست آوردن تصویر، این بستهها را با هم یکی میکند.
اما چگونه یک رایانه یا سرور میداند که چه طور دادهها را با هم ادغام کند؟
این همانجایی است که شمارهها بهصورت متوالی وارد میشوند. در اصل، این شمارهای است که به هر یک از بستهها تخصیص داده میشود تا دستگاه گیرنده ترتیب گردآوری دادهها را بداند.
اصولاً، چیزی شبیه این است:
- بسته داده A شماره ترتیب 3 را دارد.
- بسته داده B شماره ترتیب 7 را دارد.
- بسته داده C شماره ترتیب 11 را دارد.
نحوه عملکرد بستههای داده و شماره ترتیب آنها:
حملات سرقت نشست چگونه عمل میکنند؟
اهداف ایدهآل
وبسایتها و سرورهای بزرگ همراه با رایانهها و بازدیدکنندگان بسیاری که به آنها اتصال یافتهاند، اهداف ایدهآلی برای حملات سرقت نشست هستند، زیرا مهاجم میتواند خود را در حجم انبوه ترافیک در هم آمیخته و خود را در این بین مخفی کند.
انجمنها، وبسایتهای بانکداری، فروشگاههای آنلاین؛ همگی اهداف در دسترس و پر منفعتی برای حملات سرقت نشست هستند.
حملات سرقت نشست فعال و غیرفعال:
در حملات سرقت نشست فعال، هکر شرور ارتباط رایانه شخصی با سرور را متوقف ساخته و آن را درون نشست جایگزین مینماید. از این نقطه به بعد، هکر شرور، قادر به انجام تمام کارهای یک کاربر عادی است. اگر یک حساب ایمیل باشد، میتواند رمز عبور آن را تغییر داده، ایمیلها را حذف کند، ایمیل بنویسد، فایلهای الحاق شده را کپی و دانلود کند یا حسابهایی را که با ایمیل ارتباط داشتهاند، بازیابی نماید.
در حملات سرقت نشست غیرفعال، مهاجم بهطور پنهانی دادهای را که در شبکه جریان دارد تحت نظر میگیرد. یک مهاجم این نوع حمله را از این رو انتخاب میکند که بتواند پنهان بماند و شکی را برانگیخته نکند. در حالت ایدهآل، مهاجم به دنبال پسورد، نامهای کاربری، جزییات کارت اعتباری و… میگردد.
بیشتر بخوانید: سرقت رمزهای بانکی و داده های شخصی توسط بدافزار جدید اندرویدی |
البته، اگر فرصتی غیرمنتظره پیش بیاید که هکر از آن سود ببرد، هیچ چیز نمیتواند مانع تغییر شکل یک حمله غیرفعال به یک حمله فعال باشد.
حملهای برای پیشبینی شمارههای متوالی TCP
در این روش از حملات سرقت نشست، مهاجم باید شماره ترتیب بستههای داده را که بین رایانه قربانی و سرور ارسال شده است حدس بزند.
مهاجم در این زمان، بسته دادههای خود را ساخته، ترتیب ارقام آنها را مشخص کرده، و به سرور ارسال خواهد کرد. او سرور وبسایت را بهگونهای فریب میدهد تا تصور کند که مهاجم، رایانه حقیقی است.
البته یک حدس نادرست از شماره ترتیب بستهها میتواند منجر به ارسال یک بسته ریست توسط سرور شود، که در اصل ارتباط جدیدی آغاز میشود. در موارد دیگر، ممکن است سرور تصمیم به اتمام کلی نشست بگیرد.
در شکل زیر نحوه حدس شمارههای متوالی TCP را در حملات سرقت نشست مشاهده میکنید
حملات سرقت نشست
حملات سرقت نشست از یک کانال ارتباطاتی رمزگذاری نشده برای یافتن IDنشست یا نشانهها سوءاستفاده میکنند. هکر با استفاده از یک دستگاه اسنیفینگ (sniffing) یا نرمافزاری مثل وایرشارک (Wireshark)، ترافیک ورودی و خروجی را اسکن نموده و به دنبال رمز نشست میگردد. وایرشارک ابزاری بسیار قدرتمند در تحلیل و آنالیز ترافیک و پروتکلهای شبکه است. به کمک وایرشارک میتوان ترافیک شبکه را به تصاحب درآورد و درون آن به جستجو پرداخت.
سایتهایی بدون گواهینامه SSL نیز در معرض این نوع از حملات هستند، چرا که سایتها، دادههای فرستادهشده بین رایانه و سرور را رمزگذاری نمیکنند. چه سایتی SSL داشته باشد، چه نداشته باشد، میتوانید با نگاه کردن به صفحه URL، و چک کردن اینکه آیا https:// در ابتدای لینک آن هست یا نه، این موضوع را متوجه شوید. حرف “s” که در آخر میآید برگرفته از “secure” یا همان ایمن است.
تثبیت نشست
در حملات سرقت نشست به روش تثبیت نشست، مهاجم با یک ID نشست قصد دسترسی به حساب شما را دارد.
بهتر است بگوییم مهاجم میخواهد به پولی که شما در حساب بانکیتان دارید، در سایت مثلاً www.example.com دسترسی پیدا کند.
پس از آن، مهاجم یک ایمیل فیشینگ (Phishing) یا یک پیام متنی به شما ارسال میکند و درباره برخی پیشرفتهای بانکی و یا لزوم تغییر رمز ورودتان به شما میگوید و در هر دوی این موارد یک لینک برای شما میفرستد.
این لینک به صفحه ورود حساب بانکی شما و البته IDنشستی که هکر میخواهد شما از آن استفاده کنید، اشاره دارد:
example.com/SessionID=I_want-your_money
با ورود به حسابتان از طریق این لینک، هکر خرابکار ID نشست شما را بهصورت “I_want_your_money” تثبیت میکند. او اکنون میتواند همزمان با شما به حساب دسترسی داشته باشد و این حساب را خالی کند یا قادر به انجام هر عملیات دیگری باشد.
تزریق اسکریپت از طریق وبگاه(Cross Site Scripting)
تزریق اسکریپت از طریق وبگاه یکی دیگر از روشهای حملات سرقت نشست و نفوذ هکرها به وبسایتها میباشد. در این روش کدهای جاوا اسکریپت به سایت تزریق میشوند و هدف هکر بیشتر کاربرانی هستند که به سایت مراجعه کردهاند. درواقع هکرها در این نوع حمله اطلاعات کاربران یک سایت را بدون اینکه خودشان متوجه شوند، به سرقت میبرند! وبسایتها و اپلیکیشنهای وب بسیاری دارای آسیبپذیریهای نرمافزاری هستند که به هکر شرور اجازه میدهند تا آنها را با اسکریپتهای خرابکارانه آلوده کنند. زمانی که یک کاربر از این وبسایتهای آلوده بازدید میکند یا عملیات مشخصی را انجام میدهد، اسکریپت آلوده فعال میشود.
بیشتر بخوانید: ۶ آسیبپذیری رایج امنیتی در وبسایتها |
در مورد حملات سرقت نشست، اسکریپت آلوده، IDنشست بازدیدکننده یا کوکیها (Cookies) را دنبال میکند و سپس آن را به هکر ارسال مینماید. کوکیها دادههای کوچک متنی هستند (و نه چیز دیگر!) که وبسایتها هنگام مرور، بر روی مرورگر کاربر ذخیره کرده و معمولاً محتوای آنها رشتههایی در رابطه با شماره شناسایی کاربران است.
اگر چه CSS باید مخفف Cross Site Scripting باشد اما با توجه به اینکه CSS بهعنوان مخفف Cascading Style Sheets بهکاربرده میشود، به همین دلیل از XSS برای مخفف Cross Site Scripting استفاده میشود.
نحوه حمله XSS
آسیبهای بدافزاری
مرورگرهای رباینده میتوانند اطلاعات ذخیره شده در کوکیهای شما ازجمله IDنشست را به سرقت برده و سپس از آن برای اقدامات غیرمجاز در رایانهتان استفاده کنند. برای مثال، رباینده ممکن است برنامه یا نوارهای وظیفه مرورگر را نصبکرده، یا خیلی ساده اطلاعات خصوصی شما را تخلیه کند.
حملات جستجوی فراگیر برای یافتن ID نشست
یکی از راههای ناکارآمد و غیر مؤثر برای در دست گرفتن کنترل نشست در حملات سرقت نشست، حدس زدن ID نشست است.
بسته به اینکه چه قدر IDنشست طولانی باشد، یک هکر با حوصله میتواند آن را با استفاده از یک حمله جستجوی فراگیر (brute-force attack) حدس بزند.
این یعنی فرد مهاجم، سرور را با هزاران یا دهها هزار تقاضا بمباران میکند، به این امید که یکی از این درخواستها، ID موردنظر باشد.
در عوض برای وبسایتهای کوچکتر و با امنیت کمتر، این نوع از حملات شدنی هستند، چرا که زیرساختهای فنی همیشه حاضر نیستند تا بر این نوع تهدیدات فائق آیند.
وبسایتهای بزرگتر موجود، آمادگی بیشتری برای مواجهه با این نوع تهدیدات را دارند، زیرا IDهای آنها طولانیتر بوده و ویژگیهای امنیتی درونی بیشتری، مانند IPبلاکینگ (IP blocking) دارند.
مردی در حمله مرورگر
در این نوع از حملات سرقت نشست، مرورگر شما را با یک اسب تروجان آلوده میسازند و هر آنچه شما انجام میدهید را زیر نظر دارند، این در حالی است که بهطور مخفیانه به جمعآوری دادهها پرداخته و حتی قادر به تغییر مقادیر ورودی در فرمهای بانکداری و سایر وبسایتهای مشابه خواهد بود.
زمانی که مرورگرها، خود همراه با آسیبپذیریهای متعدد باشند، “مردی در آسیبهای مرورگر” نیز افزونههای مرورگر و پلاتینهای آن را مورد هدف قرار خواهد داد. در بیشتر مواقع شرکتهای کوچکتر این افزونهها را کدگذاری میکنند، اما این افزونهها فاقد منابعی هستند که برای حفاظت از نرمافزار به آنها نیاز دارند.
بیشتر بخوانید: امنیت مرورگرهای اینترنتی چرا و چگونه؟ |
چگونه از خود در برابر حمله سرقت نشست حفاظت کنیم:
در ابتداییترین سطح، حمله سرقت نشست براثر محدودیتهای موجود در پروتکل TCP/IP شکل میگیرد پروتکلی که مسئول تکنولوژی اجازه دادن به رایانهها برای ارتباط با سرورها میباشد.
گفته میشود، لایههای امنیتی چندگانهای به این مکانیسم اضافهشدهاند تا این فرایند را تا آنجا که ممکن است، برای هکر خرابکاری که میخواهد به نشست شما حمله کند، دشوار نماید.
در اینجا گامهایی برشمرده شده که بهعنوان یک کاربر، برای اطمینان از اینکه قربانی چنین تهدیداتی نشوید، از آنها بهره ببرید:
مطمئن شوید که وبسایت HTTPS است.
اگر URL وبسایت بهجای پروتکل HTTP با HTTPS آغاز میشود، پس مطمئن باشید که سرور، دادههایی را که رایانه شما به او میفرستد، رمزگذاری میکند.
بدون HTTP، بسته دادههایی که بین رایانه شما و سرور تبادل میشوند، متنهایی ساده هستند، یعنی هکرهای خرابکار، این متنها را همانگونه که هستند، قرائت میکنند.
بیشتر بخوانید: رشد قابل توجه استفاده از پروتکل HTTPS توسط وبسایتهای فیشینگ |
به شبکههای رمز گذاری نشده بیسیم وصل نشوید.
یک شبکه وایفای رمزگذاری نشده، دعوتنامه مستقیمی به هکرهای خرابکار برای سرقت اطلاعات شما است.
با استفاده از یک ابزار سختافزاری یا نرمافزاری همچون وایرشارک، هکر خرابکار میتواند بهآسانی در ترافیک شما وارد شده و هر آنچه در شبکههای باز، تبادل میکنید را ببیند.
این دادهها شامل هر چیزی؛ از قبیل دادههای کارت اعتباری، رمزهای ورود، پیامهای کوتاه و ایمیلها میشوند.
برای رهایی از این حملات، بهترین کار این است که از شبکههای وایفای باز استفاده نکنید. اگر ناچار به استفاده از اینترنت هستید، به جای آن از بستههای اینترنتی استفاده کنید.
بیشتر بخوانید: هک شبکه های وای فای نزدیک به هم توسط بدافزار Emotet |
حمله اسنیفر به وای فای عمومی
از یک آنتیویروس خوب استفاده کنید
تمام راهحلها به امنیت سایبری ختم میشوند؛ یک آنتیویروس تا مقدار زیادی امنیت شما را تأمین میکند. بهترین برنامههای آنتیویروس، پایگاه داده عظیمی از نشانههای بدافزار دارند، یک موتور تحلیل رفتاری خوب دارند و دارای قابلیت از بین بردن آن بدافزارها میباشند.
در پایان هر نشست، از حساب خارج شوید
خارج شدن از حسابتان، نشست را از بین میبرد. این بدان معناست که مهاجم را نیز وادار به خروج از نشست میکنید.
در بهترین حالت، شما خواهان عملیاتی همچون “بزن و در رو” روی حسابهای حساس همچون حساب بانکیتان هستید، جایی که شما وارد میشوید، عملیات را انجام میدهید، و بهسرعت خارج میشوید. با این روش زمان زیادی که یک مهاجم نیاز دارد تا به حساب شما دسترسی داشته باشد، از بین میرود و آسیبرسانی به حداقل میرسد.
مرورگر و سایر نرمافزارهای خود را همیشه بهروز نگهدارید.
آسیبپذیریهای نرمافزار، ریسکهای امنیتی بزرگی هستند، زیرا هکرها بدافزارهای خود را بهگونهای طراحی میکنند تا یک آسیبپذیری بهخصوص در یک نوع خاص از نرمافزارها را هدف قرار دهد. مثلاً حمله واناکرای (WannaCry)، با بهرهگیری از SMB اترنال بلو (EternalBlue) در ویندوز OS پایان مییابد.
مرورگرهای به روز نشده، فلش(Flash) و سایر نوار ابزارهای دیگر بهطور فزآیندهای ریسک حملات سرقت نشست مرورگر را بالا میبرند، بنابراین همیشه و همیشه از به روز بودن این نرمافزارها اطمینان حاصل کنید.
بیشتر بخوانید: به روزرسانی گوگل کروم در پس Macهای غیر قابل بوت |
چرخه حیات آسیبپذیری صفر روز “Zero Day”
فیلتر کردن ترافیک
راه دیگر برای اطمینان از اینکه حملات سرقت نشست به شما آسیب نمیرساند، استفاده از راه حل فیلتر کردن ترافیک است. این برنامهها ترافیک شما را پویش کرده و پس از آن هر بدافزاری که ممکن است به سمت رایانه شما بیاید را متوقف میکنند.
روش فیلتر کردن ترافیک، ترافیک شما را پویش مینماید. اگر متوجه شود اطلاعات شخصی شما به سوی سایتهای مشکوک میروند، ارتباط را قطع میکند و اطلاعات را از دسترس هکرهای خرابکار خارج میکند.
نتیجهگیری
یک روش حمله قدیمی، که تا به امروز هم ادامه داشته، حملات سرقت نشست بودهاند که دستکم گرفتهشدهاند و متأثر از تهدیدات بزرگتری مانند بدافزارها، حملات DDoS یا تروجانهای مخرب بانکداری هستند.
این حمله ساده، همراه با پتانسیل بیش از اندازهای که برای سود رسانی دارد، هنوز هم سلاح قدرتمندی در اختیار هکرها است.
آیا تابهحال با حملات سرقت نشست آسیب دیدهاید؟ روشهای امنیتی دیگری که برای ایجاد امنیت آنلاین استفاده میکنید، کدام است؟