افزایش حملات جستجوی فراگیر در پی دورکاری کارکنان سازمانی

یکی از تهدیدهای سایبری که سابقه نسبتاً طولانی نیز دارد، تلاش برای حدس کلمات عبور کاربران و نفوذ به حساب های کاربری افراد است. مجرمان سایبری همواره از فنون مختلفی همچون جستجو در مدارک شخصی یا استفاده از کلمات و عبارت های پرکاربرد برای دستیابی به این هدف استفاده می کنند. امروزه استفاده از روش‌ های آزمون و خطای سیستماتیک یا همان جستجوی فراگیر توسط هکرها برای تشخیص رمز عبور کاربران بسیار پرکاربرد شده است. این موضوع می تواند پیامدهای فاجعه باری را در پی اجرای چنین حملاتی برای اشخاص و سازمان ها رقم بزند.

پس از شیوع بیماری کرونا و با اجرای قوانین قرنطینه در کشورهای مختلف، تعداد حملات جستجوی فراگیر هم به صورت چشمگیری افزایش پیدا کرده است. یکی از مهمترین و تأثیرگذارترین عوامل در افزایش سطح این حملات، استفاده از پروتکل ریموت دسکتاپ توسط شرکت ها و سازمان ها برای اجرای طرح دورکاری کارکنان بوده است.

بر اساس گزارش منتشر شده توسط یکی از شرکت های امنیت سایبری، بیشترین تعداد حملات جستجوی فراگیر در دوران قرنطینه، مربوط به کشور ایتالیا و پس از آن چین است.

 

توجه مجرمان سایبری به حملات جستجوی فراگیر

مهاجمان سایبری با انگیزه پیدا کردن سرورهایی که قابلیت ریموت دسکتاپ بر روی آنها فعال شده و دارای تنظیمات امنیتی ضعیفی هستند، حمله بر ضد سرورهای RDP مختلف را اجرا می کنند. به همین خاطر میزان سوءاستفاده از منابع سازمان هایی که به خوبی امن سازی نشده و در اختیار کارمندان دورکار قرار گرفته اند، توسط مجرمان سایبری به شدت افزایش یافته است.

نفوذگران برای پیدا کردن یک کلمه عبور صحیح، تمام ترکیب های ممکن را با استفاده از اسکریپت و ربات امتحان می کنند. با توجه به این که امروزه امکان دسترسی به ابزارهای مختلف برای مجرمان سایبری به آسانی فراهم شده است بنابراین کار آنها برای انجام فعالیت های مخرب خود، نسبت به گذشته ساده تر نیز شده است.

بعضی از مهاجمان برای یافتن رمز عبور کاربران، از کلمات موجود در واژه نامه (دیکشنری) استفاده می‌کنند. به حملاتی که با استفاده از این روش اجرا می شوند، «حمله دیکشنری» گفته می شود. همچنین از عبارت‌ ها و رمزهای پرکاربردی مانند password یا 123456 هم در حملات حدس کلمات عبور استفاده می‌شود. نوع دیگری از حملات جستجوی فراگیر، «جستجوی فراگیر معکوس» نام دارد که در آنها مهاجم، کلمه عبور را بدون نام کاربری مرتبط با آن در اختیار داشته و تلاش می کند تا کلمه عبور کاربر را با انواع نام‌های کاربری پرکاربرد امتحان کند.

یکی از روش های قدیمی نیز دستکاری اعتبارنامه Credential stuffing است که در آن مهاجم از نام کاربری و رمزهای افشا شده برای اجرای حملات خود استفاده می کند. برای مثال ممکن است با نفوذ به نقطه A و اعمال کنترل بر آن، راحت تر بتواند به نقاط B، C و D نفوذ کند.

به دلیل وجود ضعف های امنیتی در پروتکل RDP، احتمال موفقیت مهاجم در اجرای این حمله ها بسیار زیاد است. حملات جستجوی فراگیر، از جمله روش های متداول برای مهاجمان فرصت طلب و باهوشی هستند که تلاش دارند از هر آسیب پذیری امنیتی به نفع خودشان سوءاستفاده کنند.

 

واکنش سازمان‌ها

پس از این که مهاجم بتواند به سیستم های سازمان نفوذ کند، دیگر امکان انجام هر فعالیت مجرمانه ای توسط او وجود دارد. در بسیاری از مواقع، کارمندان ایمیل هایی را از سرویس های مختلف دریافت می کنند که به آنها درباره ورود به حساب کاربری شان از یک موقعیت جغرافیایی جدید یا یک دستگاه تازه هشدار می دهد.

مسئولان شبکه ‌های سازمانی و مدیران واحدهای امنیتی همواره می کوشند تا حملات جستجوی فراگیر را سریعاً شناسایی کرده و با آنها مقابله کنند. البته همیشه این احتمال وجود دارد که تلاش برای ورود به حساب‌ های کاربری مختلف با یک آدرس آی ‌پی یا تلاش های ناموفق برای لاگین به یک حساب کاربری صورت گرفته باشد.

کارمندان بخش های فناوری اطلاعات و امنیت سازمان ها در بیشتر مواقع قادر به نظارت کافی بر روی کلمات عبور انتخابی کارمندان و مدیران نیستند. با این حال اگر سازمان ‌ها از الگوریتم‌ های رمزنگاری قوی مثل الگوریتم‌های 256 بیتی برای محافظت از کلمات عبور کارکنان خود استفاده کنند، مهاجمان شانس بسیار پایینی برای هک موفق حساب های کاربری کاربران خواهند داشت. همچنین بهتر است سازمان ها برای کاهش احتمال موفقیت مهاجمان، در تعداد دفعات امتحان کردن رمز عبور محدودیت هایی را ایجاد کنند.

از جمله روش های توصیه شده دیگر، تغییر مرتب کلمه عبور و استفاده از روش‌ های احراز هویت دومرحله‌ ای یا چندمرحله‌ ای است. همچنین وقتی برای ورود به یک حساب کاربری، علاوه بر وارد کردن نام کاربری و رمز عبور به یک لایه محافظتی دیگر مثل توکن یا اسکن اثر انگشت نیاز باشد، کار هکرها بسیار سخت‌ تر خواهد شد.

یکی دیگر از راهکارهایی که در تلاش های مکرر برای ورود به سیستم محدودیت ایجاد می کند، استفاده از روش “Password Hashing” است. در این روش، کلمه عبور کاربران به صورت هش شده در یک پایگاه داده مجزا ثبت و نگهداری می شود. بهتر است مدیران شبکه، هش رمز عبور کاربران را به صورت تصادفی ایجاد کنند. همچنین آنها می توانند یک رشته تصادفی که از حروف و اعداد تشکیل شده است را به آن اضافه کرده و در پایگاه داده نگهداری و پیش از هش کلمه عبور به آن اضافه کنند.

سازمان ها همواره باید به این نکته توجه داشته باشند که حملات جستجوی فراگیر هرگز از بین نمی روند. با رشد و توسعه ابزارهای مورد استفاده مهاجمان، سازمان ‌ها هم باید به فناوری‌ های دفاعی لازم مجهز شوند تا بتوانند امنیت لازم را برای داده ها و اطلاعات خویش فراهم کنند.

 

منبع: infosecurity-magazine

خروج از نسخه موبایل