از هک‌ها یاد بگیریم

0
180
از هک‌ها یاد بگیریم

در مقاله «چه چیزهایی از هک‌‌ها و هک‌ شدن‌ یاد می‌گیریم؟» خواندیم که چگونه هک‌‌ها می‌توانند به ما کمک کنند تا قربانی بعدی یک حمله سایبری نباشیم. هنگامی که بدانیم چه ضعف و آسیب‌پذیری‌ای منجر به هک شدن و قربانی گرفتن شده است، این ضعف‌ها را روی سیستم خودمان وصله می‌‌کنیم و آگاهی‌‌ خود، اطرافیان، همکاران یا کارمندان‌مان را افزایش می‌دهیم. در ادامه همین موضوع، چند هک برجسته دیگر و درس‌هایی که از آنها می‌گیریم را مرور می‌کنیم.

از هک‌ها یاد بگیریم

۱- حمله مهندسی اجتماعی – ایالات متحده آمریکا در سال ۲۰۱۶

یک گروه هکر طرفدار فلسطین بنام Crackas With Attitude توانست با مهندسی اجتماعی وارد حساب ایمیل AOL جان برنان، مدیر CIA در زمان ریاست جمهوری اوباما، شود. رهبر این گروه هکر، Kane Gamble نام داشت که در زمان اجرای حمله تنها ۱۵ سال داشت. او برای انجام اینکار، وانمود کرد از کارمندان شرکت Verizon است و کارمند دیگر Verizon را فریب داد تا اطلاعات شخصی برنان را فاش کند.

کین سپس از این حساب برای دسترسی به عملیات‌ها و سیستم‌های اطلاعاتی دولت ایالات متحده استفاده کرد. سپس اطلاعات تماس و هویت ۳۰ هزار کارمند FBI, CIA، وزارت امنیت و دادگستری را در اینترنت منتشر کرد.

چه یاد می‌گیریم: از یک رمز عبور برای بیش از یک حساب استفاده نکنیم و از حساب‌های خود با 2FA محافظت کنید.

رمزعبورها باید منحصر بفرد باشند، رمزعبور یک حساب کاربری‌تان را برای سایر حساب‌هایتان استفاده نکنید. اگر سرویسی همچنان از پرسش‌های امنیتی برای بازگرداندن رمزعبور استفاده می‌کند، اگر ملزم به استفاده از آن سرویس هستید، مطمئن شوید که جواب‌های تصادفی و بی‌ارتباط به سوال را وارد کنید. این سوال و پاسخ آن را در جای امنی، نه روی کامپیوترتان که بیشتر کارها را روی آن انجام می‌دهید، نگاه‌داری کنید. علاوه بر رمزعبور مطمئن و منحصربفرد، حتما از گزینه احراز هویت دو یا چند عامله استفاده کنید.

۲- هک شرکت خدمات مالی و بانک سرمایه‌گذاری Citigroup – سال ۲۰۱۱

۳۶۰ هزار حساب Citigroup به دلیل نادیده گرفتن نقصی که به سادگی اجتناب‌پذیر بود، به نام IDOR، افشا شدند.OWASP سال‌ها در مورد IDOR، در دسته‌بندی Broken Access control، هشدار داده بود، از جمله در لیست ده آسیب‌پذیری برتر خود در سال ۲۰۱۳. آسیب‌پذیری IDOR زمانی اتفاق می‌افتد که کاربرانی با دسترسی محدود بتوانند، بدون احراز هویت، به دسترسی کاربر‌های با سطح بالاتر و یا مدیریت دست پیدا کنند.

در این مورد، تنها کاری که هکرها باید انجام می‌دادند این بود که شماره حساب شخصی خود را در نوار آدرس مرورگر با شماره‌های دیگر تعویض کنند. هکر اسکریپتی نوشت تا صد‌ها هزار شماره حساب مختلف را حدس بزند، و از این طریق به حساب‌ها دسترسی پیدا کرد.

چه یاد می‌گیریم: فراموش نکنید که در ورودی را هم قفل کنید.

چیزی که این هک را بسیار قابل توجه می‌کند این است که هکرها چقدر آسان به اطلاعات سایر مشتریان دست پیدا کردند. فراموش نکنید که برای ایمن سازی وب‌سایت خود، موارد ساده را هم مرور کنید.

۳- سرقت بانک بنگلادش – ۲۰۱۶

هکرهای کره شمالی تحت حمایت دولت، توانستند به بانک مرکزی بنگلادش نفوذ کنند و دسترسی مدیریت محلی را بدست بیاورند. آنها یک نرم‌افزار نظارتی نصب کردند که به آنها اجازه می‌داد نحوه عملکرد پلتفرم پیام‌رسانی امن سیستم را نظاره کنند. این پلتفرم به آنها امکان دسترسی به سیستم ارتباط بین بانکی به نام SWIFT را می‌داد. مهاجمان با استفاده از امتیاز و دسترسی خود برای ارسال پیام و شروع تراکنش‌های جعلی استفاده کردند.

چیزی که مانع از موفقیت کامل هک شد، یک اشتباه املایی بود. اشتباه املایی در نام سازمان غیردولتی، هکرها به جای Shalika foundation نوشته بودند Shalika fandation، انتقال یک میلیارد دلار را مختل کرد و در نهایت کار هکرها با ۸۱ میلیون دلار تمام شد.

چه یاد می‌گیریم: کم هم زیاد است.

دسترسی و حقوق مدیریت محلی را به کاربران تجاری اعطا نکنید. این می‌تواند امکان دانلود نرم‌افزار ناخواسته و بد‌افزار را فراهم کند که می‌تواند کل شبکه‌تان را به خطر بیاندازد.

برخی امتیازات را هنگام ضرورت، برای انجام کار، و برای مدت مشخص و محدودی اعطا کنید.

۴- سرقت داده‌‌های Capital One – سال ۲۰۱۹

Paige Thompson, یکی از کارمندان سابق, آمازون توانست از دیوار آتش وب اپلیکیشن (WAF) سواستفاده کند. Paige توانست WAF را فریب دهد تا درخواست‌‌ها را به back-end سرویس AWS ارسال کند، جاییکه توانست دسترسی وامتیازات‌ش را افزایش دهد. این یک حمله جعل درخواست سمت سرور (SSRF) در نظر گرفته می‌شود.

طبق مطالعه‌ای که توسط Varonis انجام شده است، ۶۵ درصد از شرکت‌‌ها بیش از ۱۰۰۰ حساب کاربری قدیمی با مجوز‌های منسوخ شده دارند.

چه یاد می‌گیریم: 

تمام حساب‌های کاربری مرتبط به کارمندان اخراج‌ شده، استعفا داده یا کارمندان سابق را همان ساعتی که قرار‌داد کاری‌شان با شرکت تمام شد، پاک کنید.

منبع: https://blog.sucuri.net/2021/11/7-audacious-hacks-what-we-can-learn-from-them.html

مقاله قبلیچه چیزهایی از هک‌‌ها و هک‌ شدن‌ یاد می‌گیریم؟
مقاله بعدیهزینه خطای انسانی در امنیت سایبری

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.