Security - Sbank

 

به طور كلي حمله هاي امنيت به ويژه در موضوع احراز هويت را مي‌توان به دو دسته:

  1. حمله سرقت اطلاعات محرمانه به صورت برون خطي (Offline Credential Stealing Attacks)
  2. حمله سرقت از كانال اينترنتي (online Channel - breaking Attacks)

هدف حمله نوع اول يعني حمله سرقت اطلاعات محرمانه به صورت برون خطي جمع آوري اطلاعات محرمانه مربوط به ورود كاربران در يك سيستم اينترنتي است. جمع‌آوري اطلاعات چه با نفوذ به سيستم شخصي كاربر كه به طور امن و استاندارد محافظت نشده است. چه با فريب كاربر تا به طور ارادي اطلاعات خود را به مهاجم ارسال كند، انجام مي‌شود.

حمله نوع دوم يعتي حمله سرقت كانال اينترنتي توسط يك MITM يا Man-In-The-Middle عمل مي‌كند.در اين نوع حمله، مهاجم به جاي اينكه سعي در بدست آوردن اطلاعات محرمانه كاربر داشته باشد، به طور محرمانه‎‌اي پيام‌هاي بين Client و Server را استراق سمع كرده و خود را به جاي Server اصلي در مقابل كلاينت و نيز به جاي Client در مقابل Server جا مي‌زند.

در يك تقسيم بندي ديگر، انواع حملاتي كه احراز هويت، محرمانگي را حوزه پرداخت الكترونيكي به خطر مي‌اندازد، نام برد:

  • حمله كركرهاي پسورد (Password Crackers):

در اين حمله، مهاجم به دو روش زير اقدام به شناسايي رمز عبور كاربران مي‌نمايند:

  1. حمله بروت فورس (Brute Force): در اين حمله، مهاجم به صورت تهاجمي تمامي جايگشت‌هاي ممكن و يا به عبارتي تركيب‌هاي ممكن يك رمز عبور چند رقمي را يافته و تك تك آن‌ها را تا پيدا كردن رمز عبور اصلي كاربر بررسي مي‌كند.
  2. حمله ديكشنري (Dictionary Attack): در اين حمله، مهاجم تمامي تركيب‌ها و رشته‌هاي متداول و معمول كه كاربران به عنوان رمز انتخاب مي‌كنند را در يك فرهنگ لغات جمع‌آوري مي‌كند و براي پيدا كردن رمز عبور كاربر، تك تك رمز‌هاي عبور ديكشنري خود را براي يافتن رمز‌هاي عبور چك مي‌كند. اين نوع حمله هم در حالت برون خطي و هم در اينترنت مي‌تواند اتفاق بيفتد.

البته بايد اشاره نمود كه استفاده از اين دو روش در سيستم‌‎هاي پرداخت الكترونيكي امروزي كاربرد چنداني ندارد، زيرا سيستم‌هاي كنوني پس از چند بار ورود رمز اشتباه، اجازه ورود مجدد را از كاربر مي‌گيرد تا خود كاربر به سرويس‌دهنده مراجعه كند.

  • حمله فيشينگ (Phishing): معمول ترين حمله راه دور در برابر سرويس‌هاي اينترنتي، فيشينگ است. فرد استفاده كننده از اين روش را فيشر مي‌نامند. در اين روش، فيشر در ابتدا يك وب سايت جعلي دقيقاً مشابه وب سايت اصلي طراحي كرده، به طوري كه كاربران هيچ شكي نسبت به وب سايت و سرور جعلي نمي كنند. سپس با ارسال پست الكترونيكي فريب آميز به كاربران وانمود مي كند كه مدير سيستم مورد نظر بوده و درخواست ورود مشتري به حساب خود و انجام عملياتي در صفحه شخصي خود از طريق لينكي كه خود فيشر تنظيم كرده مي نمايد. در صورت فريب خورد كاربر، نام كاربري و رمز يكبار مصرف وي براي مهاجم فاش خواهد شد. مهاجم از اطلاعات استفاده مي كند تا رمز عبور اصلي كاربر را بيابد.
  • حلمه فارمينگ (Pharming): اين حمله به منظور تغيير ترافيك وب‌سايت اصلي به يك وب سايت جعلي ديگر است. اين حمله با دست كاري سرويس دهنده سرويس نام دامنه (DNS) كه در اصطلاح به سمي كردن سرويس DNS كاربر معروف است انجام مي شود. كاربر به تصور اينكه وارد وب سايت اصلي مي شود وارد وب سايت جعلي توليد شده توسط مهاجم شده و اطلاعات ورود خود را وارد مي كند و انگاه فرد مهاجم به راحتي مي تواند از اين اطلاعات سوء استفاده كند.
  • حمله فريب دهنده سرور (Server Spoofing Attack):‌در اين حمله سرور متخاصم A نقش كلاينت B را بازي مي كند و تلاش مي كند به سرور اصلي D كه كلاينت B در آن حساب دارد وارد شود. بعد از برقراري ارتباط، A عدد تصادفي (ذخيره شده در D به عنوان پرسش در روش احراز هويت پرسش /پاسخ) را از D دريافت كرده و ارتباط خود را با آن قطع مي كند. در مرحله بعد A تلاش مي كند تا كاربر را توسط فيشينگ متقاعد كند به سيستم او وارد شده تا بتواند رمز عبور يكبار مصرف مربوط به آن عدد تصادفي را بدست آورد. در مرحله آخر A به عنوان كلاينت B مي تواند براحتي با رمز پوياي بدست آورده، به سرور D وارد شده و به حساب كاربر دست پيدا كند.
  • حمله كشف فايل رمز عبور (Password File Compromise Attack): در اين حمله مهاجم به روش هاي مختلف سعي در شكستن سرور مي كند تا بتواند فايل رمز عبور موجود در سرور كه شامل اطلاعات تاييد رمز عبور مشتريان است را بدست آورد. سپس با حمله ديكشنري و حملات ديگر سعي در كشف رمز عبور اصلي كاربران مي كند.
  • حمله شولدر سرفينگ (Shoulder Surfing Attack): مهاجم در اين حمله سعي مي كند كه بتواند هر رسته عددي يا رمز عبوري كه كاربر در صفحه نمايش وارد مي كند را از طرق مختلف ببيند. در ساده ترين حالت اين حمله با نگاه كردن از بالاي سر (Shoulder) به كاربري كه در پشت رايانه خود نشسته است انجام مي شود. اين حمله در مكان هاي عمومي مانند كافي نت ها راحت تر انجام مي شود. حتي مهاجم مي تواند با دوربين هاي مخفي تمام حركات ضربه كليد كاربر را در صفحه كليد رايانه خود ثبت كند و بعداً اين تصاوير را براي كشف اطلاعات وارد شده كاربر مورد استفاده قرار دهد.
  • تروجان ربودن رمز عبور (Password Stealing Trojan): در اين حمله يك برنامه شامل كدهاي متخاصم (نوشته شده توسط مهاجم) روي كامپيوتر كاربر نشسته و خود را نصب مي كند. سپس عمليات محول شده توسط مهاجم را اجرا مي كند. امروزه انواع مختلفي از اين برنامه هاي مخرب وجود دارد كه دو نمونه از آن ها به شرح ذيل مي باشد:
  1. ثبت كننده كليد: اين برنامه تمامي ضربات كليد در صفحه كليد رايانه كاربر را ضبط و ذخيره مي كند و سپس براي مهاجم ارسال مي كند.
  2. تروجان هدايت كننده (Trojan Redirector): زماني كه اين برنامه فعال مي شود ترافيك شبكه مربوط به كاربر را به سرور مهاجم هدايت مي كند. اين برنامه كاربر را به وب سايت هاي تقلبي هدايت مي كند.
  • استراق سمع (Interception): يك تهديد امنيتي براي خط اينترنتي كاربر محسوب مي شود كه مهاجم از راه دور به كمك روش هاي مختلف مي تواند كليه بسته هاي اطلاعاتي رد و بدل شده بين كاربر و سيستم را از طريق خط اينترنت كاربر استراق سمع كند. پس از اين كار، مهاجم مي تواند با يافتن اطلاعات ورود كاربر از اين بسته هاي اطلاعاتي، اقدام به سوء استفاده نمايد.

 منبع: امنيت در تجارت الكترونيك از ديد مشتريان: تهديدها و راهكارها - دكتر پيام حنفي زاده