هشدار امنیتی جدی: ۵ روش ترسناک نفوذ هکرها به گوشی و حساب بانکی‌ شما

اگر یک روز صبح از خواب بیدار شوید و ببینید گوشی همراهتان اصلاً آنتن ندارد، چه فکری به ذهنتان می‌رسد؟ شاید شانه‌هایتان را بالا بیندازید و آن را به اختلال موقت شبکه نسبت دهید، ولی در همین لحظات، در دنیایی موازی و دیجیتال، یک دزد نامرئی در حال خالی‌کردن حساب بانکی، خواندن خصوصی‌ترین پیام‌هایتان و سرقت هویت دیجیتال شما است.

شما روی هیچ لینک مشکوکی کلیک نکرده‌اید، فریب هیچ ایمیل جذاب یا عجیبی را نخورده‌اید و هیچ برنامه‌ی ناشناسی را نصب نکرده‌اید. بااین‌حال شکار شده‌اید. این سناریو واقعیت نگران‌کننده‌ی عصری را به تصویر می‌کشد که در آن زندگی می‌کنیم:

عصری که در آن خطرناک‌ترین تهدیدات سایبری، کاملاً بی‌صدا و نامرئی عمل می‌کنند. حالا مدل‌های کلاسیک هک، که در آن قربانی با یک کلیک اشتباه دری را روی مهاجم باز می‌کرد، به‌سرعت با روش‌هایی جایگزین می‌شوند که به هیچ تعاملی از سوی کاربر نیاز ندارند.

حملات «بدون کلیک» (Zero-Click) و «تعامل حداقلی»، درهای جدیدی از آسیب‌پذیری را به روی همه ما گشوده‌اند: از جاسوس‌افزارهای فوق‌پیشرفته‌ای که تنها با ارسال یک فایل تصویری نامرئی می‌توانند کنترل کامل تلفن شما را به دست بگیرند، تا کلاهبرداری‌هایی که با یک تماس تلفنی ساده به اپراتور موبایل، شماره‌ی شما را می‌دزدند و به تمام حساب‌هایتان دسترسی پیدا می‌کنند.

و این مثال‌ها صرفاً بخشی از چشم‌انداز تهدیدهای نوظهور سایبری را منعکس می‌کنند. برای درک عمق این پرتگاه، کافی است بدانید که طبق گزارش FBI، تنها در سال ۲۰۲۱ کلاهبرداری «تعویض سیم‌کارت» بیش از ۶۸ میلیون دلار به جیب شهروندان آمریکایی ضرر زد.

در دنیای جاسوسی دیجیتال، هیچ نامی به‌اندازه «پگاسوس» ترسناک نیست. پگاسوس، ساخته شرکت اسرائیلی NSO Group، جاسوس‌افزار فوق‌پیشرفته‌ای است که به‌عنوان نمونه کامل یک حمله «بدون کلیک» شناخته می‌شود.

این شرکت ادعا می‌کند که ابزارهای خود را منحصراً به دولت‌ها برای مبارزه با تروریسم و جرایم سازمان‌یافته می‌فروشد، اما شواهد گسترده‌ای که توسط گروه‌های تحقیقاتی مانند آزمایشگاه سیتیزن (Citizen Lab) در دانشگاه تورنتو و آزمایشگاه امنیتی عفو بین‌الملل به‌دست‌آمده، روایتی دیگر را بازگو می‌کند: استفاده نظام‌مند از این ابزار علیه روزنامه‌نگاران، فعالان حقوق بشر و مخالفان سیاسی در سراسر جهان.

اما پگاسوس چگونه بدون حتی یک کلیک، به امن‌ترین تلفن‌های هوشمند نفوذ می‌کند؟ شگرد اصلی، بهره‌برداری از آسیب‌پذیری‌های برنامه‌هایی است که ما هر روز از آن‌ها استفاده می‌کنیم، به‌ویژه پیام‌رسان‌هایی مانند آی‌مسیج و واتس‌اپ.

این برنامه‌ها برای راحتی کاربران، به طور خودکار داده‌های ورودی را پردازش می‌کنند تا پیش‌نمایشی سریع از تصویر و لینک‌ها را به ما نشان دهند. همین ویژگی ساده در برابر حملاتی مثل پگاسوس به نقطه‌ضعفی مرگبار تبدیل می‌شود.

کتابخانه پردازش تصویر اپل (CoreGraphics)، بدون اینکه کاربر حتی متوجه دریافت پیام شود، به طور خودکار این فایل «مسموم» را پردازش می‌کرد و همین کافی بود تا مهاجم بتواند کنترل کامل دستگاه را به دست بگیرد.  سال ۲۰۱۹ نیز یک آسیب‌پذیری در واتس‌اپ به مهاجمان اجازه می‌داد فقط با برقراری یک تماس صوتی، حتی اگر قربانی به آن پاسخ نمی‌داد، پگاسوس را نصب کنند.

پگاسوس پس از نصب‌شدن به یک شبح جاسوس تمام‌عیار تبدیل می‌شود. این بدافزار می‌تواند به تمام اطلاعات دستگاه دسترسی پیدا کند: پیام‌های رمزگذاری‌شده شما را در پیام‌رسان‌ها بخواند، تماس‌هایتان را ضبط و موقعیت مکانی شما را ردیابی کند و حتی دوربین و میکروفون دستگاه را از راه دور فعال نماید؛ آن‌هم بدون هیچ هشدار و ردی.

 اما پشت این نظارت مطلق، یک مسابقه‌ی تسلیحاتی پرهزینه جریان دارد. شرکت‌های توسعه‌دهنده‌ی بدافزار میلیون‌ها دلار صرف خرید یا توسعه‌ی آسیب‌پذیری‌های ناشناخته‌ای می‌کنند که به آن‌ها «روز صفر» (Zero-Day) گفته می‌شود. این آسیب‌پذیری‌ها در سکوت مورد بهره‌برداری قرار می‌گیرند؛ تا اینکه پژوهشگرانی امنیت سایبری پس از ماه‌ها تحقیق، رد این نفوذ را روی یک دستگاه آلوده پیدا می‌کنند.

اما این پایان ماجرا نیست. شرکت سازنده‌ی بدافزار ناچار است دوباره به بازار سیاه آسیب‌پذیری‌ها بازگردد، حفره‌ای جدید پیدا کند و بازی را از نو آغاز کند. این چرخه‌ی بی‌پایان و نبرد میان مهاجمان بی‌صدا و مدافعان خاموش؛ همان جنگ سردِ سایبریِ دوران ما است.

دومین تهدید بزرگ فهرست ما برخلاف پگاسوس، متکی بر فناوری‌های پیچیده نیست، بلکه از قدیمی‌ترین نقطه‌ضعف امنیتی تاریخ بهره می‌برد: عامل انسانی. حمله «تعویض سیم‌کارت» (SIM Swapping) یک روش فریبکارانه و به طرز نگران‌کننده‌ای مؤثر برای سرقت هویت دیجیتال کاربران است که تنها به یک تماس تلفنی با اپراتور موبایل افراد نیاز دارد.

این حمله در چند مرحله ساده انجام می‌شود. ابتدا، مهاجم اطلاعات شخصی «کاربر هدف» را از منابع مختلف جمع‌آوری می‌کند؛ اطلاعاتی مانند نام کامل، شماره ملی، آدرس یا تاریخ تولد که ممکن است از طریق حملات فیشینگ، پروفایل‌های او در شبکه‌های اجتماعی یا نشت داده‌ها از وبسایت‌های دیگر به‌دست‌آمده باشد.

حتی در برخی پرونده‌ها مهاجمان پا را فراتر می‌گذارند و با رشوه‌دادن به کارمندان شرکت‌های مخابراتی، آن‌ها را به‌عنوان عامل نفوذی خود استخدام می‌کنند تا این فرایند با موفقیت تضمین‌شده انجام شود.

اما هدف اصلی این حمله چیست؟ شکستن مهم‌ترین سد دفاعی بسیاری از حساب‌های آنلاین: «احراز هویت دوعاملی مبتنی‌بر پیامک».

وقتی مهاجم کنترل شماره‌تلفن شما را به دست می‌گیرد، تمام کدهای یک‌بار مصرفی که برای ورود به حساب بانکی، ایمیل، صرافی ارز دیجیتال یا شبکه‌های اجتماعی شما ارسال می‌شود، مستقیماً به دست او می‌رسد. این حمله آن‌قدر مؤثر و خطرناک است که حتی نام‌های بزرگی هم قربانی‌اش شده‌اند.

سال ۲۰۱۹، جک دورسی، مدیرعامل وقت توییتر، شاهد آن بود که مهاجمان تنها با تعویض سیم‌کارت، کنترل حساب رسمی‌اش در توییتر را به‌دست گرفتند و پیام‌هایی جعلی به نام او منتشر کردند. در موردی تازه‌تر، حتی حساب رسمی کمیسیون بورس و اوراق بهادار آمریکا (SEC) هم با همین روش هک شد؛ حمله‌ای که موجی از بی‌اعتمادی در بازارهای مالی به راه انداخت.

تهدیدات نامرئی، تنها به تلفن همراه محدود نمی‌شوند. آن‌ها در محیط اطراف نیز در کمین‌اند، در هوایی که با آن تنفس دیجیتال می‌کنیم. شبکه‌های بی‌سیم مثل وای‌فای و بلوتوث، هرچند آسایش و اتصال مداوم را برای ما فراهم کرده‌اند، اما می‌توانند به دروازه‌هایی برای نفوذ سایبری تبدیل شوند.

یکی از رایج‌ترین حملات در این فضا، حمله‌ای است با نام «دوقلوهای شرور» (Evil Twin). هنگامی‌که در فرودگاه، هتل یا کافه نشسته‌اید و به‌دنبال یک وای‌فای رایگان هستید، لیستی از شبکه‌های اطراف را روی دستگاهتان می‌بینید که یکی از آن‌ها، نامی آشنا و قابل‌اعتماد دارد؛ مثلاً: Airport_Free_WiFi. بدون هیچ تردیدی، به آن متصل می‌شوید. اما آنچه انتخاب کرده‌اید، یک تله است.

یا حتی خطرناک‌تر: با اجرای حمله‌ی قطع اتصال (Deauthentication Attack)، قربانیان را از شبکه‌ی واقعی بیرون بیندازد تا دستگاه‌هایشان به طور خودکار به قوی‌ترین سیگنال موجود، یعنی «دوقلوی شیطانی» او متصل شوند.

درست از همان لحظه‌ای که به یک شبکه جعلی متصل می‌شوید، مهاجم در موقعیت «مرد میانی» قرار می‌گیرد؛ یعنی دقیقاً در مسیر میان شما و اینترنت. این یعنی تمام ترافیک اینترنت شما، از جمله نام‌های کاربری و رمزهای عبوری که در وب‌سایت‌های ناامن (بدون HTTPS) وارد می‌کنید، از کامپیوتر او عبور کرده و توسط ابزارهای شنود بسته (Packet Sniffing) ضبط می‌شود.

نتیجه این حمله می‌تواند فاجعه‌بار باشد: سرقت اطلاعات بانکی، هک حساب‌های ایمیل، دسترسی به اسناد تجاری محرمانه و حتی نفوذ به شبکه‌های سازمانی. در یکی از نمونه‌های واقعی، مهاجمی با راه‌اندازی شبکه وای‌فای جعلی در یکی از شعب استارباکس، اطلاعات تعداد زیادی از مشتریان را سرقت کرد.

در کنار وای‌فای، بلوتوث هم یکی از بردارهای حمله‌ی مهم فضای پیرامون ما محسوب می‌شود. در گذشته، تهدیداتی مانند Bluejacking تنها در حد ارسال پیام‌های ناخواسته به دستگاه‌های بلوتوث‌دار بودند؛ مزاحم اما نه‌چندان خطرناک. اما امروز، حملات مدرن بلوتوث، بی‌صدا و بسیار جدی‌ترند.

سال ۲۰۱۷ با کشف مجموعه‌ای از آسیب‌پذیری‌ها موسوم به BlueBorne توجه دنیای امنیت سایبری را بخود جلب کرد. این نقص‌ها به مهاجمان اجازه می‌دادند که بدون نیاز به اتصال به دستگاه یا حتی تعامل مستقیم با کاربر، تنها با حضور در محدوده‌ی بلوتوث یک دستگاه، کد مخرب اجرا کنند.

نکته‌ای که این آسیب‌پذیری را به‌شدت نگران‌کننده می‌کرد، گستره‌ی آن بود: این نقص امنیتی در پشته‌های اصلی بلوتوث سیستم‌عامل‌های بزرگ مانند اندروید و لینوکس وجود داشت و میلیاردها دستگاه را در معرض خطر قرار داد.

آسیب‌پذیری BLUFFS در سال ۲۰۲۳ نیز نشان داد که چگونه یک مهاجم می‌تواند با شکستن رمزنگاری جلسات بلوتوث، هویت دستگاه‌ها را جعل و ترافیک را شنود کند.

تا اینجا اغلب تهدیداتی که بررسی کردیم در قلمرو نرم‌افزار و شبکه‌ها بودند: کدهایی که آلوده می‌شوند، لینک‌هایی که فریب می‌دهند و سیگنال‌هایی که شنود می‌شوند. اما دسته‌ای از حملات وجود دارند که مرز بین دنیای دیجیتال و فیزیکی را از بین می‌برند.

در حملات کانال جانبی یا Side-Channel Attacks هدف یافتن باگ در کد نیست؛ بلکه بهره‌برداری از اطلاعات ناخواسته‌ای است که از پیاده‌سازی فیزیکی یک سیستم به بیرون نشت می‌کند، مانند زمان‌بندی پردازش‌ها، مصرف لحظه‌ای برق، لرزش‌ها، صداها، گرما یا حتی تشعشعات الکترومغناطیسی و صوتی که در حین فعالیت یک دستگاه تولید می‌شود.

شاید عجیب به‌نظر برسد، اما کامپیوتر شما هنگام کار، اطلاعاتش را از طریق صدا فاش می‌کند. سال ۲۰۰۴، محققان نشان دادند که صدای منحصربه‌فرد هر کلید بر روی کیبورد را می‌توان با یک شبکه عصبی تحلیل کرد و متنی که تایپ می‌شود، از جمله رمزهای عبور را بادقت بالایی بازسازی نمود.

به لحاظ فنی، این حملات معمولاً روی الگوهای زمانی اجرای الگوریتم‌های رمزنگاری (مثل زمان لازم برای بررسی هر بیت کلید) یا نوسانات ولتاژ هنگام انجام محاسبات حساس تمرکز می‌کنند. با تحلیل دقیق این اطلاعات، مهاجم می‌تواند مقدار دقیق بیت‌های کلید رمزنگاری را مرحله‌به‌مرحله حدس بزند، بدون نیاز به شکستن رمز از درون.

به‌موازات صدا، تشعشعات الکترومغناطیسی نیز یکی از قوی‌ترین کانال‌های جانبی برای حمله به دستگاه‌های دیجیتال هستند. هر قطعه الکترونیکی، از پردازنده گرفته تا رم، جی‌پی‌یو یا حتی ماژول وای‌فای هنگام فعالیت، امواج الکترومغناطیسی خاصی از خود ساطع می‌کند.

و نکته‌ی مهم اینکه عملیات محاسباتی مختلف، امضاهای الکترومغناطیسی متمایزی دارند؛ یعنی اگر بتوانید این تشعشعات را به‌دقت ضبط و تحلیل کنید، می‌توانید بفهمید دستگاه در حال انجام چه عملیاتی است. حتی می‌توانید محتوای عملیات رمزنگاری یا کلیدهای خصوصی را هم از دل این سیگنال‌ها بیرون بکشید.

یک مهاجم می‌تواند با ضبط و تحلیل این تشعشعات، عملیات در حال انجام روی یک پردازنده را مهندسی معکوس کرده و کلیدهای رمزنگاری مخفی را استنتاج کند.

ایده‌ی شنود الکترومغناطیسی، اولین‌بار در دهه ۱۹۸۰ با مفهومی به نام Van Eck phreaking مطرح شد. پژوهشگری به نام ویم ون‌اک نشان داد که می‌توان تصویر مانیتور یک کامپیوتر را تنها از طریق تشعشعات الکترومغناطیسی بازسازی کرد؛ بدون اینکه به آن دستگاه دسترسی مستقیم داشته باشید.

این پژوهش‌ها باعث شد که آژانس امنیت ملی آمریکا (NSA) یک پروژه فوق‌سری به نام TEMPEST راه‌اندازی کند؛ برنامه‌ای برای محافظت از تجهیزات حساس در برابر شنود از طریق امواج الکترومغناطیسی.

امروز، این تهدید دیگر محدود به مراکز نظامی نیست. پژوهشگران امنیتی ثابت کرده‌اند که با تجهیزاتی نسبتاً ارزان و در دسترس (مثل آنتن‌های رادیویی، تحلیل‌گر طیف و نرم‌افزارهای متن‌باز)، می‌توان این حملات را علیه لپ‌تاپ‌ها، گوشی‌های هوشمند، و حتی کارت‌خوان‌های بانکی اجرا کرد.

چشم‌انداز تهدیدات بدون کلیک سریع‌تر از آنچه تصور می‌کنیم تکامل می‌یابد. شاید خطرناک‌ترین تغییر امروز را بتوانیم بازار جهانی سلاح‌های سایبری بدانیم، آن‌هم وقتی فناوری‌هایی که روزگاری فقط در اتاق‌های تاریک چند سرویس اطلاعاتی نخبه وجود داشت، حالا در ویترین شرکت‌های خصوصی قرار گرفته و به ده‌ها دولت، خریدار ثروتمند یا صاحب‌نفوذ فروخته می‌شود.

شرکت امنیت دیجیتال Recorded Future در سناریویی فرضی اما کاملاً محتمل باعنوان «NotPetya موبایل»، خطراتی آتی را به تصویر می‌کشد:

وقتی هکر یا عامل تهدید، بهره‌برداری بدون کلیک (مانند پگاسوس) را با مکانیزم «کرم خود تکثیرشونده» ترکیب می‌کند. خروجی، بدافزاری خواهد بود که بدون هیچ تعاملی از سوی کاربر، به‌سرعت در میلیون‌ها گوشی هوشمند در سراسر جهان پخش می‌شود و اختلال گسترده‌ای در شبکه‌های ارتباطی به‌وجود می‌آورد.

مرز بعدی این حملات سیستم‌های هوش مصنوعی است که به‌سرعت وارد زندگی روزمره ما شده‌اند. آسیب‌پذیری EchoLeak در دستیار هوش مصنوعی مایکروسافت (کوپایلت) نشان داد که حتی یک ایمیل «عادی» می‌تواند حامل فرمانی نامرئی باشد. کاربر آن را نمی‌خواند، اما کوپایلت برای خلاصه‌سازی، محتوا را پردازش می‌کند و هم‌زمان دستور مخرب اجرا می‌شود. بدون اینکه کاربر حتی ایمیل را باز کرده باشد، داده‌های حساس جمع‌آوری و استخراج شده و همه چیز بدون کوچک‌ترین نشانه‌ای اتفاق می‌افتد.

باوجود این چشم‌انداز دلهره‌آور، ما کاملاً بی‌دفاع نیستیم و هر چه آگاهی خودمان و اطرافیانمان را افزایش دهیم، امنیت دیجیتال بیشتری خواهیم داشت:

احراز هویت خود را تقویت کنید: احراز هویت دوعاملی مبتنی بر پیامک را که در برابر تعویض سیم‌کارت آسیب‌پذیر است، کنار بگذارید. به‌جای آن از اپلیکیشن‌های احراز هویت معتبر یا کلیدهای امنیتی سخت‌افزاری استفاده کنید.

در شبکه‌های عمومی محتاط باشید: همیشه هنگام اتصال به شبکه‌های وای‌فای عمومی از یک سرویس VPN معتبر استفاده کنید تا ترافیک اینترنت شما رمزگذاری شود و در برابر حملات «دوقلوهای شرور» محافظت شوید.

همیشه به‌روز باشید: مطمئن شوید که سیستم‌عامل و تمام برنامه‌های روی دستگاه‌هایتان همیشه به آخرین نسخه به‌روزرسانی شده‌اند. این به‌روزرسانی‌ها اغلب شامل وصله‌های امنیتی برای آسیب‌پذیری‌های زیرو کلیک هستند.

از حالت‌های امنیتی پیشرفته استفاده کنید: اگر به دلیل شغل یا فعالیت‌هایتان در معرض خطر بالایی قرار دارید، استفاده از ویژگی‌هایی مانند Lockdown Mode در دستگاه‌های اپل را در نظر بگیرید. این حالت با محدودکردن برخی عملکردها، سطح حمله دستگاه شما را به‌شدت کاهش می‌دهد.

همه کدهای QR امن نیستند. هکرها می‌توانند کدهایی جعلی ایجاد کنند که پس از اسکن، شما را به وب‌سایت‌های فیشینگ هدایت کرده یا دانلود مخفی بدافزار را آغاز کنند.

پیش از اسکن کد از منبع آن مطمئن شوید، از برنامه‌های اسکنر QR استفاده کنید که لینک را قبل از باز کردن نمایش می‌دهند و هرگز کدهایی را که روی پوسترهای ناشناس یا در ایمیل‌های مشکوک می‌بینید، اسکن نکنید.

گذرواژه‌های پیش‌فرض را تغییر دهید: بسیاری از روترها، دوربین‌های امنیتی و دستگاه‌های هوشمند همچنان از گذرواژه‌های پیش‌فرض کارخانه استفاده می‌کنند؛ پسوردهایی که یافتن آن‌ها در اینترنت کار سختی نیست. هکرها با اسکن این دستگاه‌های ناامن، بدون هیچ زحمتی کنترل کاملشان را در دست می‌گیرند.

برای جلوگیری از این خطر، همیشه هنگام راه‌اندازی دستگاه جدید، گذرواژه پیش‌فرض را تغییر دهید، از پسوردهای قوی و منحصربه‌فرد استفاده کنید و هر جا امکان داشت احراز هویت دومرحله‌ای را فعال کنید.

دسترسی‌های غیرمجاز اپلیکیشن‌ها را مسدود کنید. برخی اپلیکیشن‌ها درخواست دسترسی‌هایی فراتر از نیاز واقعی‌شان دارند؛ مانند ردیابی موقعیت مکانی، خواندن پیام‌ها یا حتی استفاده از دوربین بدون اطلاع شما. پیش از نصب هر اپلیکیشن، مجوزهای دسترسی آن را بررسی و گزینه‌های غیرضروری را رد کنید.

و درنهایت مراقب تاکتیک‌های مهندسی اجتماعی باشید. گاهی هکرها نیازی به تکنولوژی پیشرفته ندارند و فقط با فریب، افراد را وادار می‌کنند اطلاعات شخصی خود را تحویل دهند. تماس‌های جعلی پشتیبانی مشتری، ایمیل‌های اضطراری کلاهبرداری و جعل هویت، همگی برای به‌دست‌آوردن رمز عبور یا کدهای امنیتی طراحی شده‌اند.

با دیدی شکاک با موارد فوق مواجه شوید، درخواست‌ها را از طریق کانال‌های رسمی تأیید کنید و هرگز اطلاعات حساس خود را با کسی که به‌طور غیرمنتظره با شما تماس می‌گیرد، به اشتراک نگذارید.