‫ khozestan_salamat بلاگ

Secure Ideas، ارائه‌دهنده برتر تست نفوذ و خدمات مشاوره امنیتی، با افتخار دستاوردهای اخیر خود در مورد اعتبار CREST و انطباق با سطح 1 CMMC را اعلام می‌کند و تعهد خود را برای ارائه بالاترین استانداردهای ارزیابی امنیتی و انطباق با مقررات برای مشتریان خود تقویت می‌کند.

با این گواهی‌نامه‌ها، ایده‌های امن توانایی خود را برای ارائه خدمات امنیتی تهاجمی مبتنی بر استانداردهای جهانی، با تخصص در شناسایی آسیب‌پذیری‌ها، بهره‌برداری از نقاط ضعف، و افشای شکاف‌ها در سیستم‌های حیاتی تقویت می‌کند.

اعتبار CREST: برتری در تست نفوذ
دستیابی Secure Ideas به اعتبار CREST (شورای ثبت شده آزمایش کنندگان امنیت اخلاقی) بر پایبندی آن به بالاترین استانداردهای قانونی، اخلاقی و فنی در تست نفوذ تاکید دارد. سازمان‌های دارای اعتبار CREST تحت ارزیابی‌های دقیق فرآیندهای تجاری، روش‌های امنیتی و چارچوب‌های تضمین کیفیت خود قرار می‌گیرند.

Secure Ideas به‌عنوان یک ارائه‌دهنده تست نفوذ دارای گواهینامه CREST، تضمین می‌کند که همه آزمایش‌های نفوذ - اعم از شبکه، برنامه وب، API یا امنیت فیزیکی - طبق بهترین شیوه‌های تثبیت‌شده در محدوده، شناسایی، ارزیابی، بهره‌برداری و گزارش‌دهی انجام می‌شوند. این گواهی به مشتریان اطمینان بیشتری می دهد که وضعیت امنیتی آنها با استفاده از روش های اثبات شده توسط متخصصان با تجربه ارزیابی می شود.

انطباق سطح 1 CMMC: حفاظت از اطلاعات وزارت دفاع
علاوه بر گواهینامه CREST، Secure Ideas به گواهینامه مدل بلوغ امنیت سایبری (CMMC) سطح 1 نیز دست یافته است. توسط وزارت دفاع (DoD) برای محافظت از اطلاعات قرارداد فدرال (FCI) و اطلاعات طبقه بندی نشده کنترل شده (CUI) توسعه یافته است، CMMC به پیمانکاران دفاعی و پیمانکاران فرعی نیاز دارد تا استانداردهای پیشرفته سایبری را به طور پیشرونده اجرا کنند.
CMMC سطح 1 با اطمینان از انطباق با 15 الزامات امنیتی مندرج در بند 52.204-21 FAR بر حفاظت اساسی FCI تمرکز می کند. این الزامات شامل اقدامات ضروری مانند:

محدود کردن دسترسی به کاربران مجاز
حفاظت از دسترسی فیزیکی و دیجیتالی به اطلاعات.
پیاده سازی تنظیمات ایمن برای دستگاه ها و سیستم ها.
انطباق با CMMC به یک الزام اجباری برای سازمان هایی که با وزارت دفاع کار می کنند تبدیل شده است. با دستیابی به انطباق با سطح 1، ایده های امن موقعیت خود را برای حمایت از پیمانکاران دفاعی و پیمانکاران فرعی در انجام تعهدات مربوط به انطباق خود تقویت می کند.

مزایای کلیدی برای مشتریان:

استانداردهای جهانی به رسمیت شناخته شده: تست و خدمات امنیتی همسو با چارچوب های بین المللی شناخته شده.
تضمین امنیت پیشرفته: انطباق با CREST و CMMC حفاظت قوی از داده های حساس را تضمین می کند.
پشتیبانی از انطباق با مقررات: گواهینامه ها با مقررات GDPR، ISO 27001، PCI DSS و NIS مطابقت دارند و به مشتریان کمک می کنند تا الزامات قانونی را برآورده کنند.
درباره ایده های امن

Secure Ideas ارائه‌دهنده پیشرو راه‌حل‌ها و خدمات امنیت سایبری متخاصم است که به کسب‌وکارها در هر اندازه‌ای کمک می‌کند تا از اطلاعات و دارایی‌های خود در برابر تهدیدات سایبری محافظت کنند. Secure Ideas با تیمی از متخصصان با تجربه و ماهر، محصولات و خدمات نوآورانه ای را ارائه می دهد که برای رفع نیازهای امنیتی منحصر به فرد سازمان ها در یک چشم انداز دیجیتال به سرعت در حال تحول طراحی شده اند.

NSA و آژانس‌های امنیت سایبری جهانی هشدار می‌دهند که تاکتیک جریان سریع DNS یک تهدید امنیت ملی در حال رشد است که در فیشینگ، بات‌نت و باج‌افزار استفاده می‌شود.
 

تلاش‌های مشترک آژانس‌های امنیت سایبری بین‌المللی، از جمله آژانس امنیت ملی (NSA)، آژانس امنیت سایبری و امنیت زیرساخت (CISA)، دفتر تحقیقات فدرال (FBI)، مرکز امنیت سایبری استرالیا اداره سیگنال‌های استرالیا (ASD’s ACSC)، مرکز کانادایی برای امنیت سایبری (CCCS)، و مرکز امنیت سایبری کانادا (CCCS) و نیوزیلند دارای امنیت سایبری بالا (CCCS) است. به عنوان Fast Flux.

بر اساس یک مشاوره مشترک، هم مجرمان سایبری و هم بازیگران تحت حمایت دولت از این تکنیک جدید استفاده می‌کنند که به آنها امکان می‌دهد مکان‌های سرور مخرب را پنهان کنند و زیرساخت‌های فرماندهی و کنترل (C2) را حفظ کنند و به عنوان یک تهدید امنیت ملی اعلام شده است.

درک شار سریع
مکانیسم اصلی Fast Flux در دستکاری دینامیک رکوردهای سیستم نام دامنه (DNS) نهفته است. مهاجمان با تغییر سریع آدرس‌های IP مرتبط با یک دامنه، مکان واقعی سرورهای مخرب خود را به طور مؤثر مخفی می‌کنند. این چرخش سریع روش‌های سنتی مسدودسازی مبتنی بر IP را بی‌اثر می‌کند، زیرا آدرس IP هدف تقریباً بلافاصله منسوخ می‌شود.

تحقیقات نشان می‌دهد که مجرمان سایبری از دو روش جریان سریع استفاده می‌کنند: یک شار و دو شار. Single Flux شامل پیوند یک نام دامنه واحد به آدرس‌های IP متعدد و اغلب چرخش شده است، و تضمین می‌کند که حتی اگر یک IP مسدود شود، دامنه در دسترس باقی می‌ماند.
برعکس، Double flux با تغییر مکرر سرورهای نام DNS که مسئول حل دامنه هستند، این ابهام را بیشتر می‌کند و لایه دیگری از ناشناس بودن را اضافه می‌کند. CISA خاطرنشان می‌کند: «این تکنیک‌ها از تعداد زیادی میزبان در معرض خطر استفاده می‌کنند،» اغلب بات‌نت‌هایی را تشکیل می‌دهند که به عنوان پراکسی برای پنهان کردن منشاء ترافیک مخرب عمل می‌کنند.

برنامه های مخرب و نقش میزبانی ضد گلوله
CISA تاکید می کند که Fast Flux تنها برای حفظ ارتباطات C2 استفاده نمی شود. این نقش مهمی در کمپین های فیشینگ ایفا می کند و حذف وب سایت های مهندسی اجتماعی را دشوار می کند.

علاوه بر این، ارائه دهندگان "میزبان ضد گلوله" (BPH)، که درخواست های اجرای قانون را نادیده می گیرند، به طور فزاینده ای آن را به عنوان یک سرویس به مشتریان خود ارائه می دهند. این اجازه می دهد تا عملکرد یکپارچه فعالیت های مخرب مانند مدیریت بات نت، فروشگاه های آنلاین جعلی و سرقت اطلاعات اعتباری را انجام دهد، در حالی که لایه ای از محافظت در برابر شناسایی و حذف را فراهم می کند، و در حملات باج افزار Hive و Nefilim استفاده شده است. حتی یکی از ارائه دهندگان BPH توانایی این سرویس را برای دور زدن لیست های مسدود Spamhaus تبلیغ کرد و جذابیت آن را برای مجرمان سایبری برجسته کرد.

تشخیص و کاهش
آژانس‌ها به شدت یک رویکرد چند لایه را برای شناسایی و کاهش حملات "شار سریع" توصیه می کنند. این شامل استفاده از فیدهای اطلاعاتی تهدید، اجرای تشخیص ناهنجاری برای گزارش‌های جستجوی DNS، تجزیه و تحلیل مقادیر رکورد DNS (TTL)، نظارت بر موقعیت جغرافیایی ناسازگار، و استفاده از داده‌های جریان برای شناسایی الگوهای ارتباطی غیرعادی است.

برای سازمان‌ها، آژانس‌ها مسدود کردن DNS و IP، فیلتر کردن شهرت، نظارت و گزارش پیشرفته و آموزش آگاهی از فیشینگ را به عنوان استراتژی‌های کاهش قوی توصیه می‌کنند. این مشاوره نتیجه گیری می کند که برای سازمان ها بسیار مهم است که با ارائه دهندگان خدمات اینترنتی و ارائه دهندگان امنیت سایبری خود، به ویژه ارائه دهندگان DNS حفاظتی (PDNS) برای اجرای این اقدامات هماهنگ شوند.

جان دی لولو، مدیرعامل Deepwatch، یک پلتفرم AI+Human Cyber ​​Resilience سایبری مستقر در سانفرانسیسکو در کالیفرنیا، در مورد آخرین پیشرفت اظهار داشت: این توصیه اخیر به بسیاری از سازمان ها مانند یک اسپرسو دوبل ضربه می زند. هر شرکتی که به شهرت IP به عنوان وسیله ای معتبر برای ایمن سازی زیرساخت یا داده های اختصاصی خود متکی باشد، هدف نرمی برای این نوع سوء استفاده است.
او هشدار داد: "خوشبختانه، تکنیک‌های تشخیص همبستگی، به ویژه آنهایی که از روش‌های یادگیری ماشینی "کم و کند" استفاده می‌کنند، می‌توانند به راحتی این نفوذها را شکست دهند. با این حال، زیرساخت‌های بسیاری از شرکت‌ها به سادگی هنوز وجود ندارد. این یک زنگ هشدار مهم است.

یک هکر که قبلاً با نفوذ Tracelo مرتبط بود، اکنون ادعا می کند که SendGrid Twilio را نقض کرده و اطلاعات 848000 مشتری از جمله اطلاعات تماس و شرکت را به بیرون درز کرده و به فروش رسانده است.
 

هکری که از نام مستعار Satanic استفاده می کند، مسئولیت آنچه را که می تواند یک رخنه بزرگ مربوط به SendGrid، یک پلت فرم تحویل ایمیل مبتنی بر ابر متعلق به Twilio باشد، بر عهده می گیرد.

طبق پستی که در اوایل امروز، پنجشنبه، 3 آوریل 2025، در Breach Forums، یک پلتفرم معروف جرایم سایبری منتشر شد، Satanic داده‌های به سرقت رفته را به قیمت 2000 دلار ارائه می‌کند و نمونه‌ای را برای حمایت از این ادعا به اشتراک گذاشته است. هکر در این پست اعلام کرد:

"ما می خواهیم نقض بزرگترین ارائه دهنده میزبانی ایمیل را اعلام کنیم - SendGrid زیرساخت ایمیل مبتنی بر ابر است که مدیریت تحویل ایمیل را به مشاغل ارائه می دهد. (3 آوریل 2025)."
چه چیزی در نقض ادعا شده است؟

Satanic ادعا می کند که پایگاه داده شامل اطلاعات کامل مشتری و شرکت برای 848960 نهاد است. تیم تحقیقاتی Hackread.com داده های نمونه ارائه شده توسط هکر را تجزیه و تحلیل کرد که شامل اطلاعات زیر بود:

ایمیل مشتری، شماره تلفن، آدرس فیزیکی، شهرها، ایالت ها، کشورها، نمایه های رسانه های اجتماعی و شناسه های لینکدین
داده های سطح شرکت مانند نام دامنه، درآمد، تعداد کارمندان، عملکرد سئو، ارائه دهندگان هاست و رتبه بندی خدماتی مانند Cloudflare و Tranco
امور مالی مانند درآمد، درآمد عملیاتی، درآمد خالص و سایر معیارهای تجاری
داده‌های کارکنان و برخی جزئیات اجرایی عمومی
اطلاعات مربوط به پشته های فناوری شرکت، از جمله پلتفرم های CMS، راه حل های پرداخت، و ابزارهای CRM
علاوه بر این، در میان شرکت‌های فهرست‌شده در داده‌های نمونه می‌توان به بانک آمریکا، بازاروویس و بی‌بی‌سی اشاره کرد. به نظر می‌رسد که داده‌ها ساختار یافته و بسیار دقیق هستند و شامل ده‌ها فیلد فراداده است که بسیار فراتر از اطلاعات تماس است.

هر ورودی دارای معیارهای تجزیه و تحلیل وب، آدرس‌های ایمیل داخلی (شامل آدرس‌های کارکنان سطح بالا)، شماره تلفن، داده‌های موقعیت جغرافیایی، و حتی بینش‌هایی در مورد فن‌آوری‌های Backend و مطابقت با دسترسی است. اگر داده ها معتبر باشند، این می تواند بیش از یک نشت سنتی باشد.
سابقه شیطان

این اولین بار نیست که Satanic به یک نقض بزرگ داده مرتبط می شود. در سپتامبر 2024، همان هکر پشت حادثه Tracelo بود، جایی که اطلاعات شخصی 1.4 میلیون کاربر یک سرویس ردیابی موقعیت جغرافیایی تلفن هوشمند به صورت آنلاین به بیرون درز کرد. فراتر از نفوذهای پرمخاطب، Satanic در جوامع زیرزمینی نیز به دلیل توزیع گزارش های اطلاعات دزدی از طریق تلگرام شناخته شده است.

سابقه نقض اخیر Twilio
همچنین این اولین باری نیست که Twilio، شرکت مادر SendGrid، با قرار گرفتن در معرض داده‌ها مرتبط می‌شود. در 4 ژوئیه 2024، گروه هکری ShinyHunters مجموعه داده ای حاوی 33 میلیون شماره تلفن متعلق به کاربران Twilio Authy، یک برنامه احراز هویت دو مرحله ای را فاش کرد.

سپس، در سپتامبر 2024، یک نقض جداگانه، 12000 رکورد تماس را از طریق ابزار شخص ثالثی که توسط یک مشتری Twilio استفاده می‌شد، افشا کرد. در حالی که هیچ یک از این رویدادها به خطر افتادن مستقیم زیرساخت های Twilio را تأیید نکردند، آنها سؤالاتی را در مورد امنیت داده ها مطرح کردند.

کیسی الیس، بنیانگذار Bugcrowd، یک رهبر مستقر در سانفرانسیسکو، کالیفرنیا در امنیت سایبری جمع‌سپاری شده، در مورد نقض ادعایی اظهار نظر کرد و گفت: «این مورد به‌خاطر اندازه و غنای محتوای ادعا شده بسیار پایین به نظر می‌رسد. جامعیت مجموعه داده قطعاً دلیلی برای نگرانی است.

در بیانیه‌ای به Hackread.com، سخنگوی Twilio گفت که این شرکت هیچ مدرکی دال بر نقض Twilio یا Twilio SendGrid پیدا نکرده است.
"هیچ مدرکی وجود ندارد که نشان دهد Twilio یا Twilio SendGrid نقض شده است. تا آنجا که ما می دانیم، پس از بررسی نمونه ای از این داده ها، ما معتقدیم که هیچ یک از این داده ها از SendGrid نشات گرفته است."

Hackread.com سعی کرد از طریق تلگرام و سیگنال به Satanic برسد اما پاسخی دریافت نکرد. با این حال، در فروم های نقض، هکر یک نمونه داده بزرگتر، 10000 خط اضافی را به اشتراک گذاشت، در حالی که همچنان ادعا می کند که داده ها مشروع هستند و SendGrid با نقض مواجه شده است. این بازیگر تهدید بیان کرد:

"آنها گفتند پایگاه داده مستقیماً از سرورهای Sendgrid گرفته نشده است. پاسخ من این بود که یک نمونه عظیم برای آنها ارسال کنم تا دوباره بررسی شود. هر چه باشد، من به دنبال تایید کسی نیستم زیرا داده ها قانونی هستند. به نفع من نیست که منبع و نحوه هک شدن آن را به اشتراک بگذارم."

مایکروسافت Storm-2139 را افشا کرد، یک شبکه جرایم سایبری که از هوش مصنوعی Azure از طریق LLMjacking بهره برداری می کند.

مایکروسافت اقدام قانونی علیه یک شبکه مجرم سایبری به نام Storm-2139 انجام داده است که مسئول سوء استفاده از آسیب‌پذیری‌ها در سرویس‌های هوش مصنوعی Azure است. این شرکت علناً چهار نفر را در این عملیات غیرقانونی شناسایی و محکوم کرد.

طبق گزارش رسمی مایکروسافت که به طور انحصاری با Hackread.com به اشتراک گذاشته شده است، این افراد از نام‌های مستعار آنلاین مختلف برای اجرای طرحی به نام LLMjacking استفاده می‌کنند. این عمل ربودن مدل های زبان بزرگ (LLM) با سرقت کلیدهای API (رابط برنامه نویسی برنامه) است که به عنوان اعتبار دیجیتال برای دسترسی به خدمات هوش مصنوعی عمل می کند. در صورت به دست آوردن، کلیدهای API می توانند به مجرمان سایبری اجازه دهند تا LLM ها را برای تولید محتوای مضر دستکاری کنند.

فعالیت اصلی Storm-2139 شامل استفاده از اعتبارنامه‌های مشتری سرقت شده، به دست آمده از منابع عمومی، برای دسترسی غیرمجاز به پلتفرم‌های هوش مصنوعی، اصلاح قابلیت‌های این سرویس‌ها، دور زدن اقدامات ایمنی داخلی، و سپس فروش مجدد دسترسی به سایر عوامل مخرب بود. آنها دستورالعمل های دقیقی را در مورد چگونگی تولید محتوای غیرقانونی، از جمله تصاویر صمیمی غیرمجاز و مطالب صریح جنسی، که اغلب افراد مشهور را هدف قرار می دهند، ارائه کردند.

واحد جرایم دیجیتال مایکروسافت (DCU) در دسامبر 2024 اقدامات قانونی را آغاز کرد و در ابتدا ده فرد ناشناس را هدف قرار داد. از طریق تحقیقات بعدی، آنها اعضای کلیدی Storm-2139 را شناسایی کردند. این شبکه از طریق یک مدل ساختاریافته عمل می‌کرد که سازندگان ابزارهای مخرب را توسعه می‌دادند، ارائه‌دهندگان آن‌ها را اصلاح و توزیع می‌کردند و کاربران محتوای توهین‌آمیز را تولید می‌کردند.

Storm-2139 به سه دسته اصلی سازماندهی شده است: سازندگان، ارائه دهندگان و کاربران. سازندگان ابزارهای غیرقانونی را توسعه دادند که امکان سوء استفاده از خدمات تولید شده توسط هوش مصنوعی را فراهم می کرد. سپس ارائه دهندگان این ابزارها را اغلب با سطوح مختلف خدمات و پرداخت برای کاربران نهایی اصلاح و عرضه کردند. در نهایت، کاربران از این ابزارها برای تولید محتوای مصنوعی متخلف استفاده کردند.» پست وبلاگ مایکروسافت نشان داد.
اقدامات قانونی انجام شده توسط مایکروسافت، از جمله توقیف یک وب سایت کلیدی، منجر به اختلال قابل توجهی در شبکه شد. اعضای گروه با هشدار، درگیر شدن در چت آنلاین، تلاش برای شناسایی سایر اعضا، و حتی متوسل شدن به وکیل حقوقی مایکروسافت واکنش نشان دادند و کارآمدی استراتژی مایکروسافت در خنثی کردن عملیات جنایی را برجسته کردند.

مایکروسافت یک استراتژی حقوقی چند وجهی را به کار گرفت و دعوی حقوقی مدنی را برای مختل کردن عملیات شبکه و پیگیری ارجاع جنایی به سازمان های مجری قانون آغاز کرد. هدف این رویکرد هم توقف تهدید فوری و هم ایجاد یک عامل بازدارنده در برابر سوء استفاده از هوش مصنوعی در آینده بود.

این شرکت همچنین در حال رسیدگی به موضوع سوء استفاده از هوش مصنوعی برای تولید محتوای مضر، اجرای نرده‌های محافظ سخت‌گیرانه و توسعه روش‌های جدید برای محافظت از کاربران است. همچنین از نوسازی قوانین کیفری برای تجهیز مجریان قانون به ابزارهای لازم برای مبارزه با سوء استفاده از هوش مصنوعی دفاع می کند.

کارشناسان امنیتی بر اهمیت حفاظت از اعتبار قوی تر و نظارت مستمر در جلوگیری از چنین حملاتی تاکید کرده اند. رام کارمل، بنیانگذار و مدیر عامل آپونو به هکرید گفت که شرکت‌هایی که از هوش مصنوعی و ابزارهای ابری برای رشد استفاده می کنند، باید دسترسی به داده های حساس را محدود کنند تا خطرات امنیتی را کاهش دهند.

از آنجایی که سازمان‌ها ابزارهای هوش مصنوعی را برای پیشبرد رشد به کار می‌گیرند، سطح حمله خود را با برنامه‌هایی که داده‌های حساس را در خود نگه می‌دارند نیز گسترش می‌دهند. برای استفاده ایمن از هوش مصنوعی و ابر، دسترسی به سیستم‌های حساس باید بر اساس نیاز به استفاده محدود شود و فرصت‌ها را برای عوامل مخرب به حداقل برساند.

کمپین 360XSS از Krpano XSS برای ربودن نتایج جستجو و توزیع تبلیغات هرزنامه در بیش از 350 سایت، از جمله دولت، دانشگاه‌ها و رسانه‌های خبری سوء استفاده می‌کند.
 

یک کمپین گسترده که از یک آسیب‌پذیری در چارچوب تور مجازی Krpano سوء استفاده می‌کند توسط محقق امنیت سایبری اولگ زایتسف کشف شده است. این حمله که "360XSS" نامیده شد، شامل دستکاری موتورهای جستجو و توزیع انبوه تبلیغات بود.

 Krpano یک ابزار نرم افزاری پرکاربرد است که امکان ایجاد تجربیات 360 درجه همهجانبه را فراهم می کند و به کاربران امکان می دهد تصاویر و ویدیوهای پانوراما را در یک محیط مجازی کاوش کنند.

تحقیقات Zaytsev که با Hackread.com به اشتراک گذاشته شده است، نشان داد که این حمله از یک نقص اسکریپت نویسی متقابل (XSS) منعکس شده در کتابخانه Krpano VR که به عنوان CVE-2020-24901 ردیابی شده است، استفاده می کند. این آسیب‌پذیری در یک تنظیمات پیکربندی در چارچوب Krpano (passQueryParameter) قرار داشت که به‌طور پیش‌فرض، اجازه می‌داد تا پارامترهای پرس و جو مستقیماً به پیکربندی چارچوب ارسال شوند.

این مهاجمان را قادر می سازد تا XML دلخواه را تزریق کنند که منجر به XSS منعکس شده می شود. تنظیمات پیش‌فرض این نقص را فعال کرده و منجر به بهره‌برداری گسترده تا زمان انتشار وصله‌ها شد. متأسفانه، در بسیاری از وب‌سایت‌ها، از جمله سایت توسعه‌دهنده فریم‌ورک، بدون اصلاح باقی ماند.

کشف این کمپین با یک نتیجه جستجوی غیرمنتظره برای محتوای بزرگسالان شروع شد که در دامنه یک دانشگاه معتبر ظاهر شد. تحقیقات بیشتر نشان داد که سایت از چارچوب Krpano برای تورهای مجازی استفاده می‌کند و یک پارامتر خاص در URL برای تزریق کد مخرب مورد سوء استفاده قرار می‌گیرد. این کد کاربران را به سمت تبلیغات اسپم هدایت می‌کرد که نشان‌دهنده یک حمله پیچیده فراتر از تخریب ساده وب‌سایت است.

مقیاس این کمپین با صدها وب سایت، از جمله پورتال های دولتی، مؤسسات آموزشی، رسانه های خبری و شرکت های بزرگ، قابل توجه بود. مهاجمان از آسیب‌پذیری XSS برای تزریق اسکریپت‌های مخربی استفاده کردند که نتایج موتورهای جستجو را دستکاری می‌کردند و تبلیغات هرزنامه‌ها را به بالای فهرست‌های جستجو هدایت می‌کردند. این تکنیک که به عنوان مسمومیت سئو شناخته می‌شود، به آن‌ها این امکان را می‌دهد تا از اعتبار دامنه‌های در معرض خطر برای افزایش دیده شدن تبلیغات خود استفاده کنند.

این کمپین تأثیر گسترده ای داشت و بیش از 350 وب سایت را در بخش های مختلف به خطر انداخت. این شامل پورتال‌های حساس دولتی و سایت‌های دولتی ایالتی، دانشگاه‌های بزرگ آمریکا، هتل‌های زنجیره‌ای برجسته، رسانه‌های خبری معتبر مانند CNN و Geo.tv، نمایندگی‌های خودرو و شرکت‌های Fortune 500 بود. تمرکز مهاجمان بر توزیع تبلیغات، به جای حمله مستقیم به داده های کاربران، رویکردی حساب شده را احتمالاً توسط یک گروه عرب پیشنهاد می کند.

زایتسف در پست وبلاگ خود خاطرنشان کرد: "افراد پشت این کمپین یک راز باقی مانده اند، اما از آنچه من دیده ام، بسیاری از سرنخ ها حاکی از آن است که این کمپین توسط یک گروه عرب اداره شده است - بر اساس تبلیغات، الگوها و خرده نان های تصادفی که در طول تحقیقات خود پیدا کردم."

او همچنین خاطرنشان می‌کند که تلاش‌ها برای گزارش آسیب‌پذیری به سازمان‌های آسیب‌دیده چالش‌برانگیز بود و بسیاری از آنها فاقد برنامه‌های رسمی افشا بودند. با این حال، برخی از سازمان‌ها پاسخ مثبت دادند و توسعه‌دهندگان Krpano این مشکل را با یک وصله در نسخه بعدی حل کردند. به سازمان‌هایی که از چارچوب Krpano استفاده می‌کنند توصیه می‌شود که به آخرین نسخه به‌روزرسانی شده و تنظیمات پیکربندی آسیب‌پذیر را غیرفعال کنند.

Eran Elshech، Field CTO در Seraphic Security، تأکید می‌کند که مهاجمان از بدافزار به سوء استفاده از آسیب‌پذیری‌های مرورگر و چارچوب‌های وب روی آورده‌اند. کمپین 360XSS نشان می دهد که چگونه به راحتی از یک نقص شناخته شده XSS برای به خطر انداختن سایت های قابل اعتماد، دستکاری نتایج جستجو و ربودن ویژگی های وب برای تبلیغات هرزنامه استفاده شده است.

او هشدار می دهد که مقیاس پذیری و مخفی بودن چنین حملاتی آنها را بسیار مؤثر می کند، زیرا مهاجمان با کمترین تلاش به سایت های پربازدید نفوذ می کنند و بدون دسترسی مستقیم به دستگاه های کاربر به مخاطبان زیادی دسترسی پیدا می کنند.

Morphisec یک نوع بدافزار جدید ValleyRAT را با تاکتیک‌های پیشرفته فرار، زنجیره‌های عفونت چند مرحله‌ای و روش‌های تحویل جدید سیستم‌های هدف‌گیری کشف می‌کند.
 

محققان امنیت سایبری در Morphisec Threat Lab نسخه جدیدی از بدافزار پیچیده ValleyRAT را کشف کرده‌اند که از طریق کانال‌های مختلف از جمله ایمیل‌های فیشینگ، پلت‌فرم‌های پیام‌رسانی فوری و وب‌سایت‌های در معرض خطر توزیع شده است. ValleyRAT یک بدافزار چند مرحله ای است که به گروه بدنام Silver Fox APT مرتبط است.

بر اساس تحقیقات Morphisec که با Hackread.com به اشتراک گذاشته شده است، اهداف کلیدی این کمپین افراد با ارزش بالا در سازمان ها، به ویژه افرادی که در امور مالی، حسابداری و فروش هستند، هستند و هدف سرقت داده های حساس است.

نسخه‌های قبلی ValleyRAT از اسکریپت‌های PowerShell استفاده می‌کردند که به‌عنوان نصب‌کننده‌های نرم‌افزار قانونی پنهان شده بودند، که اغلب از ربودن DLL برای تزریق بار خود به فایل‌های اجرایی امضاشده از برنامه‌هایی مانند WPS Office و حتی Firefox استفاده می‌کردند. در آگوست 2024، Hackread.com در مورد یک نسخه ValleyRAT با استفاده از کد پوسته برای تزریق اجزای بدافزار به طور مستقیم به حافظه گزارش داد.

برعکس، نسخه فعلی از یک وب‌سایت جعلی شرکت مخابراتی چینی «Karlos» (karlostclub/) برای توزیع بدافزار استفاده می‌کند که مجموعه‌ای از فایل‌ها، از جمله یک فایل اجرایی NET را دانلود می‌کند که امتیازات سرپرست را بررسی می‌کند و اجزای اضافی، از جمله یک فایل DLL را دانلود می‌کند.

محققان در این پست وبلاگ نوشتند: «جالب است که بازیگر از همان URL برای هر دو نسخه قدیمی و جدیدتر حمله خود استفاده مجدد کرد.

به گفته محققان، دانلود جعلی مرورگر کروم از anizomcom/ ناقل عفونت اولیه در زنجیره حمله است که قربانی را فریب می دهد تا بدافزار را دانلود و اجرا کند. فایل sscronet.dll که عمداً با یک شناسه با صدای قانونی نامگذاری شده است تا از مشکوک شدن جلوگیری شود، کد را به فرآیند قانونی svchost.exe تزریق می کند، به عنوان یک مانیتور عمل می کند و برای جلوگیری از تداخل با عملکرد بدافزار، هر فرآیندی را در یک لیست محرومیت از پیش تعریف شده خاتمه می دهد.

در مرحله بعد، این بدافزار از نسخه اصلاح شده Douyin (TikTok چینی) قابل اجرا برای بارگذاری جانبی DLL و یک Tier0.dll قانونی از بازی های Valve (مخصوصاً Left 4 Dead 2 و Killing Floor 2) برای اجرای کدهای پنهان در فرآیند nslookup.exe استفاده می کند. این فرآیند بار اصلی ValleyRAT را از mpclient.dat بازیابی و رمزگشایی می کند.

محموله رمزگشایی شده از کد پوسته Donut برای اجرای بدافزار در حافظه استفاده می کند و روش های سنتی تشخیص مبتنی بر دیسک را دور می زند. همچنین سعی می کند مکانیسم های امنیتی مانند AMSI و ETW را غیرفعال کند.

برای اطلاع شما، ValleyRAT یک تروجان دسترسی از راه دور مبتنی بر C ++ با عملکردهای RAT اساسی مانند دسترسی به ایستگاه پنجره WinSta0 برای تعامل صفحه نمایش، صفحه کلید و ماوس و نظارت بر صفحه نمایش قربانی است. این دارای بررسی های گسترده ضد VMware برای فرار از شناسایی در محیط های مجازی است و با سرور C2 خود با استفاده از آدرس های IP و پورت هایی که در هنگام نصب در کد آن مقدار دهی اولیه می شوند، متصل می شود.

محققان خاطرنشان کردند: «اگر بدافزار تشخیص ندهد که در داخل یک ماشین مجازی (VM) در حال اجرا است، سعی می‌کند به عنوان بخشی از بررسی ارتباط شبکه خود با baidu.com ارتباط برقرار کند.

تغییر تاکتیک‌ها/تکنیک‌های فرار گروه Silver Fox APT، پیچیدگی روزافزون حملات جدید را نشان می‌دهد. سازمان ها باید یک استراتژی امنیتی مناسب، از جمله حفاظت از نقطه پایانی سخت گیرانه تر، آموزش کارکنان و نظارت مستمر، برای کاهش خطرات اتخاذ کنند.

اگر عکس‌های شما حاوی اطلاعات حساسی هستند که نمی‌خواهید دیگران آن‌ها را ببینند، آن قسمت‌ها را با استفاده از ابزاری که در اختیار دارید پنهان کنید. برای انجام این کار می توانید از یک برنامه داخلی یا یک برنامه شخص ثالث در رایانه شخصی ویندوز 11 خود استفاده کنید.
 

اگر می‌خواهید اطلاعات را در تصویرتان تار یا پیکسل‌سازی کنید، توجه داشته باشید که به دلایل ایمنی، ما در اینجا به آن نمی‌پردازیم. اطلاعات تار و پیکسلی را می توان پنهان کرد، در حالی که یک بلوک تک رنگ نمی تواند. این چیزی است که در زیر بر روی آن تمرکز خواهیم کرد.

پر کردن مناطق در یک عکس با رنگ های ثابت با استفاده از رنگ
اپلیکیشن Paint داخلی برای بسیاری از کاربران برای روتوش های اولیه عکس، از جمله پنهان کردن قطعات در عکس ها، ابزاری کاربردی بوده است. می‌توانید از ابزار پر کردن این برنامه برای پر کردن یک رنگ ثابت در قسمتی از عکس که می‌خواهید پنهان کنید استفاده کنید.

برای انجام این کار، File Explorer را باز کنید (ویندوز + E را فشار دهید) و محل عکس را برای ویرایش پیدا کنید. روی عکس کلیک راست کرده و Open With > Paint را انتخاب کنید. همچنین، برنامه Paint را اجرا کنید، File > Open را انتخاب کنید و عکس خود را انتخاب کنید.

وقتی عکس شما در Paint راه اندازی شد، از قسمت Colors در بالا، روی "Color 2" کلیک کنید. در پالت رنگ، رنگ ثابتی را که می‌خواهید برای پنهان کردن اطلاعات استفاده کنید، انتخاب کنید.

برای استفاده از رنگ سفارشی که قبلاً در پالت نیست، روی «ویرایش رنگ‌ها» (چرخ رنگ) کلیک کنید و رنگ مورد استفاده را انتخاب کنید. با وارد کردن کد HEX می توانید رنگی را انتخاب کنید. سپس، روی "OK" کلیک کنید.

از بخش Shapes در بالا، شکلی را که می‌خواهید برای پنهان کردن قسمت‌های عکس خود استفاده کنید، انتخاب کنید. سپس، روی عکس، شکل را طوری بکشید که اطلاعات را برای پنهان کردن بپوشاند.

رنگ، شکل را با رنگ انتخابی شما پر می کند و آن قسمت از عکس را پنهان می کند. برای اطمینان از پر شدن جامد، روی شکل کلیک راست کرده و Fill > Solid Fill را انتخاب کنید. اگر نوع پرکننده دیگری مانند مداد رنگی انتخاب کنید، برخی از قسمت‌های پشت شکل همچنان قابل مشاهده خواهند بود.

اطمینان حاصل کنید که اطلاعاتی که می خواهید پنهان کنید واقعاً در عکس پنهان است. اکنون برای ذخیره عکس به عنوان یک کپی از نسخه اصلی، از نوار منوی Paint، File > Save As را انتخاب کنید و فرمت تصویر مورد نظر را انتخاب کنید. در پنجره Save As، پوشه ای را برای ذخیره عکس انتخاب کنید، در قسمت "File Name" نامی برای عکس تایپ کنید و روی "Save" کلیک کنید.

مخفی کردن اطلاعات در عکس ها با استفاده از GIMP
GIMP یک برنامه رایگان و منبع باز است که به شما امکان ویرایش و روتوش عکس‌ها را در رایانه می دهد. برای استفاده از آن برای پنهان کردن عناصر حساس عکس های خود، سایت GIMP را راه اندازی کنید و برنامه را دانلود و بر روی رایانه شخصی خود نصب کنید.

برنامه را اجرا کنید و File > Open را انتخاب کنید یا Ctrl+O را فشار دهید. به پوشه حاوی عکس خود بروید و عکس را انتخاب کنید.

از قسمت ابزار در سمت چپ، کادر رنگ پیش زمینه (بالا) را انتخاب کنید. در پنجره Change Foreground Color که باز می شود، رنگی را که می خواهید برای پنهان کردن اطلاعات در عکس خود استفاده کنید، انتخاب کنید. سپس، روی "OK" کلیک کنید.

در بخش ابزارها در سمت چپ، روی "ابزار انتخاب مستطیل" (R را فشار دهید) یا "ابزار انتخاب بیضی" (E را فشار دهید) کلیک کنید. روی عکس خود، شکلی را بکشید که قسمتی را که می خواهید پنهان کنید، بپوشانید. روی شکل کلیک راست کرده و Edit > Fill With FG Color را انتخاب کنید (یا Ctrl+، را فشار دهید).

GIMP شکل انتخاب شده را با رنگ پیش زمینه انتخاب شده پر می کند. اکنون قسمت انتخاب شده در عکس پنهان شده است. اکنون برای ذخیره عکس به عنوان یک کپی از نسخه اصلی، از نوار منوی GIMP، File > Export As را انتخاب کنید (یا Shift+Ctrl+E را فشار دهید).

در پنجره Export Image، پوشه ای را برای ذخیره عکس ویرایش شده انتخاب کنید. روی فیلد "Name" کلیک کنید و یک نام برای عکس تایپ کنید. گزینه "Select File Type (By Extension)" را انتخاب کنید و یک قالب برای عکس خود انتخاب کنید. سپس روی «صادرات» کلیک کنید.

گروه UnitedHealth تایید کرده است که یک حمله باج افزاری زیرمجموعه آن Change Healthcare را در فوریه 2024 هدف قرار داده است که بر 190 میلیون آمریکایی تأثیر گذاشته است. جزئیات کلیدی، تأثیر و پیامدهای بزرگترین نقض داده های مراقبت های بهداشتی در تاریخ ایالات متحده را کشف کنید.

 گروه UnitedHealth تایید کرده است که یک حمله باج‌افزاری که شرکت تابعه آن، Change Healthcare را در فوریه 2024 هدف قرار داد، بر 190 میلیون نفر در ایالات متحده تأثیر گذاشته است.

این به طور قابل توجهی از تخمین های قبلی در حدود 100 میلیون (PDF) فراتر رفته و آن را به بزرگترین نقض داده های پزشکی در تاریخ ایالات متحده تبدیل می کند. برای اینکه ایده ای به شما بدهم، این نقض 2.5 برابر بزرگتر از نقض داده Anthem Inc. در سال 2015 است که 78.8 میلیون رکورد را فاش کرده بود.

شایان ذکر است که Change Healthcare یک بازیگر اصلی در بخش فناوری مراقبت‌های بهداشتی است و حجم قابل توجهی از داده‌های حساس بهداشتی و پزشکی، از جمله سوابق بیماران و ادعاهای مراقبت‌های بهداشتی را مدیریت می‌کند و تقریباً 40٪ از کل ادعاهای پزشکی را سالانه پاک می‌کند.

این نقض که به گروه باج‌افزار ALPHV با نام مستعار Black Cat نسبت داده می‌شود، از یک حساب در معرض خطر فاقد احراز هویت چند عاملی بهره‌برداری کرد و از اعتبارنامه‌های در معرض خطر در نرم‌افزار دسترسی از راه دور Citrix برای دسترسی غیرمجاز به سیستم‌های Change Healthcare استفاده کرد. این حمله منجر به تأثیر مالی 872 میلیون دلاری و 6 ترابایت استخراج داده های حساس شد. ماه ها طول کشید تا این شرکت سیستم ها را بازیابی کند.

در حالی که UnitedHealth ادعا می‌کند با وجود دسترسی هکرها به داده‌های دزدیده شده برای تقریباً یک سال، هیچ مدرکی دال بر سوء استفاده از داده‌های دزدیده شده وجود ندارد، اما همچنان نگران‌کننده است زیرا این نقض سوابق پزشکی حساس را نشان می‌دهد. این شامل جزئیات بیمه درمانی، تشخیص بیمار، نتایج آزمایش و اطلاعات درمان است.

علاوه بر این، مهاجمان اطلاعات شخصی حساس از جمله نام، آدرس، تاریخ تولد، شماره تامین اجتماعی، شماره گواهینامه رانندگی و سوابق پزشکی را به سرقت بردند. پس از این حمله، این شرکت برای جلوگیری از درز اطلاعات بیشتر، 22 میلیون دلار باج پرداخت کرد.

بر اساس گزارش ها، بلک کت از شرکت وابسته «Notchy» که این تخلف را انجام داده کلاهبرداری کرده و بدون پرداخت سهم آنها، پرداخت باج را به جیب زده است. در پاسخ، این شرکت وابسته با RansomHub همکاری کرد و سعی کرد از Change Healthcare بیشتر اخاذی کند، اما هیچ پرداخت اضافی انجام نشد و داده‌های سرقت شده در دست مجرمان سایبری باقی ماند.

تأثیر این نقض بسیار فراتر از سرقت فوری داده ها است. این امر خدمات مراقبت های بهداشتی را در سراسر کشور مختل کرد و چالش های عملیاتی قابل توجهی را ایجاد کرد و نگرانی هایی را در مورد حفظ حریم خصوصی بیمار و امنیت داده ها ایجاد کرد. بررسی‌های انجمن بیمارستان‌های آمریکا تأثیرات شدید مالی و مراقبت از بیمار ناشی از این نقض را نشان می‌دهد به طوری که 94 درصد از بیمارستان‌های ایالات متحده متحمل خسارات مالی هستند، نزدیک به 40 درصد از بیمارستان‌ها در دسترسی به مراقبت‌ها به دلیل تأخیر مجوزها با مشکل مواجه هستند و 67 درصد از بیمارستان‌ها، تعویض خانه‌های تهاتر را بسیار دشوار می‌بینند.

با رعایت قانون مسئولیت پذیری و مسئولیت پذیری بیمه سلامت (HIPAA)، گروه UnitedHealth بیشتر افراد آسیب دیده را در مورد حمله باج افزار فوریه 2024 مطلع کرده است.

این حادثه نگرانی‌هایی را در مورد آسیب‌پذیری‌های بخش مراقبت‌های بهداشتی و امنیت داده‌های بیماران ایجاد کرده و نیاز فوری به اجرای اقدامات امنیت سایبری پیشرفته برای محافظت از اطلاعات حساس و کاهش چنین تهدیداتی را برجسته کرده است.

کلاهبرداران کلاهبرداران - هکرها با استفاده از XWorm RAT از بچه‌های اسکریپت سوء استفاده می کنند، بیش از 18000 دستگاه را در سراسر جهان به خطر می اندازند و داده های حساس را از طریق C&C مبتنی بر تلگرام می‌دزدند.

CloudSEK کمپین جدیدی را کشف کرده است که شامل یک نسخه تروجانیزه شده از سازنده XWorm RAT است. این بدافزار از طریق کانال‌های مختلف، از جمله سرویس‌های اشتراک‌گذاری فایل (مانند Mega و Upload.ee)، مخازن Github (مانند LifelsHex/FastCryptor و FullPenetrationTesting/888-RAT)، کانال‌های تلگرام (از جمله HAX_CRYPT و inheritedeu)، و حتی یوتیوب و وب سایت های دیگر

این کمپین منجر به به خطر انداختن بیش از 18459 دستگاه در سراسر جهان شد. داده‌های به سرقت رفته شامل اطلاعات حساسی مانند اعتبار مرورگر، توکن‌های Discord، داده‌های تلگرام و اطلاعات سیستم از دستگاه‌های در معرض خطر بود.

در پست وبلاگ CloudSEK که توسط محقق اطلاعاتی Threat Intelligence، Vikas Kundu، منتشر شده است، این سازنده ابزاری کارآمد را برای استقرار و اجرای یک RAT بسیار توانمند در اختیار مهاجمان قرار می دهد که دارای قابلیت های پیشرفته ای مانند شناسایی سیستم، استخراج داده‌ها و اجرای فرمان است.

عوامل تهدید به طور خاص یک سازنده XWorm RAT اصلاح شده را برای هدف قرار دادن مهاجمان بی تجربه (معروف به Script Kiddies) توزیع کردند. پس از نصب، بدافزار داده های حساسی مانند اعتبار مرورگر، توکن های Discord، داده های تلگرام و اطلاعات سیستم را از دستگاه قربانی استخراج می کند. همچنین دارای ویژگی‌های پیشرفته‌ای مانند بررسی مجازی‌سازی، امکان اصلاح رجیستری و قابلیت‌های فرمان و کنترل گسترده است.

علاوه بر این، این بدافزار برای عملکرد فرمان و کنترل خود به تلگرام متکی است. از توکن‌های ربات و تماس‌های API تلگرام برای دریافت دستورات مهاجم و استخراج داده‌های دزدیده شده استفاده می‌کرد.

محققان توانستند یک عملکرد "سوئیچ کشتن" را در این بدافزار شناسایی و از آن استفاده کنند. این عملکرد برای ایجاد اختلال در عملکرد دستگاه‌های فعال آلوده به بدافزار مورد استفاده قرار گرفت. با این حال، این رویکرد محدودیت‌هایی داشت. ماشین‌های آفلاین و مکانیسم‌های محدودکننده نرخ تلگرام از اختلال کامل جلوگیری کردند.

بر اساس تحقیقات، محققان توانستند عامل تهدید را به نام مستعار "@shinyenigma" و "@milleniumrat" مرتبط کنند. علاوه بر این، آنها توانستند حساب های مرتبط GitHub و یک آدرس ProtonMail را شناسایی کنند.

شایان ذکر است که XWorm با گزارش سرویس دولتی ارتباطات و حفاظت اطلاعات ویژه اوکراین (SSSCIP) که استفاده از آن را در عملیات سایبری روسیه علیه اوکراین در نیمه اول سال 2024 گزارش کرده است، به یک تهدید دائمی تبدیل شده است.

برای محافظت در برابر چنین تهدیداتی، سازمان‌ها و افراد باید از راه‌حل‌های Endpoint Detection and Response (EDR) برای شناسایی فعالیت های مشکوک شبکه و حتی شناسایی بدافزار استفاده کنند.

علاوه بر این، نظارت بر شبکه با استفاده از سیستم‌های تشخیص نفوذ و پیشگیری (IDPS) می‌تواند ارتباط بین دستگاه‌های آلوده و سرور C&C مخرب در تلگرام را مسدود کند. اقدامات پیشگیرانه مانند مسدود کردن دسترسی به URL های مخرب شناخته شده و اعمال لیست سفید برنامه می تواند از دانلود و اجرای بدافزار جلوگیری کند.

اگرچه کد بدافزار همیشه در حال تکامل است و Emotet از یک تروجان بانکی به سلاحی تبدیل شده است که بسیاری از صنایع را هدف قرار می دهد، ایمیل همچنان یکی از محبوب ترین بردارهای حمله برای هکرها است. حملات فیشینگ در حال افزایش است، فیشینگ نیزه ای هدفمندتر می شود و اکنون پیام های متنی به هرزنامه تبدیل می شوند.
 

توصیه های زیر از کارشناسان امنیتی به متخصصان فناوری کمک می کند تا حملات جدید را شناسایی کنند، دفاع فنی خود را بهبود بخشند و به کاربران نهایی و اعضای تیم فناوری آموزش دهند.

تقویت محیط

ران کولر، مدیر ارشد فناوری و راه‌حل‌ها در امنیت سایبری ADT، گفت که علاوه بر ابزارهای استاندارد ضد ویروس و ضد بدافزار، کسب‌وکارها باید از فناوری sandboxing برای غربالگری ترافیک ایمیل برای کدهای مخرب تعبیه‌شده در HTML یا پیوست‌ها استفاده کنند.

او می‌گوید: «جعبه‌های ایمنی محیط‌های دسکتاپ را شبیه‌سازی می‌کنند، بنابراین وقتی پیامی همراه با پیوست می‌آید، فرآیند را طی می‌کند و کل فرآیند را شبیه‌سازی می‌کند تا بتوانید ببینید که آیا اتفاقی به‌طور مخرب رخ می‌دهد یا خیر».

شرکت‌ها همچنین باید تمرین‌های فیشینگ را در داخل خود با قالب‌های ایمیلی که حرفه‌ای به نظر می‌رسند و شامل زبان متقاعدکننده هستند، اجرا کنند. کولر می‌گوید: «شما برای افراد ایمیل می‌فرستید، و اگر آنها روی پیوند کلیک کنند، می‌تواند به آنها بگوید، «شما روی یک پیوند فیشینگ کلیک کرده‌اید، برای آموزش به اینجا بروید».

روندها در حملات به خطر انداختن ایمیل های تجاری

اگرچه حملات ایمیل رایج‌ترین روش ارسال بدافزار باقی می‌ماند، اما پیام‌های متنی با افزایش استفاده هکرها از پیام‌های متنی فریبنده، در یک لحظه بعدی دنبال می‌شوند.

دیوید ریچاردسون، معاون تولید در Lookout، گفت که بازیگران بد اکنون سایت هایی را به طور خاص هدف قرار دادن دستگاه های تلفن همراه می سازند. اگر پیوندی روی دسکتاپ یا از طریق تجزیه و تحلیل خودکار بررسی شود، برخی از این سایت‌ها کاربران را به یک سایت واقعی هدایت می‌کنند.

او گفت: "بازیگران بد متوجه شده اند که می توانند سایت های خود را برای مدت طولانی تری با هدایت مجدد به سایت واقعی در برخی شرایط ناشناخته نگه دارند، زیرا این امر آنها را قانونی نشان می دهد."

ریچاردسون اضافه کرد که بسیاری از این حملات از حساب های در معرض خطر از برنامه های تلفن همراه مانند What's App هستند.

او گفت: "هکرها حساب شخصی را به خطر می اندازند و سپس این پیام را برای همه افراد موجود در دفترچه آدرس آنها ارسال می کنند و مردم کلیک می کنند زیرا به نظر قانونی می رسد."

بازیگران بد نیز کاربران را با کپی کردن دقیق طرح‌بندی صفحه ورود برند مورد اعتماد فریب می‌دهند. صفحه درست به نظر می رسد اما اغلب فیلدهای ورود به سیستم و رمز عبور به جای صفحه های جداگانه در یک صفحه قرار دارند. او گفت: «هجوم‌کنندگان تمام محتوا را در یک صفحه قرار می‌دهند تا به جای اینکه آن را به یک فرآیند چند مرحله‌ای تقسیم کنند، روی آن تمرکز بیشتری داشته باشند.

کاربران همچنین باید به دنبال لوگوهای پیکسلی، گرامر ضعیف یا نوشتن نامناسب به عنوان علائم هشدار دهنده صفحه فیشینگ باشند.

یکی دیگر از ترفندهای رایج این است که به دلیل محدودیت املاک و مستغلات در صفحه تلفن همراه، URL کامل را به سختی مشاهده کنید. Culler از ADT توصیه می کند که به کاربران بگوید ماوس را روی یک دکمه یا URL قرار دهند تا بررسی کنند که یک پیوند کجا می رود.

حملات همپوشانی صفحه یکی دیگر از رویکردهای محبوب است. اینجاست که هکرها کدهای مخرب را در چیزی که بی گناه به نظر می رسد، مانند یک برنامه چراغ قوه، جاسازی می کنند. کد مخرب کارهایی که کاربر انجام می دهد را ردیابی می کند و به دنبال فعالیت خاصی می گردد. به عنوان مثال، وقتی کاربر روی یک برنامه بانکی ضربه می‌زند، کد مخرب یک پنجره تمام صفحه باز می‌شود که برنامه اصلی را تقلید می‌کند. این به بازیگر بد این شانس را می دهد که اطلاعات کاربر را بدون هدایت کردن شخص به یک وب سایت به دست آورد.

جلوگیری از حملات به خطر انداختن ایمیل های تجاری

برومر گفت که شرکت‌ها باید حداقل یک بار در سال آموزش های مربوط به امنیت و حفظ حریم خصوصی را انجام دهند. آموزش باید منعکس کننده مسئولیت های شغلی و نقش افراد در شرکت باشد.

او گفت: «مدیران، مدیر عامل و اعضای هیئت مدیره به بالاترین سطح آموزش نیاز دارند زیرا همیشه مورد حمله قرار می گیرند. نگهبان میز جلو به نوع دیگری از آموزش نیاز دارد، اما همه به آن نیاز دارند.

شرکت‌ها همچنین باید در صورت موفقیت‌آمیز بودن یک حمله فیشینگ، واکنش به نقض داده‌ها را تمرین کنند. برومر توصیه کرد که یک گروه چندکاره تشکیل شود که شامل سرپرست تیم امنیت فناوری اطلاعات، افسر ارشد حریم خصوصی، نماینده ای از هیئت مدیره شرکت، کارشناسان امنیت داخلی و احتمالاً یک مربی نقض کننده و مشاور حقوقی خارجی نیز می شود.

او گفت: «تعداد زیادی از افراد هستند که نیاز به هماهنگی دارند، و جمع کردن این گروه به زمان و تمرین نیاز دارد. همه چیز روی کاغذ خوب به نظر می رسد، اما اگر تمرین نکنید، یک رخنه رخ می دهد و هرج و مرج رخ می دهد.

او افزود که رهبران شرکت اغلب این واقعیت را نادیده می گیرند که تیم پاسخ باید تمام وقت خود را به مشکل اختصاص دهد تا زمانی که حل شود.